获取pod-identity关联相关委托凭据 - AssumeAgencyForPodIdentity
功能介绍
该API用于通过ServiceAccount token来assume获取ServiceAccount所关联的pod-identity关联中绑定的IAM委托凭据。
调用方法
请参见如何调用API。
授权信息
账号具备所有API的调用权限,如果使用账号下的IAM用户调用当前API,该IAM用户需具备调用API所需的权限。
- 如果使用角色与策略授权,具体权限要求请参见权限和授权项。
- 如果使用身份策略授权,需具备如下身份策略权限。
授权项
访问级别
资源类型(*为必须)
条件键
别名
依赖的授权项
cce::assumeAgencyForPodIdentity
Write
-
-
-
-
URI
POST /api/v3/projects/{project_id}/clusters/{cluster_id}/assume-agency-for-pod-identity
| 参数 | 是否必选 | 参数类型 | 描述 |
|---|---|---|---|
| project_id | 是 | String | 参数解释: 项目ID,获取方式请参见如何获取接口URI中参数。 约束限制: 不涉及 取值范围: 账号的项目ID 默认取值: 不涉及 |
| cluster_id | 是 | String | 参数解释: 集群ID,获取方式请参见如何获取接口URI中参数。 约束限制: 不涉及 取值范围: 集群ID 默认取值: 不涉及 |
请求参数
| 参数 | 是否必选 | 参数类型 | 描述 |
|---|---|---|---|
| Content-Type | 是 | String | 参数解释: 消息体的类型(格式),默认为application/json,有其他取值时会在具体接口中专门说明。 约束限制: GET方法不做校验 默认取值: 不涉及 |
| X-Auth-Token | 是 | String | 参数解释: 调用接口的认证方式分为Token和AK/SK两种,如果您使用的Token方式,此参数为必填,请填写Token的值,获取方式请参见获取token。 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及 |
| 参数 | 是否必选 | 参数类型 | 描述 |
|---|---|---|---|
| token | 是 | String | 参数解释: pod-identity关联所绑定的ServiceAccount token。 约束限制: 不涉及 取值范围: 不涉及 默认取值: 无 |
响应参数
状态码:200
| 参数 | 参数类型 | 描述 |
|---|---|---|
| assumedAgency | AssumedAgency object | 参数解释: 凭据对应的委托元数据信息。 该属性只在pod-identity关联绑定信任委托时返回 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及 |
| audience | String | 参数解释: 凭据签发时传入的audience属性,通过pod-identity关联获取委托凭据的场景下,该值固定为 service.cce.pods。 该属性只在pod-identity关联绑定信任委托时返回 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及 |
| credentials | Credentials object | 参数解释: 凭据详情 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及 |
| podIdentityAssociationId | String | 参数解释: 委托凭据所属的pod-identity关联id。 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及 |
| subject | PodIdentitySubject object | 参数解释: 委托凭据所属的ServiceAccount归属信息 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及 |
| 参数 | 参数类型 | 描述 |
|---|---|---|
| urn | String | 参数解释: 委托的唯一身份标识信息,形如: sts::{account_id}::assumed-agency:{agency_name}/{agency_session_name} 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及 |
| id | String | 参数解释: 委托的id属性,形如: {agency_id}:{agency_session_name} 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及 |
| 参数 | 参数类型 | 描述 |
|---|---|---|
| accessKeyId | String | 参数解释: 临时安全凭证的AK 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及 |
| secretAccessKey | String | 参数解释: 临时安全凭证的SK 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及 |
| securityToken | String | 参数解释: 临时安全凭证的security_token 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及 |
| expiration | String | 参数解释: 临时安全凭证的失效时间 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及 |
请求示例
获取pod-identity关联相关委托凭据
POST /api/v3/projects/{project_id}/clusters/{cluster_id}/assume-agency-for-pod-identity
{
"token" : "hQpjbi1XXXXXX...XXXXXKbhBbA0TQ=="
} 响应示例
状态码:200
表示获取pod-identity关联相关委托凭据成功
{
"assumedAgency" : {
"urn" : "sts::27680d67da6b47eb82d00a1a1xxxxxx5::assumed-agency:example-agency/cce-{cluster_id}-{pod_id}-{random_UUID}",
"id" : "011e7f329d2241e981a3d63bexxxxxx5:cce-{cluster_id}-{pod_id}-{random_UUID}"
},
"audience" : "service.cce.pods",
"credentials" : {
"accessKeyId" : "HSTANO...XBS55JLJ3",
"secretAccessKey" : "EoWCQrr...SCcw4Whkt2aXKWAr",
"securityToken" : "hQpjbi1XXXXXX...XXXXXKbhBbA0TQ==",
"expiration" : "2022-09-07T03:27:51.158Z"
},
"podIdentityAssociationId" : "402358e8-2e3a-4531-bae7-fe9cbxxxxxx1",
"subject" : {
"namespace" : "example-namespace",
"serviceAccount" : "example-serviceaccount"
}
} 状态码
| 状态码 | 描述 |
|---|---|
| 200 | 表示获取pod-identity关联相关委托凭据成功 |
错误码
请参见错误码。
