通过阿里云访问控制服务(RAM)可为子帐号授予相关权限,以达到子帐号在授权范围使用视频直播 (ApsaraVideo Live) 控制台的目的。

一个主账号可以创建多个子账号,通过对子账号功能的授权,可以限制子账号对主账号资源、功能的访问,达到统一管理的目的。了解阿里云访问控制

子帐号的权限主要为直播服务使用授权及 OSS资源对象的权限,规划好该子帐号拥有这些服务的资源实例后即可按相应的授权模版创建授权策略,并授予给该子帐号即可。

RAM的限制

RAM用户不允许拥有资源,没有独立的计量计费,这些用户由您的云账户统一控制和付费。您可以给每个RAM用户创建单独的登录密码或访问密钥。但在默认条件下,这些用户并没有任何操作权限。RAM提供基于访问策略的授权机制,支持您实现对 RAM 用户的细粒度授权。

使用直播控制台,必须给您的子账号开通以下授权才能正常使用服务。

Live (必选)授权使用直播服务,直接使用系统内置 AliyunLiveFullAccess 授权策略。

OSS (必选)授权使用截图存储服务,可按需自定义。详情参见下文。

授权操作

视频直播服务授权ApsaraVideo Live

子账号若需要使用直播服务,需要授予子帐号视频直播服务使用权限。您可以直接使用系统内置AliyunLiveFullAccess授权策略。
  1. 登录 访问控制台
  2. 单击 人员管理 > 用户
  3. 选择用户名,并单击 添加权限 为指定的子帐号授予AliyunLiveFullAccess权限即可。

媒体转码服务授权MTS

子账号若要使用录制视频转码服务,需要授予子帐号媒体转码服务使用权限。您可以直接使用系统内置AliyunMTSFullAccess授权策略。
  1. 登录访问控制台。
  2. 单击 人员管理 > 用户
  3. 选择用户名,并单击 添加权限 为指定的子帐号授予AliyunMTSFullAccess权限即可。

自定义授权策略创建说明

您可以自定义创建授权策略并指定给子账号。
  1. 登录访问控制台。
  2. 单击 权限管理
  3. 单击 权限策略管理
  4. 单击 新建授权策略 为指定资源实例创建如下例举的自定义授权策略并授予指定的子帐号即可。
    说明 各服务资源对象授权策略创建完毕后,为相应子帐号授予权限即可。

以下为 OSS 与 Live 授权策略,您可根据需求授予子账号相应权限。

OSS授权策略

权限描述:
  • 对指定的Bucket有所有操作权限;
  • 有查看Bucket列表权限。
    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "oss:*"
          ],
          "Resource": [
            "acs:oss:*:*:$Bucket",
            "acs:oss:*:*:$Bucket/*"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "oss:ListBuckets"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

Live 授权策略

权限描述:
  • 对指定的Live加速域名有所有权限;
  • 有查询Live加速域名的权限。
{
  "Version": "1",
  "Statement": [
    {
      "Action": "live:*",
      "Resource": [
        "acs:cdn:*:$Uid:domain/$DomainName"
      ],
      "Effect": "Allow"
    },
    {
      "Action": "live:Describe*",
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}
说明 各个服务的资源授权策略中使用了如下变量,请您替换为您实际的资源实例名称。

变量说明

  • Uid

    $Uid:云账号 ID,可通过 控制台 > 账号管理 > 安全设置 进行查询。
  • Bucket

    $Bucket:OSS bucket。

  • Live

    $DomainName:Live 加速域名名称。