使用前必读
概述
欢迎使用统一身份认证(Identity and Access Management,简称IAM)。IAM是提供用户身份认证、权限分配、访问控制等功能的身份管理服务,可以帮助您安全地控制对华为云资源的访问。您可以使用IAM创建以及管理用户,并使用权限来允许或拒绝他们对华为云资源的访问。
IAM除了支持界面控制台操作外,还提供API供您调用,您可以使用本文档提供的API对IAM进行相关操作,如创建用户、创建用户组、获取Token等。在调用IAM的API之前,请确保已经充分了解IAM的相关概念,详细信息请参见:IAM产品介绍。
调用说明
欢迎使用统一身份认证(Identity and Access Management,简称IAM)。IAM是提供用户身份认证、权限分配、访问控制等功能的身份管理服务,可以帮助您安全地控制对华为云资源的访问。您可以使用IAM创建以及管理用户,并使用权限来允许或拒绝他们对华为云资源的访问。
IAM除了支持界面控制台操作外,还提供API供您调用,您可以使用本文档提供的API对IAM进行相关操作,如创建用户、创建用户组、获取Token等。在调用IAM的API之前,请确保已经充分了解IAM的相关概念,详细信息请参见:IAM产品介绍。
终端节点
终端节点即调用API的请求地址,不同服务在不同区域的终端节点不同,您可以从地区和终端节点中查询IAM的终端节点。
IAM的终端节点如表1所示。IAM是全局级服务,数据全局一份,在全局项目中存储,IAM所有的API都可以使用全局服务的Endpoint调用;除了全局区域外,为了配合其他区域级云服务的API/CLI访问,IAM在其他区域(除全局服务外的所有区域)提供部分API,请您根据约束与限制,选择对应区域的终端节点调用API。
|
区域名称 |
区域 |
终端节点(Endpoint) |
|---|---|---|
|
全局 |
global |
iam.myhuaweicloud.com |
|
华北-北京一 |
cn-north-1 |
iam.cn-north-1.myhuaweicloud.com |
|
华北-北京二 |
cn-north-2 |
iam.cn-north-2.myhuaweicloud.com |
|
华北-北京四 |
cn-north-4 |
iam.cn-north-4.myhuaweicloud.com |
|
华东-上海一 |
cn-east-3 |
iam.cn-east-3.myhuaweicloud.com |
|
华东-上海二 |
cn-east-2 |
iam.cn-east-2.myhuaweicloud.com |
|
华南-广州 |
cn-south-1 |
iam.cn-south-1.myhuaweicloud.com |
|
华南-深圳 |
cn-south-2 |
iam.cn-south-2.myhuaweicloud.com |
|
西南-贵阳一 |
cn-southwest-2 |
iam.cn-southwest-2.myhuaweicloud.com |
|
中国-香港 |
ap-southeast-1 |
iam.ap-southeast-1.myhuaweicloud.com |
|
亚太-曼谷 |
ap-southeast-2 |
iam.ap-southeast-2.myhuaweicloud.com |
|
亚太-新加坡 |
ap-southeast-3 |
iam.ap-southeast-3.myhuaweicloud.com |
|
亚太-雅加达 |
ap-southeast-4 |
iam.ap-southeast-4.myhuaweicloud.com |
|
非洲-约翰内斯堡 |
af-south-1 |
iam.af-south-1.myhuaweicloud.com |
|
拉美-圣地亚哥 |
la-south-2 |
iam.la-south-2.myhuaweicloud.com |
|
欧洲-都柏林 |
eu-west-101 |
iam.myhuaweicloud.eu |
|
欧洲-巴黎 |
eu-west-0 |
iam.eu-west-0.myhuaweicloud.com |
|
土耳其-伊斯坦布尔 |
tr-west-1 |
iam.tr-west-1.myhuaweicloud.com |
|
中东-阿布扎比-OP5 |
ae-ad-1 |
iam.ae-ad-1.myhuaweicloud.com |
参数说明
使用IAM API涉及的参数对应在控制台名称及如何获取,如表2所示。
|
API参数名称 |
控制台中文名称 |
控制台英文名称 |
如何从控制台获取 |
|---|---|---|---|
|
domain |
账号 |
Account |
|
|
domain_id/租户ID |
账号ID |
Account ID |
|
|
domain_name/租户名 |
账号名 |
Account name |
|
|
user |
IAM用户 |
IAM user |
|
|
user_id |
IAM用户ID |
IAM user ID |
|
|
user_name |
IAM用户名 |
IAM user name |
|
|
group |
用户组 |
User group |
|
|
group_id |
用户组ID |
User group ID |
|
|
group_name |
用户组名称 |
User group name |
|
|
project |
项目 |
Project |
|
|
project_id |
项目ID |
Project ID |
|
|
project_name |
项目名称 |
Project Name |
|
|
agency |
委托 |
Agency |
|
|
agency_id |
委托ID |
Agency ID |
|
|
agency_name |
委托名称 |
Agency Name |
基本概念
使用API涉及的常用概念
- 账号
用户注册华为云时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用他们进行日常管理工作。
- 用户
由账号在IAM中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。
在我的凭证下,您可以查看账号ID和用户ID。通常在调用API的鉴权过程中,您需要用到账号、用户和密码等信息。
- 区域(Region)
从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region,通用Region指面向公共租户提供通用云服务的Region;专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。
- 可用区(AZ,Availability Zone)
AZ是一个或多个物理数据中心的集合,有独立的风火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。
- 项目
华为云的区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),以默认项目为单位进行授权,用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制,可以在区域默认的项目中创建子项目,并在子项目中购买资源,然后以子项目为单位进行授权,使得用户仅能访问特定子项目中资源,使得资源的权限控制更加精确。
图1 项目隔离模型
同样在我的凭证下,您可以查看项目ID。
- 企业项目
企业项目是项目的升级版,针对企业不同项目间资源的分组和管理,是逻辑隔离。企业项目中可以包含多个区域的资源,且项目中的资源可以迁入迁出。
关于企业项目ID的获取及企业项目特性的详细信息,请参见《企业管理服务用户指南》。
