响应示例 状态码为 201 时: 创建成功。 获取 IAM 用户名为“IAMUser”，IAM用户密码为“IAMPassword”，所属账号名为“IAMDomain”，作用范围为项目“cn-north-1”，且返回的响应体中将不显示catalog信息的Token。 响应Header参数（获取到的Token）： X-Subject-Token:MIIatAYJKoZIhvcNAQcCoIIapTCCGqECAQExDTALB... 响应Body参数： { "token": { "catalog": [], "expires_at": "2020-01-04T09:05:22.701000Z", "issued_at": "2020-01-03T09:05:22.701000Z", "methods": [ "password" ], "project": { "domain": { "id": "d78cbac186b744899480f25bd022f...", "name": "IAMDomain" }, "id": "aa2d97d7e62c4b7da3ffdfc11551f...", "name": "cn-north-1" }, "roles": [ { "id": "0", "name": "te_admin" }, { "id": "0", "name": "op_gated_Video_Campus" } ], "user": { "domain": { "id": "d78cbac186b744899480f25bd022f...", "name": "IAMDomain" }, "id": "7116d09f88fa41908676fdd4b039e...", "name": "IAMUser", "password_expires_at": "" } } } 获取IAM用户名为“IAMUser”，IAM用户密码为“IAMPassword”，所属账号名为“IAMDomain”，作用范围为整个账号的Token。 响应Header参数（获取到的Token）： X-Subject-Token:MIIatAYJKoZIhvcNAQcCoIIapTCCGqECAQExDTALB... 响应Body参数： { "token": { "catalog": [ { "endpoints": [ { "id": "33e1cbdd86d34e89a63cf8ad16a5f...", "interface": "public", "region": "*", "region_id": "*", "url": "https://iam.myhuaweicloud.com/v3.0" } ], "id": "100a6a3477f1495286579b819d399...", "name": "iam", "type": "iam" }, { "endpoints": [ { "id": "29319cf2052d4e94bcf438b55d143...", "interface": "public", "region": "*", "region_id": "*", "url": "https://bss.sample.domain.com/v1.0" } ], "id": "c6db69fabbd549908adcb861c7e47...", "name": "bssv1", "type": "bssv1" } ], "domain": { "id": "d78cbac186b744899480f25bd022f...", "name": "IAMDomain" }, "expires_at": "2020-01-04T09:08:49.965000Z", "issued_at": "2020-01-03T09:08:49.965000Z", "methods": [ "password" ], "roles": [ { "id": "0", "name": "te_admin" }, { "id": "0", "name": "secu_admin" }, { "id": "0", "name": "te_agency" } ], "user": { "domain": { "id": "d78cbac186b744899480f25bd022f...", "name": "IAMDomain" }, "id": "7116d09f88fa41908676fdd4b039e...", "name": "IAMUser", "password_expires_at": "" } } } 状态码为 400 时: 参数无效。请排查body体是否符合json语法。 { "error": { "code": 400, "message": "The request body is invalid", "title": "Bad Request" } } 状态码为 401 时: 认证失败。 如果您是第三方系统用户，直接使用联邦认证的用户名和密码 获取Token ，系统会提示密码错误。请在华为云的登录页面，通过“忘记密码”功能，设置华为云账号密码，并在password中输入新设置的密码。 如果您的华为云账号已升级为华为账号，直接使用华为账号名和密码获取Token，系统会提示密码错误。建议您为自己创建一个IAM用户，授予该用户必要的权限，获取IAM用户Token。 { "error": { "code": 401, "message": "The username or password is wrong.", "title": "Unauthorized" } }

响应参数 表12 响应Header参数 参数 参数类型 描述 X-Subject-Token String 签名后的Token，小于32KB。 表13 响应Body参数 参数 参数类型 描述 Token Object 获取到的Token信息。 表14 Token 参数 参数类型 描述 catalog Array of objects 服务目录信息。 domain Object 获取Token的IAM用户所属的账号信息。如果获取Token时请求体中scope参数设置为domain，则返回该字段。 expires_at String Token过期时间。 说明： UTC时间，格式为YYYY-MM-DDTHH:mm:ss.ssssssZ，日期和时间戳格式参照ISO-8601，如：2023-06-28T08:56:33.710000Z。 issued_at String Token下发时间。 说明： UTC时间，格式为YYYY-MM-DDTHH:mm:ss.ssssssZ，日期和时间戳格式参照ISO-8601，如：2023-06-28T08:56:33.710000Z。 methods Array of strings 获取Token的方式。 project Object 获取Token的IAM用户所属账号的项目信息。如果获取Token时请求体中scope参数设置为project，则返回该字段。 roles Array of objects Token的权限信息。 user Object 获取Token的IAM用户信息。 表15 Token.catalog 参数 参数类型 描述 endpoints Array of objects 终端节点。 id String 服务ID。 name String 服务名称。 type String 该接口所属服务。 表16 Token.catalog.endpoints 参数 参数类型 描述 id String 终端节点ID。 interface String 接口类型，描述接口在该终端节点的可见性。值为“public”，表示该接口为公开接口。 region String 终端节点所属区域。 region_id String 终端节点所属区域ID。 url String 终端节点的URL。 表17 Token.domain 参数 参数类型 描述 name String 账号名称。 id String 账号ID。 表18 Token.project 参数 参数类型 描述 domain Object 项目所属账号信息。 id String 项目ID。 name String 项目名称。 表19 Token.project.domain 参数 参数类型 描述 id String 账号ID。 name String 账号名称。 表20 Token.roles 参数 参数类型 描述 name String 权限名称。 id String 权限ID。默认显示为0，非真实权限ID。 表21 Token.user 参数 参数类型 描述 name String IAM用户名。 id String IAM用户ID。 password_expires_at String 密码过期时间，“”表示密码不过期。 说明： UTC时间，格式为YYYY-MM-DDTHH:mm:ss.ssssssZ，日期和时间戳格式参照ISO-8601，如：2023-06-28T08:56:33.710000Z。 domain Object IAM用户所属的账号信息。 表22 Token.user.domain 参数 参数类型 描述 name String IAM用户所属账号名称。 id String IAM用户所属账号ID。

请求示例 获取IAM用户名为“IAMUser”，IAM用户密码为“IAMPassword”，所属租户名为“IAMDomain”，作用范围为项目“cn-north-1”，且返回的响应体中将不显示catalog信息的Token。IAM用户名、所属账号名可以在界面控制台“我的凭证”中查看，具体获取方法请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 POST https://iam.myhuaweicloud.com/v3/auth/tokens?nocatalog=true { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "domain": { "name": "IAMDomain" //IAM用户所属账号名 }, "name": "IAMUser", //IAM用户名 "password": "IAMPassword" //IAM用户密码 } } }, "scope": { "project": { "name": "cn-north-1" //项目名称 } } } } 获取IAM用户名为“IAMUser”，IAM用户密码为“IAMPassword”，所属账号名为“IAMDomain”，作用范围为整个账号的Token。IAM用户名、所属账号名可以在界面控制台“我的凭证”中查看，具体获取方法请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 POST https://iam.myhuaweicloud.com/v3/auth/tokens { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "domain": { "name": "IAMDomain" //IAM用户所属账号名 }, "name": "IAMUser", //IAM用户名 "password": "IAMPassword" //IAM用户密码 } } }, "scope": { "domain": { "name": "IAMDomain" //IAM用户所属账号名 } } } }

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 该字段内容填为“application/json;charset=utf8”。 表3 请求Body参数 参数 是否必选 参数类型 描述 auth 是 Object 认证信息。 表4 auth 参数 是否必选 参数类型 描述 identity 是 Object 认证参数。 scope 是 Object Token的使用范围，取值为project或domain，二选一即可。 说明： 如果您将scope设置为domain，该Token适用于全局级服务；如果将scope设置为project，该Token适用于项目级服务。 如果您将scope同时设置为project和domain，将以project参数为准，获取到项目级服务的Token。 如果您将scope置空，将获取到全局级服务的Token。建议您按需要填写Token使用范围。 表5 auth.identity 参数 是否必选 参数类型 描述 methods 是 Array of strings 认证方法，该字段内容为["password"]。 password 是 Object IAM用户密码认证信息。 说明： user.name和user.domain.name可以在界面控制台“我的凭证”中查看，具体获取方法请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 该接口提供了锁定机制用于防止暴力破解，调用时，请确保用户名密码正确，输错一定次数（管理员可设置该规则，方法请参见：账号锁定策略）将被锁定。 表6 auth.identity.password 参数 是否必选 参数类型 描述 user 是 Object 需要获取Token的IAM用户信息。 表7 auth.identity.password.user 参数 是否必选 参数类型 描述 domain 是 Object IAM用户所属账号信息。了解账号与IAM用户的关系。 name 是 String IAM用户名。 password 是 String IAM用户的登录密码。 说明： 务必保证密码输入正确，避免获取Token失败。 如果您的华为云账号已升级为华为账号，将不支持获取账号Token，建议您为自己创建一个IAM用户，授予该用户必要的权限，获取IAM用户Token。 如果您是第三方系统用户，直接使用联邦认证的用户名和密码获取Token，系统会提示密码错误。请在华为云的登录页面，通过“忘记密码”功能，设置华为云账号密码，并在password中输入新设置的密码。 表8 auth.identity.password.user.domain 参数 是否必选 参数类型 描述 name 是 String IAM用户所属账号名称，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 表9 auth.scope 参数 是否必选 参数类型 描述 domain 否 Object 取值为domain时，表示获取的Token可以作用于全局服务，全局服务不区分项目或区域，如OBS服务。如需了解服务作用范围，请参考系统权限。domain支持id和name，二选一即可，建议选择“domain_id”。 project 否 Object 取值为project时，表示获取的Token可以作用于项目级服务，仅能访问指定project下的资源，如E CS 服务。如需了解服务作用范围，请参考系统权限。project支持id和name，二选一即可。 表10 auth.scope.domain 参数 是否必选 参数类型 描述 id 否 String IAM用户所属账号ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。当auth.scope选择了domain时，获取的Token可以作用于全局服务，id和name需要二选一。 name 否 String IAM用户所属账号名称，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。当auth.scope选择了domain时，获取的Token可以作用于全局服务，id和name需要二选一。 表11 auth.scope.project 参数 是否必选 参数类型 描述 id 否 String 表示IAM用户所属账号的项目ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。当auth.scope选择了project时，获取的Token可以作用于项目级服务，id和name需要二选一。每个区域的项目ID有所不同，需要根据业务所在的区域使用对应的项目ID。 name 否 String 表示IAM用户所属账号的项目名称，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。当auth.scope选择了project时，获取的Token可以作用于项目级服务，id和name需要二选一。

功能介绍 该接口可以用于通过用户名/密码的方式进行认证来获取IAM用户的Token。Token是系统颁发给IAM用户的访问令牌，承载用户的身份、权限等信息。调用IAM以及其他云服务的接口时，可以使用本接口获取的IAM用户Token进行鉴权。但强烈推荐您使用AK/SK签名认证方式调用API，可以避免因缓存的Token失效导致的API调用失败的问题。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见：地区和终端节点。 接口使用导航： IAM用户获取Token 判断当前账号是华为账号还是华为云账号 华为账号获取Token 华为云账号获取Token 第三方系统用户获取Token Token有效期说明 获取Token常见问题 其他相关操作 IAM用户获取Token 无特殊要求，请按照请求参数说明获取Token。 判断当前账号是华为账号还是华为云账号 华为账号不支持直接获取账号Token，排查是否为华为账号请参见：怎么知道当前登录华为云使用的是“华为账号” 还是“华为云账号”？ 华为账号获取Token 华为账号获取token请参见以下步骤：创建一个IAM用户，授予该用户必要的权限，使用创建的IAM用户，获取IAM用户Token。 华为云账号获取Token 无特殊要求，请按照请求参数说明获取Token。 第三方系统用户获取Token 如果您是第三方系统用户，直接使用联邦认证的用户名和密码获取Token，系统会提示密码错误。请先在华为云的登录页面，通过“忘记密码”功能，设置华为云账号密码。 Token有效期说明 Token的有效期为24小时。建议进行缓存，避免频繁调用。使用Token前请确保Token离过期有足够的时间，防止调用API的过程中Token过期导致调用API失败。重新获取Token，不影响已有Token有效性。 如果在Token有效期内进行如下操作，当前Token最长30分钟失效。 删除/停用IAM用户。 修改IAM用户密码、访问密钥。 IAM用户权限发生变化（如账号欠费无法访问云服务、申请公测通过、IAM用户权限被修改等）。 使用Token调用云服务API时， 返回“The token must be updated”，则Token过期，需要客户端重新获取Token。 获取Token常见问题 用户名或密码错误：请排查输入的用户名和密码是否正确。用户名密码正确但是仍旧报错，请排查当前获取Token的账号是否为华为账号，华为账号不支持直接获取Token，请新建IAM用户并授权，使用IAM用户获取Token。 没有API访问权限：调用API前，请确保已开启编程访问。 Token是否可以被篡改：Token生成时加入了签名防篡改的机制，Token被修改后无法通过验签，防止Token被伪造。 其他相关操作 如果您开启了登录保护并设置登录保护为MFA验证，请参考获取IAM用户Token（使用密码+虚拟MFA）获取IAM用户Token。 如果需要获取具有Security Administrator权限的Token，请参见：如何获取Security Administrator权限的Token。 通过Postman获取用户Token示例请参见：如何通过Postman获取用户Token。 您还可以通过视频教程了解如何使用Token认证：IAM视频帮助 。

响应示例 状态码为 200 时: 请求成功。 { "console_acl_policy" : { "allow_ip_ranges" : [ { "ip_range" : "0.0.0.0-255.255.255.255", "description" : "" }, { "ip_range" : "0.0.0.0-255.255.255.255", "description" : "" } ], "allow_address_netmasks" : [ { "address_netmask" : "192.168.0.1/24", "description" : "" }, { "address_netmask" : "192.168.0.1/24", "description" : "" } ] } }

响应参数 表3 响应Body参数 参数 参数类型 描述 console_acl_policy object 控制台访问控制策略。 表4 console_acl_policy 参数 参数类型 描述 allow_address_netmasks Array of objects 允许访问的IP地址或网段，仅在设置了允许访问的IP地址或网段才会返回此字段。 allow_ip_ranges Array of objects 允许访问的IP地址区间，仅在设置了允许访问的IP地址区间才会返回此字段。 表5 allow_address_netmasks 参数 参数类型 描述 address_netmask String IP地址或网段，例如：192.168.0.1/24。 description String 描述信息。 表6 allow_ip_ranges 参数 参数类型 描述 description String 描述信息。 ip_range String IP地址区间，例如0.0.0.0-255.255.255.255。

响应参数 表7 响应Body参数 参数 参数类型 描述 console_acl_policy object Console访问控制策略。 表8 console_acl_policy 参数 参数类型 描述 allow_address_netmasks Array of objects 允许访问的IP地址或网段，仅在设置了允许访问的IP地址或网段才会返回此字段。 allow_ip_ranges Array of objects 允许访问的IP地址区间，仅在设置了允许访问的IP地址区间才会返回此字段。 表9 allow_address_netmasks 参数 参数类型 描述 address_netmask String IP地址或网段，例如:192.168.0.1/24。 description String 描述信息。 表10 allow_ip_ranges 参数 参数类型 描述 description String 描述信息。 ip_range String IP地址区间，例如:0.0.0.0-255.255.255.255。

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 访问令牌，承载用户的身份、权限等信息。 token所需权限请参见授权项。 表3 请求Body参数 参数 是否必选 参数类型 描述 console_acl_policy 是 object 控制台访问控制策略。 表4 console_acl_policy 参数 是否必选 参数类型 描述 allow_address_netmasks 否 Array of objects 允许访问的IP地址或网段。allow_address_netmasks与 allow_ip_ranges两个参数二选一即可。 allow_ip_ranges 否 Array of objects 允许访问的IP地址区间。allow_address_netmasks与 allow_ip_ranges两个参数二选一即可。 表5 allow_address_netmasks 参数 是否必选 参数类型 描述 address_netmask 是 String IP地址或网段，例如:192.168.0.1/24。 description 否 String 描述信息。 表6 allow_ip_ranges 参数 是否必选 参数类型 描述 description 否 String 描述信息。 ip_range 是 String IP地址区间，例如:0.0.0.0-255.255.255.255。

请求示例 修改账号的控制台访问策略：允许访问的IP地址区间为“0.0.0.0-255.255.255.255”。 PUT https://iam.myhuaweicloud.com/v3.0/OS-SECURITYPOLICY/domains/{domain_id}/console-acl-policy { "console_acl_policy": { "allow_ip_ranges": [ { "ip_range": "0.0.0.0-255.255.255.255" } ] } }

响应参数 表3 响应Body参数 参数 参数类型 描述 links Object 资源链接信息。 roles Array of objects 权限信息列表。 total_number Integer 返回权限的总数。 表4 links 参数 参数类型 描述 self String 资源链接。 previous String 前一邻接资源链接地址，不存在时为null。 next String 后一邻接资源链接地址，不存在时为null。 表5 roles 参数 参数类型 描述 domain_id String 权限所属账号ID。 flag String 该参数值为fine_grained时，标识此权限为系统内置的策略。 description_cn String 权限的中文描述信息，仅在创建时中传入了description_cn参数，响应体中才会返回此字段。 catalog String 权限所在目录。 name String 系统内部呈现的权限名称。如云目录服务CCS普通用户权限CCS User的name为ccs_user。 携带在用户的token中，云服务根据该名称来判断用户是否有权限访问。 description String 权限描述信息。 links Object 权限的资源链接信息。 id String 权限ID。 display_name String 权限名称。 type String 权限的显示模式。 说明： AX表示在domain层显示。 XA表示在project层显示。 AA表示在domain和project层均显示。 XX表示在domain和project层均不显示。 自定义策略的显示模式只能为AX或者XA，不能在domain层和project层都显示（AA），或者在domain层和project层都不显示（XX）。 policy Object 权限的具体内容。 updated_time String 权限更新时间，仅在查询账号下所有自定义策略时，返回更新时间，查询系统权限时不返回此字段。 说明： UNIX时间戳格式，单位是毫秒，时间戳格式如：1687913793000。 created_time String 权限创建时间，仅在查询账号下所有自定义策略时，返回创建时间，查询系统权限时不返回此字段。 说明： UNIX时间戳格式，单位是毫秒，时间戳格式如：1687913793000。 表6 roles.links 参数 参数类型 描述 self String 资源链接地址。 previous String 前一邻接资源链接地址，不存在时为null。 next String 后一邻接资源链接地址，不存在时为null。 表7 roles.policy 参数 参数类型 描述 Depends Array of objects 该权限所依赖的权限。 Statement Array of objects 授权语句，描述权限的具体内容。 Version String 权限版本号。 说明： 1.0：系统预置的角色。以服务为粒度，提供有限的服务相关角色用于授权。 1.1：策略。IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。 表8 roles.policy.Depends 参数 参数类型 描述 catalog String 权限所在目录。 display_name String 权限展示名。 表9 roles.policy.Statement 参数 参数类型 描述 Action Array of strings 授权项，指对资源的具体操作权限。支持的授权项请参考各云服务《API参考》中“权限和授权项”章节。 说明： 格式为：服务名:资源类型:操作，例：vpc:ports:create。 服务名为产品名称，例如ecs、evs和vpc等，服务名仅支持小写。 资源类型和操作没有大小写，要求支持通配符号*，无需罗列全部授权项。 当自定义策略为委托自定义策略时，该字段值为： "Action": ["iam:agencies:assume"]。 Effect String 作用。包含两种：允许（Allow）和拒绝（Deny），既有Allow又有Deny的授权语句时，遵循Deny优先的原则。 取值范围： Allow Deny Condition Object 限制条件。如果创建此策略未传入此字段，则返回结果中也无此字段。 说明： 以请求示例中的Condition为例：条件键（obs:prefix）和字符串（public）需相等（StringEquals）。 "Condition": { "StringEquals": { "obs:prefix": [ "public" ] } } Resource Object 资源。如果创建此策略时未传入此字段，则返回结果中也无此字段。规则如下： 说明： 可填 * 的五段式：::::，例："obs:::bucket:*"。 region字段为*或用户可访问的region。service必须存在且resource属于对应service。 当该自定义策略为委托自定义策略时，该字段类型为Object，值为："Resource": {"uri": ["/iam/agencies/07805acaba800fdd4fbdc00b8f888c7c"]}。 表10 roles.policy.Statement.Condition.operator 参数 参数类型 描述 attribute Array of strings 条件键。key为与运算符有对应关系的合法属性，value为长度不超过10的字符串数组。 该参数类型为自定义字符串数组。

响应示例 状态码为 200 时: 请求成功。 { "roles" : [ { "domain_id" : null, "description_cn" : " 漏洞扫描服务 （VSS）管理员，拥有该服务下的所有权限", "catalog" : "VulnScan", "name" : "wscn_adm", "description" : "Vulnerability Scan Service administrator of tasks and reports.", "links" : { "next" : null, "previous" : null, "self" : "https://iam.myhuaweicloud.com/v3/roles/0af84c1502f447fa9c2fa18083fbb87e" }, "id" : "0af84c1502f447fa9c2fa18083fbb87e", "display_name" : "VSS Administrator", "type" : "XA", "policy" : { "Version" : "1.0", "Statement" : [ { "Action" : [ "WebScan:*:*" ], "Effect" : "Allow" } ], "Depends" : [ { "catalog" : "BASE", "display_name" : "Server Administrator" }, { "catalog" : "BASE", "display_name" : "Tenant Guest" } ] } }, { "domain_id" : null, "flag" : "fine_grained", "description_cn" : "微服务引擎服务管理员权限", "catalog" : "CSE", "name" : "system_all_34", "description" : "All permissions of CSE service.", "links" : { "next" : null, "previous" : null, "self" : "https://iam.myhuaweicloud.com/v3/roles/0b5ea44ebdc64a24a9c372b2317f7e39" }, "id" : "0b5ea44ebdc64a24a9c372b2317f7e39", "display_name" : "CSE Admin", "type" : "XA", "policy" : { "Version" : "1.1", "Statement" : [ { "Action" : [ "cse:*:*", "ecs:*:*", "evs:*:*", "vpc:*:*" ], "Effect" : "Allow" } ] } } ], "links" : { "next" : null, "previous" : null, "self" : "https://iam.myhuaweicloud.com/v3/roles" }, "total_number" : 300 }

URI GET /v3/roles 表1 Query参数 参数 是否必选 参数类型 描述 domain_id 否 String 账号ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 说明： 如果填写此参数，则返回账号下所有自定义策略。 如果不填写此参数，则返回所有系统权限（包含系统策略和系统角色）。 permission_type 否 String 区分系统权限类型的参数。当domain_id参数为空时生效。 policy：返回系统策略 role：返回系统角色。 name 否 String 系统内部呈现的权限名称。如云目录服务CCS普通用户权限CCS User的name为ccs_user。 建议您传参display_name，不传name参数。 display_name 否 String 权限名称或过滤条件。该参数可以传入控制台或系统权限显示的权限名称。 权限名称：如传参为ECS FullAccess，则返回该权限相关信息。 过滤条件：如传参为Administrator，则返回满足条件的所有管理员权限。 page 否 Integer 分页查询时数据的页数，查询值最小为1。需要与per_page同时存在。传入domain_id参数查询自定义策略时，可配套使用。 per_page 否 Integer 分页查询时每页的数据个数，取值范围为[1,300]，默认值为300。需要与page同时存在。 不传page和per_page参数时，每页最多返回300个权限。 type 否 String 过滤权限的显示模式。取值范围：domain，project，all。type为domain时，返回type=AA或AX的权限；type为project时，返回type=AA或XA的权限；type为all时返回type为AA、AX、XA的权限。 说明： AX表示在domain层显示。 XA表示在project层显示。 AA表示在domain和project层均显示。 XX表示在domain和project层均不显示。 catalog 否 String 权限所在目录。catalog值精确匹配策略的catalog字段(可以过滤服务的策略、或者自定义策略)。

常用系统权限设置案例 请参考以下文档给IAM用户设置常见云服务的访问权限。 设置弹性云服务器（ECS）的权限 设置弹性负载均衡（ELB）的权限 设置关系型数据库（RDS）的权限 设置云硬盘（EVS）的权限 设置 云监控 （ CES ）的权限 设置云容器引擎（CCE）的权限 设置 对象存储服务 （OBS）的权限 设置云备份（CBR）的权限 设置虚拟私有云（VPC）的权限 设置分布式缓存服务（DCS）的权限 设置文档数据库服务（DDS）的权限 设置费用中心的权限 设置提交工单的权限

操作流程 以B账号将委托分配给IAM用户进行管理为例，说明使用IAM的用户授权功能，实现分配委托以及对委托进行精细授权的操作方法，委托权限分配完成后，B账号中的IAM用户通过切换角色的方式，可以切换到A账号中，管理委托方授权的资源。B账号需要提前获取委托公司的华为账号名称、所创建的委托名称以及委托的ID。 创建用户组并授权。 B账号在 统一身份认证 服务左侧导航窗格中，单击“用户组”。 在“用户组”界面中，单击“创建用户组”。 输入“用户组名称”，例如“委托管理”。 单击“确定”。 返回用户组列表，用户组列表中显示新创建的用户组。 单击新建用户组右侧的“授权”，进入授权界面。 如果需要用户仅管理一个特定的委托，请执行以下步骤对委托进行精细授权。 如果需要用户管理所有委托，请跳过该步骤，直接执行下一步。 在选择策略页面，单击权限列表右上角“新建策略”。 输入“策略名称”，例如“管理A公司的委托1”。 “策略配置方式”选择“JSON视图”。 在“策略内容”区域，填入以下内容： { "Version": "1.1", "Statement": [ { "Action": [ "iam:agencies:assume" ], "Resource": { "uri": [ "/iam/agencies/b36b1258b5dc41a4aa8255508xxx..." ] }, "Effect": "Allow" } ]} "b36b1258b5dc41a4aa8255508xxx..."需要替换为待授权委托的ID，需要提前向委托方获取，其他内容不需修改，直接拷贝即可。 单击“下一步”，继续完成授权。 选择上一步中创建的自定义策略“管理A公司的委托1”，或者“Agent Operator”权限。 自定义策略：用户仅能管理指定ID的委托，不能管理其他委托。 “Agent Operator”权限：用户可以管理所有委托。 选择授权作用范围。 单击“确定”。 创建用户并加入用户组。 在统一身份认证服务左侧导航窗格中，单击“用户” 在“用户”界面，单击“创建用户”。 在“创建用户”界面，输入“用户名”“邮箱”。 “访问方式”选择“管理控制台访问”。 “凭证类型”选择“首次登录时设置”。 “登录保护”选择“开启”，并选择身份验证方式，单击“下一步”。 在“加入用户组”页面，选择步骤2中创建的用户组“委托管理”，单击“创建用户”。 切换角色。 使用步骤3创建的用户，使用“IAM用户登录”方式，登录华为云。登录方法，请参见：IAM用户登录。 在控制台页面，右上方的用户名中，选择“切换角色”。 图1 切换角色 在“切换角色”页面中，输入委托方的账号名称，输入账号名称后，系统将会按照顺序自动匹配委托名称。 如果自动匹配的是没有授权的委托，系统将提示没有权限访问，可以删除委托名称，在下拉框中选择已授权的委托名称。 单击“确定”，切换至委托方账号中。