视频点播会对每一次发起操作请求的用户进行身份验证，通过访问密钥验证该用户是否拥有相应的权限。本文为您介绍视频点播账号与授权的核心概念。

核心概念

访问控制

访问控制（Identity and Access Management，IAM）是火山引擎提供的一套权限管理系统，用于控制不同身份对云资源的访问权限。

主账号

火山引擎账号（主账号）是火山引擎资源归属、资源使用计量计费的基本主体。火山引擎账号为其名下所拥有的资源付费，并对其名下所有资源拥有完全控制权限。

子账号

IAM 用户（子账号）是 IAM 中的一种身份，由主账号或具有管理权限的 IAM 用户创建。用户被授予权限（Policy）后，可登录控制台或使用访问密钥（Access Key）调用 API 访问云资源。

策略

策略（Policy）是用语法结构描述的一组权限的集合，策略中可定义操作范围、资源范围和权限生效条件。新创建的 IAM 用户默认没有任何权限，需要主账号为其授权策略，授权后 IAM 用户才能管理和访问主账号下的云资源。为保证资源的数据安全，授权时应遵循权限最小化原则，授予相应 IAM 用户刚好足够使用权限即可。策略包含两种类型：

• 系统预设策略：由火山引擎创建和管理的一些常见的权限集合。系统预设策略只能用于授权，用户不可编辑和修改。更多信息，请见视频点播系统预设策略。
• 自定义策略：由您自行创建和编辑的策略，用于更精细化的权限管理场景。更多信息，请见创建自定义权限策略。

项目

项目是火山引擎提供的一种资源管理方式。您可以对不同业务使用的云资源进行分组管理。基于项目（即一组资源）进行 IAM 授权，有利于维护资源独立、数据安全；同时可从项目维度查看资源消费账单，便于计算云资源使用成本。

空间

空间是视频点播提供的一种资源管理方式，可将同一账号下多个使用方的资源、配置和数据进行隔离。每个空间可以独立配置业务资源、业务模板、业务流和业务策略。空间和项目存在一定的关联关系，具体如下图所示：

假设：

• 主账号将视频点播空间 A 和空间 B 与项目 1 关联，给子账号 1 开通项目 1 的权限。
• 主账号将视频点播空间 C 与项目 2 关联，给子账号 2 开通项目 2 的权限。

那么：

• 子账号 1 使用视频点播控制台或 OpenAPI 时，只能查看并使用空间 A 和空间 B 的资源和数据，无法查看空间 C。
• 子账号 2 使用视频点播控制台或 OpenAPI 时，只能查看并使用空间 C 的资源和数据用量，无法查看空间 A 和空间 B。

访问密钥 Access Key

访问密钥 Access Key 是用户请求火山引擎 API 的安全凭证，是由 Access Key ID（简称 AK）和 Secret Access Key（简称 SK）组成的密钥对。
目前访问视频点播使用的 AK/SK 支持以下两种类型：

• 主账号 AK/SK：每个主账号能够同时拥有不超过 2 对启用或者禁用 AK/SK。主账号的 AK/SK 对所属的资源有完全的权限，一旦泄露，将存在巨大的安全风险或造成资损。不建议使用主账号 AK/SK 访问视频点播服务。
• 子账号 AK/SK：强烈建议您创建子账号，按需分配权限，然后使用子账号的 AK/SK 访问视频点播服务。

关于如何获取 AK/SK，请见 API 访问密钥管理。

应用场景

账号与授权有以下几种典型应用场景：

• 云产品维度权限隔离：企业内多个部门使用火山引擎产品，其中 A 部门专门负责对接视频点播。A 部门的人员需要访问视频点播，但不能访问其他火山引擎产品。为此，可以创建一个子账号，仅授予视频点播相关权限，并将该子账号提供给 A 部门使用。
• 视频点播空间维度权限隔离：企业内部有多个业务使用视频点播，需要进行资源和权限隔离。资源隔离由视频点播空间提供，权限隔离由火山引擎访问管理实现。企业可以为每个业务创建一个子账号，授予对应的视频点播空间权限，以确保每个业务仅能访问与其相关的空间。
• 视频点播操作维度权限隔离：企业的一个业务使用视频点播，该业务的产品运营人员需要访问视频点播控制台获取统计数据，但不允许进行敏感操作（如删除文件、关闭域名），以避免意外操作影响业务。为实现这一要求，可以创建一个子账号，并与视频点播系统预设策略 VodReadOnlyAccess 绑定，然后将该子账号提供给产品运营人员使用。

视频点播系统预设策略

视频点播当前支持的系统预设策略如下表所示。