RAM授權 - Image Search

使用RAM帳號訪問Image Search服務前，您需要先給RAM帳號授權。本文介紹如何為RAM帳號授予Image Search許可權。

背景資訊

存取控制RAM（Resource Access Management）是阿里雲提供的一項系統管理使用者身份與資源存取權限的服務。使用RAM，您可以建立、管理RAM使用者（例如員工、系統或應用程式），並可以控制這些RAM使用者對資源的操作許可權。當您的企業存在多使用者協同操作資源時，使用RAM可以讓您避免與其他使用者共用雲帳號密鑰，按需為使用者指派最小許可權，從而降低公司資訊安全風險。

簡介

使用RAM帳號訪問圖搜服務時，需要對RAM帳號進行授權。包括如下兩種方式：

通用權限原則。
自訂權限原則。

建議直接授予通用權限原則，可以避免配置複雜。如果通用權限原則無法滿足您的需求，您可以使用自訂權限原則。

RAM支援的地區

Image SearchRAM支援的地區如下。

地區	RegionId
亞太地區東南1（新加坡）	ap-southeast-1
中國香港	cn-hongkong
亞太地區東北 1（東京）	ap-northeast-1
歐洲中部 1（法蘭克福）	eu-central-1

通用權限原則

系統提供如下兩種通用權限原則，請根據需求進行選擇：

AliyunImageSearchReadOnlyAccess：唯讀訪問Image Search的許可權，可用於唯讀使用者。
AliyunImageSearchFullAccess：管理Image Search的許可權，可用於管理員。

操作步驟如下：

使用阿里雲帳號（主帳號）或Resource Access Management員登入RAM控制台。
在左側導覽列，選擇許可權管理 > 授權。
在授權頁面，單擊新增授權。
在新增授權面板，為RAM使用者添加許可權。
1. 選擇授權應用範圍。
  - 整個雲帳號：許可權在當前阿里雲帳號內生效。
  - 指定資源群組：許可權在指定的資源群組內生效。
    說明
    指定資源群組授權生效的前提是該雲端服務已支援資源群組，詳情請參見支援資源群組的雲端服務。資源群組授權樣本，請參見使用資源群組限制RAM使用者管理指定的ECS執行個體。
2. 指定授權主體。
  授權主體即需要添加許可權的RAM使用者。
3. 選擇權限原則。
  權限原則是一組存取權限的集合，包括：
  - 系統策略：由阿里雲建立，策略的版本更新由阿里雲維護，使用者只能使用不能修改。更多資訊，請參見支援RAM的雲端服務。
  - 自訂策略：由使用者管理，策略的版本更新由使用者維護。使用者可以自主建立、更新和刪除自訂策略。更多資訊，請參見建立自訂權限原則。
  說明
  每次最多綁定5條策略，如需綁定更多策略，請分多次操作。
單擊確定。
單擊完成。

自訂權限原則

Image Search支援僅且支援instance一種資源類型，通過RAM授權時資源描述方式如下：

資源類型：instance
授權策略中資源描述方式：acs:imagesearch:$regionid:$accountid:instance/$instance
- $regionid：地區資訊。如果不支援該項，可以使用萬用字元*來代替。
- $accountid：阿里雲主帳號ID。例如：123456789012****，可以用*代替。
- $instance：執行個體名稱。比如demo123，可以使用*代替。

表 1. 不同資源對應的Actions許可權
資源	Action
instance/*	Action許可權名稱及描述如下： ClearInstance：清空執行個體。 DescribeInstance：查看執行個體詳情。 IncreaseInstance：觸發執行個體增量。 InitInstance：初始化執行個體。 RemoveInstance：刪除執行個體。 ListInstance：查看執行個體列表。 SearchItem：搜尋商品或圖片。 DeleteItem：刪除商品或圖片。 AddItem：添加商品或圖片。 ListIncrement：查看執行個體增量。 TagResources：增加標籤。 UntagResources：刪除標籤。
instance/$instance	Action許可權名稱及描述如下： ClearInstance：清空執行個體。 DescribeInstance：查看執行個體詳情。 IncreaseInstance：觸發執行個體增量。 InitInstance：初始化執行個體。 RemoveInstance：刪除執行個體。 SearchItem：搜尋商品或圖片。 SearchImage：搜尋商品或圖片。 SearchImageByPic：搜尋商品或圖片。 SearchImageByName：根據名稱搜尋商品或圖片。 DeleteItem：刪除商品或圖片。 DeleteImage：刪除商品或圖片。 AddItem：添加商品或圖片。 AddImage：添加商品或圖片。 UpdateImage：修改商品或圖片。 ListIncrement：查看執行個體增量。 TagResources：增加標籤。 UntagResources：刪除標籤。 IncreaseInstance：大量操作。 IncreaseList：查詢批量任務。 Detail：執行個體狀態。 DumpMeta：中繼資料匯出。 DumpMetaList：查詢元資訊匯出任務。

操作步驟如下：

使用Resource Access Management員登入RAM控制台。
在左側導覽列，選擇許可權管理 > 權限原則。
在權限原則頁面，單擊建立權限原則。
在建立權限原則頁面，單擊指令碼編輯頁簽。
輸入權限原則內容，然後單擊繼續編輯基本資料。
關於權限原則文法結構的詳情，請參見權限原則文法和結構。
輸入權限原則名稱和備忘。
檢查並最佳化權限原則內容。
- 基礎權限原則最佳化
  系統會對您添加的權限原則語句自動進行基礎最佳化。基礎權限原則最佳化會完成以下任務：
  - 刪除不必要的條件。
  - 刪除不必要的數組。
- 可選：進階權限原則最佳化
  您可以將滑鼠懸浮在可選：進階策略最佳化上，單擊執行，對權限原則內容進行進階最佳化。進階權限原則最佳化功能會完成以下任務：
  - 拆分不相容操作的資源或條件。
  - 收縮資源到更小範圍。
  - 去重或合并語句。
單擊確定。

自訂權限原則範例

參考範例一

許可權內容要求如下：

子帳號所屬主帳號ID為1234。
華東2地區。
所有執行個體。
控制台除清空和刪除之外所有操作許可權。
指定IP可以訪問。

具體策略內容如下

{
  "Statement": [
   {
     "Action": [
       "imagesearch:ListInstance",
       "imagesearch:DescribeInstance",
       "imagesearch:IncreaseInstance",
       "imagesearch:InitInstance",
       "imagesearch:SearchItem",
       "imagesearch:AddItem",
       "imagesearch:TagResources",
       "imagesearch:ListIncrement"
     ],
     "Condition": {
       "IpAddress": {
         "acs:SourceIp": "xxx.xx.xxx.x/xx"
       }
     },
     "Effect": "Allow",
     "Resource": "acs:imagesearch:cn-shanghai:1234:instance/*"
   }
  ],
  "Version": "1"
}

參考範例二

許可權內容要求如下：

子帳號所屬主帳號ID為1234。
所有地區。
所有執行個體。
控制台及API所有操作許可權。

具體策略內容如下。

{
  "Statement": [
   {
     "Action": [
         "imagesearch:*"
           ],
     "Effect": "Allow",
     "Resource": "acs:imagesearch:*:1234:instance/*"
   }
  ],
  "Version": "1"
}

參考範例三

許可權內容要求如下：

子帳號所屬主帳號ID為1234。
所有地區。
執行個體名稱為instance12138
所有操作許可權。

具體策略內容如下。

{
  "Statement": [
   {
     "Action": [
         "imagesearch:*"
           ],
     "Effect": "Allow",
     "Resource": "acs:imagesearch:*:1234:instance/instance12138"
   }
  ],
  "Version": "1"
}