综述
云点播自2024年11月13日起,从原先CDN+IAM切换至天翼云统一身份认证服务(以下简称“CTIAM”)。 通过CTIAM用户可以在统一的主子账号体系下对云点播产品的资源、权限进行管理,降低管理员维护的成本,保持天翼云账号权限管理的一致性。
如您在开通云点播后,有如下使用场景需求,可参考本文进行后续配置:
- 将一部分登陆、配置权限让渡给开发人员或者运营人员,又不希望这些人员共用账号密码;
- 较为灵活地处置人员离职、供应商变更造成的运营、运维问题;
- 同一大公司、集团下多个项目组需要各自相对独立地配置业务。
云点播产品自身没有设置主、子账号和权限管理的功能,为实现以上场景需求,需要由云点播搭配CTIAM使用。用户需要在CTIAM平台创建子账号并配置云点播相关的产品权限,云点播产品则根据CTIAM的子账号信息及权限执行相应的动作。简单来说,CTIAM负责(1)哪些人可以登陆云点播;(2)这些登陆的账号在云点播产品能做什么;(3)这些人员的登陆凭证和密码。而云点播则负责根据CTIAM记录的这些权限配置,执行相应动作,放通有权限的操作,拒绝非法的操作。
前提条件
- 已开通云点播产品(如您需使用云点播主子账号功能,请先联系产品团队开通本功能)。
创建子用户
操作步骤
-
打开天翼云统一身份认证服务,使用您在天翼云官网注册的登陆凭证作为主账号进行登陆。如下图所示:
-
在进入CTIAM控制台后,在左侧的导航页内找到【用户】页。点击【创建用户】可创建一个新的子用户。如下图所示:
说明CTIAM创建的子用户同时可能拥有多个产品的操作权限。因此,您可以为每个子用户配置多个天翼云产品的管理权限,而无需按照为每个产品的单独设置一个子用户。
- 在创建用户的页面,您可根据界面提示设置子用户的名称、联系方式等。需要注意的是:(1)如您需要后续授权该子用户使用云点播控制台,则应将【控制台访问】的选项选中。(2)子用户可使用手机号码、邮箱(如有)作为登陆凭证,请确保这两项凭证在当前天翼云租户下的唯一性。(3)云点播尚未对接CTIAM的用户组能力,建议在创建新的子用户时,暂不要将该子用户纳入用户组,以免造成后续不可预知的问题。相关要点如下图所示:
- 至此,您已在CTIAM下创建了一个新的子用户。但该子用户尚未具备云点播产品的任何权限,因此无法登陆和使用云点播任何能力。您还需对该子用户赋予云点播相关权限,详情可查看本文【子用户授权】章节。
- 关于创建子用户的更多详细操作可以查看教程创建IAM用户。
删除子用户
操作步骤
- 首先打开天翼云统一身份认证服务,使用您在天翼云官网注册的登陆凭证进行登陆。
- 在进入CTIAM控制台后,在左侧的导航页内找到【用户】页。在该页中,您将能看到已经创建好的全部子用户列表。点击子用户右侧的【删除】按钮,即可根据提示删除该子用户。如下图所示:
注意删除CTIAM的子用户是极其高危的操作。删除操作执行后,该子用户涉及的所有产品的全部权限将立即被清理。如当前子用户被赋予了云点播相关权限,则删除子用户操作意味着:(1)该子用户将无法登陆云点播控制台;(2)该子用户关联的AK/SK将无法继续操作云点播的原生API。(3)该操作不可逆,一旦执行后数据无法被恢复。
请执行该操作前务必慎重决策!
冻结子用户
操作步骤
- 首先打开天翼云统一身份认证服务,使用您在天翼云官网注册的登陆凭证进行登陆。
- 在进入CTIAM控制台后,在左侧的导航页内找到【用户】页。在该页中,您将能看到已经创建好的全部子用户列表。点击子用户右侧的【编辑】按钮,在弹窗中将该用户的【状态】改为【禁用】。如下图所示:
- 完成该操作后,当您使用子账号登陆用户控制台时,系统将提示“账号已被冻结”,无法正常登陆。同时,该子用户所属的AK/SK处于冻结状态,相关调用API、SDK的操作将会被系统拒绝。
- 该子用户的登陆凭证、AK/SK等信息不会被删除。
注意当您的主账号由于欠费、运营监管等原因被天翼云整体冻结时,主账号关联的子账号也会同步被关联冻结。此时子账号登陆界面将提示“账号被关联冻结”。 此时您需要将主账号解除冻结状态,即可同步恢复子账号的使用。
解冻子用户
操作步骤
- 首先打开天翼云统一身份认证服务,使用您在天翼云官网注册的登陆凭证进行登陆。
- 在进入CTIAM控制台后,在左侧的导航页内找到【用户】页。在该页中,您将能看到已经创建好的全部子用户列表。点击子用户右侧的【编辑】按钮,在弹窗中将该用户的【状态】改为【启用】。如下图所示:
- 完成该操作后,当您使用子账号登陆用户控制台时,将可正常登陆。同时,该子用户所属的AK/SK处于正常启用状态。
注意由于主账号冻结产生的关联冻结,无法通过本章节的方案实现解冻。您需要根据主账号的冻结原因,解除主账号的冻结状态。随后子账号会自动解冻。
子用户授权
操作步骤
- 在进入CTIAM控制台后,在左侧的导航页内找到【用户】页。选择需要授权的子用户(注意,该用户不要归属于任意用户组)。
- 在【操作】栏点击【查看】,可进入子用户授权配置页面。在此页点击【访问方式】,确认该子用户的【管理控制台访问】选项已经勾选上。然后在【权限管理】标签页,找到【新增权限】按钮。
- 在【新增授权】的页面,利用组合搜索框依次选择【系统策略】【全局】【云点播】,点击搜索按钮,可以找到一条名为【云点播-产品侧授权】的系统全局策略。如下图所示:
- 勾选当前策略,并点击【下一步】,在【设置最小授权范围】这一页无需做任何配置,直接点击【确定】,完成本次权限配置。至此,当前子用户具备了使用云点播产品控制台的权限。
注意当前阶段,云点播尚未实现与CTIAM的全功能对接。因此,请勿使用CTIAM的用户组授权或在【新增权限】时使用【自定义策略】,或将作用范围配置为特定资源池。
子用户撤销权限
操作步骤
- 在进入CTIAM控制台后,在左侧的导航页内找到【用户】页。选择需要撤权的子用户。
- 在【操作】栏点击【查看】,可进入子用户授权配置页面。在【权限管理】-【个人权限】标签页,找到【云点播-产品侧授权】按钮。
- 在弹出的二次确认窗口点击【确定】即可解除授权。
注意当前阶段,【云点播-产品侧授权】是作为子用户使用云点播控制台和调用AK/SK发起API请求的唯一条件。撤销这条权限将导致(1)该子用户在云点播控制台的登陆权限被撤销,(2)CTIAM生成的子用户AK/SK无权限调用云点播相关API。因此,撤销子用户授权等效于撤销该子用户在云点播的所有权限,请操作时务必谨慎。
子用户登陆
前提条件
- 已开通云点播产品。
- 已经在CTIAM控制台创建了至少一个子用户,并为其赋予【云点播-产品侧授权】的全局系统权限。
操作步骤
- 子用户需要通过主账号管理员获得子用户的登陆凭证和登陆密码。该登陆凭证由主账号管理员在第一步的CTIAM控制台创建。手机号码和邮箱均可作为登陆凭证,您需要按照CTIAM的要求,认证邮箱、手机号码的真实性和唯一性。
- 主、子用户的登陆方式相同,可以通过(1)直接访问云点播用户控制台;(2)在天翼云主页顶部banner,在【产品】-【视频】-【视频服务】-【云点播】找到用户控制台入口。
- 在接下来的登陆窗口中,输入正确的子用户登陆凭证和密码,即可完成登陆。
主子账号差异
主子账号在权限、功能使用方式上有所差异。具体权限差异如下表所示。
| 一级功能 | 二级功能 | 主账号 | 子账号 |
|---|---|---|---|
| 点播区域管理 | 全部功能 | 无配置入口,由主账号完成。 | |
| 点播模式 | 媒体库 | 全部功能 | 可查看媒体库全部媒资,可上传、转码,无删除媒资权限。 |
| 点播模式 | 审核设置 | 全部功能 | 无配置入口,由主账号完成。 |
| 托管模式 | 桶授权 | 全部功能 | 无配置入口,由主账号完成。 |
| 托管模式 | 工作流设置 | 全部功能 | 可新建工作流。可查看全部工作流详情。可对全部工作流进行启用、停用操作。不可修改工作流。 |
| 模板管理 | 转码模板 | 全部功能 | 可查看全部模板,可添加新模板,不可对原有模板进行删除、修改操作。 |
| 模板管理 | 水印模板 | 全部功能 | 可查看全部模板,可添加新模板,不可对原有模板进行删除、修改操作。 |
| 模板管理 | 截图模板 | 全部功能 | 可查看全部模板,可添加新模板,不可对原有模板进行删除、修改操作。 |
| 模板管理 | 审核模板 | 全部功能 | 可查看全部模板,可添加新模板,不可对原有模板进行删除、修改操作。 |
| 模板管理 | 拼接模板 | 全部功能 | 可查看全部模板,可添加新模板,不可对原有模板进行删除、修改操作。 |
| 用量统计 | 全部功能 | 全部功能 | |
| 任务管理 | 转码任务 | 全部功能 | 全部功能 |
| 任务管理 | 拼接任务 | 全部功能 | 全部功能 |
| 任务管理 | 审核任务 | 全部功能 | 全部功能 |
| 开发配置 | 密钥管理 | 全部功能 | 子用户在CTIAM控制台【用户】-【查看】-【安全设置】-【AccessKey】获得子用户的AK/SK。 |
| 开发配置 | 全局回调 | 全部功能 | 无配置入口,由主账号完成。 |
| 开发配置 | 子账号授权 | 全部功能 | 主用户在CTIAM控制台实现对子用户的权限配置。 |
注意
子用户未被授予全局类配置权限,部分功能配置需要使用主账号进行操作。
在【托管模式】下,可以实现对子账户的桶级别隔离,具体操作步骤详见媒体存储(原 对象存储融合版)对子用户进行桶级别的权限隔离的相关描述。
在【点播模式】下,媒资内容的所有权归属于主账号。所有子账号与主账号共享同一个媒体库的数据。
