智能媒體服務通過使用AccessKey,可以驗證操作請求寄件者的身份,有效阻止非法請求。通過閱讀本文,您可以瞭解各AccessKey類型的基本概念和差異。
AccessKey類型說明
智能媒體服務會對每一次發起操作請求的使用者身份進行驗證,通過AccessKey(包含AccessKey ID和AccessKey Secret)驗證該帳號是否擁有相應的許可權。當前AccessKey支援以下三種類型:
- 主帳號AccessKey
特指智能媒體服務開通者的AccessKey,每個阿里雲主帳號提供的AccessKey對擁有的資源具有完全的許可權,且最多擁有不超過5個啟用或禁用AccessKey。您可以登入AccessKey管理主控台新增或刪除AccessKey,每個AccessKey對都有啟用和禁用兩種狀態,只有啟用的AccessKey才能在身分識別驗證時使用。
重要 由於主帳號AccessKey有完全的許可權,一旦泄露風險巨大,不建議使用其訪問智能媒體服務資源。 - RAM使用者AccessKey
RAM是指阿里雲提供的資源存取控制服務。RAM使用者AccessKey是指通過RAM被授權的AccessKey,這組AccessKey只能按照RAM定義的規則去訪問智能媒體服務資源。通過RAM,您可以集中管理您的使用者(例如:員工、系統或應用程式等),以及控制使用者可以訪問您名下哪些資源的許可權。RAM使用者從屬於主帳號,RAM使用者不能擁有實際的任何資源,所有資源都屬於主帳號。您可以登入RAM控制台建立RAM使用者並授予相應許可權,詳情請參見建立RAM使用者並授權。
- STS臨時AccessKey
STS是指阿里雲提供的臨時訪問憑證服務。STS臨時AccessKey是指通過STS頒髮帶時效性的AccessKey,這組AccessKey只能按照STS定義的規則去訪問智能媒體服務資源,且會定期失效。您可以登入RAM控制台建立RAM角色並進行STS授權,詳情請參見建立RAM角色並進行STS授權。
不同驗證方式對比
| 驗證方式 | 風險 | 許可權 | 時效 | 適用情境 |
| 主帳號AccessKey | 極大 | 管理和操作IMS所有資源的許可權 | 啟用後一直有效 | 超級管理員進行操作,不建議在程式裡使用,尤其不要放到用戶端。 |
| RAM使用者AccessKey | 較大 | 根據授權策略獲得相應的許可權 | 啟用後一直有效 | 授權進行具體的媒資註冊、媒資查詢、剪輯合成任務提交、剪輯合成任務查詢等操作,可準備多個子帳號,如果AccessKey泄露(例如,人員離職等)需要更換,建議在服務端使用。 |
| STS臨時AccessKey | 安全 | 根據授權策略獲得相應的許可權 | 自訂到期時間 | 移動端或Web端使用,需要您自己部署服務端產生STS臨時AccessKey,且要處理好臨時AccessKey失效的情況。 |
授權策略
智能媒體服務提供以下兩種系統授權策略,您可以根據實際需求對RAM使用者授權:
| 權限原則 | 描述 | OpenAPI調用許可權 |
| AliyunICEFullAccess | 管理和操作IMS所有資源的許可權。 | 可以調用智能媒體服務所有的OpenAPI。 |
| AliyunICEReadOnlyAccess | 唯讀訪問IMS所有資源的許可權。 | 可以調用智能媒體服務所有讀取類的OpenAPI,例如Get、Describe、Search、List開頭的介面。 |
如果系統授權策略無法滿足您個人化的授權需求,可以進行自訂授權策略。具體操作,請參見使用自訂策略。