Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ Identity and Access Management/ Referência de API/ API/ Gerenciamento de permissões/ Consulta de todas as permissões de um grupo de usuários
Atualizado em 2023-02-16 GMT+08:00
Ver PDF

Consulta de todas as permissões de um grupo de usuários

Função

Essa API é fornecida para que o administrador consulte todas as permissões que foram atribuídas a um grupo de usuários.

A API pode ser chamada usando o ponto de extremidade global e pontos de extremidade específicos da região. Para pontos de extremidade do IAM, consulte Regiões e pontos de extremidade.

URI

GET /v3/OS-INHERIT/domains/{domain_id}/groups/{group_id}/roles/inherited_to_projects

Tabela 1 Parâmetros de URI

Parâmetro

Obrigatoriedade

Tipo

Descrição

domain_id

Sim

String

ID da conta. Para obter detalhes sobre como obter o ID, consulte Obtenção de informações de conta, usuário do IAM, grupo, projeto, região e agência.

group_id

Sim

String

ID do grupo de usuários. Para obter detalhes sobre como obter um ID de grupo de usuários, consulte Obtenção de informações de conta, usuário do IAM, grupo, projeto, região e agência.

Parâmetros de solicitação

Tabela 2 Parâmetros no cabeçalho da solicitação

Parâmetro

Obrigatoriedade

Tipo

Descrição

X-Auth-Token

Sim

String

Token com permissões de Security Administrator.

Parâmetros de resposta

Código de status: 200

Tabela 3 Parâmetros no corpo da resposta

Parâmetro

Tipo

Descrição

links

object

Informações sobre o link do recurso.

roles

Array of objects

Informações de permissão.

total_number

Integer

Número total de políticas personalizadas. Este parâmetro é retornado somente quando domain_id é especificado na solicitação.
Tabela 4 RoleResult

Parâmetro

Tipo

Descrição

domain_id

String

ID da conta ao qual a permissão pertence.

flag

String

Se esse parâmetro for definido como fine_grained, a permissão será uma política definida pelo sistema.

description_cn

String

Descrição da permissão em chinês.

catalog

String

Catálogo de serviço da permissão.

name

String

Nome de permissão. Esse parâmetro é transportado no token de um usuário, permitindo que o sistema determine se o usuário tem permissões para acessar um serviço de nuvem específico.

description

String

Descrição da permissão.

links

object

Link de recurso de permissão.

id

String

ID de permissão.

display_name

String

Nome de exibição da permissão.

type

String

Modo de exibição da permissão.

NOTA:
  • AX: nível da conta.
  • XA: nível do projeto.
  • AA: tanto o nível da conta quanto o nível do projeto.
  • XX: não o nível da conta nem o nível do projeto.
  • O modo de exibição de uma política personalizada só pode ser AX ou XA. Uma política personalizada deve ser exibida em um dos dois níveis.

policy

object

Conteúdo da permissão.

updated_time

String

Hora em que a permissão foi atualizada pela última vez.

created_time

String

Hora em que a permissão foi criada.
Tabela 5 Links

Parâmetro

Tipo

Descrição

self

String

Link de recursos.

previous

String

Link do recurso anterior.

next

String

Próximo link de recurso.
Tabela 6 RolePolicy

Parâmetro

Tipo

Descrição

Depends

Array of objects

Permissões de dependentes.

Statement

Array of objects

Declaração da permissão.

Version

String

Versão da política.

NOTA:
  • 1.0: função definida pelo sistema. Apenas um número limitado de funções de nível de serviço é fornecido para autorização.
  • 1.1: política. Uma política define as permissões necessárias para executar operações em um recurso de nuvem específico sob determinadas condições.
Tabela 7 PolicyDepends

Parâmetro

Tipo

Descrição

catalog

String

Catálogo de serviço da permissão.

display_name

String

Nome de exibição da permissão.
Tabela 8 PolicyStatement

Parâmetro

Tipo

Descrição

Action

Array of strings

Permissão de operação específica em um recurso. São permitidas no máximo 100 ações.

NOTA:
  • O formato do valor é Service name:Resource type:Operation, por exemplo, vpc:ports:create.
  • Service name: indica o nome do produto, como ecs, evs ou vpc. Somente letras minúsculas são permitidas. Os tipos de recursos e as operações não diferenciam maiúsculas de minúsculas. Você pode usar um asterisco (*) para representar todas as operações.
  • No caso de uma política personalizada para agências, este parâmetro deve ser definido como "Action": ["iam:agencies:assume"].

Effect

String

Efeito da permissão. O valor pode ser Allow ou Deny. Se as instruções Allow e Deny forem encontradas em uma política, a autenticação começará a partir das instruções Deny.

Valores enumerados:

  • Allow
  • Deny

Condition

Object

Condições para que a permissão entre em vigor. São permitidas no máximo 10 condições. Para obter detalhes sobre os parâmetros de condição, consulte Criação de uma política personalizada.

NOTA:

Tome a condição na solicitação de exemplo como um exemplo, os valores da chave de condição (obs:prefix) e string (public) devem ser iguais (StringEquals).

 "Condition": {
              "StringEquals": {
                "obs:prefix": [
                  "public"
                ]
              }
            }

Resource

Array of strings

Recursos em nuvem. A matriz pode conter um máximo de 10 cadeias de caracteres de recurso e cada cadeia não pode exceder 128 caracteres.

NOTA:
  • Formato: ::::. Por exemplo, obs:::bucket:*. Asteriscos são permitidos.
  • O segmento de região pode ser * ou uma região acessível ao usuário. O recurso especificado deve pertencer ao serviço correspondente que realmente existe.
  • No caso de uma política personalizada para agências, o tipo desse parâmetro é Object, e o valor deve ser definido como "Resource": {"uri": ["/iam/agencies/07805acaba800fdd4fbdc00b8f888c7c"]}.

Exemplo de solicitação

GET https://iam.myhuaweicloud.com/v3/OS-INHERIT/domains/{domain_id}/groups/{group_id}/roles/inherited_to_projects

Exemplo de resposta

Código de status: 200

A solicitação foi bem-sucedida.

{ 
  "roles" : [ { 
    "domain_id" : null, 
    "description_cn" : "Description of the permission in Chinese", 
    "catalog" : "VulnScan", 
    "name" : "wscn_adm", 
    "description" : "Vulnerability Scan Service administrator of tasks and reports.", 
    "links" : { 
      "next" : null, 
      "previous" : null, 
      "self" : "https://iam.myhuaweicloud.com/v3/roles/0af84c1502f447fa9c2fa18083fbb..." 
    }, 
    "id" : "0af84c1502f447fa9c2fa18083fbb...", 
    "display_name" : "VSS Administrator", 
    "type" : "XA", 
    "policy" : { 
      "Version" : "1.0", 
      "Statement" : [ { 
        "Action" : [ "WebScan:*:*" ], 
        "Effect" : "Allow" 
      } ], 
      "Depends" : [ { 
        "catalog" : "BASE", 
        "display_name" : "Server Administrator" 
      }, { 
        "catalog" : "BASE", 
        "display_name" : "Tenant Guest" 
      } ] 
    } 
  }, { 
    "domain_id" : null, 
    "flag" : "fine_grained", 
    "description_cn" : "Description of the permission in Chinese", 
    "catalog" : "CSE", 
    "name" : "system_all_34", 
    "description" : "All permissions of CSE service.", 
    "links" : { 
      "next" : null, 
      "previous" : null, 
      "self" : "https://iam.myhuaweicloud.com/v3/roles/0b5ea44ebdc64a24a9c372b2317f7..." 
    }, 
    "id" : "0b5ea44ebdc64a24a9c372b2317f7...", 
    "display_name" : "CSE Admin", 
    "type" : "XA", 
    "policy" : { 
      "Version" : "1.1", 
      "Statement" : [ { 
        "Action" : [ "cse:*:*", "ecs:*:*", "evs:*:*", "vpc:*:*" ], 
        "Effect" : "Allow" 
      } ] 
    } 
  } ], 
  "links" : { 
    "next" : null, 
    "previous" : null, 
    "self" : "https://iam.myhuaweicloud.com/v3/roles" 
  } 
}

Códigos de status

Código de status

Descrição

200

A solicitação foi bem-sucedida.

401

Autenticação falhou.

403

Acesso negado.

Códigos de erro

Para obter detalhes, consulte Códigos de erro.

Tópico principal: Gerenciamento de permissões