为了向您提供服务,多云CDN需要获取您在云服务商平台中的部分权限。本文介绍了多云CDN支持的授权方式以及所需权限。
您在多云CDN中添加云服务商账号时,需要提供账号对应的 API 访问凭证。API 访问凭证是调用云服务商 API 的身份凭证,类似于登录控制台所使用的账号和密码。在不同云服务商的账号系统中,API 访问凭证可能使用了不同的命名方式。这些命名可以是:
多云CDN使用您提供的 API 访问凭证调用云服务商的 API。API 访问凭证隶属于一个账号。您可以在云服务商的账号系统中为 API 访问凭证授予产品的权限。多云CDN只可以使用您授予 API 访问凭证的权限访问您的资源。
从提升账号的安全性角度,我们推荐您采用最小化授权的方式,即只为 API 访问凭证授予多云CDN需要使用的权限。这意味着:
请勿提供云服务商主账号对应的 API 访问凭证。该凭证具有访问云服务商所有产品的权限,而多云CDN只需要访问 CDN/DCDN 产品。
您需要在云服务商的账号系统中创建一个子账号,为该子账号授予CDN产品的相关访问权限,并为该子账号生成 API 访问凭证。然后将该子账号的 API 访问凭证提供给多云CDN。
关于为该子账号授予哪些权限,请参见下文介绍。关于如何为子账号授权,请参见云服务商账号授权。
您在添加云服务商账号时,多云CDN会检查您的账号是否具备多云CDN需要使用的权限。如果账号缺少部分权限,那么多云CDN会向您提供一个推荐使用的自定义权限策略。推荐的自定义权限策略具有以下特征:
您可以复制自定义权限策略的内容,然后在云服务商平台中创建一条自定义权限策略,并使用该策略为您的账号授权。通过该方式,您只需完成一次授权,即可为您的账号补充缺失的所有权限。
注意
目前只有当您添加以下云服务商账号时,多云CDN会向您推荐自定义权限策略:阿里云、腾讯云、华为云、火山引擎、UCloud、七牛云。
多云CDN不同功能模块需要的 CDN/DCDN 产品权限不同。我们推荐您根据所需使用的多云CDN功能决定为子账号授予哪些权限。如果在某云服务商的账号系统中您无法进行精细化授权,则您可以为子账号授权 CDN/DCDN 产品的所有权限。
以下是多云CDN不同功能模块所需的 CDN/DCDN 产品权限。
说明
不同云服务商的权限体系不同,以下仅说明权限的大致内容。具体的权限可以参考云服务商的文档说明。
多云CDN功能模块 | 所需云服务商的权限 | 说明 | 是否必须 | 对应云服务商的系统策略或接口 |
---|---|---|---|---|
加速域名 | 获取加速域名列表 | 如果账号没有该权限,您将无法通过多云CDN同步加速域名,也无法使用多云CDN的流量调度功能。 | 必须 | 该权限默认包含在只读访问 CDN/DCDN 的系统策略中。 |
获取加速域名的配置信息 | 如果账号没有该权限,您将无法通过多云CDN查看加速域名的配置详情。 | 推荐 | ||
配置新的加速域名 | 如果账号没有该权限,您将无法通过多云CDN向云服务商平台添加域名。 | 推荐 | 该权限默认包含在管理 CDN/DCDN 的系统策略中。如需精细授权,请参考云服务商提供的其他 CDN/DCDN 系统策略、接口。 | |
内容管理 | 获取刷新及预热任务的配额 | 如果账号没有该权限,您将无法通过多云CDN查看云服务商平台的刷新及预热任务配额。 | 推荐 | |
配置新的刷新及预热任务 | 如果账号没有该权限,您将无法通过多云CDN向云服务商平台下发刷新及预热任务。 | 推荐 | ||
获取刷新及预热任务的详情 | 如果账号没有该权限,您将无法通过多云CDN获取已下发的刷新及预热任务的执行结果。 | 推荐 | ||
数据中心 | 获取 CDN/DCDN 的相关统计分析数据(包含边缘统计数据和回源统计数据) | 如果账号没有该权限,您将无法通过多云CDN查询云服务商的统计分析数据,如带宽流量、请求次数、状态码、命中率等。 | 推荐 | 该权限默认包含在只读访问 CDN/DCDN 的系统策略中。 |
获取 CDN/DCDN 日志相关信息 | 如果账号没有该权限,您将无法通过多云CDN获取云服务商 CDN/DCDN 的日志。 | 推荐 | ||
成本中心 | 获取计费项 | 该权限允许多云CDN自动获取您在云服务商平台的 CDN/DCDN 计费项。多云CDN基于计费项来采集 CDN/DCDN 用量数据。如果账号没有该权限,您必须手动添加计费项。 注意 多云CDN目前只支持从以下云服务商自动获取计费项:火山引擎、阿里云、腾讯云、华为云、金山云。对于其他云服务商,您必须手动录入计费项。 | 推荐 |
以上权限策略默认包含在只读访问CDN的系统策略中。 |
获取用量数据 | 该权限允许多云CDN获取您在云服务商平台的 CDN/DCDN 用量数据。多云CDN基于相关数据为您提供分析报表、账单核对等能力。 | 必须 | 该权限默认包含在只读访问CDN的系统策略中。 | |
常用工具 | 获取 CDN/DCDN 节点的 IP 列表 | 如果账号没有该权限,您将无法通过多云CDN查询某个 IP 是否属于云服务商 CDN/DCDN 的节点、也无法得到将云服务商 CDN/DCDN 考虑在内的覆盖分析分数。更多信息,请参见 IP 归属查询。 | 推荐 | |
权限管理 | 获取业务列表 | 该权限允许多云CDN自动获取加速域名在云服务商平台中所属的“项目”或“资源组”等分组属性。如果账号没有该权限,您无法将云服务商平台中已有的资源分组属性导入到多云CDN的业务层级。 注意 多云CDN目前只支持从以下云服务商自动获取资源分组属性:火山引擎、阿里云、腾讯云、华为云、金山云、UCloud。 | 推荐 |
|
不同云服务商对相关 API 的开放策略不同。多云CDN需要的产品权限在某些云服务商平台中默认不开放。在这种情况下,您需要在云服务商处通过专门的申请流程,以申请相应的权限。
本章节列举了一些您需要向云服务商申请特殊权限的场景。
网宿科技账号默认没有接口调用权限。您必须联系网宿科技的技术支持人员为您的账号开通接口调用权限。为减少您的沟通成本,建议您向技术支持人员一次性申请多云CDN需要调用的所有接口的权限。详情请参见为网宿科技账号申请接口权限。
白山云账号默认没有接口调用权限。您必须联系白山云的技术支持人员为您的账号开通接口调用权限。为减少您的沟通成本,建议您向技术支持人员一次性申请多云CDN需要调用的所有接口的权限。详情请参见为白山云账号申请接口权限。
金山云账号默认没有查询 UV 分析数据接口的调用权限。您可以联系金山云的技术支持人员,为您的账号申请对应接口的调用权限。具体接口为:
/2020-06-30/statistics/GetUvData
如果您没有为账号申请对应接口的调用权限,您将无法在多云CDN控制台查询与该金山云账号相关的 UV 分析数据。关于 UV 分析数据的介绍,请参见实时统计。