快速搭建移动应用直传服务

一、在访问控制创建RAM用户

首先，创建一个RAM用户，并获取对应的访问密钥，作为业务服务器的应用程序的长期身份凭证。

1. 使用云账号或账号管理员登录RAM控制台。
   
2. 在左侧导航栏，选择身份管理 > 用户。
   
3. 单击创建用户。
   
4. 输入登录名称和显示名称。
   
5. 在访问方式区域下，选择使用永久 AccessKey 访问，然后单击确定。
   

6. 单击操作下的复制，保存调用密钥（AccessKey ID和AccessKey Secret）。
   

二、在访问控制为RAM用户授予调用AssumeRole接口的权限

创建RAM用户后，需要授予RAM用户调用STS服务的AssumeRole接口的权限，使其可以通过扮演RAM角色来获取临时身份凭证。

1. 在左侧导航栏，选择身份管理 > 用户。
   
2. 在用户页面，找到目标RAM用户，然后单击RAM用户右侧的添加权限。
   
3. 在新增授权页面，选择AliyunSTSAssumeRoleAccess系统策略。
   
   
4. 单击确认新增授权。
   

三、在访问控制创建RAM角色

为当前云账号创建一个RAM角色，并获取对应的角色的ARN（Aliyun Resource Name，阿里云资源名称），用于RAM用户之后进行扮演。

1. 在左侧导航栏，选择身份管理 > 角色。
   
2. 单击创建角色，可信实体类型选择云账号。
   
3. 选择当前云账号，单击确定。
   
4. 填写角色名称，单击确定。
   
5. 在RAM角色管理页面，单击复制，保存角色的ARN。
   

四、在访问控制创建上传文件的权限策略

按照最小授权原则，为RAM角色创建一个自定义权限策略，限制只能向指定OSS的存储空间进行上传操作。

1. 在左侧导航栏，选择权限管理 > 权限策略。
   
2. 单击创建权限策略。
   
3. 在创建权限策略页面，单击脚本编辑，将以下脚本中的名称>替换为准备工作中创建的Bucket名称web-direct-upload。
   
4. 策略配置完成后，单击继续编辑基本信息。
   
5. 在基本信息区域，填写策略名称，然后单击确定。
   

五、在访问控制为RAM角色授予权限

为RAM角色授予创建的自定义权限，以便该RAM角色被扮演时能获取所需的权限。

1. 在左侧导航栏，选择身份管理 > 角色。
   
2. 在角色页面，找到目标RAM角色，然后单击RAM角色右侧的新增授权。
   
3. 在新增授权页面下，选择自定义策略，选择已创建的自定义权限策略。
   
   
4. 单击确定。
   

六、创建ECS实例作为业务服务器

创建一台ECS实例作为业务服务器，用于生成临时身份凭证。

具体步骤，请参见创建ECS实例。

七、在业务服务器获取临时身份凭证

在Web应用中，通过在业务服务器集成STS SDK，实现一个获取临时STS身份凭证的接口。当这个接口（/get_sts_token）通过HTTP GET方法被访问时，它会生成一个临时身份凭证，并将其返回给请求者。