华为云用户手册

步骤4：确定需要审计的权限，查询用户组中的 IAM 用户，进行安全审计 URI：GET /v3/groups/{group_id}/users API文档详情请参见：管理员查询用户组所包含的IAM用户 API Explorer 在线调试请参见：管理员查询用户组所包含的IAM用户 请求示例 GET https://iam.myhuaweicloud.com/v3/groups/{group_id}/users 响应示例 { "links":{ "self":"https://iam.myhuaweicloud.com/v3/groups/07609e7eb200250a3f7dc003cb7a..../users" }, "users":[ { "description":"--", "domain_id":"d78cbac186b744899480f25bd022....", "enabled":true, "id":"07609fb9358010e21f7bc003751c....", "last_project_id":"065a7c66da0010992ff7c0031e5a....", "links":{ "self":"https://iam.myhuaweicloud.com/v3/users/07609fb9358010e21f7bc003751c...." }, "name":"IAMUserA", "pwd_status":true }, { "description":"", "domain_id":"d78cbac186b744899480f25bd022....", "enabled":true, "id":"076837351e80251c1f0fc003afe4....", "last_project_id":"065a7c66da0010992ff7c0031e5a....", "links":{ "self":"https://iam.myhuaweicloud.com/v3/users/076837351e80251c1f0fc003afe4...." }, "name":"IAMUserB", "pwd_status":true } ] }

步骤1：查询用户组列表 URI：GET /v3/groups API文档详情请参见：查询用户组列表 API Explorer在线调试请参见：查询用户组列表 请求示例 GET https://iam.myhuaweicloud.com/v3/groups 响应示例 { "groups":[ { "create_time":1536293929624, "description":"IAMDescription", "domain_id":"d78cbac186b744899480f25bd022....", "id":"5b050baea9db472c88cbae67e8d6....", "links":{ "self":"https://iam.myhuaweicloud.com/v3/groups/5b050baea9db472c88cbae67e8d6...." }, "name":"IAMGroupA" }, { "create_time":1578107542861, "description":"IAMDescription", "domain_id":"d78cbac186b744899480f25bd022....", "id":"07609e7eb200250a3f7dc003cb7a....", "links":{ "self":"https://iam.myhuaweicloud.com/v3/groups/07609e7eb200250a3f7dc003cb7a...." }, "name":"IAMGroupB" } ], "links":{ "self":"https://iam.myhuaweicloud.com/v3/groups" } }

步骤4：导入metadata文件 URI：POST /v3-ext/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}/metadata API文档详情请参见：导入Metadata文件 API Explorer在线调试请参见：导入Metadata文件 请求示例 POST https://iam.myhuaweicloud.com/v3-ext/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}/metadata { "domain_id":"d78cbac186b744899480f25bd022....", "metadata":"$metadataContent", "xaccount_type":"" } 响应示例 { "message":"Import metadata successful" }

步骤1：注册身份提供商 URI：PUT /v3/OS-FEDERATION/identity_providers/{id} API文档详情请参见： 创建身份提供商 API Explorer在线调试请参见：注册身份提供商 请求示例 PUT https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/{id} { "identity_provider":{ "description":"Stores ACME identities.", "enabled":true } } 响应示例 { "identity_provider": { "remote_ids": [], "enabled": true, "id": "ACME", "links": { "self": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME", "protocols": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME/protocols" }, "description": "Stores ACME identities." } }

步骤2：查询AK/SK的创建时间（或查询指定AK/SK的创建时间） 查询所有AK/SK的创建时间。 URI：GET /v3.0/OS-CREDENTIAL/credentials API文档详情请参见：查询所有永久访问密钥 API Explorer在线调试请参见： 查询所有永久访问密钥 请求示例 1) IAM用户查询自己所有AK/SK的创建时间。 GET https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials 2) 管理员查询IAM用户所有AK/SK的创建时间。(待查询的用户ID为:076…) GET https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials?user_id=076... 响应示例 { "credentials": [ { "access": "LOSZM4YRVLKOY9E8X...", "create_time": "2020-01-08T06:26:08.123059Z", "user_id": "07609fb9358010e21f7bc0037...", "description": "", "status": "active" }, { "access": "P83EVBZJMXCYTMU...", "create_time": "2020-01-08T06:25:19.014028Z", "user_id": "07609fb9358010e21f7bc003751...", "description": "", "status": "active" } ] } 查询指定AK/SK的创建时间。 URI：GET /v3.0/OS-CREDENTIAL/credentials/{access_key} API文档详情请参见：查询指定永久访问密钥 API Explorer在线调试请参见：查询指定永久访问密钥 请求示例 GET https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials/{access_key} 响应示例 { "credential": { "last_use_time": "2020-01-08T06:26:08.123059Z", "access": "LOSZM4YRVLKOY9E8...", "create_time": "2020-01-08T06:26:08.123059Z", "user_id": "07609fb9358010e21f7bc00375....", "description": "", "status": "active" } }

步骤1：创建永久AK/SK URI：POST /v3.0/OS-CREDENTIAL/credentials API文档详情请参见：创建永久访问密钥 API Explorer在线调试请参见：创建永久访问密钥 请求示例 POST https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials { "credential": { "description": "IAMDescription", "user_id": "07609fb9358010e21f7bc003751..." } } 响应示例 { "credential": { "access": "P83EVBZJMXCYTMUII...", "create_time": "2020-01-08T06:25:19.014028Z", "user_id": "07609fb9358010e21f7bc003751...", "description": "IAMDescription", "secret": "TTqAHPbhWorg9ozx8Dv9MUyzYnOKDppxzHt...", "status": "active" }

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM项目与企业项目的区别。 “√”表示支持，“×”表示暂不支持，“-”表示不涉及。 IAM为全局服务，不涉及基于项目授权。 目前，存在部分权限仅支持授权项（Action），暂未支持API，如虚拟MFA管理。

联邦身份认证管理 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 查询身份提供商列表 GET /v3/OS-FEDERATION/identity_providers iam:identityProviders:listIdentityProviders - - 查询身份提供商详情 GET /v3/OS-FEDERATION/identity_providers/{id} iam:identityProviders:getIdentityProvider - - 创建SAML身份提供商 PUT /v3/OS-FEDERATION/identity_providers/{id} iam:identityProviders:createIdentityProvider - - 修改SAML身份提供商配置 PATCH /v3/OS-FEDERATION/identity_providers/{id} iam:identityProviders:updateIdentityProvider - - 删除SAML身份提供商 DELETE /v3/OS-FEDERATION/identity_providers/{id} iam:identityProviders:deleteIdentityProvider - - 创建OIDC身份提供商 POST /v3.0/OS-FEDERATION/identity-providers/{idp_id}/openid-connect-config iam:identityProviders:createOpenIDConnectConfig - - 修改OIDC身份提供商配置 PUT /v3.0/OS-FEDERATION/identity-providers/{idp_id}/openid-connect-config iam:identityProviders:updateOpenIDConnectConfig - - 查询OIDC身份提供商 GET /v3.0/OS-FEDERATION/identity-providers/{idp_id}/openid-connect-config iam:identityProviders:getOpenIDConnectConfig - - 查询映射列表 GET /v3/OS-FEDERATION/mappings iam:identityProviders:listMappings - - 查询映射详情 GET /v3/OS-FEDERATION/mappings/{id} iam:identityProviders:getMapping - - 注册映射 PUT /v3/OS-FEDERATION/mappings/{id} iam:identityProviders:createMapping - - 更新映射 PATCH /v3/OS-FEDERATION/mappings/{id} iam:identityProviders:updateMapping - - 删除映射 DELETE /v3/OS-FEDERATION/mappings/{id} iam:identityProviders:deleteMapping - - 查询协议列表 GET /v3/OS-FEDERATION/identity_providers/{idp_id}/protocols iam:identityProviders:listProtocols - - 查询协议详情 GET /v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id} iam:identityProviders:getProtocol - - 注册协议 PUT /v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id} iam:identityProviders:createProtocol - - 更新协议 PATCH /v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id} iam:identityProviders:updateProtocol - - 删除协议 DELETE /v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id} iam:identityProviders:deleteProtocol - - 查询Metadata文件 GET /v3-ext/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}/metadata iam:identityProviders:getIDPMetadata - - 导入Metadata文件 POST /v3-ext/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}/metadata iam:identityProviders:createIDPMetadata - -

安全设置 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 修改账号操作保护策略 PUT /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/protect-policy iam:securitypolicies:updateProtectPolicy - - 查询账号操作保护策略 GET /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/protect-policy iam:securitypolicies:getProtectPolicy - - 修改账号密码策略 PUT /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/password-policy iam:securitypolicies:updatePasswordPolicy - - 查询账号密码策略 GET /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/password-policy iam:securitypolicies:getPasswordPolicy - - 修改账号登录策略 PUT /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/login-policy iam:securitypolicies:updateLoginPolicy - - 查询账号登录策略 GET /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/login-policy iam:securitypolicies:getLoginPolicy - - 修改账号控制台访问策略 PUT /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/console-acl-policy iam:securitypolicies:updateConsoleAclPolicy - - 查询账号控制台访问策略 GET /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/console-acl-policy iam:securitypolicies:getConsoleAclPolicy - - 修改账号接口访问策略 PUT /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/api-acl-policy iam:securitypolicies:updateApiAclPolicy - - 查询账号接口访问策略 GET /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/api-acl-policy iam:securitypolicies:getApiAclPolicy - -

企业项目管理 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 查询企业项目关联的用户组 GET /v3.0/OS-PERMISSION/enterprise-projects/{enterprise_project_id}/groups iam:permissions:listGroupsOnEnterpriseProject - √ 查询企业项目已关联用户组的权限 GET /v3.0/OS-PERMISSION/enterprise-projects/{enterprise_project_id}/groups/{group_id}/roles iam:permissions:listRolesForGroupOnEnterpriseProject - √ 基于用户组为企业项目授权 PUT /v3.0/OS-PERMISSION/enterprise-projects/{enterprise_project_id}/groups/{group_id}/roles/{role_id} iam:permissions:grantRoleToGroupOnEnterpriseProject - √ 删除企业项目关联的用户组权限 DELETE /v3.0/OS-PERMISSION/enterprise-projects/{enterprise_project_id}/groups/{group_id}/roles/{role_id} iam:permissions:revokeRoleFromGroupOnEnterpriseProject - √ 查询用户组关联的企业项目 GET /v3.0/OS-PERMISSION/groups/{group_id}/enterprise-projects iam:permissions:listEnterpriseProjectsForGroup - √ 查询用户直接关联的企业项目 GET /v3.0/OS-PERMISSION/users/{user_id}/enterprise-projects iam:permissions:listEnterpriseProjectsForUser - √ 查询企业项目直接关联用户 GET /v3.0/OS-PERMISSION/enterprise-projects/{enterprise_project_id}/users iam:permissions:listUsersForEnterpriseProject - √ 查询企业项目直接关联用户的角色 GET /v3.0/OS-PERMISSION/enterprise-projects/{enterprise_project_id}/users/{user_id}/roles iam:permissions:listRolesForUserOnEnterpriseProject - √ 基于用户为企业项目授权 PUT /v3.0/OS-PERMISSION/enterprise-projects/{enterprise_project_id}/users/{user_id}/roles/{role_id} iam:permissions:grantRoleToUserOnEnterpriseProject - √ 删除企业项目直接关联用户的权限 DELETE /v3.0/OS-PERMISSION/enterprise-projects/{enterprise_project_id}/users/{user_id}/roles/{role_id} iam:permissions:revokeRoleFromUserOnEnterpriseProject - √

自定义策略管理 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 查询自定义策略列表 GET /v3.0/OS-ROLE/roles iam:roles:listRoles - - 查询自定义策略详情 GET /v3.0/OS-ROLE/roles/{role_id} iam:roles:getRole - - 创建云服务自定义策略 POST /v3.0/OS-ROLE/roles iam:roles:createRole - - 修改云服务自定义策略 PATCH /v3.0/OS-ROLE/roles/{role_id} iam:roles:updateRole - - 删除自定义策略 DELETE /v3.0/OS-ROLE/roles/{role_id} iam:roles:deleteRole - -

委托管理 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 创建委托 POST /v3.0/OS-AGENCY/agencies iam:agencies:createAgency - - 查询指定条件下的委托列表 GET /v3.0/OS-AGENCY/agencies iam:agencies:listAgencies - - 查询委托详情 GET /v3.0/OS-AGENCY/agencies/{agency_id} iam:agencies:getAgency - - 修改委托 PUT /v3.0/OS-AGENCY/agencies/{agency_id} iam:agencies:updateAgency - - 删除委托 DELETE /v3.0/OS-AGENCY/agencies/{agency_id} iam:agencies:deleteAgency - - 为委托授予项目服务权限 PUT /v3.0/OS-AGENCY/projects/{project_id}/agencies/{agency_id}/roles/{role_id} iam:permissions:grantRoleToAgencyOnProject - - 查询委托是否拥有项目服务权限 HEAD /v3.0/OS-AGENCY/projects/{project_id}/agencies/{agency_id}/roles/{role_id} iam:permissions:checkRoleForAgencyOnProject - - 查询项目服务中的委托权限 GET /v3.0/OS-AGENCY/projects/{project_id}/agencies/{agency_id}/roles iam:permissions:listRolesForAgencyOnProject - - 移除委托的项目服务权限 DELETE /v3.0/OS-AGENCY/projects/{project_id}/agencies/{agency_id}/roles/{role_id} iam:permissions:revokeRoleFromAgencyOnProject - - 为委托授予全局服务权限 PUT /v3.0/OS-AGENCY/domains/{domain_id}/agencies/{agency_id}/roles/{role_id} iam:permissions:grantRoleToAgencyOnDomain - - 查询委托是否拥有全局服务权限 HEAD /v3.0/OS-AGENCY/domains/{domain_id}/agencies/{agency_id}/roles/{role_id} iam:permissions:checkRoleForAgencyOnDomain - - 查询全局服务中的委托权限 GET /v3.0/OS-AGENCY/domains/{domain_id}/agencies/{agency_id}/roles iam:permissions:listRolesForAgencyOnDomain - - 移除委托的全局服务权限 DELETE /v3.0/OS-AGENCY/domains/{domain_id}/agencies/{agency_id}/roles/{role_id} iam:permissions:revokeRoleFromAgencyOnDomain - - 查询委托的所有权限 GET /v3.0/OS-INHERIT/domains/{domain_id}/agencies/{agency_id}/roles/inherited_to_projects iam:permissions:listRolesForAgency - - 查询委托是否拥有指定权限 HEAD /v3.0/OS-INHERIT/domains/{domain_id}/agencies/{agency_id}/roles/{role_id}/inherited_to_projects iam:permissions:checkRoleForAgency - - 为委托授予指定权限 PUT /v3.0/OS-INHERIT/domains/{domain_id}/agencies/{agency_id}/roles/{role_id}/inherited_to_projects iam:permissions:grantRoleToAgency - - 移除委托的指定权限 DELETE /v3.0/OS-INHERIT/domains/{domain_id}/agencies/{agency_id}/roles/{role_id}/inherited_to_projects iam:permissions:revokeRoleFromAgency - -

权限管理 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 查询权限列表 GET /v3/roles iam:roles:listRoles - - 查询权限详情 GET /v3/roles/{role_id} iam:roles:getRole - - 查询租户授权信息 GET /v3.0/OS-PERMISSION/role-assignments iam:permissions:listRoleAssignments √ √ 查询全局服务中的用户组权限 GET /v3/domains/{domain_id}/groups/{group_id}/roles iam:permissions:listRolesForGroupOnDomain - - 查询项目服务中的用户组权限 GET /v3/projects/{project_id}/groups/{group_id}/roles iam:permissions:listRolesForGroupOnProject - - 为用户组授予全局服务权限 PUT /v3/domains/{domain_id}/groups/{group_id}/roles/{role_id} iam:permissions:grantRoleToGroupOnDomain - - 为用户组授予项目服务权限 PUT /v3/projects/{project_id}/groups/{group_id}/roles/{role_id} iam:permissions:grantRoleToGroupOnProject - - 移除用户组的项目服务权限 DELETE /v3/projects/{project_id}/groups/{group_id}/roles/{role_id} iam:permissions:revokeRoleFromGroupOnProject - - 移除用户组的全局服务权限 DELETE /v3/domains/{domain_id}/groups/{group_id}/roles/{role_id} iam:permissions:revokeRoleFromGroupOnDomain - - 查询用户组是否拥有全局服务权限 HEAD /v3/domains/{domain_id}/groups/{group_id}/roles/{role_id} iam:permissions:checkRoleForGroupOnDomain - - 查询用户组是否拥有项目服务权限 HEAD /v3/projects/{project_id}/groups/{group_id}/roles/{role_id} iam:permissions:checkRoleForGroupOnProject - - 为用户组授予所有项目服务权限 PUT /v3/OS-INHERIT/domains/{domain_id}/groups/{group_id}/roles/{role_id}/inherited_to_projects iam:permissions:grantRoleToGroup - - 查询用户在指定项目上拥有的权限 × iam:permissions:listRolesForUserOnProject - - 查询用户组的所有权限 × iam:permissions:listRolesForGroup - - 查询用户组是否拥有指定权限 × iam:permissions:checkRoleForGroup - - 移除用户组的指定权限 × iam:permissions:revokeRoleFromGroup - - 查询账号授权记录 × iam:permissions:listRoleAssignments - -

用户组管理 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 查询IAM用户所属用户组 GET /v3/users/{user_id}/groups iam:groups:listGroupsForUser - - 管理员查询用户组所包含的IAM用户 GET /v3/groups/{group_id}/users iam:users:listUsersForGroup - - 查询用户组列表 GET /v3/groups iam:groups:listGroups - - 查询用户组详情 GET /v3/groups/{group_id} iam:groups:getGroup - - 创建用户组 POST /v3/groups iam:groups:createGroup - - 更新用户组 PATCH /v3/groups/{group_id} iam:groups:updateGroup - - 删除用户组 DELETE /v3/groups/{group_id} iam:groups:deleteGroup iam:permissions:removeUserFromGroup iam:permissions:revokeRoleFromGroup iam:permissions:revokeRoleFromGroupOnProject iam:permissions:revokeRoleFromGroupOnDomain - - 查询用户是否在用户组中 HEAD /v3/groups/{group_id}/users/{user_id} iam:permissions:checkUserInGroup - - 添加IAM用户到用户组 PUT /v3/groups/{group_id}/users/{user_id} iam:permissions:addUserToGroup - - 移除用户组中的IAM用户 DELETE /v3/groups/{group_id}/users/{user_id} iam:permissions:removeUserFromGroup - -

IAM用户管理 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 管理员查询IAM用户列表 GET /v3/users iam:users:listUsers - - 管理员创建IAM用户 POST /v3/users iam:users:createUser - - 管理员修改IAM用户信息 PATCH /v3/users/{user_id} iam:users:updateUser - - 管理员删除IAM用户 DELETE /v3/users/{user_id} iam:users:deleteUser - - 管理员创建IAM用户（推荐） POST /v3.0/OS-USER/users iam:users:createUser - - 查询用户详情(包含邮箱和手机号码) GET /v3.0/OS-USER/users/{user_id} iam:users:getUser - - 查询IAM用户详情 GET /v3/users/{user_id} iam:users:getUser - - 管理员重置IAM用户密码 × iam:users:resetUserPassword - - 设置登录保护 × iam:users:setUserLoginProtect - - 查询指定项目上有权限的用户列表 × iam:users:listUsersForProject - - 查询IAM用户的MFA绑定信息列表 GET /v3.0/OS-MFA/virtual-mfa-devices iam:mfa:listVirtualMFADevices - - 查询指定IAM用户的MFA绑定信息 GET /v3.0/OS-MFA/users/{user_id}/virtual-mfa-device iam:mfa:getVirtualMFADevice - - 查询IAM用户的登录保护状态信息列表 GET /v3.0/OS-USER/login-protects iam:users:listUserLoginProtects - - 查询指定IAM用户的登录保护状态信息 GET /v3.0/OS-USER/users/{user_id}/login-protect iam:users:getUserLoginProtect - -

项目管理 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 查询项目列表 GET /v3/projects iam:projects:listProjects - - 创建项目 POST /v3/projects iam:projects:createProject - - 修改项目信息 PATCH /v3/projects/{project_id} iam:projects:updateProject - - 设置项目状态 PUT /v3-ext/projects/{project_id} iam:projects:updateProject - - 查询指定IAM用户的项目列表 GET /v3/users/{user_id}/projects iam:projects:listProjectsForUser - - 删除指定项目 × iam:projects:deleteProject - - 查询指定项目的配额 GET /v3.0/OS-QUOTA/projects/{project_id} iam:quotas:listQuotasForProject - -

访问密钥管理 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 查询所有永久访问密钥 GET /v3.0/OS-CREDENTIAL/credentials iam:credentials:listCredentials - - 查询指定永久访问密钥 GET /v3.0/OS-CREDENTIAL/credentials/{access_key} iam:credentials:getCredential - - 创建永久访问密钥 POST /v3.0/OS-CREDENTIAL/credentials iam:credentials:createCredential - - 修改指定永久访问密钥 PUT /v3.0/OS-CREDENTIAL/credentials/{access_key} iam:credentials:updateCredential - - 删除指定永久访问密钥 DELETE /v3.0/OS-CREDENTIAL/credentials/{access_key} iam:credentials:deleteCredential - -

虚拟MFA管理 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 绑定MFA设备 PUT /v3.0/OS-MFA/mfa-devices/bind iam:mfa:bindMFADevice - - 解绑MFA设备 PUT /v3.0/OS-MFA/mfa-devices/unbind iam:mfa:unbindMFADevice - - 创建虚拟MFA设备密钥 POST /v3.0/OS-MFA/virtual-mfa-devices iam:mfa:createVirtualMFADevice - - 删除MFA设备 DELETE /v3.0/OS-MFA/virtual-mfa-devices iam:mfa:deleteVirtualMFADevice - -

响应参数 状态码： 200 表3 响应Body参数 参数 参数类型 描述 protect_policy protect_policy object 操作保护策略。 表4 protect_policy 参数 参数类型 描述 allow_user AllowUserBody object 用户可以自主修改的属性。 operation_protection boolean 是否开启操作保护，取值范围true或false。 mobile String 操作保护验证指定手机号码。示例:0086-123456789。 admin_check String 是否指定人员验证。on为指定人员验证，off为操作员验证。 email String 操作保护验证指定邮件地址。示例:example@email.com。 scene String 操作保护指定人员验证方式，包括mobile、email。 表5 protect_policy.allow_user 名称 类型 描述 manage_accesskey boolean 是否允许子用户自行管理AK，取值范围true或false。 manage_email boolean 是否允许子用户自己修改邮箱，取值范围true或false。 manage_mobile boolean 是否允许子用户自己修改电话，取值范围true或false。 manage_password boolean 是否允许子用户自己修改密码，取值范围true或false。

响应示例 状态码为 200 时: 请求成功。 { "api_acl_policy" : { "allow_ip_ranges" : [ { "ip_range" : "0.0.0.0-255.255.255.255", "description" : "" }, { "ip_range" : "0.0.0.0-255.255.255.255", "description" : "" } ], "allow_address_netmasks" : [ { "address_netmask" : "192.168.0.1/24", "description" : "" }, { "address_netmask" : "192.168.0.1/24", "description" : "" } ] } }

响应参数 表3 响应Body参数 参数 参数类型 描述 api_acl_policy object 接口访问控制策略。 表4 api_acl_policy 参数 参数类型 描述 allow_address_netmasks Array of objects 允许访问的IP地址或网段，仅在设置了允许访问的IP地址或网段才会返回此字段。 allow_ip_ranges Array of objects 允许访问的IP地址区间，仅在设置了允许访问的IP地址区间才会返回此字段。 表5 allow_address_netmasks 参数 参数类型 描述 address_netmask String IP地址或网段，例如:192.168.0.1/24。 description String 描述信息。 表6 allow_ip_ranges 参数 参数类型 描述 ip_range String IP地址区间，例如0.0.0.0-255.255.255.255。 description String 描述信息。

请求示例 修改账号的接口访问策略：允许访问的IP地址区间为“0.0.0.0-255.255.255.255”。 PUT https://iam.myhuaweicloud.com/v3.0/OS-SECURITYPOLICY/domains/{domain_id}/api-acl-policy { "api_acl_policy": { "allow_ip_ranges": [ { "description": "2", "ip_range": "0.0.0.0-255.255.255.255" } ] } }

响应参数 表7 响应Body参数 参数 参数类型 描述 api_acl_policy object 接口访问控制策略。 表8 api_acl_policy 参数 参数类型 描述 allow_address_netmasks objects 允许访问的IP地址或网段，仅在设置了允许访问的IP地址或网段才会返回此字段。 allow_ip_ranges objects 允许访问的IP地址区间，仅在设置了允许访问的IP地址区间才会返回此字段。 表9 allow_address_netmasks 参数 参数类型 描述 address_netmask String IP地址或网段，例如:192.168.0.1/24。 description String 描述信息。 表10 allow_ip_ranges 参数 参数类型 描述 description String 描述信息。 ip_range String IP地址区间，例如:0.0.0.0-255.255.255.255。

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 访问令牌，承载用户的身份、权限等信息。 token所需权限请参见授权项。 表3 请求Body参数 参数 是否必选 参数类型 描述 api_acl_policy 是 object 接口访问控制策略。 表4 api_acl_policy 参数 是否必选 参数类型 描述 allow_address_netmasks 否 Array of objects 允许访问的IP地址或网段。 allow_address_netmasks与allow_ip_ranges两个参数二选一即可。 allow_ip_ranges 否 Array of objects 允许访问的IP地址区间。 allow_address_netmasks与allow_ip_ranges两个参数二选一即可。 表5 allow_address_netmasks 参数 是否必选 参数类型 描述 address_netmask 是 String IP地址或网段，例如:192.168.0.1/24。 description 否 String 描述信息。 表6 allow_ip_ranges 参数 是否必选 参数类型 描述 description 否 String 描述信息。 ip_range 是 String IP地址区间，例如:0.0.0.0-255.255.255.255。

响应示例 状态码为 200 时: 请求成功。 { "console_acl_policy": { "allow_ip_ranges": [{ "ip_range": "0.0.0.0-255.255.255.255", "description": "我是ipv4的ip地址区间" }], "allow_ip_ranges_ipv6": [{ "ip_range": "0000:0000:0000:0000:0000:0000:0000:0000-FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF", "description": "我是ipv6的ip地址区间" }], "allow_address_netmasks": [{ "address_netmask": "192.168.0.1/24", "description": "我是ipv4的ip地址或网段" }], "allow_address_netmasks_ipv6": [{ "address_netmask": "0000:0000:0000:0000:0000:0000:0000:0000/100", "description": "我是ipv6的ip地址或网段" }] } }

响应参数 表3 响应Body参数 参数 参数类型 描述 console_acl_policy object 控制台访问控制策略。 表4 console_acl_policy 参数 参数类型 描述 allow_address_netmasks Array of objects 允许访问的IPv4地址或网段，仅在设置了允许访问的IP地址或网段才会返回此字段。 allow_ip_ranges Array of objects 允许访问的IPv4地址区间，仅在设置了允许访问的IP地址区间才会返回此字段。 allow_address_netmasks_ipv6 Array of objects 允许访问的IPv6地址或网段。 allow_ip_ranges_ipv6 Array of objects 允许访问的IPv6地址区间。 表5 allow_address_netmasks 参数 参数类型 描述 address_netmask String IP地址或网段，例如：192.168.0.1/24。 description String 描述信息。 表6 allow_ip_ranges 参数 参数类型 描述 description String 描述信息。 ip_range String IP地址区间，例如0.0.0.0-255.255.255.255。 表7 allow_address_netmasks_ipv6 参数 参数类型 描述 address_netmask String IP地址或网段，例如：0000:0000:0000:0000:0000:0000:0000:0000/100。 description String 描述信息。 表8 allow_ip_ranges_ipv6 参数 参数类型 描述 description String 描述信息。 ip_range String IP地址区间，例如：0000:0000:0000:0000:0000:0000:0000:0000-FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF。

响应示例 状态码为 200 时: 请求成功。 { "console_acl_policy": { "allow_ip_ranges": [{ "ip_range": "0.0.0.0-255.255.255.255", "description": "我是ipv4的ip地址区间" }], "allow_ip_ranges_ipv6": [{ "ip_range": "0000:0000:0000:0000:0000:0000:0000:0000-FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF", "description": "我是ipv6的ip地址区间" }], "allow_address_netmasks": [{ "address_netmask": "192.168.0.1/24", "description": "我是ipv4的ip地址或网段" }], "allow_address_netmasks_ipv6": [{ "address_netmask": "0000:0000:0000:0000:0000:0000:0000:0000/100", "description": "我是ipv6的ip地址或网段" }] } }

响应参数 表7 响应Body参数 参数 参数类型 描述 console_acl_policy object Console访问控制策略。 表8 console_acl_policy 参数 参数类型 描述 allow_address_netmasks Array of objects 允许访问的IPv4地址或网段，仅在设置了允许访问的IPv4地址或网段才会返回此字段。 allow_ip_ranges Array of objects 允许访问的IPv4地址区间，仅在设置了允许访问的IPv4地址区间才会返回此字段。 allow_address_netmasks_ipv6 Array of objects 允许访问的IPv6地址或网段，仅在设置了允许访问的IPv6地址或网段才会返回此字段。 allow_ip_ranges_ipv6 Array of objects 允许访问的IPv6地址区间，仅在设置了允许访问的IPv6地址区间才会返回此字段。 表9 allow_address_netmasks 参数 参数类型 描述 address_netmask String IPv4地址或网段，例如:192.168.0.1/24。 description String 描述信息。 表10 allow_ip_ranges 参数 参数类型 描述 description String 描述信息。 ip_range String IPv4地址区间，例如:0.0.0.0-255.255.255.255。 表11 allow_address_netmasks_ipv6 参数 参数类型 描述 address_netmask String IPv6地址或网段，例如:0000:0000:0000:0000:0000:0000:0000:0000/100。 description String 描述信息。 表12 allow_ip_ranges_ipv4 参数 参数类型 描述 description String 描述信息。 ip_range String IPv6地址区间，例如:0000:0000:0000:0000:0000:0000:0000:0000-FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF。

请求示例 修改账号的控制台访问策略：允许访问的IP地址区间为“0.0.0.0-255.255.255.255”。 PUT https://iam.myhuaweicloud.com/v3.0/OS-SECURITYPOLICY/domains/{domain_id}/console-acl-policy { "console_acl_policy": { "allow_ip_ranges": [{ "ip_range": "0.0.0.0-255.255.255.255", "description": "我是ipv4的ip地址区间" }], "allow_ip_ranges_ipv6": [{ "ip_range": "0000:0000:0000:0000:0000:0000:0000:0000-FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF", "description": "我是ipv6的ip地址区间" }], "allow_address_netmasks": [{ "address_netmask": "192.168.0.1/24", "description": "我是ipv4的ip地址或网段" }], "allow_address_netmasks_ipv6": [{ "address_netmask": "0000:0000:0000:0000:0000:0000:0000:0000/100", "description": "我是ipv6的ip地址或网段" }] } }

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 访问令牌，承载用户的身份、权限等信息。 token所需权限请参见授权项。 表3 请求Body参数 参数 是否必选 参数类型 描述 console_acl_policy 是 object 控制台访问控制策略。 表4 console_acl_policy 参数 是否必选 参数类型 描述 allow_address_netmasks 否 Array of objects 允许访问的IPv4地址或网段。allow_address_netmasks与 allow_ip_ranges两个参数二选一即可。 allow_ip_ranges 否 Array of objects 允许访问的IPv4地址区间。allow_address_netmasks与 allow_ip_ranges两个参数二选一即可。 allow_address_netmasks_ipv6 否 Array of objects 允许访问的IPv6地址或网段。allow_address_netmasks_ipv6与 allow_ip_ranges_ipv6两个参数二选一即可。 allow_ip_ranges_ipv6 否 Array of objects 允许访问的IPv6地址区间。allow_address_netmasks_ipv6与 allow_ip_ranges_ipv6两个参数二选一即可。 表5 allow_address_netmasks 参数 是否必选 参数类型 描述 address_netmask 是 String IP地址或网段，例如:192.168.0.1/24。 description 否 String 描述信息。 表6 allow_ip_ranges 参数 是否必选 参数类型 描述 description 否 String 描述信息。 ip_range 是 String IP地址区间，例如:0.0.0.0-255.255.255.255。