最近更新时间:2024.01.26 14:07:22
首次发布时间:2021.02.23 10:42:39
IAM 用户是 IAM 中的一种身份,对应某一个操作实体(运维工程师或者应用程序)。通过创建新的 IAM 子账号并授权,子账号用户便可以访问相关资源。本文为您介绍如何创建 IAM 子账户并给子账号添加项目权限。
每个主账号均可以创建多个子账号,授予不同的权限。管理账号下不同身份对云资源的访问权限。
登录视频点播控制台,通过右上角个人中心,单击访问控制按钮。
页面跳转至访问控制 > 身份管理页面,单击新建用户开始创建,每个用户即一个子账号。
请选择您要新建用户的方式。选择任意创建方式:通过用户名创建、手机号创建等。
权限设置,选择关联策略及关联角色。单击左侧角色和策略管理中创建和管理对应的策略、角色。
说明
用户创建成功后,您可以在用户详情中为用户添加权限。
策略是对权限的一种描述,用户、用户组及角色都需要通过关联策略来获得权限。策略包含两种类型:
视频点播当前支持的系统预设策略如下表所示。
策略名 | 备注 |
---|---|
VodFullAccess | 视频点播所有功能全读写权限。适合运维、研发等角色,可查看和配置视频点播内全部资源。 |
VodQualityAccess | 视频点播质量平台只读权限。适合基础运营、排障场景,权限较少,一般不推荐。 |
VODQualityFullAccess | 视频点播质量平台全读写权限。适合运营、排障场景,可查看和配置质量平台资源。 |
VodReadOnlyAccess | 视频点播所有功能只读权限。适合产品、运营等角色,可查看视频点播内全部资源。 |
选择自定义策略页签,单击新建自定义策略按钮,进入新建自定义策略页面。
切换至 JSON 编辑器页签,输入策略名称、编辑策略内容。策略语法的详细说明,请见下方策略语法规范。
火山引擎访问控制权限策略通过 JSON 格式的 PolicyDocument 表达,由以下几个元素组成:
元素名 | 说明 |
---|---|
Statement | 策略声明,对策略语句进行封装。 |
Effect | 指定策略所产生的结果是 “允许” 还是 “显式拒绝”,可选项为:
|
Action | 指定具体的操作,与云服务 API 的 Action 含义相同,因此在描述 Action 时需要添加前缀指定所属的云服务,Action 部分支持使用 “*” 和 “?” 两种通配符。视频点播服务的前缀为 vod。 |
Resource | 指定 Action 作用的资源。资源以 Trn 的形式配置,格式为:
|
策略名 | 策略内容示例 |
---|---|
| 需要视频点播服务内全部 API 的权限(对于全部 API,可以直接用通配符 * 来表达):
|
| 仅包含服务内全部读接口的权限(基于接口命名规范,数据读取接口命名以 List 和 Get 开头),而不包含写接口的权限:
|
| 需要包含指定模块内的接口的权限,可以使用通配符来表达重复的部分。例如接口名中间部分都包含 Resource 字段,因此可以这样来表达:
|
| 仅允许访问指定业务:
|
项目管理是火山引擎提供的一种资源管理方式,您可以对不同业务或项目使用的云资源进行分组管理。基于项目(即一组资源)进行 IAM 授权,有利于维护资源独立、数据安全;同时可从项目维度查看资源消费账单,便于计算云资源使用成本。
视频点播主要是空间资源和项目关联:
空间资源和项目关联说明如下:
那么:
子账号授予项目权限,以授予 VODFullAccess
为例,具体操作如下:
切换至系统预设策略页签,产品选择视频点播。
单击 VODFullAccess
权限操作列表中管理按钮,切换至授权页签下的项目授权页签。
单击添加授权按钮,选择本次需要授权的子账号,并选择希望给子账号授予权限的项目,点击“确定”按钮,完成授权。
获取账号密钥的操作如下:
选择左侧导航栏访问控制 > 身份管理中,找到子账号。单击管理按钮进入用户详情页面。
选择下方密钥页签,单击新建密钥按钮,自动生成一组 Access Key ID/Secret Key ID。
选择左侧导航 API 访问密钥,进入密钥列表页面,单击新建密钥按钮,在提示框中,单击继续创建按钮。
在密钥列表中自动生成一组 AK/SK 。