使用RAM帳號訪問Image Search服務前,您需要先給RAM帳號授權。本文介紹如何為RAM帳號授予Image Search許可權。

背景信息

存取控制RAM(Resource Access Management)是阿里雲提供的一項系統管理使用者身份與資源存取權限的服務。使用RAM,您可以建立、管理RAM使用者(例如員工、系統或應用程式),並可以控制這些RAM使用者對資源的操作許可權。當您的企業存在多使用者協同操作資源時,使用RAM可以讓您避免與其他使用者共用雲帳號密鑰,按需為使用者指派最小許可權,從而降低公司資訊安全風險。

簡介

使用RAM帳號訪問圖搜服務時,需要對RAM帳號進行授權。包括如下兩種方式:
  • 通用權限原則。
  • 自訂權限原則。
建議直接授予通用權限原則,可以避免配置複雜。如果通用權限原則無法滿足您的需求,您可以使用自訂權限原則。

RAM支援的地區

Image SearchRAM支援的地區如下。
地區 RegionId
華東2(上海) cn-shanghai
亞太地區東南1(新加坡) ap-southeast-1
中國香港 cn-hongkong
亞太地區東北 1(東京) ap-northeast-1
歐洲中部 1(法蘭克福) eu-central-1

通用權限原則

系統提供如下兩種通用權限原則,請根據需求進行選擇:
  • AliyunImagesearchReadOnlyAccess:唯讀訪問Image Search的許可權,可用於唯讀使用者。
  • AliyunImagesearchFullAccess:管理Image Search的許可權,可用於管理員。
  1. 登入阿里雲控制台
  2. 滑鼠懸浮在右上方使用者中心,單擊存取控制
    RAM授權-步驟1
  3. 在左側導覽列的許可權管理菜單下,單擊授權
  4. 單擊新增授權
    新增首選
  5. 被授權主體地區下,輸入RAM使用者名稱稱或ID後,單擊需要授權的RAM使用者。
  6. 在左側權限原則名稱列表下,單擊需要授予RAM使用者的權限原則。
    系統提供如下兩種通用權限原則,請根據需求進行選擇:
    • AliyunImagesearchReadOnlyAccess:唯讀訪問Image Search的許可權,可用於唯讀使用者。
    • AliyunImagesearchFullAccess:管理Image Search的許可權,可用於管理員。
    RAM授權-通用策略

自訂權限原則

Image Search支援僅且支援instance一種資源類型,通過RAM授權時資源描述方式如下:
  • 資源類型:instance
  • 授權策略中資源描述方式:acs:imagesearch:$regionid:$accountid:instance/$instance
    • $regionid:地區資訊。如果不支援該項,可以使用萬用字元*來代替。
    • $accountid:阿里雲主帳號ID。例如:123456789012****,可以用*代替。
    • $instance:執行個體名稱。比如demo123,可以使用*代替。
表 1. 不同資源對應的Actions許可權
資源 Actions
instance/* Actions許可權名稱及描述如下:
  • ClearInstance:清空執行個體。
  • DescribeInstance:查看執行個體詳情。
  • IncreaseInstance:觸發執行個體增量。
  • InitInstance:初始化執行個體。
  • RemoveInstance:刪除執行個體。
  • ListInstance:查看執行個體列表。
  • SearchItem:搜尋商品或圖片。
  • DeleteItem:刪除商品或圖片。
  • AddItem:添加商品或圖片。
  • ListIncrement:查看執行個體增量。
  • TagResources:增加標籤。
  • UntagResources:刪除標籤。
instance/$instance Actions許可權名稱及描述如下:
  • ClearInstance:清空執行個體。
  • DescribeInstance:查看執行個體詳情。
  • IncreaseInstance:觸發執行個體增量。
  • InitInstance:初始化執行個體。
  • RemoveInstance:刪除執行個體。
  • SearchItem:搜尋商品或圖片。
  • DeleteItem:刪除商品或圖片。
  • AddItem:添加商品或圖片。
  • ListIncrement:查看執行個體增量。
  • TagResources:增加標籤。
  • UntagResources:刪除標籤。
  1. 登入阿里雲控制台
  2. 滑鼠懸浮在右上方使用者中心,單擊存取控制
    RAM授權-步驟1
  3. 在左側導覽列的許可權管理菜單下,單擊權限原則管理
  4. 單擊建立權限原則
    建立權限原則
  5. 建立自訂權限原則版面設定自訂權限原則。
    輸入策略名稱稱(例如:Imagesearch_ram),備忘,選擇指令碼配置,並輸入策略內容。RAM授權-自訂策略
  6. 在左側導覽列的許可權管理菜單下,單擊授權
  7. 單擊新增授權
    新增首選
  8. 被授權主體地區下,輸入RAM使用者名稱稱或ID後,單擊需要授權的RAM使用者。
  9. 在左側權限原則名稱列表下,單擊需要授予RAM使用者的權限原則。
    例如新增imagesearch_ram權限原則。RAM授權-添加自訂策略

自訂權限原則範例

  • 參考範例一
    許可權內容要求如下:
    • 子帳號所屬主帳號ID為1234。
    • 華東2地區。
    • 所有執行個體。
    • 控制台除清空和刪除之外所有操作許可權。
    • 指定IP可以訪問。
    具體策略內容如下
    {
      "Statement": [
       {
         "Action": [
           "imagesearch:ListInstance",
           "imagesearch:DescribeInstance",
           "imagesearch:IncreaseInstance",
           "imagesearch:InitInstance",
           "imagesearch:ListIncrement"
         ],
         "Condition": {
           "IpAddress": {
             "acs:SourceIp": "xxx.xx.xxx.x/xx"
           }
         },
         "Effect": "Allow",
         "Resource": "acs:imagesearch:cn-shanghai:1234:instance/*"
       }
      ],
      "Version": "1"
    }
  • 參考範例二
    許可權內容要求如下:
    • 子帳號所屬主帳號ID為1234。
    • 所有地區。
    • 所有執行個體。
    • 控制台及API所有操作許可權。
    具體策略內容如下。
    {
      "Statement": [
       {
         "Action": [
             "imagesearch:*"
               ],
         "Effect": "Allow",
         "Resource": "acs:imagesearch:*:1234:instance/*"
       }
      ],
      "Version": "1"
    }
  • 參考範例三
    許可權內容要求如下:
    • 子帳號所屬主帳號ID為1234。
    • 所有地區。
    • 執行個體名稱為instance12138
    • 所有操作許可權。
    具體策略內容如下。
    {
      "Statement": [
       {
         "Action": [
             "imagesearch:*",
               ],
         "Effect": "Allow",
         "Resource": "acs:imagesearch:*:1234:instance/instance12138"
       }
      ],
      "Version": "1"
    }