ApsaraVideo VOD は、認証情報方式とセキュリティトークンサービス (STS) 方式の 2 つのクライアント認証ソリューションを提供しています。これらのソリューションは、アップロードと再生中のセキュリティを確保し、データ侵害を防止します。このトピックでは、お客様のビジネス要件に最適なソリューションを選択できるよう、2 つのソリューションを比較します。
認証情報方式: これは ApsaraVideo VOD の専用の認証ソリューションです。サーバー側の認証ロジックを統合し、シンプルな API を使用してアップロードまたは再生用の一時的なワンタイム認証情報を生成します。この方式はソフトウェア開発キット (SDK) に深く統合されており、すぐに使えるため、クライアント開発の労力を削減します。これには、アップロード認証情報 と 再生認証情報 が含まれます。
STS方式: セキュリティトークンサービス (STS) は、Alibaba Cloud の汎用的な一時認証ソリューションです。STS は、カスタム有効期間と権限を持つ一時的なIDを発行します。これらのIDは、ApsaraVideo VOD およびその他の Alibaba Cloud サービスへのアクセスに使用できます。この方式は、複雑なビジネスシナリオと詳細な権限管理に適しています。詳細については、「STSトークンの取得」をご参照ください。
ソリューションの比較
ApsaraVideo VOD でのアップロードと再生には、認証情報ベースの認証が推奨されます。これは、STSベースの認証と比較して、次の利点があるためです。
比較項目 | コアメカニズム | 実装フロー | セキュリティ | 柔軟性 | 使いやすさ |
認証情報方式 | CreateUploadVideo などの VOD サーバー側 API は、1 回限りの一時的な認証情報を生成します。この認証情報には、カプセル化された一時的な権限付与情報が含まれています。 |
| デフォルトでは、この方式は単一オブジェクトに対するワンタイム認証を提供します。権限の粒度は単一ビデオレベルです。 | Webhook アドレスや再生ドメイン名などのパラメータ設定をサポートします。 | 設定が簡単です。アカウントの AccessKey に VOD 権限を付与するだけで済みます。 |
STS方式 | STS API を呼び出して、有効期間を持つ一時認証情報を取得します。 |
| 権限の粒度が粗いです。VOD の場合、権限は API レベルで付与されます。これにより、アカウント下のすべてのビデオの無制限のアップロードまたは再生が可能になります。 | SDK の更新を待つ必要があります。新機能は遅延する可能性があります。 | 設定が複雑です。ロールの構成と権限付与ポリシーは面倒です。 |
ソリューションの選択
シナリオ 1: シンプルな VOD アップロードまたは再生要件
基盤となる詳細を気にせずに迅速な統合を必要とする VOD プロジェクトには、認証情報方式を使用します。
理由: この方式はすぐに使え、公式 SDK に深く統合されています。サーバー側の負荷が軽く、複雑なアクセスポリシーを管理する必要がありません。
シナリオ 2: サーバー側ロジックの簡素化要件
サーバー側開発への投資が限られており、サーバー側ロジックの簡素化を目指すプロジェクトには、認証情報方式を使用します。
理由: ApsaraVideo VOD サーバー側は、ほとんどのセキュリティロジックをカプセル化します。開発者は API を呼び出して認証情報を生成するだけで済みます。
よくある質問
より安全な STS 権限付与ポリシーを構成する方法
セキュリティトークンサービス (STS) は、Alibaba Cloud の非常に安全な基本サービスです。そのセキュリティは、権限付与ポリシー (Policy) の厳格さに依存します。最小権限の原則に従う必要があります。詳細な構成を使用して、セキュリティを強化できます。詳細については、「STSトークンの取得」をご参照ください。
認証情報の有効期間
アップロード認証情報は、デフォルトでは 3000 秒間有効です。有効期限が切れた後は、RefreshUploadVideo を呼び出して新しいものを取得します。
再生認証情報の有効期間は、GetVideoPlayAuth の
AuthInfoTimeoutパラメーターを使用してカスタマイズできます。デフォルト値は 100 秒です。有効期間を短く設定すると、セキュリティが向上します。