授权项
Token管理
权限 | 对应API接口 | 授权项(Action) | IAM项目 (Project) | 企业项目 (Enterprise Project) |
|---|---|---|---|---|
获取委托Token | iam:tokens:assume | - | - |
访问密钥管理
权限 | 对应API接口 | 授权项 | IAM项目 (Project) | 企业项目 (Enterprise Project) |
|---|---|---|---|---|
获取委托的临时访问密钥和securitytoken | iam:tokens:assume | |||
查询所有永久访问密钥 | iam:credentials:listCredentials | - | - | |
查询指定永久访问密钥 | iam:credentials:getCredential | - | - | |
创建永久访问密钥 | iam:credentials:createCredential | - | - | |
修改指定永久访问密钥 | iam:credentials:updateCredential | - | - | |
删除指定永久访问密钥 | iam:credentials:deleteCredential | - | - |
虚拟MFA管理
权限 | 对应API接口 | 授权项 | IAM项目 (Project) | 企业项目 (Enterprise Project) |
|---|---|---|---|---|
绑定MFA设备 | iam:mfa:bindMFADevice | - | - | |
解绑MFA设备 | iam:mfa:unbindMFADevice | - | - | |
创建虚拟MFA设备密钥 | iam:mfa:createVirtualMFADevice | - | - | |
删除MFA设备 | iam:mfa:deleteVirtualMFADevice | - | - |
项目管理
权限 | 对应API接口 | 授权项 | IAM项目 (Project) | 企业项目 (Enterprise Project) |
|---|---|---|---|---|
查询项目列表 | iam:projects:listProjects | - | - | |
创建项目 | iam:projects:createProject | - | - | |
修改项目信息 | iam:projects:updateProject | - | - | |
设置项目状态 | iam:projects:updateProject | - | - | |
查询指定IAM用户的项目列表 | iam:projects:listProjectsForUser | - | - | |
删除指定项目 | × | iam:projects:deleteProject | - | - |
查询指定项目的配额 | iam:quotas:listQuotasForProject | - | - |
账号管理
权限 | 对应API接口 | 授权项 | IAM项目 (Project) | 企业项目 (Enterprise Project) |
|---|---|---|---|---|
查询账号配额 | iam:quotas:listQuotas | - | - |
IAM用户管理
权限 | 对应API接口 | 授权项 | IAM项目 (Project) | 企业项目 (Enterprise Project) |
|---|---|---|---|---|
管理员查询IAM用户列表 | iam:users:listUsers | - | - | |
管理员创建IAM用户 | iam:users:createUser | - | - | |
管理员修改IAM用户信息 | iam:users:updateUser | - | - | |
管理员删除IAM用户 | iam:users:deleteUser | - | - | |
管理员创建IAM用户(推荐) | iam:users:createUser | - | - | |
查询用户详情(包含邮箱和手机号码) | iam:users:getUser | - | - | |
查询IAM用户详情 | iam:users:getUser | - | - | |
管理员重置IAM用户密码 | × | iam:users:resetUserPassword | - | - |
设置登录保护 | × | iam:users:setUserLoginProtect | - | - |
查询指定项目上有权限的用户列表 | × | iam:users:listUsersForProject | - | - |
查询IAM用户的MFA绑定信息列表 | iam:mfa:listVirtualMFADevices | - | - | |
查询指定IAM用户的MFA绑定信息 | iam:mfa:getVirtualMFADevice | - | - | |
查询IAM用户的登录保护状态信息列表 | iam:users:listUserLoginProtects | - | - | |
查询指定IAM用户的登录保护状态信息 | iam:users:getUserLoginProtect | - | - |
用户组管理
权限 | 对应API接口 | 授权项 | IAM项目 (Project) | 企业项目 (Enterprise Project) |
|---|---|---|---|---|
查询IAM用户所属用户组 | iam:groups:listGroupsForUser | - | - | |
管理员查询用户组所包含的IAM用户 | iam:users:listUsersForGroup | - | - | |
查询用户组列表 | iam:groups:listGroups | - | - | |
查询用户组详情 | iam:groups:getGroup | - | - | |
创建用户组 | iam:groups:createGroup | - | - | |
更新用户组 | iam:groups:updateGroup | - | - | |
删除用户组 | iam:groups:deleteGroup iam:permissions:removeUserFromGroup iam:permissions:revokeRoleFromGroup iam:permissions:revokeRoleFromGroupOnProject iam:permissions:revokeRoleFromGroupOnDomain | - | - | |
查询用户是否在用户组中 | iam:permissions:checkUserInGroup | - | - | |
添加IAM用户到用户组 | iam:permissions:addUserToGroup | - | - | |
移除用户组中的IAM用户 | iam:permissions:removeUserFromGroup | - | - |
权限管理
权限 | 对应API接口 | 授权项 | IAM项目 (Project) | 企业项目 (Enterprise Project) |
|---|---|---|---|---|
查询权限列表 | iam:roles:listRoles | - | - | |
查询权限详情 | iam:roles:getRole | - | - | |
查询租户授权信息 | iam:permissions:listRoleAssignments | √ | √ | |
查询全局服务中的用户组权限 | iam:permissions:listRolesForGroupOnDomain | - | - | |
查询项目服务中的用户组权限 | iam:permissions:listRolesForGroupOnProject | - | - | |
为用户组授予全局服务权限 | PUT /v3/domains/{domain_id}/groups/{group_id}/roles/{role_id} | iam:permissions:grantRoleToGroupOnDomain | - | - |
为用户组授予项目服务权限 | PUT /v3/projects/{project_id}/groups/{group_id}/roles/{role_id} | iam:permissions:grantRoleToGroupOnProject | - | - |
移除用户组的项目服务权限 | DELETE /v3/projects/{project_id}/groups/{group_id}/roles/{role_id} | iam:permissions:revokeRoleFromGroupOnProject | - | - |
移除用户组的全局服务权限 | DELETE /v3/domains/{domain_id}/groups/{group_id}/roles/{role_id} | iam:permissions:revokeRoleFromGroupOnDomain | - | - |
查询用户组是否拥有全局服务权限 | HEAD /v3/domains/{domain_id}/groups/{group_id}/roles/{role_id} | iam:permissions:checkRoleForGroupOnDomain | - | - |
查询用户组是否拥有项目服务权限 | HEAD /v3/projects/{project_id}/groups/{group_id}/roles/{role_id} | iam:permissions:checkRoleForGroupOnProject | - | - |
为用户组授予所有项目服务权限 | PUT /v3/OS-INHERIT/domains/{domain_id}/groups/{group_id}/roles/{role_id}/inherited_to_projects | iam:permissions:grantRoleToGroup | - | - |
查询用户在指定项目上拥有的权限 | × | iam:permissions:listRolesForUserOnProject | - | - |
查询用户组的所有权限 | × | iam:permissions:listRolesForGroup | - | - |
查询用户组是否拥有指定权限 | × | iam:permissions:checkRoleForGroup | - | - |
移除用户组的指定权限 | × | iam:permissions:revokeRoleFromGroup | - | - |
查询账号授权记录 | × | iam:permissions:listRoleAssignments | - | - |
自定义策略管理
权限 | 对应API接口 | 授权项 | IAM项目 (Project) | 企业项目 (Enterprise Project) |
|---|---|---|---|---|
查询自定义策略列表 | iam:roles:listRoles | - | - | |
查询自定义策略详情 | iam:roles:getRole | - | - | |
创建云服务自定义策略 | iam:roles:createRole | - | - | |
修改云服务自定义策略 | iam:roles:updateRole | - | - | |
删除自定义策略 | iam:roles:deleteRole | - | - |
委托管理
企业项目管理
权限 | 对应API接口 | 授权项 | IAM项目 (Project) | 企业项目 (Enterprise Project) |
|---|---|---|---|---|
查询企业项目关联的用户组 | GET /v3.0/OS-PERMISSION/enterprise-projects/{enterprise_project_id}/groups | iam:permissions:listGroupsOnEnterpriseProject | - | √ |
查询企业项目已关联用户组的权限 | GET /v3.0/OS-PERMISSION/enterprise-projects/{enterprise_project_id}/groups/{group_id}/roles | iam:permissions:listRolesForGroupOnEnterpriseProject | - | √ |
基于用户组为企业项目授权 | iam:permissions:grantRoleToGroupOnEnterpriseProject | - | √ | |
删除企业项目关联的用户组权限 | iam:permissions:revokeRoleFromGroupOnEnterpriseProject | - | √ | |
查询用户组关联的企业项目 | GET /v3.0/OS-PERMISSION/groups/{group_id}/enterprise-projects | iam:permissions:listEnterpriseProjectsForGroup | - | √ |
查询用户直接关联的企业项目 | iam:permissions:listEnterpriseProjectsForUser | - | √ | |
查询企业项目直接关联用户 | GET /v3.0/OS-PERMISSION/enterprise-projects/{enterprise_project_id}/users | iam:permissions:listUsersForEnterpriseProject | - | √ |
查询企业项目直接关联用户的角色 | GET /v3.0/OS-PERMISSION/enterprise-projects/{enterprise_project_id}/users/{user_id}/roles | iam:permissions:listRolesForUserOnEnterpriseProject | - | √ |
基于用户为企业项目授权 | PUT /v3.0/OS-PERMISSION/enterprise-projects/{enterprise_project_id}/users/{user_id}/roles/{role_id} | iam:permissions:grantRoleToUserOnEnterpriseProject | - | √ |
删除企业项目直接关联用户的权限 | iam:permissions:revokeRoleFromUserOnEnterpriseProject | - | √ |
安全设置
联邦身份认证管理
权限 | 对应API接口 | 授权项 | IAM项目 (Project) | 企业项目 (Enterprise Project) |
|---|---|---|---|---|
查询身份提供商列表 | iam:identityProviders:listIdentityProviders | - | - | |
查询身份提供商详情 | iam:identityProviders:getIdentityProvider | - | - | |
创建SAML身份提供商 | iam:identityProviders:createIdentityProvider | - | - | |
修改SAML身份提供商配置 | iam:identityProviders:updateIdentityProvider | - | - | |
删除SAML身份提供商 | iam:identityProviders:deleteIdentityProvider | - | - | |
创建OIDC身份提供商 | POST /v3.0/OS-FEDERATION/identity-providers/{idp_id}/openid-connect-config | iam:identityProviders:createOpenIDConnectConfig | - | - |
修改OIDC身份提供商配置 | PUT /v3.0/OS-FEDERATION/identity-providers/{idp_id}/openid-connect-config | iam:identityProviders:updateOpenIDConnectConfig | - | - |
查询OIDC身份提供商 | GET /v3.0/OS-FEDERATION/identity-providers/{idp_id}/openid-connect-config | iam:identityProviders:getOpenIDConnectConfig | - | - |
查询映射列表 | iam:identityProviders:listMappings | - | - | |
查询映射详情 | iam:identityProviders:getMapping | - | - | |
注册映射 | iam:identityProviders:createMapping | - | - | |
更新映射 | iam:identityProviders:updateMapping | - | - | |
删除映射 | iam:identityProviders:deleteMapping | - | - | |
查询协议列表 | iam:identityProviders:listProtocols | - | - | |
查询协议详情 | GET /v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id} | iam:identityProviders:getProtocol | - | - |
注册协议 | PUT /v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id} | iam:identityProviders:createProtocol | - | - |
更新协议 | PATCH /v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id} | iam:identityProviders:updateProtocol | - | - |
删除协议 | DELETE /v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id} | iam:identityProviders:deleteProtocol | - | - |
查询Metadata文件 | GET /v3-ext/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}/metadata | iam:identityProviders:getIDPMetadata | - | - |
导入Metadata文件 | POST /v3-ext/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}/metadata | iam:identityProviders:createIDPMetadata | - | - |
