华为云用户手册

请求示例 绑定MFA设备，第一组验证码为“977931”，第二组验证码为“527347”，MFA设备序列号为“iam:09f6bd6a96801de40f01c00c85691...:mfa/{device_name}”。 PUT https://iam.myhuaweicloud.com/v3.0/OS-MFA/mfa-devices/bind { "user_id" : "09f99d8f6a001d4f1f01c00c31968...", "authentication_code_first" : "977931", "authentication_code_second" : "527347", "serial_number" : "iam:09f6bd6a96801de40f01c00c85691...:mfa/{device_name}" }

请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-token 是 String 请求Body中user_id所对应 IAM 用户的token（无需特殊权限）。 表2 请求Body参数 参数 是否必选 参数类型 描述 user_id 是 String 待绑定MFA设备的IAM用户ID。 serial_number 是 String MFA设备序列号。 authentication_code_first 是 String 第一组验证码。 authentication_code_second 是 String 第二组验证码。

响应示例 状态码为 200 时: 请求成功。 { "password_policy" : { "password_requirements" : "A password must contain at least two of the following: uppercase letters, lowercase letters, digits, and special characters.", "minimum_password_age" : 20, "minimum_password_length" : 8, "maximum_password_length" : 32, "number_of_recent_passwords_disallowed" : 2, "password_validity_period" : 60, "maximum_consecutive_identical_chars" : 3, "password_not_username_or_invert" : true, "password_char_combination" : 3 } }

响应参数 表5 响应Body参数 参数 参数类型 描述 password_policy object 密码策略。 表6 password_policy 参数 参数类型 描述 maximum_consecutive_identical_chars Integer 同一字符连续出现的最大次数。 maximum_password_length Integer 密码最大字符数。 minimum_password_age Integer 密码最短使用时间（分钟）。 minimum_password_length Integer 密码最小字符数。 number_of_recent_passwords_disallowed Integer 密码不能与历史密码重复次数。 password_not_username_or_invert Boolean 密码是否可以是用户名或用户名的反序。 password_requirements String 设置密码必须包含的字符要求。 password_validity_period Integer 密码有效期（天）。 password_char_combination Integer 至少包含字符种类的个数，取值区间[2,4]。

请求示例 修改账号的密码策略：密码最少为8个字符，密码不能与近2次历史密码重复，密码最短使用时间为20分钟，密码有效期为60天，同一字符连续出现的最大次数为3，密码不可以是用户名或用户名的反序，至少包含3种字符类型。 PUT https://iam.myhuaweicloud.com/v3.0/OS-SECURITYPOLICY/domains/{domain_id}/password-policy { "password_policy" : { "minimum_password_length" : 8, "number_of_recent_passwords_disallowed" : 2, "minimum_password_age" : 20, "password_validity_period" : 60, "maximum_consecutive_identical_chars" : 3, "password_not_username_or_invert" : false, "password_char_combination" : 3 } }

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 访问令牌，承载用户的身份、权限等信息。 token所需权限请参见授权项。 表3 请求Body参数 参数 是否必选 参数类型 描述 password_policy 是 object 密码策略。 表4 password_policy 参数 是否必选 参数类型 描述 maximum_consecutive_identical_chars 否 Integer 同一字符连续出现的最大次数，取值范围[0,32]。 minimum_password_age 否 Integer 密码最短使用时间(分钟)，取值范围[0,1440]。 minimum_password_length 否 Integer 密码最小字符数，取值范围[8,32]。 number_of_recent_passwords_disallowed 否 Integer 密码不能与历史密码重复次数，取值范围[0,24]。 password_not_username_or_invert 否 Boolean 密码是否可以是用户名或用户名的反序。 password_validity_period 否 Integer 密码有效期（天），取值范围[0,180]，设置0表示关闭该策略。 password_char_combination 否 Integer 至少包含字符种类的个数，取值区间[2,4]。

响应示例 状态码为 200 时: 请求成功。 { "login_policy" : { "custom_info_for_login" : "", "period_with_login_failures" : 15, "lockout_duration" : 15, "account_validity_period" : 99, "login_failed_times" : 3, "session_timeout" : 16, "show_recent_login_info" : true } }

响应参数 表3 响应Body参数 参数 参数类型 描述 login_policy object 登录策略。 表4 login_policy 参数 参数类型 描述 account_validity_period Integer 账号在该值设置的有效期（天）内未使用，则被停用。 custom_info_for_login String 登录提示信息。 lockout_duration Integer 账号锁定时长（分钟）。 login_failed_times Integer 限定时间内允许的最大登录失败次数。 period_with_login_failures Integer 限定时间长度（分钟）。 session_timeout Integer 登录会话失效时间（分钟）。 show_recent_login_info Boolean 是否显示最近一次的登录信息。

响应示例 状态码： 200 请求成功。 { "roles" : [ { "domain_id" : null, "description_cn" : " 漏洞扫描服务 （VSS）管理员，拥有该服务下的所有权限", "catalog" : "VulnScan", "name" : "wscn_adm", "description" : "Vulnerability Scan Service administrator of tasks and reports.", "links" : { "next" : null, "previous" : null, "self" : "https://iam.myhuaweicloud.com/v3/roles/0af84c1502f447fa9c2fa18083fbb..." }, "id" : "0af84c1502f447fa9c2fa18083fbb...", "display_name" : "VSS Administrator", "type" : "XA", "policy" : { "Version" : "1.0", "Statement" : [ { "Action" : [ "WebScan:*:*" ], "Effect" : "Allow" } ], "Depends" : [ { "catalog" : "BASE", "display_name" : "Server Administrator" }, { "catalog" : "BASE", "display_name" : "Tenant Guest" } ] } }, { "domain_id" : null, "flag" : "fine_grained", "description_cn" : "微服务引擎服务管理员权限", "catalog" : " CS E", "name" : "system_all_34", "description" : "All permissions of CSE service.", "links" : { "next" : null, "previous" : null, "self" : "https://iam.myhuaweicloud.com/v3/roles/0b5ea44ebdc64a24a9c372b2317f7..." }, "id" : "0b5ea44ebdc64a24a9c372b2317f7...", "display_name" : "CSE Admin", "type" : "XA", "policy" : { "Version" : "1.1", "Statement" : [ { "Action" : [ "cse:*:*", "ecs:*:*", "evs:*:*", "vpc:*:*" ], "Effect" : "Allow" } ] } } ], "links" : { "next" : null, "previous" : null, "self" : "https://iam.myhuaweicloud.com/v3/roles" } }

响应参数 状态码为 200 时： 表3 响应Body参数 参数 参数类型 描述 links object 资源链接信息。 roles Array of objects 权限信息列表。 表4 roles 参数 参数类型 描述 flag String 该参数值为fine_grained时，标识此权限为系统内置的策略。 description_cn String 权限的中文描述信息。仅在创建时中传入了description_cn参数，响应体中才会返回此字段。 catalog String 权限所在目录。 name String 权限名。携带在用户的token中，云服务根据该名称来判断用户是否有权限访问。 description String 权限描述信息。 links object 权限的资源链接信息。 id String 权限ID。 display_name String 权限展示名。 type String 权限的显示模式。 说明： AX表示在domain层显示。 XA表示在project层显示。 AA表示在domain和project层均显示。 XX表示在domain和project层均不显示。 自定义策略的显示模式只能为AX或者XA，不能在domain层和project层都显示（AA），或者在domain层和project层都不显示（XX）。 policy object 权限的具体内容。 updated_time String 权限更新时间。 说明： UNIX时间戳格式，单位是毫秒，时间戳格式如：1687913793000。 created_time String 权限创建时间。 说明： UNIX时间戳格式，单位是毫秒，时间戳格式如：1687913793000。 表5 links 参数 参数类型 描述 self String 资源链接地址。 previous String 前一邻接资源链接地址，不存在时为null。 next String 后一邻接资源链接地址，不存在时为null。 表6 roles.policy 参数 参数类型 描述 Depends Array of objects 该权限所依赖的权限。 Statement Array of objects 授权语句，描述权限的具体内容。 Version String 权限版本号。 说明： 1.0：系统预置的角色。以服务为粒度，提供有限的服务相关角色用于授权。 1.1：策略。IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。 表7 roles.policy.Depends 参数 参数类型 描述 catalog String 权限所在目录。 display_name String 权限展示名。 表8 roles.policy.Statement 参数 参数类型 描述 Action Array of strings 授权项，指对资源的具体操作权限。支持的授权项请参考各云服务《API参考》中“权限和授权项”章节。 说明： 格式为：服务名:资源类型:操作，例：vpc:ports:create。 服务名为产品名称，例如ecs、evs和vpc等，服务名仅支持小写。 资源类型和操作没有大小写，要求支持通配符号*，无需罗列全部授权项。 当自定义策略为委托自定义策略时，该字段值为： "Action": ["iam:agencies:assume"]。 Effect String 作用。包含两种：允许（Allow）和拒绝（Deny），既有Allow又有Deny的授权语句时，遵循Deny优先的原则。 枚举值： Allow Deny Condition Object 限制条件。如果创建此策略未传入此字段，则返回结果中也无此字段。 说明： 以请求示例中的Condition为例：条件键（obs:prefix）和字符串（public）需相等（StringEquals）。 "Condition": { "StringEquals": { "obs:prefix": [ "public" ] } } Resource Object 资源，如果创建此策略时未传入此字段，则返回结果中也无此字段。规则如下： 说明： 可填 * 的五段式：::::，例："obs:::bucket:*"。 region字段为*或用户可访问的region。service必须存在且resource属于对应service。 当该自定义策略为委托自定义策略时，该字段类型为Object，值为："Resource": {"uri": ["/iam/agencies/07805acaba800fdd4fbdc00b8f888c7c"]}。

URI GET /v3/OS-INHERIT/domains/{domain_id}/groups/{group_id}/roles/inherited_to_projects 表1 路径参数 参数 是否必选 参数类型 描述 domain_id 是 String 账号ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 group_id 是 String 用户组ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。

响应参数 表7 响应Body参数 参数 参数类型 描述 api_acl_policy object 接口访问控制策略。 表8 api_acl_policy 参数 参数类型 描述 allow_address_netmasks objects 允许访问的IP地址或网段，仅在设置了允许访问的IP地址或网段才会返回此字段。 allow_ip_ranges objects 允许访问的IP地址区间，仅在设置了允许访问的IP地址区间才会返回此字段。 表9 allow_address_netmasks 参数 参数类型 描述 address_netmask String IP地址或网段，例如:192.168.0.1/24。 description String 描述信息。 表10 allow_ip_ranges 参数 参数类型 描述 description String 描述信息。 ip_range String IP地址区间，例如:0.0.0.0-255.255.255.255。

请求示例 修改账号的接口访问策略：允许访问的IP地址区间为“0.0.0.0-255.255.255.255”。 PUT https://iam.myhuaweicloud.com/v3.0/OS-SECURITYPOLICY/domains/{domain_id}/api-acl-policy { "api_acl_policy": { "allow_ip_ranges": [ { "description": "2", "ip_range": "0.0.0.0-255.255.255.255" } ] } }

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 访问令牌，承载用户的身份、权限等信息。 token所需权限请参见授权项。 表3 请求Body参数 参数 是否必选 参数类型 描述 api_acl_policy 是 object 接口访问控制策略。 表4 api_acl_policy 参数 是否必选 参数类型 描述 allow_address_netmasks 否 Array of objects 允许访问的IP地址或网段。 allow_address_netmasks与allow_ip_ranges两个参数二选一即可。 allow_ip_ranges 否 Array of objects 允许访问的IP地址区间。 allow_address_netmasks与allow_ip_ranges两个参数二选一即可。 表5 allow_address_netmasks 参数 是否必选 参数类型 描述 address_netmask 是 String IP地址或网段，例如:192.168.0.1/24。 description 否 String 描述信息。 表6 allow_ip_ranges 参数 是否必选 参数类型 描述 description 否 String 描述信息。 ip_range 是 String IP地址区间，例如:0.0.0.0-255.255.255.255。

响应参数 状态码为 200 时: 表3 响应Body参数 参数 参数类型 描述 login_protect object 登录状态保护信息。 表4 login_protect 参数 参数类型 描述 enabled Boolean IAM用户是否开启登录保护，开启为"true"，未开启为"false"。 user_id String IAM用户ID。 verification_method String IAM用户登录验证方式。

请求示例 创建MFA设备。 POST https://iam.myhuaweicloud.com/v3.0/OS-MFA/virtual-mfa-devices { "virtual_mfa_device" : { "name" : "{device_name}", "user_id" : "09f99d8f6a001d4f1f01c00c31968..." } }

请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 请求Body中user_id所对应IAM用户的token（无需特殊权限）。 表2 请求Body参数 参数 是否必选 参数类型 描述 virtual_mfa_device 是 object 创建的MFA设备信息。 表3 virtual_mfa_device 参数 是否必选 参数类型 描述 name 是 String 设备名称。 最小长度：1 最大长度：64 user_id 是 String 创建MFA设备的IAM用户ID。

响应示例 状态码为 200 时: 请求成功。 { "quotas" : { "resources" : [ { "max" : 1000, "min" : 50, "quota" : 50, "type" : "user", "used" : 10 }, { "max" : 300, "min" : 10, "quota" : 20, "type" : "group", "used" : 8 }, { "max" : 20, "min" : 10, "quota" : 10, "type" : "idp", "used" : 9 }, { "max" : 300, "min" : 10, "quota" : 50, "type" : "agency", "used" : 12 }, { "max" : 300, "min" : 128, "quota" : 200, "type" : "policy", "used" : 8 }, { "max" : 500, "min" : 50, "quota" : 200, "type" : "assigment_group_mp", "used" : 8 }, { "max" : 500, "min" : 50, "quota" : 200, "type" : "assigment_agency_mp", "used" : 8 }, { "max" : 5000, "min" : 50, "quota" : 500, "type" : "assigment_group_ep", "used" : 8 }, { "max" : 5000, "min" : 50, "quota" : 500, "type" : "assigment_user_ep", "used" : 8 }, { "max" : 100, "min" : 10, "quota" : 10, "type" : "mapping", "used" : null } ] } }

响应参数 状态码为 200 时: 表4 响应Body参数 参数 参数类型 描述 quotas Object 账号配额信息。 表5 quotas 参数 参数类型 描述 resources Array of objects 资源信息。 表6 resources 参数 参数类型 描述 max Integer 配额最大值。 min Integer 配额最小值。 quota Integer 当前配额。 type String 配额类型。 used Integer 已使用的配额。 其中身份提供商映射规则mapping已使用数量为用户自行设置，暂不返回。

URI GET /v3.0/OS-QUOTA/domains/{domain_id} 表1 路径参数 参数 是否必选 参数类型 描述 domain_id 是 String 待查询的账号ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID 表2 Query参数 参数 是否必选 参数类型 描述 type 否 String 查询配额的类型，取值范围如下。如果不填写此参数，则返回所有类型配额。 user：IAM用户配额 group：用户组配额 idp：身份提供商配额 agency：委托配额 policy：自定义策略配额 assigment_group_mp：一个用户组基于IAM项目可绑定的权限配额 assigment_agency_mp：一个委托可绑定的权限配额 assigment_group_ep：一个用户组基于企业项目可绑定的权限配额 assigment_user_ep：一个用户基于企业项目可绑定的权限配额 mapping：账号中所有身份提供商映射规则配额

响应参数 状态码为 200 时： 表5 响应Body参数 参数 参数类型 描述 login_protect object 登录保护状态信息。 表6 login_protect 参数 参数类型 描述 user_id String 待修改登录保护状态信息的IAM用户ID。 enabled Boolean IAM用户是否开启登录保护，开启为"true"，不开启为"false"。 verification_method String IAM用户登录验证方式。手机验证为“sms”，邮箱验证为“email”，MFA验证为“vmfa”。

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-token 是 String 拥有Security Administrator权限的token。 表3 请求Body参数 参数 是否必选 参数类型 描述 login_protect 是 object 登录保护状态信息。 表4 Login_project 参数 是否必选 参数类型 描述 enabled 是 Boolean IAM用户是否开启登录保护，开启为"true"，未开启为"false"。 verification_method 是 String IAM用户登录验证方式。手机验证为“sms”，邮箱验证为“email”，MFA验证为“vmfa”。

请求示例 修改IAM用户的登录保护状态信息：开启登录保护，且登录验证方式为MFA验证。 PUT https://iam.myhuaweicloud.com/v3.0/OS-USER/users/{user_id}/login-protect { "login_protect" : { "enabled" : true, "verification_method" : "vmfa" } }

响应参数 状态码： 200 表3 响应Body参数 参数 参数类型 描述 protect_policy protect_policy object 操作保护策略。 表4 protect_policy 参数 参数类型 描述 allow_user AllowUserBody object 用户可以自主修改的属性。 operation_protection boolean 是否开启操作保护，取值范围true或false。 mobile String 操作保护验证指定手机号码。示例:0086-123456789。 admin_check String 是否指定人员验证。on为指定人员验证，off为操作员验证。 email String 操作保护验证指定邮件地址。示例:example@email.com。 scene String 操作保护指定人员验证方式，包括mobile、email。 表5 protect_policy.allow_user 名称 类型 描述 manage_accesskey boolean 是否允许子用户自行管理AK，取值范围true或false。 manage_email boolean 是否允许子用户自己修改邮箱，取值范围true或false。 manage_mobile boolean 是否允许子用户自己修改电话，取值范围true或false。 manage_password boolean 是否允许子用户自己修改密码，取值范围true或false。

请求示例 修改账号的登录策略：登录失败后账号锁定时长为15分钟，账号在99天内未使用则被停用，限定时间内登录失败次数为3次，登录会话失效时间为16分钟，显示最近一次的登录信息。 PUT https://iam.myhuaweicloud.com/v3.0/OS-SECURITYPOLICY/domains/{domain_id}/login-policy { "login_policy" : { "custom_info_for_login" : "", "period_with_login_failures" : 15, "lockout_duration" : 15, "account_validity_period" : 99, "login_failed_times" : 3, "session_timeout" : 16, "show_recent_login_info" : true } }

响应示例 状态码为 200 时: 请求成功。 { "login_policy" : { "custom_info_for_login" : "", "period_with_login_failures" : 15, "lockout_duration" : 15, "account_validity_period" : 99, "login_failed_times" : 3, "session_timeout" : 16, "show_recent_login_info" : true } }

响应参数 表5 响应Body参数 参数 参数类型 描述 login_policy object 登录策略。 表6 login_policy 参数 参数类型 描述 account_validity_period Integer 账号在该值设置的有效期（天）内未使用，则被停用。 custom_info_for_login String 登录提示信息。 lockout_duration Integer 账号锁定时长（分钟）。 login_failed_times Integer 限定时间内允许的最大登录失败次数。 period_with_login_failures Integer 限定时间长度（分钟）。 session_timeout Integer 登录会话失效时间（分钟）。 show_recent_login_info Boolean 是否显示最近一次的登录信息。

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 访问令牌，承载用户的身份、权限等信息。 token所需权限请参见授权项。 表3 请求Body参数 参数 是否必选 参数类型 描述 login_policy 是 object 登录策略。 表4 login_policy 参数 是否必选 参数类型 描述 account_validity_period 否 Integer 账号在该值设置的有效期（天）内未使用，则被停用，取值范围[0,240]。 custom_info_for_login 否 String 登录提示信息。 lockout_duration 否 Integer 账号锁定时长（分钟），取值范围[15,1440]。 login_failed_times 否 Integer 限定时间内允许的最大登录失败次数，取值范围[3,10]。 period_with_login_failures 否 Integer 限定时间长度（分钟），取值范围[15,60]。 session_timeout 否 Integer 登录会话失效时间（分钟），取值范围[15,1440]。 show_recent_login_info 否 Boolean 显示最近一次的登录信息。取值范围true或false。

响应示例 状态码为 200 时: 请求成功。 { "virtual_mfa_devices" : [ { "user_id" : "16b26081f43d4c628c4bb88cf32e9...", "serial_number" : "iam:16b26081f43d4c628c4bb88cf32e9..." }, { "user_id" : "47026081f43d4c628c4bb88cf32e9...", "serial_number" : "iam:75226081f43d4c628c4bb88cf32e9..." } ] }

终端节点 终端节点即调用API的请求地址，不同服务在不同区域的终端节点不同，您可以从地区和终端节点中查询IAM的终端节点。 IAM的终端节点如表1所示。IAM是全局级服务，数据全局一份，在全局项目中存储，IAM所有的API都可以使用全局服务的Endpoint调用；除了全局区域外，为了配合其他区域级云服务的API/CLI访问，IAM在其他区域（除全局服务外的所有区域）提供部分API，请您根据约束与限制，选择对应区域的终端节点调用API。 表1 IAM的终端节点 区 域名 称 区域 终端节点（Endpoint） 全局 global iam.myhuaweicloud.com 华北-北京一 cn-north-1 iam.cn-north-1.myhuaweicloud.com 华北-北京二 cn-north-2 iam.cn-north-2.myhuaweicloud.com 华北-北京四 cn-north-4 iam.cn-north-4.myhuaweicloud.com 华东-上海一 cn-east-3 iam.cn-east-3.myhuaweicloud.com 华东-上海二 cn-east-2 iam.cn-east-2.myhuaweicloud.com 华南-广州 cn-south-1 iam.cn-south-1.myhuaweicloud.com 华南-深圳 cn-south-2 iam.cn-south-2.myhuaweicloud.com 西南-贵阳一 cn-southwest-2 iam.cn-southwest-2.myhuaweicloud.com 中国-香港 ap-southeast-1 iam.ap-southeast-1.myhuaweicloud.com 亚太-曼谷 ap-southeast-2 iam.ap-southeast-2.myhuaweicloud.com 亚太-新加坡 ap-southeast-3 iam.ap-southeast-3.myhuaweicloud.com 亚太-雅加达 ap-southeast-4 iam.ap-southeast-4.myhuaweicloud.com 非洲-约翰内斯堡 af-south-1 iam.af-south-1.myhuaweicloud.com 拉美-圣地亚哥 la-south-2 iam.la-south-2.myhuaweicloud.com 欧洲-都柏林 eu-west-101 iam.myhuaweicloud.eu 欧洲-巴黎 eu-west-0 iam.eu-west-0.myhuaweicloud.com 土耳其-伊斯坦布尔 tr-west-1 iam.tr-west-1.myhuaweicloud.com 中东-阿布扎比-OP5 ae-ad-1 iam.ae-ad-1.myhuaweicloud.com 父主题： 使用前必读