文档首页/ 统一身份认证服务 IAM/ API参考/ API概览
更新时间:2025-12-04 GMT+08:00
查看PDF
分享

API概览

Token管理

接口

说明

获取IAM用户Token(使用密码)- KeystoneCreateUserTokenByPassword

该接口可以用于通过用户名/密码的方式进行认证来获取IAM用户Token。

获取IAM用户Token(使用密码+虚拟MFA)- KeystoneCreateUserTokenByPasswordAndMfa

该接口可以用于在IAM用户开启了登录保护功能,并选择通过虚拟MFA验证时,通过用户名/密码+虚拟MFA的方式进行认证来获取IAM用户token。

获取委托Token - KeystoneCreateAgencyToken

该接口可以用于获取委托方的token。

校验Token的有效性 - KeystoneValidateToken

该接口可以用于管理员校验本账号中IAM用户token的有效性,或IAM用户校验自己token的有效性

访问密钥管理

接口

说明

获取委托的临时访问密钥和securitytoken - CreateTemporaryAccessKeyByAgency

该接口可以用于通过委托来获取临时访问密钥(临时AK/SK)和securitytoken。

获取用户的临时访问密钥和securitytoken - CreateTemporaryAccessKeyByToken

该接口可以用于通过token来获取临时AK/SK和securitytoken。

创建永久访问密钥 - CreatePermanentAccessKey

该接口可以用于管理员给IAM用户创建永久访问密钥,或IAM用户给自己创建永久访问密钥。

查询所有永久访问密钥 - ListPermanentAccessKeys

该接口可以用于管理员查询IAM用户的所有永久访问密钥,或IAM用户查询自己的所有永久访问密钥。

查询指定永久访问密钥 - ShowPermanentAccessKey

该接口可以用于管理员查询IAM用户的指定永久访问密钥,或IAM用户查询自己的指定永久访问密钥。

修改指定永久访问密钥 - UpdatePermanentAccessKey

该接口可以用于管理员修改IAM用户的指定永久访问密钥,或IAM用户修改自己的指定永久访问密钥。

删除指定永久访问密钥 - DeletePermanentAccessKey

该接口可以用于管理员删除IAM用户的指定永久访问密钥,或IAM用户删除自己的指定永久访问密钥。

区域管理

接口

说明

查询区域列表 - KeystoneListRegions

该接口可以用于查询区域列表。

查询区域详情 - KeystoneShowRegion

该接口可以用于查询区域详情。

项目管理

接口

说明

查询指定条件下的项目列表 - KeystoneListProjects

该接口可以用于查询指定条件下的项目列表。

查询指定IAM用户的项目列表 - KeystoneListProjectsForUser

该接口可以用于管理员查询指定IAM用户的项目列表,或IAM用户查询自己的项目列表。

查询IAM用户可以访问的项目列表 - KeystoneListAuthProjects

该接口可以用于查询IAM用户可以访问的项目列表。

创建项目 - KeystoneCreateProject

该接口可以用于管理员创建项目。

修改项目信息 - KeystoneUpdateProject

该接口可以用于管理员修改指定项目信息。

查询项目详情 - KeystoneShowProject

该接口可以用于查询指定项目详情。

设置项目状态 - UpdateProjectStatus

该接口可以用于管理员设置指定项目状态。项目状态包括:正常、冻结。

查询项目详情与状态 - ShowProjectDetailsAndStatus

该接口可以用于管理员查询指定项目详情与状态。

查询项目配额 - ShowProjectQuota

该接口可以用于查询指定项目配额。

账号管理

接口

说明

查询IAM用户可以访问的账号详情 - KeystoneListAuthDomains

该接口可以用于查询IAM用户可以访问的账号详情。

查询账号密码强度策略 - KeystoneShowSecurityCompliance

该接口可以用于查询账号密码强度策略,查询结果包括密码强度策略的正则表达式及其描述。

按条件查询账号密码强度策略 - KeystoneShowSecurityComplianceByOption

该接口可以用于按条件查询账号密码强度策略,查询结果包括密码强度策略的正则表达式及其描述。

查询账号配额 - ShowDomainQuota

该接口可以用于查询账号配额。

IAM用户管理

接口

说明

管理员查询IAM用户列表 - KeystoneListUsers

该接口可以用于管理员查询IAM用户列表。

查询IAM用户详情(推荐)- ShowUser

该接口可以用于管理员查询IAM用户详情,或IAM用户查询自己的用户详情。(可以查询手机号、邮箱)

查询IAM用户详情 - KeystoneShowUser

该接口可以用于管理员查询IAM用户详情,或IAM用户查询自己的用户详情。(不可以查询手机号、邮箱)

查询IAM用户所属用户组 - KeystoneListGroupsForUser

该接口可以用于管理员查询IAM用户所属用户组,或IAM用户查询自己所属用户组。

管理员查询用户组所包含的IAM用户 - KeystoneListUsersForGroupByAdmin

该接口可以用于管理员查询用户组中所包含的IAM用户。

管理员创建IAM用户(推荐)- CreateUser

该接口可以用于管理员创建IAM用户。

管理员创建IAM用户 - KeystoneCreateUser

该接口可以用于管理员创建IAM用户。

修改IAM用户密码 - KeystoneUpdateUserPassword

该接口可以用于IAM用户修改自己的密码。

修改IAM用户信息(推荐)- UpdateUserInformation

该接口可以用于IAM用户修改自己的用户信息。

管理员修改IAM用户信息(推荐)- UpdateUser

该接口可以用于管理员修改IAM用户信息 。

管理员修改IAM用户信息 - KeystoneUpdateUserByAdmin

该接口可以用于管理员修改IAM用户信息。

管理员删除IAM用户 - KeystoneDeleteUser

该接口可以用于管理员删除指定IAM用户。

查询IAM用户的MFA绑定信息列表

该接口可以用于管理员查询IAM用户的MFA绑定信息列表。

查询指定IAM用户的MFA绑定信息

该接口可以用于管理员查询指定IAM用户的MFA绑定信息,或IAM用户查询自己的MFA绑定信息。

查询IAM用户的登录保护状态信息列表

该接口可以用于管理员查询IAM用户的登录保护状态列表。

查询指定IAM用户的登录保护状态信息

该接口可以用于管理员查询指定IAM用户的登录保护状态信息,或IAM用户查询自己的登录保护状态信息。

修改IAM用户的登录保护状态信息

该接口可以用于管理员修改IAM用户的登录保护状态信息。

绑定MFA设备 - CreateBindingDevice

该接口可以用于IAM用户绑定MFA设备。

解绑MFA设备 - DeleteBindingDevice

该接口可以用于IAM用户解绑MFA设备。

创建MFA设备 - CreateMfaDevice

接口可以用于IAM用户创建MFA设备。

删除MFA设备 - DeleteMfaDevice

该接口可以用于管理员删除MFA设备。

用户组管理

接口

说明

查询用户组列表 - KeystoneListGroups

该接口可以用于管理员查询用户组列表。

查询用户组详情 - KeystoneShowGroup

该接口可以用于管理员查询用户组详情。

创建用户组 - KeystoneCreateGroup

该接口可以用于管理员创建用户组。

更新用户组 - KeystoneUpdateGroup

该接口可以用于管理员更新用户组信息。

删除用户组 - KeystoneDeleteGroup

该接口可以用于管理员删除用户组。

查询IAM用户是否在用户组中 - KeystoneCheckUserInGroup

该接口可以用于管理员查询IAM用户是否在用户组中。

添加IAM用户到用户组 - KeystoneAddUserToGroup

该接口可以用于管理员添加IAM用户到用户组。

移除用户组中的IAM用户 - KeystoneRemoveUserFromGroup

该接口可以用于管理员移除用户组中的IAM用户。

权限管理

接口

说明

查询权限列表 - KeystoneListPermissions

该接口可以用于管理员查询权限列表。

查询权限详情 - KeystoneShowPermission

该接口可以用于管理员查询权限详情。

查询全局服务中的用户组权限

该接口可以用于管理员查询全局服务中的用户组权限。

查询项目服务中的用户组权限

该接口可以用于管理员查询项目服务中的用户组权限。

为用户组授予全局服务权限 - KeystoneAssociateGroupWithDomainPermission

该接口可以用于管理员为用户组授予全局服务权限。

为用户组授予项目服务权限 - KeystoneAssociateGroupWithProjectPermission

该接口可以用于管理员为用户组授予项目服务权限。

查询用户组是否拥有全局服务权限 - KeystoneCheckDomainPermissionForGroup

该接口可以用于管理员查询用户组是否拥有全局服务权限。

查询用户组是否拥有项目服务权限 - KeystoneCheckProjectPermissionForGroup

该接口可以用于管理员查询用户组是否拥有项目服务权限。

查询用户组的所有项目权限列表 - KeystoneListAllProjectPermissionsForGroup

该接口可以用于管理员查询用户组所有项目服务权限列表。

查询用户组是否拥有所有项目指定权限 - KeystoneCheckroleForGroup

该接口可以用于管理员查询用户组是否拥有所有项目指定权限。

移除用户组的所有项目服务权限 - DeleteDomainGroupInheritedRole

该接口可以用于管理员移除用户组的所有项目服务权限。

移除用户组的全局服务权限 - KeystoneRemoveDomainPermissionFromGroup

该接口可以用于管理员移除用户组的全局服务权限。

移除用户组的项目服务权限 - KeystoneRemoveProjectPermissionFromGroup

该接口可以用于管理员移除用户组的项目服务权限。

为用户组授予所有项目服务权限 - UpdateDomainGroupInheritRole

该接口可以用于管理员为用户组授予所有项目服务权限。

自定义策略管理

接口

说明

查询自定义策略列表 - ListCustomPolicies

该接口可以用于管理员查询自定义策略列表。

查询自定义策略详情 - ShowCustomPolicy

该接口可以用于管理员查询自定义策略详情。

创建云服务自定义策略 - CreateCloudServiceCustomPolicy

该接口可以用于管理员创建云服务自定义策略。

创建委托自定义策略 - CreateAgencyCustomPolicy

该接口可以用于管理员创建委托自定义策略。

修改云服务自定义策略 - UpdateCloudServiceCustomPolicy

该接口可以用于管理员修改云服务自定义策略。

修改委托自定义策略 - UpdateAgencyCustomPolicy

该接口可以用于管理员修改委托自定义策略。

删除自定义策略 - DeleteCustomPolicy

该接口可以用于管理员删除自定义策略。

委托管理

接口

说明

查询指定条件下的委托列表 - ListAgencies

该接口可以用于管理员查询指定条件下的委托列表。

查询委托详情 - ShowAgency

该接口可以用于管理员查询委托详情。

创建委托 - CreateAgency

该接口可以用于管理员创建委托。

修改委托 - UpdateAgency

该接口可以用于管理员修改委托。

删除委托 - DeleteAgency

该接口可以用于管理员删除委托。

查询全局服务中的委托权限 - ListDomainPermissionsForAgency

该接口可以用于管理员查询全局服务中的委托权限。

查询项目服务中的委托权限 - ListProjectPermissionsForAgency

该接口可以用于管理员查询项目服务中的委托权限。

为委托授予全局服务权限 - AssociateAgencyWithDomainPermission

该接口可以用于管理员为委托授予全局服务权限。

为委托授予项目服务权限 - AssociateAgencyWithProjectPermission

该接口可以用于管理员为委托授予项目服务权限。

查询委托是否拥有全局服务权限 - CheckDomainPermissionForAgency

该接口可以用于管理员查询委托是否拥有全局服务权限。

查询委托是否拥有项目服务权限 - CheckProjectPermissionForAgency

该接口可以用于管理员查询委托是否拥有项目服务权限。

移除委托的全局服务权限 - RemoveDomainPermissionFromAgency

该接口可以用于管理员移除委托的全局服务权限。

移除委托的项目服务权限 - RemoveProjectPermissionFromAgency

该接口可以用于管理员移除委托的项目服务权限。

查询委托下的所有项目服务权限列表 - ListAllProjectsPermissionsForAgency

该接口可以用于管理员查询委托所有项目服务权限列表。

为委托授予所有项目服务权限 - AssociateAgencyWithAllProjectsPermission

该接口可以用于管理员为委托授予所有项目服务权限。

检查委托下是否具有所有项目服务权限 - CheckAllProjectsPermissionForAgency

该接口可以用于管理员检查委托是否具有所有项目服务权限。

移除委托下的所有项目服务权限 - RemoveAllProjectsPermissionFromAgency

该接口可以用于管理员移除委托的所有项目服务权限。

企业项目管理

接口

说明

查询企业项目关联的用户组 - ListGroupsForEnterpriseProject

该接口用于查询指定ID的企业项目所关联的用户组。

查询企业项目关联用户组的权限 - ListRolesForGroupOnEnterpriseProject

该接口用于查询指定ID的企业项目所关联用户组的权限,适用于待查询的企业项目已关联了用户组。

基于用户组为企业项目授权 - AssociateRoleToGroupOnEnterpriseProject

该接口用于给指定ID的企业项目授权,建立企业项目、用户组和权限的绑定关系。

删除企业项目关联用户组的权限 - RevokeRoleFromGroupOnEnterpriseProject

该接口提供删除某个企业项目关联的用户组权限。

查询用户组关联的企业项目 - ListEnterpriseProjectsForGroup

该接口可用于查询用户组所关联的企业项目。

查询用户直接关联的企业项目 - ListEnterpriseProjectsForUser

该接口可用于查询用户所关联的企业项目。

查询企业项目直接关联用户 - ListUsersForEnterpriseProject

该接口可用于查询企业项目直接关联用户。

查询企业项目直接关联用户的权限 - ListRolesForUserOnEnterpriseProject

该接口可用于查询企业项目直接关联用户的权限。

基于用户为企业项目授权 - AssociateRoleToUserOnEnterpriseProject

该接口可用于基于用户为企业项目授权。

删除企业项目直接关联用户的权限 -

该接口可用于删除企业项目直接关联用户的权限,

安全设置

接口

说明

修改账号操作保护策略 - UpdateDomainProtectPolicy

该接口可以用于管理员修改账号操作保护策略。

查询账号操作保护策略 - ShowDomainProtectPolicy

该接口可以用于查询账号操作保护策略。

修改账号密码策略 - UpdateDomainPasswordPolicy

该接口可以用于管理员修改账号密码策略。

查询账号密码策略 - ShowDomainPasswordPolicy

该接口可以用于查询账号密码策略。

修改账号登录策略 - UpdateDomainLoginPolicy

该接口可以用于管理员修改账号登录策略。

查询账号登录策略 - ShowDomainLoginPolicy

该接口可以用于查询账号登录策略。

修改账号控制台访问策略 - UpdateDomainConsoleAclPolicy

该接口可以用于管理员修改账号控制台访问策略。

查询账号控制台访问策略 - ShowDomainConsoleAclPolicy

该接口可以用于查询账号控制台访问控制策略。

修改账号接口访问策略 - UpdateDomainApiAclPolicy

该接口可以用于管理员修改账号接口访问策略。

查询账号接口访问策略 - ShowDomainApiAclPolicy

该接口可以用于查询账号接口访问控制策略。

联邦身份认证管理

接口

说明

通过联邦认证获取Token(SP initiated方式)

通过Openstack Client和ShibbolethECP Client获取联邦认证Token。

通过联邦认证获取Token(IdP initiated方式)

以“Client4ShibbolethIdP”脚本为例,介绍IdP initiated方式获取联邦认证Token的方法。

查询身份提供商列表 - KeystoneListIdentityProviders

该接口可以用于查询身份提供商列表。

查询身份提供商详情 - KeystoneShowIdentityProvider

该接口可以用于查询身份提供商详情。

创建身份提供商 - KeystoneCreateIdentityProvider

该接口可以用于管理员注册身份提供商。

修改SAML身份提供商配置 - KeystoneUpdateIdentityProvider

该接口可以用于管理员更新身份提供商。

删除SAML身份提供商 - KeystoneDeleteIdentityProvider

该接口可以用于管理员删除身份提供商。

查询映射列表 - KeystoneListMappings

该接口可以用于查询映射列表。

查询映射详情 - KeystoneShowMapping

该接口可以用于查询映射详情。

注册映射 - KeystoneCreateMapping

该接口可以用于管理员注册映射。

更新映射 - KeystoneUpdateMapping

该接口可以用于管理员更新映射。

删除映射 - KeystoneDeleteMapping

该接口可以用于管理员删除映射。

查询协议列表 - KeystoneListProtocols

该接口可以用于查询协议列表。

查询协议详情 - KeystoneShowProtocol

该接口可以用于查询协议详情。

注册协议 - KeystoneCreateProtocol

该接口可以用于管理员注册协议(将协议关联到某一身份提供商)。

更新协议 - KeystoneUpdateProtocol

该接口可以用于管理员更新协议。

删除协议 - KeystoneDeleteProtocol

该接口可以用于管理员删除协议。

查询Metadata文件 - ShowMetadata

该接口可以用于管理员查询身份提供商导入到IAM中的Metadata文件。

查询Keystone的Metadata文件 - ShowKeystoneMetadataFile

该接口可以用于查询keystone的Metadata文件。

导入Metadata文件 - CreateMetadata

该接口可以用于管理员导入Metadata文件。

获取联邦认证unscoped token(IdP initiated) - CreateUnscopeTokenByIdpInitiated

该接口可以用于通过IdP initiated的联邦认证方式获取unscoped token。

获取联邦认证scoped token

该接口可以用于通过联邦认证方式获取scoped token。

获取联邦认证token(OpenID Connect ID token方式)

该接口可以用于通过OpenID Connect ID token方式获取联邦认证token。

获取联邦认证unscoped token(OpenID Connect ID token方式)

该接口可以用于通过OpenID Connect ID token方式获取联邦认证unscoped token。

查询联邦用户可以访问的账号列表 - KeystoneListFederationDomains

该接口用于查询联邦用户可以访问的账号列表。

自定义身份代理

接口

说明

获取自定义身份代理登录票据 - CreateLoginToken

该接口用于获取自定义身份代理登录票据logintoken。

版本信息管理

接口

说明

查询Keystone API的版本信息 - KeystoneListVersions

该接口用于查询Keystone API的版本信息。

查询Keystone API的3.0版本信息 - KeystoneShowVersion

该接口用于查询Keystone API的3.0版本的信息。

服务和终端节点

接口

说明

查询服务列表 - KeystoneListServices

该接口可以用于查询服务列表。

查询服务详情 - KeystoneShowService

该接口可以用于查询服务详情。

查询服务目录 - KeystoneShowCatalog

该接口可以用于查询请求头中X-Auth-Token对应的服务目录。

查询终端节点列表 - KeystoneListEndpoints

该接口可以用于查询终端节点列表。

查询终端节点详情 - KeystoneShowEndpoint

该接口可以用于查询终端节点详情。

相关文档