本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
在創建IMM項目時,需要為項目設置服務角色,以便IMM服務能夠以該角色訪問您已授權的其他云資源,例如阿里云對象存儲(OSS)。本文將介紹如何配置服務角色并進行授權。
當您創建服務角色、創建項目、更改項目服務角色時,均需擁有該角色內的全部權限,否則會因為權限不足導致操作失敗,請謹慎操作。
一、創建服務角色并授權
授權默認服務角色
在首次新建項目時,請按照以下步驟進行云資源訪問授權。
在云資源訪問授權頁面查看默認授權角色AliyunIMMDefaultRole的信息,單擊同意授權。
授權角色創建后,可以通過RAM控制臺進行精細的授權控制。
創建自定義服務角色
您可以通過RAM控制臺配置服務角色進行授權,具體操作,請參見創建服務關聯角色。
可信實體類型選擇阿里云服務
填寫角色名稱,選擇角色類型和受信服務,角色類型選擇普通服務角色,受信服務選擇智能媒體管理。。
點擊完成按鈕,成功創建自定義服務角色。
通過RAM控制臺成功配置授權后,該RAM角色沒有任何權限,您可以為該RAM角色授權,請根據使用場景至少授予OSS和MNS相關的權限。
可通過RAM控制臺創建權限策略,使用腳本編輯方式創建權限策略。
以下權限策略限制只能使用名稱為“my-bucket”的OSS Bucket。復制使用時請修改Bucket名稱。
{ "Version": "1", "Statement": [ { "Action": [ "oss:Get*", "oss:List*", "oss:PutBucketLifecycle", "oss:PutBucketNotification", "oss:DeleteBucketNotification", "oss:PutBucketAcl", "oss:PutObjectAcl", "oss:CopyObject", "oss:AppendObject", "oss:PutSymlink", "oss:PutObject", "oss:StartEventRecord", "oss:StopEventRecord", "oss:GetEventRecordStatus" ], "Resource": "acs:oss:*:*:my-bucket/*", "Effect": "Allow" }, { "Action":"mns:*", "Resource": "*", "Effect": "Allow" }, { "Action": "ram:PassRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "acs:Service": "imm.aliyuncs.com" } } } ] }
為服務角色授權創建的權限策略,具體操作,請參見為RAM角色授權。
二、使用服務角色
服務角色創建完成后,刷新服務角色輸入框后的圖標,即可選擇使用新創建的服務角色來創建智能媒體管理項目,如下圖所示。
三、修改服務角色權限(可選)
您可以通過RAM控制臺修改角色的權限,具體操作,請參見為RAM角色授權。
修改服務角色的權限時,請根據使用情況至少授予OSS、MNS相關的權限,否則可能由于沒有相關權限,導致接口調用失敗。