自定義授權
自定義授權可以滿足用戶個性化的授權策略需求,RAM控制臺提供了可視化配置和腳本配置兩種配置方式。本文為您介紹授權的基本概念、使用場景、基本步驟和授權的語法、示例。
使用場景
由于系統(tǒng)策略的授權粒度比較粗,很多時候并不能滿足您的細粒度權限控制的需求,此時可以基于RAM Policy實現(xiàn)自定義授權。
例如您的業(yè)務需要某一個RAM用戶只有查詢直播截圖配置的權限,就可以通過自定義授權進行實現(xiàn)。
授權操作
此處我們將通過兩個示例,介紹如何進行自定義授權。
示例1,授權查詢直播截圖配置
如您現(xiàn)在業(yè)務需要給一個RAM用戶只授權查詢直播截圖配置的權限,則可以參考以下5步進行實現(xiàn):
進入創(chuàng)建權限策略頁面,選擇服務:媒體服務->視頻直播。
展開讀操作列表,輸入DescribeLiveSnapshotConfig(查詢直播截圖配置接口)進行篩選,選中篩選結果。
點擊繼續(xù)編輯基本信息。
輸入權限策略名稱,點擊確定。
創(chuàng)建RAM用戶并授權新建的權限策略,具體操作可參見創(chuàng)建RAM用戶并授權。
完成之后通過創(chuàng)建的RAM用戶調(diào)用DescribeLiveSnapshotConfig接口,會返回正確的數(shù)據(jù)。調(diào)用其他的接口會提示用戶無權限。
示例2,授權查詢直播截圖配置(限制IP)
在示例1中已經(jīng)實現(xiàn)了對查詢直播截圖配置接口的權限控制。若此時您還想在其基礎之上進行顆粒度更細的控制,例如限制IP,則可以參考以下5步進行實現(xiàn):
進入權限策略列表頁面,查詢出在示例1中創(chuàng)建的權限策略。
點擊權限策略名稱,進入權限策略詳情頁。
點擊修改策略內(nèi)容進入修改頁,并選擇可視化編輯頁簽。
點擊條件選項,進行添加條件。條件鍵選擇acs:SourceIp,運算符選擇IpAddress,條件值輸入IP地址。
點擊繼續(xù)編輯基本信息,之后點擊確定。
完成之后,只有調(diào)用接口的IP地址正確才會返回數(shù)據(jù),否則會提示沒有權限操作。
若想了解更多自定義授權相關操作,可參見創(chuàng)建自定義權限策略。
授權語法
細心的您可能已經(jīng)發(fā)現(xiàn),在操作授權的過程中,權限策略詳情頁中有一個策略內(nèi)容頁簽對權限策略進行了描述。以示例2為例,權限策略內(nèi)容如下:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "live:DescribeLiveSnapshotConfig",
"Resource": "*",
"Condition": {
"IpAddress": {
"acs:SourceIp": [
"127.0.0.1"
]
}
}
}
]
}參數(shù)解釋如下:
Version
Version定義了Policy的版本,固定設置為1。
Statement
通過Statement描述授權語義,其中可以根據(jù)業(yè)務場景包含多條語義,每條包含對Action、Effect、Resource 和 Condition的描述。每次請求,系統(tǒng)會逐條依次匹配檢查,所有匹配成功的Statement會根據(jù)Effect的設置不同分為通過(Allow)、禁止(Deny),其中禁止(Deny)的優(yōu)先。如果匹配成功的都為通過,該條請求即鑒權通過。如果匹配成功有一條禁止,或者沒有任何條目匹配成功,該條請求被禁止訪問。
Effect
Effect設置授權效果,授權效果包括兩種:允許(Allow)和拒絕(Deny)
Action
直播支持的Action操作與API一一對應,格式為
live:API名稱,如上面示例的直播截圖配置接口操作:live:DescribeLiveSnapshotConfig,注意多個使用英文逗號分隔。通過指定授權的Action列表,就能組合出想要的權限分組。所有可用操作,請參見API概覽。
Resource
Resource指代的是Live上面的某個具體的資源或者某些資源(支持通配符*),Resource的規(guī)則是
acs:{ramCode}:{region}:{accountId}:{relative}。Resource也是一個列表,可以有多個Resource。其中ramCode視頻直播服務涉及三種:live,cdn,live-interaction。region字段暫不支持,請設置為*。accountId為賬號ID。relative為具體資源,一般設置為*,部分接口支持具體資源控制。當然您也可以直接像以上示例,將resource設置為*。說明通過權限策略可視化配置,會自動匹配接口對應的ramCode。
Condition
Condition代表Policy授權的一些條件,對訪問來源等進行限制,為可選項。
支持的條件如下:
Condition
功能
合法取值
acs:SourceIp
指定 IP 地址或網(wǎng)段
普通的IP,支持通配符*
acs:SecureTransport
是否是 HTTPS 協(xié)議
true或者false
acs:MFAPresent
用戶登錄時是否使用了多因素認證
true或者false
acs:CurrentTime
指定合法的訪問時間(云端接收到請求的時間)
ISO8601格式,例如:2012-11-11T23:59:59Z
腳本編輯
在您了解授權語法之后,可能已經(jīng)想到通過腳本編輯來進行權限策略配置。例如我們在示例2的基礎之上需要通過腳本編輯增加一個127.0.0.2的IP,則可以參考以下5步通過腳本編輯進行添加:
進入權限策略列表頁面,查詢出在示例1中創(chuàng)建的權限策略。
點擊權限策略名稱,進入權限策略詳情頁。
點擊修改策略內(nèi)容進入修改頁,并選擇腳本編輯頁簽。
在acs:SourceIp內(nèi)增加IP127.0.0.2。
點擊繼續(xù)編輯基本信息,之后點擊確定,便完成了IP地址添加。
完成之后,權限策略內(nèi)容如下:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "live:DescribeLiveSnapshotConfig",
"Resource": "*",
"Condition": {
"IpAddress": {
"acs:SourceIp": [
"127.0.0.1",
"127.0.0.2"
]
}
}
}
]
}版本管理
某些時候,我們在更新權限策略之后,因為一些原因,需要回退到之前的權限策略,就可以通過版本管理實現(xiàn)。具體操作:在權限策略詳情頁,選擇版本管理頁簽,對回退的目標版本進行設置當前版本操作。
一個權限策略,最多保存5個版本。
進階使用
此時您已經(jīng)了解了如何進行自定義授權,若現(xiàn)在有這樣一個業(yè)務場景:
您對添加直播截圖配置接口進行權限控制。
只能對域名A和域名B進行操作。
針對此類授權需求,可通過資源控制參考以下6個步驟進行授權操作:
進入創(chuàng)建權限策略頁面,選擇服務:媒體服務->視頻直播。
展開寫操作列表,輸入AddLiveAppSnapshotConfig(添加直播截圖配置接口)進行篩選,選中篩選結果。
在資源選項中,選擇指定資源,然后添加資源。賬號輸入*,資源輸入domainA。重復操作添加domainB。
點擊繼續(xù)編輯基本信息。
輸入權限策略名稱,點擊確定。權限策略描述如下:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "live:AddLiveAppSnapshotConfig", "Resource": [ "acs:cdn:*:*:domain/domainA", "acs:cdn:*:*:domain/domainB" ] } ] }對RAM用戶授權創(chuàng)建的權限策略。
完成操作之后,授權的RAM用戶只能對domainA與domainB兩個域名進行添加直播截圖配置。
因各接口支持的資源控制格式不盡相同,所以在進行顆粒度較細的權限配置時,建議您通過可視化編輯進行配置。