Acciones
Gestión de token
| Permiso | API | Acción | Proyectos de IAM | Proyecto empresarial |
|---|---|---|---|---|
| Obtención de un Token de Agencia | iam:tokens:assume | - | - |
Gestión de claves de acceso
| Permiso | API | Acción | Proyectos de IAM | Proyecto empresarial |
|---|---|---|---|---|
| Listado de claves de acceso permanentes | iam:credentials:listCredentials | - | - | |
| Consulta de una clave de acceso permanente | iam:credentials:getCredential | - | - | |
| Creación de una clave de acceso permanente | iam:credentials:createCredential | - | - | |
| Modificación de una clave de acceso permanente | iam:credentials:updateCredential | - | - | |
| Eliminación de una clave de acceso permanente | iam:credentials:deleteCredential | - | - |
Gestión de dispositivos MFA virtuales
| Permiso | API | Acción | Proyectos de IAM | Proyecto empresarial |
|---|---|---|---|---|
| Vinculación de un dispositivo MFA virtual | iam:mfa:bindMFADevice | - | - | |
| Desvinculación de un dispositivo MFA virtual | iam:mfa:unbindMFADevice | - | - | |
| Generación de una clave secreta para vincular un dispositivo MFA virtual | iam:mfa:createVirtualMFADevice | - | - | |
| Eliminación de un dispositivo MFA virtual | iam:mfa:deleteVirtualMFADevice | - | - |
Gestión de proyectos
| Permiso | API | Acción | Proyectos de IAM | Proyecto empresarial |
|---|---|---|---|---|
| Listado de proyectos | iam:projects:listProjects | - | - | |
| Creación de un proyecto | iam:projects:createProject | - | - | |
| Modificación de la información del proyecto | iam:projects:updateProject | - | - | |
| Cambio del estado del proyecto | iam:projects:updateProject | - | - | |
| Listado de los proyectos accesibles para un usuario | iam:projects:listProjectsForUser | - | - | |
| Eliminación de un proyecto | × | iam:projects:deleteProject | - | - |
| Consulta de las cuotas de un proyecto | iam:quotas:listQuotasForProject | - | - |
Gestión de cuentas
| Permiso | API | Acción | Proyectos de IAM (Proyecto) | Proyecto empresarial (Proyecto empresarial) |
|---|---|---|---|---|
| Consulta de las cuotas de una cuenta | iam:quotas:listQuotas | - | - |
Gestión de usuarios de IAM
| Permiso | API | Acción | Proyectos de IAM | Proyecto empresarial |
|---|---|---|---|---|
| Listado de usuarios de IAM | iam:users:listUsers | - | - | |
| Creación de un usuario de IAM | iam:users:createUser | - | - | |
| Modificación de la información de usuario | iam:users:updateUser | - | - | |
| Eliminación de un usuario de IAM | iam:users:deleteUser | - | - | |
| Creación de un usuario de IAM (recomendado) | iam:users:createUser | - | - | |
| Consulta de detalles de usuario de IAM (incluyendo dirección de correo electrónico y número de teléfono móvil) | iam:users:getUser | - | - | |
| Consulta de los detalles del usuario de IAM | iam:users:getUser | - | - | |
| Restablecimiento de la contraseña de un usuario de IAM | × | iam:users:resetUserPassword | - | - |
| Configuración de la protección de inicio de sesión | × | iam:users:setUserLoginProtect | - | - |
| Listado de usuarios que tienen acceso a un proyecto especificado | × | iam:users:listUsersForProject | - | - |
| Consulta de información del dispositivo MFA de los usuarios de IAM | iam:mfa:listVirtualMFADevices | - | - | |
| Consulta de la información del dispositivo MFA de un usuario de IAM | iam:mfa:getVirtualMFADevice | - | - | |
| Consulta de configuraciones de protección de inicio de sesión de usuarios de IAM | iam:users:listUserLoginProtects | - | - | |
| Consulta de la configuración de protección de inicio de sesión de un usuario de IAM | iam:users:getUserLoginProtect | - | - |
Gestión de grupos de usuarios
| Permiso | API | Acción | Proyectos de IAM | Proyecto empresarial |
|---|---|---|---|---|
| Consulta de los grupos de usuarios a los que pertenece un usuario de IAM | iam:groups:listGroupsForUser | - | - | |
| Consulta de los usuarios de IAM en un grupo | iam:users:listUsersForGroup | - | - | |
| Listado de grupos de usuarios | iam:groups:listGroups | - | - | |
| Consulta de detalles del grupo de usuarios | iam:groups:getGroup | - | - | |
| Creación de grupos de usuarios | iam:groups:createGroup | - | - | |
| Actualización de la información del grupo de usuarios | iam:groups:updateGroup | - | - | |
| Eliminación de un grupo de usuarios | iam:groups:deleteGroup iam:permissions:removeUserFromGroup iam:permissions:revokeRoleFromGroup iam:permissions:revokeRoleFromGroupOnProject iam:permissions:revokeRoleFromGroupOnDomain | - | - | |
| Comprobación de si un usuario de IAM pertenece a un grupo de usuarios | iam:permissions:checkUserInGroup | - | - | |
| Adición de un usuario de IAM a un grupo de usuarios | iam:permissions:addUserToGroup | - | - | |
| Eliminación de un usuario de IAM de un grupo de usuarios | iam:permissions:removeUserFromGroup | - | - |
Gestión de permisos
| Permiso | API | Acción | Proyectos de IAM | Proyecto empresarial |
|---|---|---|---|---|
| Permisos de listado | iam:roles:listRoles | - | - | |
| Consulta de detalles de permisos | iam:roles:getRole | - | - | |
| Consulta de registros de asignación de permisos | iam:permissions:listRoleAssignments | √ | √ | |
| Consulta de permisos de un grupo de usuarios para el proyecto de servicio global | iam:permissions:listRolesForGroupOnDomain | - | - | |
| Consulta de permisos de un grupo de usuarios para un proyecto específico de región | iam:permissions:listRolesForGroupOnProject | - | - | |
| Concesión de permisos a un grupo de usuarios para el proyecto de servicio global | PUT /v3/domains/{domain_id}/groups/{group_id}/roles/{role_id} | iam:permissions:grantRoleToGroupOnDomain | - | - |
| Concesión de permisos a un grupo de usuarios para un proyecto específico de región | PUT /v3/projects/{project_id}/groups/{group_id}/roles/{role_id} | iam:permissions:grantRoleToGroupOnProject | - | - |
| Eliminación de permisos de un grupo de usuarios para un proyecto específico de región | DELETE /v3/projects/{project_id}/groups/{group_id}/roles/{role_id} | iam:permissions:revokeRoleFromGroupOnProject | - | - |
| Eliminación de permisos de un grupo de usuarios para el proyecto de servicio global | DELETE /v3/domains/{domain_id}/groups/{group_id}/roles/{role_id} | iam:permissions:revokeRoleFromGroupOnDomain | - | - |
| Comprobación de si un grupo de usuarios tiene permisos especificados para el proyecto de servicio global | HEAD /v3/domains/{domain_id}/groups/{group_id}/roles/{role_id} | iam:permissions:checkRoleForGroupOnDomain | - | - |
| Comprobación de si un grupo de usuarios tiene permisos especificados para un proyecto específico de región | HEAD /v3/projects/{project_id}/groups/{group_id}/roles/{role_id} | iam:permissions:checkRoleForGroupOnProject | - | - |
| Concesión de permisos especificados a un grupo de usuarios para todos los proyectos | PUT /v3/OS-INHERIT/domains/{domain_id}/groups/{group_id}/roles/{role_id}/inherited_to_projects | iam:permissions:grantRoleToGroup | - | - |
| Consulta de los permisos concedidos a un usuario para un proyecto especificado | × | iam:permissions:listRolesForUserOnProject | - | - |
| Consulta de todos los permisos de un grupo de usuarios | × | iam:permissions:listRolesForGroup | - | - |
| Comprobación de si un grupo de usuarios tiene permisos especificados | × | iam:permissions:checkRoleForGroup | - | - |
| Eliminación de permisos de un grupo de usuarios | × | iam:permissions:revokeRoleFromGroup | - | - |
| Consultar registros de asignación de permisos | × | iam:permissions:listRoleAssignments | - | - |
Gestión de políticas personalizadas
| Permiso | API | Acción | Proyectos de IAM | Proyecto empresarial |
|---|---|---|---|---|
| Listado de directivas personalizadas | iam:roles:listRoles | - | - | |
| Consulta de detalles de políticas personalizadas | iam:roles:getRole | - | - | |
| Creación de una política personalizada para servicios en la nube | iam:roles:createRole | - | - | |
| Modificación de una directiva personalizada para servicios en la nube | iam:roles:updateRole | - | - | |
| Eliminación de una política personalizada | iam:roles:deleteRole | - | - |
Gestión de representación
| Permiso | API | Acción | Proyectos de IAM | Proyecto empresarial |
|---|---|---|---|---|
| Creación de una agencia | iam:agencies:createAgency | - | - | |
| Agencias de listado | iam:agencies:listAgencies | - | - | |
| Consulta de los detalles de la agencia | iam:agencies:getAgency | - | - | |
| Modificación de una agencia | iam:agencies:updateAgency | - | - | |
| Eliminación de una agencia | iam:agencies:deleteAgency | - | - | |
| Concesión de permisos a una agencia para un proyecto específico de la región | PUT /v3.0/OS-AGENCY/projects/{project_id}/agencies/{agency_id}/roles/{role_id} | iam:permissions:grantRoleToAgencyOnProject | - | - |
| Comprobación de si una agencia tiene permisos especificados para un proyecto específico de la región | HEAD /v3.0/OS-AGENCY/projects/{project_id}/agencies/{agency_id}/roles/{role_id} | iam:permissions:checkRoleForAgencyOnProject | - | - |
| Consulta de permisos de una agencia para un proyecto específico de la región | GET /v3.0/OS-AGENCY/projects/{project_id}/agencies/{agency_id}/roles | iam:permissions:listRolesForAgencyOnProject | - | - |
| Eliminación de permisos de una agencia para un proyecto específico de la región | DELETE /v3.0/OS-AGENCY/projects/{project_id}/agencies/{agency_id}/roles/{role_id} | iam:permissions:revokeRoleFromAgencyOnProject | - | - |
| Concesión de permisos a una agencia para el proyecto de servicios globales | PUT /v3.0/OS-AGENCY/domains/{domain_id}/agencies/{agency_id}/roles/{role_id} | iam:permissions:grantRoleToAgencyOnDomain | - | - |
| Comprobación de si una agencia tiene permisos especificados para el proyecto de servicio global | HEAD /v3.0/OS-AGENCY/domains/{domain_id}/agencies/{agency_id}/roles/{role_id} | iam:permissions:checkRoleForAgencyOnDomain | - | - |
| Consulta de permisos de una agencia para el proyecto de servicios globales | GET /v3.0/OS-AGENCY/domains/{domain_id}/agencies/{agency_id}/roles | iam:permissions:listRolesForAgencyOnDomain | - | - |
| Eliminación de permisos de un organismo para el proyecto mundial de servicios | DELETE /v3.0/OS-AGENCY/domains/{domain_id}/agencies/{agency_id}/roles/{role_id} | iam:permissions:revokeRoleFromAgencyOnDomain | - | - |
| Consulta de todos los permisos de una agencia | GET /v3.0/OS-INHERIT/domains/{domain_id}/agencies/{agency_id}/roles/inherited_to_projects | iam:permissions:listRolesForAgency | - | - |
| Comprobación de si una agencia tiene permisos especificados | HEAD /v3.0/OS-INHERIT/domains/{domain_id}/agencies/{agency_id}/roles/{role_id}/inherited_to_projects | iam:permissions:checkRoleForAgency | - | - |
| Concesión de permisos específicos a una agencia | PUT /v3.0/OS-INHERIT/domains/{domain_id}/agencies/{agency_id}/roles/{role_id}/inherited_to_projects | iam:permissions:grantRoleToAgency | - | - |
| Eliminación de permisos de una agencia | iam:permissions:revokeRoleFromAgency | - | - |
Gestión de proyecto empresarial
| Permiso | API | Acción | Proyectos de IAM (Proyecto) | Proyecto empresarial (Proyecto empresarial) |
|---|---|---|---|---|
| Consulta de Grupos de Usuarios Asociados a un Proyecto empresarial | GET /v3.0/OS-PERMISSION/enterprise-projects/{enterprise_project_id}/groups | iam:permissions:listGroupsOnEnterpriseProject | - | √ |
| Consulta de los permisos de un grupo de usuarios asociado a un proyecto empresarial | GET /v3.0/OS-PERMISSION/enterprise-projects/{enterprise_project_id}/groups/{group_id}/roles | iam:permissions:listRolesForGroupOnEnterpriseProject | - | √ |
| Concesión de permisos a un grupo de usuarios asociado a un proyecto empresarial | iam:permissions:grantRoleToGroupOnEnterpriseProject | - | √ | |
| Eliminación de los permisos de un grupo de usuarios asociado a un proyecto empresarial | iam:permissions:revokeRoleFromGroupOnEnterpriseProject | - | √ | |
| Consulta de Proyecto empresarial asociado a un grupo de usuarios | GET /v3.0/OS-PERMISSION/groups/{group_id}/enterprise-projects | iam:permissions:listEnterpriseProjectsForGroup | - | √ |
| Consulta de Proyecto empresarial Directamente Asociado con un Usuario | iam:permissions:listEnterpriseProjectsForUser | - | √ | |
| Listado de usuarios asociados a un proyecto empresarial | GET /v3.0/OS-PERMISSION/enterprise-projects/{enterprise_project_id}/users | iam:permissions:listUsersForEnterpriseProject | - | √ |
| Listado de roles de un usuario asociado a un proyecto empresarial | GET /v3.0/OS-PERMISSION/enterprise-projects/{enterprise_project_id}/users/{user_id}/roles | iam:permissions:listRolesForUserOnEnterpriseProject | - | √ |
| Concesión de permisos a un usuario asociado a un proyecto empresarial | PUT /v3.0/OS-PERMISSION/enterprise-projects/{enterprise_project_id}/users/{user_id}/roles/{role_id} | iam:permissions:grantRoleToUserOnEnterpriseProject | - | √ |
| Eliminación de roles de un usuario asociado a un proyecto empresarial | iam:permissions:revokeRoleFromUserOnEnterpriseProject | - | √ |
Ajustes de seguridad
| Permiso | API | Acción | Proyectos de IAM (Proyecto) | Proyecto empresarial (Proyecto empresarial) |
|---|---|---|---|---|
| Modificación de la política de protección de operaciones | PUT /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/protect-policy | iam:securitypolicies:updateProtectPolicy | - | - |
| Consulta de la directiva de protección de operaciones | GET /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/protect-policy | iam:securitypolicies:getProtectPolicy | - | - |
| Modificación de la directiva de contraseñas | PUT /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/password-policy | iam:securitypolicies:updatePasswordPolicy | - | - |
| Consulta de la política de contraseñas | GET /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/password-policy | iam:securitypolicies:getPasswordPolicy | - | - |
| Modificación de la directiva de autenticación de inicio de sesión | PUT /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/login-policy | iam:securitypolicies:updateLoginPolicy | - | - |
| Consulta de la política de autenticación de inicio de sesión | GET /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/login-policy | iam:securitypolicies:getLoginPolicy | - | - |
| Modificación de la ACL para el acceso a la consola | PUT /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/console-acl-policy | iam:securitypolicies:updateConsoleAclPolicy | - | - |
| Consulta de la ACL para el acceso a la consola | GET /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/console-acl-policy | iam:securitypolicies:getConsoleAclPolicy | - | - |
| Modificación de la ACL para el acceso a la API | PUT /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/api-acl-policy | iam:securitypolicies:updateApiAclPolicy | - | - |
| Consulta de la ACL para el acceso a la API | GET /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/api-acl-policy | iam:securitypolicies:getApiAclPolicy | - | - |
Gestión de autenticación de identidades federadas
| Permiso | API | Acción | Proyectos de IAM | Proyecto empresarial |
|---|---|---|---|---|
| Listado de proveedores de identidad | iam:identityProviders:listIdentityProviders | - | - | |
| Consulta de detalles del proveedor de identidades | iam:identityProviders:getIdentityProvider | - | - | |
| Creación de un proveedor de identidades SAML | iam:identityProviders:createIdentityProvider | - | - | |
| Modificación de un proveedor de identidades SAML | iam:identityProviders:updateIdentityProvider | - | - | |
| Eliminación de un proveedor de identidades SAML | iam:identityProviders:deleteIdentityProvider | - | - | |
| Creación de un proveedor de identidades OpenID Connect | POST /v3.0/OS-FEDERATION/identity-providers/{idp_id}/openid-connect-config | iam:identityProviders:createOpenIDConnectConfig | - | - |
| Modificación de un proveedor de identidades OpenID Connect | PUT /v3.0/OS-FEDERATION/identity-providers/{idp_id}/openid-connect-config | iam:identityProviders:updateOpenIDConnectConfig | - | - |
| Consulta de detalles acerca de un proveedor de identidades OpenID Connect | GET /v3.0/OS-FEDERATION/identity-providers/{idp_id}/openid-connect-config | iam:identityProviders:getOpenIDConnectConfig | - | - |
| Listados de Mappings | iam:identityProviders:listMappings | - | - | |
| Consulta de detalles de asignación | iam:identityProviders:getMapping | - | - | |
| Registro de un mapping | iam:identityProviders:createMapping | - | - | |
| Actualización de un mapping | iam:identityProviders:updateMapping | - | - | |
| Supresión de un mapping | iam:identityProviders:deleteMapping | - | - | |
| Listado de protocolos | iam:identityProviders:listProtocols | - | - | |
| Consulta de detalles del protocolo | GET /v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id} | iam:identityProviders:getProtocol | - | - |
| Registro de un protocolo | PUT /v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id} | iam:identityProviders:createProtocol | - | - |
| Actualización de un protocolo | PATCH /v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id} | iam:identityProviders:updateProtocol | - | - |
| Eliminación de un protocolo | DELETE /v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id} | iam:identityProviders:deleteProtocol | - | - |
| Consulta de un archivo de metadatos | GET /v3-ext/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}/metadata | iam:identityProviders:getIDPMetadata | - | - |
| Importación de un archivo de metadatos | POST /v3-ext/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}/metadata | iam:identityProviders:createIDPMetadata | - | - |
