创建用户并授权使用VOD
如果您需要对您所拥有的VOD进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),通过IAM,您可以:
- 根据企业的业务组织,在您的华为云账号中,给企业中不同职能部门的员工创建IAM用户,让员工拥有唯一安全凭证,并使用VOD资源。
- 根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。
- 将VOD资源委托给更专业、高效的其他华为云账号或者云服务,这些账号或者云服务可以根据权限进行代运维。
如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用VOD服务的其它功能。
本章节为您介绍对用户授权的方法,操作流程如图1所示。
前提条件
给用户组授权之前,请您了解用户组可以添加的VOD系统权限,并结合实际需求进行选择,VOD支持的系统权限,请参见:VOD系统权限。
示例流程
- 创建用户组并授权
在IAM控制台创建用户组,并授予VOD只读权限“VOD ReadOnlyAccess”。
- 创建用户并加入用户组
在IAM控制台创建用户,并将其加入1中创建的用户组。
- 用户登录并验证权限
新创建的用户登录控制台,切换至授权区域,验证权限:
- 在“服务列表”中选择视频点播服务,进入“全局配置”界面,若提示权限不足,表示“VOD ReadOnlyAccess”已生效。
- 在“服务列表”中选择除弹性云服务器外的任一服务,若提示权限不足,表示“VOD ReadOnlyAccess”已生效。
创建媒资隔离的用户
视频点播提供了VOD Administrator、VOD Operator、VOD Guest、VOD Group Administrator、VOD Group Operator、VOD Group Guest、VOD FullAccess、VOD ReadOnlyAccess和VOD CommonOperations九个系统策略,具体请参考产品介绍-权限管理。其中VOD Administrator、VOD Operator和VOD Guest三个系统策略仅能进行操作权限的划分,若您还需要对视频点播中存储的媒资进行隔离,建议您使用VOD Group Administrator、VOD Group Operator和VOD Group Guest三个系统策略,它们既支持操作权限划分,也支持媒资隔离。媒资隔离是指仅同组内的用户能访问或管理该组其他用户创建的媒资。
媒资隔离示例如表1所示。
策略组 |
用户A(管理账号) |
用户B(上传账号) |
用户C(观看账号) |
---|---|---|---|
VOD Group Administrator |
√ |
- |
- |
VOD Group Operator |
- |
√ |
- |
VOD Group Guest |
- |
- |
√ |
以上三种策略组,不管是低权限的账户还是高权限的账户,都只能操作本组内用户创建的媒资,达到了媒资隔离的效果,即用户A、B、C只能访问自己组内的媒资。
若用户A需要能操作用户B创建的媒资,则用户A需要加入B所在的VOD Group Operator策略组。