Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda> Identity and Access Management> Referencia de la API> API> Gestión de claves de acceso> Obtención de una clave de acceso temporal y SecurityToken a través de un token
Actualización más reciente 2022-11-08 GMT+08:00
Ver PDF

Obtención de una clave de acceso temporal y SecurityToken a través de un token

Función

Esta API se utiliza para obtener una clave de acceso temporal y un securityToken a través de un token. Una clave de acceso temporal y un securityToken son emitidos por el sistema a los usuarios de IAM y son válidos durante 15 minutos a 24 horas. La clave de acceso temporal y un securityToken se otorgan con el menor privilegio.

Se puede llamar a la API utilizando tanto el punto final global como los puntos de conexión específicos de la región. Para los puntos finales de IAM, consulte Regions y puntos de conexión.

Se debe usar una clave de acceso temporal junto con un securityToken, y el campo x-security-token se debe incluir en el encabezado de solicitud. Para obtener más información, consulte ¿Cómo uso un AK/SK temporal para firmar solicitudes?

URI

POST /v3.0/OS-CREDENTIAL/securitytokens

Parámetros de solicitud

Tabla 1 Parámetros en el encabezado de solicitud

Parámetro

Obligatorio

Tipo

Descripción

Content-Type

String

Rellene application/json;charset=utf8 en este campo.

X-Auth-Token

String

Token de usuario de IAM, token de usuario federado o token de agencia.
Tabla 2 Parámetros en el cuerpo de la solicitud

Parámetro

Obligatorio

Tipo

Descripción

auth

Object

Información de autenticación.
Tabla 3 auth

Parámetro

Obligatorio

Tipo

Descripción

identity

Object

Parámetros de autenticación.
Tabla 4 auth.identity

Parámetro

Obligatorio

Tipo

Descripción

methods

Array of strings

Método de autenticación. El valor de este campo es ["token"].

token

No

Object

Período de validez de una clave de acceso temporal y SecurityToken.

policy

No

Object

Permisos OBS que se asignarán a la clave de acceso temporal y securityToken.

Los permisos finales de la clave de acceso temporal y securityToken son todos los permisos asignados al token de usuario especificado y definidos en este parámetro.

Para obtener más información acerca de la sintaxis y el formato de las políticas de IAM, consulte Políticas.
Tabla 5 auth.identity.policy

Parámetro

Obligatorio

Tipo

Descripción

Version

String

Versión de política. Al crear una política personalizada, establezca este parámetro en 1.1.

NOTA:

1.1: Política. Una política define los permisos necesarios para realizar operaciones en un recurso de nube específico bajo ciertas condiciones.

Statement

Array of objects

Sentencia de la política. Una política puede contener un máximo de ocho sentencias.
Tabla 6 auth.identity.policy.Statement

Parámetro

Obligatorio

Tipo

Descripción

Action

Array of strings

Permiso de operación específico en un recurso. Se permite un máximo de 100 acciones.

NOTA:
  • El formato de valor es Service name:Resource type:Operation, por ejemplo, vpc:ports:create.
  • Nombre del servicio: indica el nombre del producto, como ecs, evs, or vpc. Solo se permiten letras minúsculas. Los tipos de recursos y las operaciones no distinguen entre mayúsculas y minúsculas. Puede utilizar un asterisco (*) para representar todas las operaciones.

Effect

String

Efectos de la autorización. El valor puede ser Allow o Deny. Si las instrucciones Permitir y Deny se encuentran en una política, la autenticación comienza desde las sentencias Deny.

Opciones:

  • Allow
  • Deny

Condition

No

Map<String,Map<String,Array<String>>>

Condiciones para que el permiso entre en vigor. Se permite un máximo de 10 condiciones. Para obtener más información sobre los parámetros de condición, consulte Creación de una política personalizada.

NOTA:

Tome la condición en la solicitud de ejemplo como un ejemplo, los valores de la clave de condición (obs:prefix) y cadena (public) deben ser iguales (StringEquals).

 "Condition": {
              "StringEquals": {
                "obs:prefix": [
                  "public"
                ]
              }
            }

Resource

No

Array of strings

Recurso en la nube. La matriz puede contener un máximo de 10 cadenas de recursos, y cada cadena no puede exceder de 128 caracteres.

NOTA:
  • Formato: Service name:Region:Account ID:Resource type:Resource path. Se admiten caracteres carácter comodín (*). Por ejemplo, obs:*:*:bucket:* significa todos los buckets OBS.
  • El segmento de región puede ser * o una región accesible para el usuario. El recurso especificado debe pertenecer al servicio correspondiente que realmente existe.
Tabla 7 auth.identity.token

Parámetro

Obligatorio

Tipo

Descripción

duration_seconds

No

Integer

Período de validez (en segundos) de una clave de acceso temporal y SecurityToken.

El valor varía de 15 minutos a 24 horas. El valor predeterminado es 15 minutos.

Parámetros de respuesta

Tabla 8 Parámetros en el cuerpo de respuesta

Parámetro

Tipo

Descripción

credential

Object

Resultado de autenticación.
Tabla 9 credential

Parámetro

Tipo

Descripción

expires_at

String

Tiempo de caducidad de la clave de acceso y securityToken. La respuesta es hora UTC.

access

String

AK.

secret

String

SK.

securitytoken

String

Clave de acceso obtenida en texto cifrado.

Solicitud de ejemplo

  • Solicitud con el parámetro token
    POST https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/securitytokens
    {
    "auth": {
        "identity": {
            "methods": [
                "token"
            ],
            "token": {
                "duration_seconds": 900
            }
        }
    }
}
  • Solicitud con el encabezado X-Auth-Token pero sin el parámetro token
    POST https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/securitytokens
    {
    "auth": {
        "identity": {
            "methods": [
                "token"
            ]
        }
    }
}
  • Solicitud con el parámetro de policy
    POST https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/securitytokens
    {
  "auth": {
    "identity": {
      "methods": [
        "token"
      ],
      "policy": {
        "Version": "1.1",
        "Statement": [
          {
            "Effect": "Allow",
            "Action": [
              "obs:object:*"
            ],
            "Resource": [
              "obs:*:*:object:*"
            ],
            "Condition": {
              "StringEquals": {
                "obs:prefix": [
                  "public"
                ]
              }
            }
          }
        ]
      },
      "token": {
        "duration_seconds": 900
      }
    }
  }
}

Ejemplo de respuesta

Código de estado: 201

La solicitud se ha realizado correctamente.

{
    "credential": {
        "access": "NZFAT5VNWEJDGZ4PZ...",
        "expires_at": "2020-01-08T03:50:07.574000Z",
        "secret": "riEoWsy3qO0BvgwfkoLVgCUvzgpjBBcvdq...",
        "securitytoken": "gQpjbi1ub3J0aC00jD4Ej..."
    }
}

Códigos de estado

Código de estado

Descripción

201

La solicitud se ha realizado correctamente.

400

Invalid parameters.

401

Error de autenticación.

403

Acceso denegado.

500

Error de servidor interno.

Códigos de error

Ninguno