设置子账号和授权

上传视频文件-设置子账号和授权

总共分为4步：

新建子账号->新建角色->设置角色的权限->关联子账号和角色。

1. 新建子账号

   登录阿里云控制台，进入用户管理。

   

   注意：请勾选“为该用户自动生成AccessKey”，并妥善保存。后续需要子账号的AccessKey获取STS的Token。

2. 新建角色

   登录阿里云控制台，进入角色管理。

   • 选择角色类型

     选择“用户角色”。

     

   • 选择云账号

     选择“当前云账号”。受信云账号ID默认已经填写了你当前云账号ID，无需修改，直接下一步即可。

     

   • 填写角色名称

     按实际需要填写角色名称，这里示例的是“teststs”。

     

   • 获取角色Arn参数

     点击新创建的角色，进入角色详情页面，记录下Arn参数acs:ram::1351140512345678:role/teststs。

     

3. 设置角色的权限

   • 打开新建角色的角色授权策略。

     

   • 编辑角色的权限

     示例使用了OSS的完全访问权限，也可以创建自定义授权策略，根据实际的需求来定制角色的权限范围（例如只允许oss:PutObject，oss:PostObject）。

     注意：之后要调整子账号的STS权限（例如修改、增加、删除等），只需回到本步骤操作即可

     

4. 关联子账号和角色

   关联子账号和角色分为2个步骤，先新建一个角色自定义授权策略，然后把这个自定义授权策略授权给子账号。

   1. 新建角色自定义授权策略

      登录阿里云控制台，进入策略管理-自定义授权策略。

      • 选择模板

        在全部模板的输入框中输入关键字”STS“，找到AliyunSTSAssumeRoleAccess的模板并选择进入下一步。

        

      • 编辑授权内容

        授权策略名称根据实际情况填写，并修改”策略内容“中的Resource字段，修改为前面获得的角色Arn参数：acs:ram::1351140512345678:role/teststs。

        

   2. 把自定义授权策略授权给子账号

      登录阿里云控制台，进入用户管理，对子账号进行授权操作。

      

      点击“授权”来编辑个人授权策略。支持搜索条件，例如输入test可以看到前面创建的teststspolice。

      

设置完成后，子账号就拥有了角色的权限，可以使用STS的临时Token来访问上传视频文件了。