综述
云点播是构建在媒体存储(原 对象存储融合版)的基础设施服务之上音视频点播解决方案,其权限体系也借鉴和继承了对象存储的特性。本文将简要阐述本产品的权限体系。
云点播分为【点播模式】和【托管模式】,其中【点播模式】考虑到媒资汇入和统一管理的需要,在对象存储基本权限的基础上进行了权限收缩,避免由于同时使用SDK、API、第三方客户端等多途径操作可能产生的一致性问题。而【托管模式】下,则完全继承了媒体存储(原 对象存储融合版)的权限体系,相较于点播模式更加灵活,且与标准S3协议兼容。
以下是两种模式下,桶权限、文件权限和鉴权方式上的差异对比。
点播模式
桶权限
| 选项 | 描述 |
|---|---|
| 私有 | 只有主账号、子账号通过合法签名访问该桶,进行读、写操作,其他用户在拥有合法签名时,可以访问读取该桶的文件。任何用户对桶不具有删除、新建权限。 |
| 公共读 | 任何用户(包括匿名访问者)都可以对桶进行读取访问,只有主账号、子账号通过合法签名对该桶内的文件进行写操作。任何用户对桶不具有删除、新建权限。 |
文件权限
文件读写权限继承桶权限,当桶权限发生变更时,文件权限同步发生变更。
鉴权方式
云点播的鉴权规则继承了对象存储S3的鉴权方式。对象存储S3的鉴权分为V2和V4两个版本,其中V2版本适用性较广,签名算法较为简单;V4版本安全性更高,签名算法更为复杂。具体的签名算法可以参考签名应用及示例V2版本和鉴权签名及示例(V4版本)。
目前,云点播原生的SDK和API同时支持V2和V4签名。云点播回调鉴权支持V4签名。
托管模式
在托管模式下,云点播完全依赖于媒体存储(原 对象存储融合版)的权限体系,详情可以查阅对象存储文档ACL权限。
桶权限
| 权限 | 选项 | 描述 |
|---|---|---|
| 公共权限 | 私有 | 只有主账号或被授权者可以访问该桶,其他用户没有权限访问该桶。 |
| 公共权限 | 公共读 | 任何用户(包括匿名访问者)都可以对桶进行访问。 |
| 公共权限 | 公共读写 | 任何用户(包括匿名访问者)都可以对桶进行读取、对象写入和对象删除操作。 |
| 用户权限 | 数据读取 | 授权用户可以读取该桶。 |
| 用户权限 | 数据写入 | 授权用户可以对该桶进行对象写入和对象删除操作。 |
| 用户权限 | 权限读取 | 授权用户可以读取该桶的ACL权限配置信息。 |
| 用户权限 | 权限写入 | 授权用户可以修改该桶的ACL权限配置策略。 |
| 用户权限 | 完全控制 | 授权用户拥有该桶的全部权限。 |
文件权限
| 权限 | 选项 | 描述 |
|---|---|---|
| 公共权限 | 私有 | 只有主账号或被授权者拥有该对象的读写权限,其他用户没有权限操作该对象。 |
| 公共权限 | 公共读 | 其他用户(包括匿名访问者)都可以对对象进行访问。 |
| 用户权限 | 数据读取 | 授权用户可以读取该对象。 |
| 用户权限 | 数据写入 | 无作用。 |
| 用户权限 | 权限读取 | 授权用户可以读取该对象的ACL权限配置信息。 |
| 用户权限 | 权限写入 | 授权用户可以修改该对象的ACL权限配置信息。 |
| 用户权限 | 完全控制 | 授权用户拥有该对象的全部权限。 |
鉴权方式
在托管模式下,用户主要使用媒体存储(原 对象存储融合版)存放媒资文件,因此相应的鉴权规则请直接参考标准S3协议的通用签名规则。需要注意的是,在调用云点播相应API/SDK时,仍需遵循云点播的签名规则并使用云点播控制台提供的AK/SK。
