本文介绍如何在不同的公有云服务商(以下简称“云服务商”)处创建子账号并为子账号授予 CDN 的操作权限。
在多云CDN中,您通过提供云服务商账号的 API 访问凭证来添加云服务商账号。多云CDN使用您提供的 API 访问凭证调用云服务商 CDN 下的相关 API,向您提供不同的功能。只有当您提供的 API 访问凭证具有云服务商 CDN 下相关 API 的访问权限,您才可以使用多云CDN的对应功能,否则您会收到账号权限不足的报错。
说明
不同云服务商使用不同的名称指代“API 访问凭证”,如“密钥”、“访问密钥”、“AccessKey”等。
您在云服务商处注册的账号是主账号。主账号具备您在云服务商处所有 API 的访问权限。由于主账号的权限过大,我们不建议您向多云CDN提供主账号的 API 访问凭证。
推荐您参照以下做法来提高账号的安全性:
根据您的业务需要,您可以授权子账号相应的 CDN 操作权限。例如授权只读权限或者特定操作的权限。具体的权限可以参考云服务商的文档说明。
以下内容演示了在云服务商处创建子账号和授权子账号的操作概述。关于具体的步骤,您可以点击步骤概述中的链接查看云服务商的文档。
为了更好地阐述操作步骤,我们假定以下的场景。所有操作都是基于该场景来描述。
您可以点击以下链接跳转到相应步骤概述:
在火山引擎控制台中,进行以下操作:
创建子用户。
在创建子用户时,参考以下说明:
授权子用户以下系统策略:
注意
以上系统策略只包含有限的权限。如果子账号仅有以上权限,您无法为子账号应用多云CDN的所有功能。为避免您在使用多云CDN时遇到账号权限不足的报错,您可以为子账号授予 CDN 的全部管理权限(对应于 CDNFullAccess 系统策略),以便体验多云CDN的所有功能。
使用 全局权限 的方式添加权限。该方式使子用户对所有加速域名有相应的权限。
获取子用户的 API 访问凭证。API 访问凭证包含 Access Key ID 和 Secret Access Key。
完成以上步骤后,在多云CDN控制台中进行以下操作:
在阿里云控制台中,进行以下操作:
创建子用户。在创建子用户时,参考以下说明:
授权子用户以下系统策略:
注意
以上系统策略只包含有限的权限。如果子账号仅有以上权限,您无法为子账号应用多云CDN的所有功能。为避免您在使用多云CDN时遇到账号权限不足的报错,您可以为子账号授予 CDN 的全部管理权限(对应于 AliyunCDNFullAccess 系统策略),以便体验多云CDN的所有功能。
授权范围 设置为 整个云账号。该设置使子用户对所有加速域名有相应的权限。
创建一个自定义策略。该策略包含创建刷新与预热任务的权限。
由于阿里云目前没有刷新和预热相关的系统策略,您需要创建一个自定义策略。在自定义策略中,添加刷新与预热的 API 名称。具体内容参见阿里云 CDN API 概览的 刷新预热 部分。
将该自定义策略授权给子用户。
获取子用户的 API 访问凭证。API 访问凭证包含 AccessKey ID 和 AccessKey Secret。打开链接后,参见 使用RAM用户AccessKey 的部分。
完成以上步骤后,在多云CDN控制台中进行以下操作:
在腾讯云控制台中,进行以下操作:
创建子用户。在创建子用户时,参考以下说明:
授权子用户以下系统策略:
注意
以上系统策略只包含有限的权限。如果子账号仅有以上权限,您无法为子账号应用多云CDN的所有功能。为避免您在使用多云CDN时遇到账号权限不足的报错,您可以为子账号授予 CDN 的全部管理权限(对应于 QcloudCDNFullAccess 系统策略),以便体验多云CDN的所有功能。
创建一个自定义策略。该策略包含创建刷新与预热任务的权限。
由于腾讯云目前没有刷新和预热相关的系统策略,您需要创建一个自定义策略。在自定义策略中,添加刷新与预热的 API 名称。具体内容参见腾讯云 CDN API 概览中的 内容管理接口 部分。
将该自定义策略授权给子用户。
获取子用户的 API 访问凭证。API 访问凭证包含 SecretId 和 SecretKey。
完成以上步骤后,在多云CDN控制台中进行以下操作:
在华为云控制台中,进行以下操作:
创建子用户。在创建子用户时,参考以下说明:
授权子用户以下系统策略:
注意
以上系统策略只包含有限的权限。如果子账号仅有以上权限,您无法为子账号应用多云CDN的所有功能。为避免您在使用多云CDN时遇到账号权限不足的报错,您可以为子账号授予 CDN 的全部管理权限(对应于 CDNFullAccess 系统策略),以便体验多云CDN的所有功能。
授权范围方案 设置为 所有资源。该设置使子用户对所有加速域名有相应的权限。
获取子用户的 API 访问凭证。API 访问凭证包含访问密钥ID(AK)和秘密访问密钥(SK)。打开链接后,参见 新增访问密钥 的部分。
完成以上步骤后,在多云CDN控制台中进行以下操作:
在金山云控制台中,进行以下操作:
创建子用户。在创建子用户时,参考以下说明:
授权子用户以下系统策略:
注意
以上系统策略只包含有限的权限。如果子账号仅有以上权限,您无法为子账号应用多云CDN的所有功能。为避免您在使用多云CDN时遇到账号权限不足的报错,您可以为子账号授予 CDN 的全部管理权限(对应于 CDNFullAccess 系统策略),以便体验多云CDN的所有功能。
创建一个自定义策略。该策略包含创建刷新与预热任务的权限。
由于金山云目前没有刷新和预热相关的系统策略,您需要创建一个自定义策略。在自定义策略中,添加刷新与预热的 API 名称。具体内容参见金山云 CDN API 概览中的 内容管理接口 部分。
将该自定义策略授权给子用户。
获取子用户的 API 访问凭证。API 访问凭证包含 AccessKeyID 和 SecretAccessKey。
完成以上步骤后,在多云CDN控制台中进行以下操作:
说明
在多云CDN控制台中添加网宿科技账号时,您需要输入的 API 访问凭证包括子用户的登录账号和该账号的 API Key。
使用主账号登录网宿科技控制台,并进行以下操作:
创建子用户。在创建子用户时,参考以下说明:
勾选 控制台访问。子用户需要登录控制台创建 API Key。
必须要填写子用户的手机号码或者邮箱。在创建 API Key 时,子用户需要接收验证码。
在 设置用户权限 步骤,授权 WSWebReadOnly、WSDownloadReadOnly、WSVodstreamReadOnly 系统策略。这些策略包含的权限有获取数据统计以及刷新与预热的配额等。同时,您也必须授权 WSCloudAPIKeyFullAccess 系统策略。该策略使子用户能够创建 API 访问凭证。
注意
以上系统策略只包含有限的权限。如果子账号仅有以上权限,您无法为子账号应用多云CDN的所有功能。为避免您在使用多云CDN时遇到账号权限不足的报错,您可以为子账号授予 CDN 的全部管理权限,以便体验多云CDN的所有功能。
在 设置用户权限 步骤,展开 域名列表,设置 域名范围 为 全部域名。该设置使子用户对所有加速域名有相应的权限。
创建一个自定义策略。该策略包含创建刷新与预热任务的权限。
由于网宿科技目前没有刷新和预热相关的系统策略,您需要创建一个自定义策略。在添加策略规则时,设置 内容管理 下的所有操作为开启。
使用子用户登录网宿科技控制台,并进行以下操作:
创建 API Key。
开通 API 访问权限。
注意
您必须联系网宿科技的技术支持,为子用户开通相应的 API 操作权限。更多信息,请参见云服务商授权限制。
完成以上步骤后,在多云CDN控制台中添加该子账号。具体操作,请参见添加云服务商账号。在填写访问凭证步骤,留意以下配置:
七牛云当前未提供子账号管理功能。主账号默认拥有所有权限,无需进行账号授权。
您只需在七牛云控制台的 个人中心 > 密钥管理 页面,获取账号的密钥。密钥包含 Access Key(AK) 和 Secret Key(SK)。
完成以上步骤后,在多云CDN控制台中进行以下操作:
在 UCloud 控制台中,进行以下操作:
授权子用户以下系统策略:
注意
以上系统策略只包含有限的权限。如果子账号仅有以上权限,您无法为子账号应用多云CDN的所有功能。为避免您在使用多云CDN时遇到账号权限不足的报错,您可以为子账号授予 CDN 的全部管理权限(对应于 UCDNFullAccess 系统策略),以便体验多云CDN的所有功能。
应用范围 设置为 全局级。该设置使子用户对所有加速域名有相应的权限。
创建一个自定义策略。该策略包含创建刷新与预热任务的权限。
UCloud 系统策略中的 UCDNUpdateOnlyAccess 包含了刷新与预热的权限。但是 UCDNUpdateOnlyAccess 策略的权限范围过大,不建议您直接将该系统策略授权给子用户。您需要创建一个自定义策略。在自定义策略中,添加刷新与预热的 API 名称。具体内容参见UCloud CDN API 概览。
将该自定义策略授权给子用户。
获取子用户的 API 访问凭证。API 访问凭证包含公钥和私钥。
完成以上步骤后,在多云CDN控制台中进行以下操作:
说明
在多云CDN控制台中添加白山云账号时,您需要输入的 API 访问凭证包括子账号的 API Token。
在白山云控制台中,进行以下操作:
新增一个子账号。
填写子账号信息并确认创建子账号后,您将进入 账号权限授权 步骤。在该步骤中,为子账号授予以下功能权限:域名管理、刷新预热,以及所有的数据权限(所有证书权限、所有域名权限)。
注意
如果子账号仅有以上权限,您无法为子账号应用多云CDN的所有功能。为避免您在使用多云CDN时遇到账号权限不足的报错,您可以为子账号授予 CDN 的所有功能权限,以便体验多云CDN的所有功能。
联系白山云技术支持人员为您新创建的子账号开通 API 的访问权限。
注意
白山云账号默认没有任何 API 的访问权限。您必须联系技术支持人员帮助您为子账号开通 API 访问权限。建议您为子账号开通与云分发有关的所有接口权限。更多信息,请参见云服务商授权限制。
完成以上步骤后,在多云CDN控制台中进行以下操作:
在百度智能云控制台中,进行以下操作:
创建子用户。在创建子用户时,参考以下说明:
授权子用户以下系统策略:
注意
以上系统策略只包含有限的权限。如果子账号仅有以上权限,您无法为子账号应用多云CDN的所有功能。为避免您在使用多云CDN时遇到账号权限不足的报错,您可以为子账号授予 CDN 的全部管理权限(对应于 CDNFullControlAccessPolicy 系统策略),以便体验多云CDN的所有功能。
获取子用户的 API 访问凭证。API 访问凭证包含 AccessKey ID 和 AccessKey Secret。
完成以上步骤后,在多云CDN控制台中进行以下操作:
在京东云控制台中,进行以下操作:
创建子用户。在创建子用户时,参考以下说明:
授权子用户与 CDN 相关的系统策略:
注意
以上系统策略只包含有限的权限。如果子账号仅有以上权限,您无法为子账号应用多云CDN的所有功能。为避免您在使用多云CDN时遇到账号权限不足的报错,您可以为子账号授予 CDN 的全部管理权限(对应于 JDCloudCDNAdmin 系统策略),以便体验多云CDN的所有功能。
获取子用户的 API 访问凭证。API 访问凭证包含 AccessKey ID 和 AccessKey Secret。
完成以上步骤后,在多云CDN控制台中进行以下操作:
说明
中国移动内容分发网络统一支撑系统暂不支持自助进行子账号授权。如有相关需求,建议您联系中国移动技术支持。
在多云CDN控制台添加中国移动账号时,建议您添加主账号的 API 访问凭证。主账号默认具有账号下全部资源的权限。
说明
中国电信天翼云CDN+系统暂不支持自助进行子账号授权。如有相关需求,建议您联系天翼云技术支持。
在多云CDN控制台添加天翼云CDN+账号时,建议您添加主账号的 API 访问凭证。主账号默认具有账号下全部资源的权限。
说明
在多云CDN控制台中添加 Akamai 账号时,您需要输入的 API 访问凭证为子用户 API Client 的 Credentials 信息。Credentials 信息包含 client_secret、host、access_token、client_token。
由 Akamai 账号管理员创建一个子账号。
在 Akamai 账号系统中,子账号被称为 primary admin user。子账号只能由 Akamai 账号管理员来创建。
Akamai 账号管理员根据子账号的用途,在创建子账号时,为账号授予所需产品的使用权限。建议您与账号管理员沟通,决定子账号所需的产品权限。
使用子账号创建一个 API Client。
在创建 API Client 时,选择授予该 API Client 使用的 API。
注意
如果子账号不具备创建 API Client 的权限,请联系 Akamai 账号管理员获取帮助。
成功创建 API Client 后,获取 API Client 的访问凭据信息(Credentials)。
完成以上步骤后,在多云CDN控制台中进行以下操作:
在 AWS 控制台中,进行以下操作:
添加子用户。
在添加子用户时,参考以下说明:
注意
以上系统策略只包含有限的权限。如果子账号仅有以上权限,您无法为子账号应用多云CDN的所有功能。为避免您在使用多云CDN时遇到账号权限不足的报错,您可以为子账号授予 CDN 的全部管理权限(对应于 CloudFrontFullAccess 系统策略),以便体验多云CDN的所有功能。
创建一个自定义策略。该策略包含创建刷新与预热任务的权限。
由于 Amazon CloudFront 目前没有刷新和预热相关的系统策略,您需要创建一个自定义策略。在自定义策略中,添加刷新与预热的 API 名称。具体内容参见Amazon CloudFront API 概览。
将该自定义策略授权给子用户。
您可以登录主账号来创建访问密钥(方式一),也可以登录子账号来创建访问密钥(方式二)。以方式一为例,您可以进入用户详情,在 安全凭证 标签页下的 访问密钥 区域创建访问密钥。如下图所示。
完成创建访问密钥的操作后,您将获得访问密钥。访问密钥包含 Access Key ID 和 Secret Access Key。请注意保存该访问密钥。如果此时您未保存访问密钥,后续您将无法获得 Secret Access Key。
完成以上步骤后,在多云CDN控制台中进行以下操作:
创建一个 Google Cloud 账号。
该账号不同于您正在使用的 Google Cloud 账号。您正在使用的 Google Cloud 账号上托管着您的所有 Google Cloud 资源。您可能并不希望将该账号授权给多云CDN使用。
出于这方面考虑,您可以新创建一个 Google 账号,并将它授权给多云CDN使用。您可以为新创建的 Google 账号授予多云CDN所需要的权限(如仅授予与 Media CDN 相关的权限),这样即可使用多云CDN来管理您的 CDN 资源。
为新创建的 Google Cloud 账号授予相关权限。
在 Google Cloud 中,您可以使用 IAM 为其他账号授权。您需要登录当前使用的 Google Cloud 账号,并通过 IAM 向新建的 Google Cloud 账号授予特定的 IAM 角色。这样新建的 Google Cloud 账号就具备了 IAM 角色所包含的权限。关于授予 IAM 角色的具体操作,请参见 Google Cloud 官方文档。
注意
在授予 IAM 角色的过程中,注意以下配置:
获取新建的 Google Cloud 账号的用户凭证。
具体操作步骤,请参见获取 Google Cloud 账号 API 访问凭证。
完成以上步骤后,在多云CDN控制台中进行以下操作:
client_id
、client_secret
和 refresh_token
)。说明
要在多云CDN添加 Azure 账号,您需要提供一个 Microsoft Entra 应用程序。该应用程序代表了您的 Azure 账号。多云CDN使用您提供的应用程序来访问您的 Azure 资源。
使用 Microsoft Entra ID 注册一个应用程序并创建服务主体。
在 Microsoft Entra ID 中注册新应用程序时,系统会自动为应用注册创建服务主体。服务主体是应用在 Microsoft Entra 租户中的标识。关于注册应用程序的具体操作,请参见 Microsoft 官方文档。
为应用程序分配角色。
在 Azure 中, 资源访问权限受分配给应用程序的角色限制。为应用程序分配合适的角色可控制应用程序能够访问哪些资源以及在哪个级别进行访问。
注意
在分配角色的过程中,注意以下配置:
关于为应用程序分配角色的具体操作,请参见 Microsoft 官方文档。
获取应用程序的访问凭证。
具体操作步骤,请参见获取 Azure 账号 API 访问凭证。
完成以上步骤后,在多云CDN控制台中进行以下操作:
说明
目前只有白名单用户能够使用多云CDN接入中国移动华研—CDN。如果您有相关需求,请提交工单。
您需要在中国移动华研平台完成账号授权,并确保添加到多云CDN的 API 访问凭证能够用于调用中国移动华研的 CDN 接口。如果不清楚如何授权,请联系中国移动华研的技术支持。