Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.

Central de ajuda/ Identity and Access Management/ Referência de API/ API/ Gerenciamento de tokens/ Obtenção de um token de agência

Atualizado em 2023-02-16 GMT+08:00

Ver PDF

Obtenção de um token de agência

Função

Esta API é usada para obter um token de agência.

Por exemplo, depois que uma relação de confiança é estabelecida entre A e B, A é a parte delegada e B é a parte delegada. Então B pode usar essa API para obter um token de agência. O token de agência obtido só pode ser usado para gerenciar os recursos que a conta B é delegada para gerenciar. Se a conta B precisar gerenciar seus próprios recursos, a conta B precisará obter um token de usuário. Para obter detalhes, consulte Delegação de acesso a recursos para outra conta.

Um token é uma credencial de acesso emitida para um usuário para suportar sua identidade e permissões. Ao chamar as APIs do IAM ou de outros serviços de nuvem, você pode usar essa API para obter um token para autenticação.

A API pode ser chamada usando o ponto de extremidade global e pontos de extremidade específicos da região. Para pontos de extremidade do IAM, consulte Regiões e pontos de extremidade.

O período de validade de um token é de 24 horas. Armazene em cache o token para evitar chamadas frequentes de API.
Certifique-se de que o token é válido enquanto você o usa. Usar um token que expirará em breve pode causar falhas de chamada de API.

URI

POST /v3/auth/tokens

**Tabela 1** Parâmetros de consulta
Parâmetro	Obrigatoriedade	Tipo	Descrição
nocatalog	Não	String	Se este parâmetro for definido, nenhuma informação de catálogo será exibida na resposta. Qualquer conjunto de caracteres para este parâmetro indica que nenhuma informação de catálogo será exibida.

Parâmetros de solicitação

**Tabela 2** Parâmetros no cabeçalho da solicitação
Parâmetro	Obrigatoriedade	Tipo	Descrição
Content-Type	Sim	String	Preencha application/json;charset=utf8 neste campo.
X-Auth-Token	Sim	String	Token com permissões de Operador de agente de um usuário do IAM criado pela parte delegada B.

**Tabela 3** Parâmetros no corpo da solicitação
Parâmetro	Obrigatoriedade	Tipo	Descrição
auth	Sim	Object	Informações da autenticação.

**Tabela 4** auth
Parâmetro	Obrigatoriedade	Tipo	Descrição
identity	Sim	Object	Parâmetro de autenticação.
scope	Sim	Object	Escopo de uso do token. O valor pode ser project ou domain. NOTA: Se o escopo estiver definido como domínio, o token se aplicará aos serviços globais. Se o escopo estiver definido como projeto, o token será aplicado aos serviços no nível do projeto. Se o escopo estiver definido como projeto e domínio, o projeto será usado e você receberá um token para serviços no nível do projeto. Se o escopo for deixado em branco, você receberá um token para serviços globais. É aconselhável especificar este parâmetro.

**Tabela 5** auth.identity
Parâmetro	Obrigatoriedade	Tipo	Descrição
methods	Sim	Array of strings	Método para obter o token. Defina este parâmetro para assume_role.
assume_role	Sim	Object	Detalhes sobre a conta e a agência delegadora.

**Tabela 6** auth.identity.assume_role
Parâmetro	Obrigatoriedade	Tipo	Descrição
domain_id	Não	String	ID da conta da parte delegante A. domain_id ou domain_name deve ser definidos. É aconselhável especificar domain_id. Para obter detalhes sobre como conseguir o ID de domínio, consulte Obtenção de informações de conta, usuário do IAM, grupo, projeto, região e agência.
domain_name	Não	String	Nome da conta da parte delegante A. domain_id ou domain_name deve ser definidos. É aconselhável especificar domain_id. Você pode exibir o nome da conta da parte delegante A na lista de agências no console do IAM.
agency_name	Sim	String	Nome da agência criada pela parte delegante A. Para obter detalhes sobre como obter o nome da agência, consulte Obtenção de informações de conta, usuário do IAM, grupo, projeto, região e agência.

**Tabela 7** auth.scope
Parâmetro	Obrigatoriedade	Tipo	Descrição
domain	Não	Object	Se esse campo estiver definido como domain, o token poderá ser usado para acessar serviços globais, como o OBS. Os serviços globais não estão sujeitos a nenhum projeto ou região. Para obter detalhes sobre o escopo do serviço, consulte Permissões do sistema. Você pode especificar id ou name. domain_id é recomendado.
project	Não	Object	Se esse campo estiver definido como project, o token poderá ser usado para acessar apenas serviços em projetos específicos, como o ECS. Para obter detalhes sobre o escopo do serviço, consulte Permissões do sistema. Você pode especificar id ou name.

**Tabela 8** auth.scope.domain
Parâmetro	Obrigatoriedade	Tipo	Descrição
id	Não	String	ID da conta da parte delegante A. Para obter detalhes sobre como obter o ID da conta, consulte Obtenção de informações de conta, usuário do IAM, grupo, projeto, região e agência. Você pode especificar id ou name.
name	Não	String	Nome da conta da parte delegante A. Para obter detalhes sobre como obter o ID da conta, consulte Obtenção de informações de conta, usuário do IAM, grupo, projeto, região e agência. Você pode especificar id ou name.

**Tabela 9** auth.scope.project
Parâmetro	Obrigatoriedade	Tipo	Descrição
id	Não	String	ID do projeto da parte delegante A. Para obter detalhes sobre como obter o ID do projeto, consulte Obtenção de informações de conta, usuário do IAM, grupo, projeto, região e agência. Você pode especificar id ou name.
name	Não	String	Nome do projeto da parte delegante A. Para obter detalhes sobre como obter o nome do projeto, consulte Obtenção de informações de conta, usuário do IAM, grupo, projeto, região e agência. Você pode especificar id ou name.

Exemplo de solicitação

Solicitação para usar um token de usuário com permissões de operador de agente do usuário IAM IAMUserB da parte delegada B (nome da conta: IAMDomainB) para obter outro token para gerenciar os recursos da parte delegante A (nome da conta: IAMDomainA) no projeto de ap-southeast-1 através da agência IAMAgency, sem exibir informações de catálogo na resposta

POST https://iam.myhuaweicloud.com/v3/auth/tokens?nocatalog=true

{
    "auth": {
        "identity": {
            "methods": [
                "assume_role"
            ],
            "assume_role": {
                "domain_name": "IAMDomainA",                // Name of the account to which the delegating party IAM user A belongs
                "agency_name": "IAMAgency"                  // Name of the agency created by IAM user A
            }
        },
        "scope": {
            "project": {
                "name": "ap-southeast-1"                         //Project name
            }
        }
    }
}

Solicitação para usar um token de usuário com permissões de operador de agente do usuário IAM IAMUserB da parte delegada B (nome da conta: IAMDomainB) para obter outro token para gerenciar todos os recursos da parte delegante A (nome da conta: IAMDomainA) através da agência IAMAgency

POST https://iam.myhuaweicloud.com/v3/auth/tokens

{
    "auth": {
        "identity": {
            "methods": [
                "assume_role"
            ],
            "assume_role": {
                "domain_name": "IAMDomainA",                // Name of the account to which the delegating party IAM user A belongs
                "agency_name": "IAMAgency"                  // Name of the agency created by IAM user A
            }
        },
        "scope": {
            "domain": {
                "name": "IAMDomainA"                        // Name of the account to which the delegating party IAM user A belongs
            }
        }
    }
}

Parâmetros de resposta

**Tabela 10** Parâmetros no cabeçalho da resposta
Parâmetro	Tipo	Descrição
X-Subject-Token	String	Token assinado.

**Tabela 11** Parâmetros no corpo da resposta
Parâmetro	Tipo	Descrição
token	Object	Informações do token.

**Tabela 12** token
Parâmetro	Tipo	Descrição
methods	Array of strings	Método para obter o token.
expires_at	String	Hora em que o token expirará.
issued_at	String	Hora em que o token foi emitido.
assumed_by	Object	Informações sobre o partido delegado B.
catalog	Array of objects	Informações do catálogo.
domain	Object	Informações da conta da parte delegante A. Este parâmetro é retornado somente quando o parâmetro scope no corpo da solicitação foi definido como domain.
project	Object	Informações do projeto da parte delegante A. Este parâmetro é retornado somente quando o parâmetro scope no corpo da solicitação foi definido como project.
roles	Array of objects	Informações de permissões do token.
user	Object	Informações sobre a agência criada pela parte delegante A.

**Tabela 13** token.assumed_by
Parâmetro	Tipo	Descrição
user	Object	Informações sobre um usuário do IAM da parte delegada B.

**Tabela 14** token.assumed_by.user
Parâmetro	Tipo	Descrição
name	String	Nome de usuário do IAM.
id	String	ID do usuário do IAM.
domain	Object	Informações da conta da parte delegada B.
password_expires_at	Cadeia	Horário UTC quando a senha do usuário do IAM expirará. Se este parâmetro estiver vazio, indica que a senha tem validade ilimitada.

**Tabela 15** token.assumed_by.user.domain
Parâmetro	Tipo	Descrição
name	String	Nome da conta da parte delegada B.
id	String	ID da conta da parte delegada B.

**Tabela 16** token.catalog
Parâmetro	Tipo	Descrição
endpoints	Array of objects	Informações do ponto final.
id	String	ID do serviço.
name	String	Nome do serviço.
type	String	Tipo do serviço ao qual a API pertence.

**Tabela 17** token.catalog.endpoints
Parâmetro	Tipo	Descrição
id	String	ID do ponto final.
interface	String	Visibilidade da API. public indica que a API está disponível para acesso público.
region	String	Região à qual o ponto final pertence.
region_id	String	ID da região.
url	String	URL do ponto final.

**Tabela 18** token.domain
Parâmetro	Tipo	Descrição
name	String	Nome da conta da parte delegante A.
id	String	ID da conta da parte delegante A.

**Tabela 19** token.project
Parâmetro	Tipo	Descrição
name	String	Nome do projeto da parte delegante A.
id	String	ID do projeto da parte delegante A.
domain	Object	Informações da conta da parte delegante A.

**Tabela 20** token.project.domain
Parâmetro	Tipo	Descrição
name	String	Nome da conta da parte delegante A.
id	String	ID da conta da parte delegante A.

**Tabela 21** token.roles
Parâmetro	Tipo	Descrição
name	String	Nome de permissão.
id	String	ID de permissão. O valor padrão é 0, que não corresponde a nenhuma permissão.

**Tabela 22** token.user
Parâmetro	Tipo	Descrição
name	String	Nome da conta ou nome da agência da parte delegante A.
id	String	ID da agência.
domain	Object	Informações da conta da parte delegante A.

**Tabela 23** token.user.domain
Parâmetro	Tipo	Descrição
id	String	ID da conta da parte delegante A.
name	String	Nome da conta da parte delegante A.

Exemplo de resposta

Código de status: 201

A solicitação foi bem-sucedida.

Exemplo 1: resposta à solicitação de uso de um token de usuário com permissões de Operador de agente do usuário IAM IAMUserB da parte delegada B (nome da conta: IAMDomainB) para obter outro token para gerenciar todos os recursos da parte delegante A (nome da conta: IAMDomainA) através da agência IAMAgency

Exemplo 2: resposta à solicitação de uso de um token de usuário com permissões de Operador de agente do usuário IAM IAMUserB da parte delegada B (nome da conta: IAMDomainB) para obter outro token para gerenciar os recursos da parte delegante A (nome da conta: IAMDomainA) no projeto de ap-southeast-1 através da agência IAMAgency, sem exibir informações de catálogo na resposta

Exemplo 1

Parameters in the response header
X-Subject-Token:MIIatAYJKoZIhvcNAQcCoIIapTCCGqECAQExDTALB...

Parameters in the response body
{
    "token": {
        "expires_at": "2020-01-05T05:05:17.429000Z",
        "methods": [
            "assume_role"
        ],
        "catalog": [
            {
                "endpoints": [
                    {
                        "id": "33e1cbdd86d34e89a63cf8ad16a5f49f",
                        "interface": "public",
                        "region": "*",
                        "region_id": "*",
                        "url": "https://iam.myhuaweicloud.com/v3.0"
                    }
                ],
                "id": "100a6a3477f1495286579b819d399e36",
                "name": "iam",
                "type": "iam"
            }
        ],
        "domain": {
            "id": "d78cbac186b744899480f25bd022f468",
            "name": "IAMDomainA"
        },
        "roles": [
            {
                "id": "0",
                "name": "op_gated_eip_ipv6"
            },
            {
                "id": "0",
                "name": "op_gated_rds_mcs"
            }
        ],
        "issued_at": "2020-01-04T05:05:17.429000Z",
        "user": {
            "domain": {
                "id": "d78cbac186b744899480f25bd022f468",
                "name": "IAMDomainA"
            },
            "id": "0760a9e2a60026664f1fc0031f9f205e",
            "name": "IAMDomainA/IAMAgency"
        },
        "assumed_by": {
            "user": {
                "domain": {
                    "id": "a2cd82a33fb043dc9304bf72a0f38f00",
                    "name": "IAMDomainB"
                },
                "id": "0760a0bdee8026601f44c006524b17a9",
                "name": "IAMUserB",
                "password_expires_at": ""
            }
        }
    }
}

Exemplo 2

Parameters in the response header
X-Subject-Token:MIIatAYJKoZIhvcNAQcCoIIapTCCGqECAQExDTALB...

Parameters in the response body
{
    "token": {
        "expires_at": "2020-01-05T06:49:28.094000Z",
        "methods": [
            "assume_role"
        ],
        "catalog": [],
        "roles": [
            {
                "id": "0",
                "name": "op_gated_eip_ipv6"
            },
            {
                "id": "0",
                "name": "op_gated_rds_mcs"
            }
        ],
        "project": {
            "domain": {
                "id": "d78cbac186b744899480f25bd022f468",
                "name": "IAMDomainA"
            },
            "id": "aa2d97d7e62c4b7da3ffdfc11551f878",
            "name": "ap-southeast-1"
        },
        "issued_at": "2020-01-04T06:49:28.094000Z",
        "user": {
            "domain": {
                "id": "d78cbac186b744899480f25bd022f468",
                "name": "IAMDomainA"
            },
            "id": "0760a9e2a60026664f1fc0031f9f205e",
            "name": "IAMDomainA/IAMAgency"
        },
        "assumed_by": {
            "user": {
                "domain": {
                    "id": "a2cd82a33fb043dc9304bf72a0f38f00",
                    "name": "IAMDomainB"
                },
                "id": "0760a0bdee8026601f44c006524b17a9",
                "name": "IAMUserB",
                "password_expires_at": ""
            }
        }
    }
}

Código de status: 400

Parâmetros inválidos.

{
    "error": {
        "code": 400,
        "message": "The request body is invalid",
        "title": "Bad Request"
    }
}

Código de status: 401

Autenticação falhou.

{
    "error": {
        "code": 401,
        "message": "The X-Auth-Token is invalid!",
        "title": "Unauthorized"
    }
}

Código de status: 403

Acesso negado.

O token de usuário especificado em X-Auth-Token para o usuário B da parte delegada B não tem a permissão Agent Operator. Por favor, solicite a permissão necessária.

{
    "error": {
        "code": 403,
        "message": "You have no right to do this action",
        "title": "Forbidden"
    }
}

Códigos de status

Código de status	Descrição
201	A solicitação foi bem-sucedida.
400	Parâmetros inválidos.
401	Autenticação falhou.
403	Acesso negado. (A possível causa deste erro é que a parte delegada não tem a permissão de Agente Operador.)
404	O recurso solicitado não pode ser encontrado.
500	Erro de servidor interno.
503	Serviço indisponível.