通过委托或者信任委托获取临时安全凭证 - AssumeAgency
功能介绍
通过委托或者信任委托获取临时安全凭证,临时安全凭证可用于对云资源发起访问。
调试
您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer可以自动生成SDK代码示例,并提供SDK代码示例调试功能。
授权信息
账号根用户具备所有API的调用权限,如果使用账号下的IAM用户调用当前API,该IAM用户需具备如下身份策略权限,更多的权限说明请参见权限和授权项。
授权项 | 访问级别 | 资源类型(*为必须) | 条件键 | 别名 | 依赖的授权项 |
|---|---|---|---|---|---|
sts:agencies:assume | Write | agency * | g:ResourceTag/<tag-key> | - |
|
- |
|
URI
POST /v5/agencies/assume
请求参数
参数 | 是否必选 | 参数类型 | 描述 |
|---|---|---|---|
X-Security-Token | 否 | String | 通过临时安全凭证调用接口时,需要提供“X-Security-Token”Http头,取值为临时安全凭证的security_token字段。 |
参数 | 是否必选 | 参数类型 | 描述 |
|---|---|---|---|
duration_seconds | 否 | Integer | 获得的临时安全凭证的有效时间(单位秒)。请注意,该时间需要小于委托本身设置的最大会话持续时间,同时在携带X-Security-Token的Header头时该时间不能超过3600秒。 最小值:900 最大值:43200 缺省值:3600 |
external_id | 否 | String | 外部ID,防止混淆代理人问题。 最小长度:2 最大长度:1224 |
policy | 否 | String | 自定义策略,限制本次会话获得的临时安全凭证的权限范围不会超过该自定义策略指定的权限。 最小长度:2 最大长度:2048 |
policy_ids | 否 | Array of strings | 预置策略列表,限制本次会话获得的临时安全凭证的权限范围不会超过该预置策略指定的权限。 最大长度:64 |
agency_urn | 是 | String | 目标委托的URN。 最大长度:1500 |
agency_session_name | 是 | String | 委托会话的会话名。 最小长度:2 最大长度:128 |
serial_number | 否 | String | 调用者绑定的MFA设备的序列号。 最小长度:9 最大长度:256 |
token_code | 否 | String | 调用者绑定的MFA设备上的6位数字码。 最小长度:6 最大长度:6 |
source_identity | 否 | String | 调用链里最初调用者所声明的身份。 最小长度:2 最大长度:64 |
tags | 否 | Array of TagDto objects | 自定义标签列表。 |
transitive_tag_keys | 否 | Array of strings | 随着临时安全凭证调用链持续透传的标签键列表。 |
响应参数
状态码:200
参数 | 参数类型 | 描述 |
|---|---|---|
source_identity | String | 调用链里最初调用者所声明的身份。 最小长度:2 最大长度:64 |
assumed_agency | AssumedAgencyDto object | 目标委托信息。 |
credentials | CredentialsDto object | 生成的临时安全凭证。 |
参数 | 参数类型 | 描述 |
|---|---|---|
access_key_id | String | 临时安全凭证的AK。 最小长度:20 最大长度:20 |
expiration | String | 临时安全凭证的失效时间。 |
secret_access_key | String | 临时安全凭证的SK。 最小长度:40 最大长度:40 |
security_token | String | 临时安全凭证的security_token。 |
状态码:400
参数 | 参数类型 | 描述 |
|---|---|---|
error_code | String | 错误码。 |
error_msg | String | 错误信息。 |
状态码:403
参数 | 参数类型 | 描述 |
|---|---|---|
error_code | String | 错误码。 |
error_msg | String | 错误信息。 |
encoded_authorization_message | String | 加密后的认证失败信息,可以通过STS5解密接口进行解密。 |
状态码:404
参数 | 参数类型 | 描述 |
|---|---|---|
error_code | String | 错误码。 |
error_msg | String | 错误信息。 |
状态码:500
参数 | 参数类型 | 描述 |
|---|---|---|
error_code | String | 错误码。 |
error_msg | String | 错误信息。 |
请求示例
通过账号27680d67da6b47eb82d00a1a118be145下的委托Y0yfCQYJGO获取临时安全凭证。
POST https://{endpoint}/v5/agencies/assume
{
"duration_seconds" : 3600,
"agency_urn" : "iam::27680d67da6b47eb82d00a1a118be145:agency:Y0yfCQYJGO",
"agency_session_name" : "session1"
} 响应示例
状态码:200
请求成功。
{
"assumed_agency" : {
"urn" : "sts::{account_id}::assumed-agency:{agency_name}/{agency_session_name}",
"id" : "{agency_id}:{agency_session_name}"
},
"credentials" : {
"access_key_id" : "HSTANO...XBS55JLJ3",
"secret_access_key" : "EoWCQrr...SCcw4Whkt2aXKWAr",
"security_token" : "hQpjbi1XXXXXX...XXXXXKbhBbA0TQ==",
"expiration" : "2022-09-07T03:27:51.158Z"
}
} 状态码
状态码 | 描述 |
|---|---|
200 | 请求成功。 |
400 | 请求体异常。 |
403 | 没有操作权限。 |
404 | 未找到对应资源。 |
500 | 服务端异常。 |
错误码
请参见错误码。
