システムポリシーが要件を満たしていない場合は、カスタムポリシーを設定して最小権限の原則を実装し、権限をきめ細かく制御します。
始める前に
カスタムポリシーの作成方法については、「カスタムポリシーを作成する」をご参照ください。
VOD は、ポリシーの
Action要素で使用できる値を定義します。詳細については、「RAM 権限付与」をご参照ください。VOD のカスタムポリシーには、OSS リソースへのアクセスと管理が含まれる場合があります。詳細については、「関数別の操作リスト (OSS)」をご参照ください。
一般的なシナリオとカスタムポリシーの例
ACL が公開読み取りのオブジェクトを OSS バケットにアップロードすることを禁止する
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": [
"oss:PostObject",
"oss:CopyObject",
"oss:AppendObject",
"oss:InitiateMultipartUpload",
"oss:MultipartUpload",
"oss:UploadPart",
"oss:UploadPartCopy",
"oss:PutObjectAcl",
"oss:PutObject"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"oss:x-oss-object-acl": ["public-read-write", "public-read"]
}
}
}
]
}192.168.XX.XX からのリクエスタのみが指定された再生操作を呼び出すことを許可する
{
"Version": "1",
"Statement": [
{
"Action": [
"vod:GetPlayInfo",
"vod:GetVideoPlayAuth",
"vod:GetVideoPlayInfo",
"vod:GetVideoInfo"
],
"Resource": "*",
"Effect": "Allow",
"Condition":
{
"IpAddress":
{
"acs:SourceIp": "192.168.XX.XX"
}
}
}
]
}メディアレビューの権限を付与する
説明
権限の整合性を確保するために、API グループに新しい API 操作を追加する場合は、次の例の Action リストを更新する必要があります。
{
"Version": "1",
"Statement": [
{
"Action": [
"vod:SetAuditSecurityIp",
"vod:ListAuditSecurityIp",
"vod:CreateAudit",
"vod:GetAuditHistory",
"vod:SubmitAIMediaAuditJob",
"vod:GetAIMediaAuditJob",
"vod:GetMediaAuditResult",
"vod:GetMediaAuditResultDetail",
"vod:GetMediaAuditResultTimeline"
],
"Resource": "*",
"Effect": "Allow"
}
]
}オンライン編集の権限を付与する
説明
権限の整合性を確保するために、API グループに新しい API 操作を追加する場合は、次の例の Action リストを更新する必要があります。
{
"Version": "1",
"Statement": [
{
"Action": [
"vod:ProduceEditingProjectVideo",
"vod:AddEditingProject",
"vod:UpdateEditingProject",
"vod:DeleteEditingProject",
"vod:GetEditingProject",
"vod:SearchEditingProject",
"vod:SetEditingProjectMaterials",
"vod:GetEditingProjectMaterials"
],
"Resource": "*",
"Effect": "Allow"
}
]
}