Intelligent Media Services：建立RAM使用者並授權

操作步驟

1. 使用阿里雲帳號（主帳號）或Resource Access Management員登入RAM控制台。

2. 在左側導覽列，選擇身份管理 > 使用者。

3. 在使用者頁面，單擊建立使用者。

   

4. 在建立使用者頁面的使用者帳號資訊地區，設定使用者基本資料。

   • 登入名稱稱：可包含英文字母、數字、半形句號（.）、短劃線（-）和底線（_），最多64個字元。

   • 顯示名稱：最多包含128個字元或漢字。

   • 標籤：單擊，然後輸入標籤鍵和標籤值。為RAM使用者綁定標籤，便於後續基於標籤的使用者管理。

   說明

   單擊添加使用者，可以大量建立多個RAM使用者。

5. 在訪問方式地區，選擇訪問方式，然後設定對應參數。

6. 單擊確定並完成手機驗證，系統會自動產生RAM使用者的AccessKey。

   

7. 單擊操作列的複製，儲存使用者登入名稱稱、登入密碼、AccessKey等使用者資訊。

   重要

   請務必儲存好登入密碼和AccessKey資訊（AccessKey ID和AccessKey Secret），否則後續無法查詢。

8. 返回使用者列表頁面，單擊已建立RAM使用者操作列的添加許可權。

9. 在新增授權面板，為RAM使用者添加許可權。

   1. 選擇授權應用範圍。

      資源範圍選擇帳號層級，智能媒體服務暫不支援指定資源群組授權。關於資源群組詳情，請參見資來源目錄、資源群組與標籤的區別和聯絡。

   2. 輸入授權主體。
      授權主體即需要授權的RAM使用者，系統會自動填入當前的RAM使用者，您也可以添加其他RAM使用者。

   3. 選擇權限原則。

      • 使用系統策略

        在系統策略下輸入框中輸入AliyunICE，根據實際需求選擇篩選出的權限原則。

        權限原則	描述	OpenAPI調用許可權
        AliyunICEFullAccess	管理和操作IMS所有資源的許可權。	可以調用智能媒體服務所有的OpenAPI。
        AliyunICEReadOnlyAccess	唯讀訪問IMS所有資源的許可權。	可以調用智能媒體服務所有讀取類的OpenAPI，例如Get、Describe、Search、List開頭的介面。

      • 使用自訂策略

        在自訂策略下根據實際需求選擇權限原則。如果沒有可用的自訂權限原則， 您可以建立權限原則，詳情請參見建立自訂權限原則、自訂策略樣本。

      說明

      • 每次最多綁定5條策略，如需綁定更多策略，請分次操作。

      • 為控制風險，建議採用最小許可權原則。

      • 如果需要使用智能媒體服務端側（iOS或Android）SDK，由於需要將檔案上傳到OSS上，因此需要增加OSS的許可權，即AliyunOSSFullAccess，或者您可以根據實際情況自訂OSS的權限原則。

   4. 單擊確定新增授權，完成使用者授權。

10. 可選：如果RAM帳號需要控制台登入許可權，請參見啟用控制台登入。

自訂策略樣本

本文以“授予智能媒體服務部分資源的唯讀存取權限”為例進行參數欄位詳解，其他策略樣本類似，不再重複。

• 授予智能媒體服務部分資源的唯讀存取權限

  {
    "Version": "1",
    "Statement": [
      {
        "Action": [
          "ice:GetMediaProducingJob",
          "ice:GetEditingProject",
          "ice:GetMediaInfo",
          "ice:ListMediaBasicInfos",
          "ice:SearchEditingProject"
        ],
        "Resource": "*",
        "Effect": "Allow",
        "Condition": {
          "IpAddress": {
            "acs:SourceIp": "192.168.0.1"
          }
        }
      }
    ]
  }

  參數欄位說明：

  參數	必選	描述
  Version	是	定義了策略的版本，智能媒體服務中Version固定為1。
  Statement	是	可以根據業務情境包含多條語義，每條包含對Action、Resource、Effect和Condition的描述。
  Action	是	支援的Action操作與OpenAPI對應，格式為ice:API名稱，多個使用英文逗號分隔。通過指定授權的Action列表，可以組合出對應的許可權分組。
  Resource	是	表示智能媒體服務某個具體的資源或某些資源（支援萬用字元*），Resource的規則是acs:ice:<regionId>:<accountId>:*。Resource也可以為列表，表示有多個Resource。其中regionId欄位暫不支援，請設定為*。由於智能媒體服務現在沒有進一步區分資源，因此建議授權媒資庫資源時Resource填*或acs:ice:*:*:*。
  Effect	是	授權效果，包括允許（Allow）和拒絕（Deny）。每次請求時，系統會逐條依次匹配檢查，所有匹配成功的Statement會根據Effect的值，如果匹配成功的都為Allow，則該條請求允許訪問；如果匹配成功有一條為Deny，或者沒有任何條目匹配成功，則該條請求禁止訪問。 重要 當權限原則中同時包含Allow和Deny時，遵循Deny優先原則。
  Condition	否	表示策略授權的一些條件，可以對訪問來源等進行限制，詳情請參見條件（Condition）。

• 授予智能媒體服務所有資源的唯讀存取權限

  {
    "Version": "1",
    "Statement": [
      {
        "Action": [
          "ice:Get*",
          "ice:List*",
          "ice:Search*",
          "ice:Describe*"
        ],
        "Resource": "acs:ice:*:*:*",
        "Effect": "Allow"
      }
    ]
  }

• 授予智能媒體服務完整許可權（包含寫入權限）

  {
    "Statement": [
      {
        "Effect": "Allow",
        "Action": "ice:*",
        "Resource": "acs:ice:*:*:*"
      }
    ],
    "Version": "1"
  }