访问管理综述

最后更新时间:2021-04-23 15:20:45

    注意:

    本文档主要介绍云点播访问管理功能的相关内容,其他产品访问管理相关内容请参见 支持 CAM 的产品

    云点播已接入腾讯云 访问管理 (Cloud Access Management,CAM),开发者可以根据自身需要为子账号分配合适的云点播访问权限。在开通云点播服务后,云点播访问管理功能即可直接使用。
    阅读本文前,开发者需要对腾讯云访问管理和云点播子应用体系有所了解。本文涉及的概念主要有:

    应用场景

    云点播访问管理有以下几种典型应用场景:

    • 云产品维度权限隔离
      某企业内有多个部门在使用腾讯云,其中 A 部门专门负责对接云点播。A 部门的人员需要有访问云点播的权限,但不能有访问其它腾讯云产品的权限。这时可以创建一个子用户,只授予该子用户云点播相关权限,然后将该子用户提供给 A 部门使用。
    • 云点播子应用维度权限隔离
      某企业内有多个业务在使用云点播,相互之间需要进行隔离。隔离包括资源隔离和权限隔离两个方面,前者由云点播子应用体系提供,后者则由云点播访问管理来实现。该企业可以为每个业务创建一个子用户,授予对应的云点播子应用权限,使得每个业务只能访问和自己相关的子应用。
    • 云点播操作维度权限隔离
      某企业的一个业务在使用云点播,该业务的产品运营人员需要访问云点播控制台,获取统计数据信息(如流量地域分布、视频播放次数等),同时不允许其进行敏感操作(如删除文件、关闭域名等),以免误操作影响业务。这时可以先创建自定义策略,该策略拥有云点播控制台登录、统计数据 API 的访问权限,然后创建一个子用户,与上述策略绑定,将该子用户提供给产品运营人员。

    资源粒度和操作粒度

    访问管理的核心功能可以表达为:允许或禁止某账号对某些资源进行某些操作。对于云点播来说,资源的粒度是子应用,操作的粒度是服务端 API。

    能力限制

    • 云点播访问管理的资源粒度为子应用,不支持对更细粒度的资源(如媒体文件、域名等)做授权。

    支持资源级授权的 API

    云点播访问管理支持 资源级授权,除了有特殊限制的 API,其余 API 均支持资源级授权。具体情况请参考下文。

    不支持资源级授权的 API 列表

    接口名称 接口功能 说明
    DescribeSubAppIds 查询子应用列表 所有子用户都有权限调用该接口,不需要授权。请求该接口时也不需要指定具体的子应用。
    ModifySubAppIdStatus 修改子应用状态 该接口可停用指定的子应用,属于高危操作,因此仅具备云点播完整权限(即 预设策略QcloudVODFullAccess)的子用户才允许访问。如果一个子用户拥有某个子应用的写权限,但没有QcloudVODFullAccess权限,也无权调用该接口。

    支持资源级授权的 API 列表

    除了上述不支持资源级授权的 API 列表,其它所有展示在 API 概览 中的接口都支持资源级授权。策略语法中对这些接口的资源描述形式均相同,具体为:qcs::vod::uin/$uin:subAppId/$subAppId