Obtenção de um token de agência
Função
Esta API é usada para obter um token de agência.
Por exemplo, depois que uma relação de confiança é estabelecida entre A e B, A é a parte delegante e B é a parte delegada. Em seguida, B pode usar essa API para obter um token de agência. O token de agência obtido só pode ser usado para gerenciar os recursos que a conta B é delegada para gerenciar. Se a conta B precisa gerenciar seus próprios recursos, a conta B precisa obter um token de usuário. Para obter detalhes, consulte Delegação de acesso a recursos para outra conta.
Um token é uma credencial de acesso emitida para um usuário para suportar sua identidade e permissões. Ao chamar as APIs do IAM ou de outros serviços de nuvem, você pode usar essa API para obter um token para autenticação.
A API pode ser chamada usando o ponto de extremidade global e pontos de extremidade da região específica. Para pontos de extremidade do IAM, consulte Regiões e pontos de extremidade.
- O período de validade de um token é de 24 horas. Armazene em cache o token para evitar chamadas frequentes de API.
- Certifique-se de que o token seja válido enquanto você o estiver usando. Usar um token que expirará em breve pode causar falhas de chamada de API.
URI
POST /v3/auth/tokens
|
Parâmetro |
Obrigatório |
Tipo |
Descrição |
|---|---|---|---|
|
nocatalog |
Não |
String |
Se este parâmetro for definido, nenhuma informação de catálogo será exibida na resposta. Qualquer cadeia de caracteres definida para esse parâmetro indica que nenhuma informação de catálogo será exibida. |
Parâmetros de solicitação
|
Parâmetro |
Obrigatório |
Tipo |
Descrição |
|---|---|---|---|
|
Content-Type |
Sim |
String |
Preencha application/json;charset=utf8 nesse campo. |
|
X-Auth-Token |
Sim |
String |
Token com permissões de Agent Operator de um usuário do IAM criado pela parte delegada B. |
|
Parâmetro |
Obrigatório |
Tipo |
Descrição |
|---|---|---|---|
|
Sim |
Object |
Informações de autenticação. |
|
Parâmetro |
Obrigatório |
Tipo |
Descrição |
|---|---|---|---|
|
Sim |
Object |
Parâmetros de autenticação. |
|
|
Sim |
Object |
Escopo de uso do token. O valor pode ser project ou domain.
NOTA:
|
|
Parâmetro |
Obrigatório |
Tipo |
Descrição |
|---|---|---|---|
|
methods |
Sim |
Array of strings |
Método para obter o token. Defina esse parâmetro como assume_role. |
|
Sim |
Object |
Detalhes sobre a conta e a agência delegante. |
|
Parâmetro |
Obrigatório |
Tipo |
Descrição |
|---|---|---|---|
|
domain_id |
Não |
String |
ID da conta da parte delegante A. domain_id ou domain_name deve ser definido. É aconselhável especificar domain_id. Para obter detalhes sobre como obter o ID da conta, consulte Obtenção de informações sobre conta, usuário do IAM, grupo, projeto, região e agência. |
|
domain_name |
Não |
String |
Nome da conta da parte delegante A. domain_id ou domain_name deve ser definido. É aconselhável especificar domain_id. Você pode exibir o nome da conta da parte delegante A na lista de agências no console do IAM. |
|
agency_name |
Sim |
String |
Nome da agência criada pela parte delegante A. Para obter detalhes sobre como obter o nome da agência, consulte Obtenção de informações sobre conta, usuário do IAM, grupo, projeto, região e agência. |
|
Parâmetro |
Obrigatório |
Tipo |
Descrição |
|---|---|---|---|
|
Não |
Object |
Se esse campo estiver definido como domain, o token poderá ser usado para acessar serviços globais, como o OBS. Os serviços globais não estão sujeitos a nenhum projeto ou região. Para obter detalhes sobre o escopo do serviço, consulte Permissões do sistema. Você pode especificar id ou name. domain_id é recomendado. |
|
|
Não |
Object |
Se esse campo estiver definido como project, o token poderá ser usado para acessar apenas serviços em projetos específicos, como o ECS. Para obter detalhes sobre o escopo do serviço, consulte Permissões do sistema. Você pode especificar id ou name. |
|
Parâmetro |
Obrigatório |
Tipo |
Descrição |
|---|---|---|---|
|
id |
Não |
String |
ID da conta da parte delegante A. Para obter detalhes sobre como obter o ID da conta, consulte Obtenção de informações sobre conta, usuário do IAM, grupo, projeto, região e agência. Você pode especificar id ou name. |
|
name |
Não |
String |
Nome da conta da parte delegante A. Para obter detalhes sobre como obter o ID da conta, consulte Obtenção de informações sobre conta, usuário do IAM, grupo, projeto, região e agência. Você pode especificar id ou name. |
|
Parâmetro |
Obrigatório |
Tipo |
Descrição |
|---|---|---|---|
|
id |
Não |
String |
ID do projeto da parte delegante A. Para obter detalhes sobre como obter o ID do projeto, consulte Obtenção de informações sobre conta, usuário do IAM, grupo, projeto, região e agência. Você pode especificar id ou name. |
|
name |
Não |
String |
Nome do projeto da parte delegante A. Para obter detalhes sobre como obter o nome do projeto, consulte Obtenção de informações sobre conta, usuário do IAM, grupo, projeto, região e agência. Você pode especificar id ou name. |
Exemplo de solicitação
- Solicitação para usar um token de usuário com permissões de Agent Operator do usuário do IAM IAMUserB da parte delegada B (nome da conta: IAMDomainB) para obter outro token para gerenciar os recursos da parte delegante A (nome da conta: IAMDomainA) no projeto ap-southeast-1 por meio da agência IAMAgency, sem exibir informações de catálogo na resposta
POST https://iam.myhuaweicloud.com/v3/auth/tokens?nocatalog=true
{ "auth": { "identity": { "methods": [ "assume_role" ], "assume_role": { "domain_name": "IAMDomainA", // Name of the account to which the delegating party IAM user A belongs "agency_name": "IAMAgency" // Name of the agency created by IAM user A } }, "scope": { "project": { "name": "ap-southeast-1" //Project name } } } } - Solicitação para usar um token de usuário com permissões de Agent Operator do usuário do IAM IAMUserB da parte delegada B (nome da conta: IAMDomainB) para obter outro token para gerenciar todos os recursos da parte delegante A (nome da conta: IAMDomainA) por meio da agência IAMAgency
POST https://iam.myhuaweicloud.com/v3/auth/tokens
{ "auth": { "identity": { "methods": [ "assume_role" ], "assume_role": { "domain_name": "IAMDomainA", // Name of the account to which the delegating party IAM user A belongs "agency_name": "IAMAgency" // Name of the agency created by IAM user A } }, "scope": { "domain": { "name": "IAMDomainA" // Name of the account to which the delegating party IAM user A belongs } } } }
Parâmetros de resposta
|
Parâmetro |
Tipo |
Descrição |
|---|---|---|
|
X-Subject-Token |
String |
Token assinado. |
|
Parâmetro |
Tipo |
Descrição |
|---|---|---|
|
Object |
Informações do token. |
|
Parâmetro |
Tipo |
Descrição |
|---|---|---|
|
methods |
Array of strings |
Método para obter o token. |
|
expires_at |
String |
Hora em que o token expirará.
NOTA:
O valor é uma hora UTC no formato AAAA-MM-DDTHH:mm:ss.ssssssZ, por exemplo, 2023-06-28T08:56:33.710000Z. Para obter detalhes sobre os formatos de data e carimbo de data/hora, consulte ISO-8601. |
|
issued_at |
String |
Hora em que o token foi emitido.
NOTA:
O valor é uma hora UTC no formato AAAA-MM-DDTHH:mm:ss.ssssssZ, por exemplo, 2023-06-28T08:56:33.710000Z. Para obter detalhes sobre os formatos de data e carimbo de data/hora, consulte ISO-8601. |
|
Object |
Informações sobre a parte delegada B. |
|
|
Array of objects |
Informações do catálogo. |
|
|
Object |
Informações da conta da parte delegante A. Esse parâmetro é retornado somente quando o parâmetro scope no corpo da solicitação foi definido como domain. |
|
|
Object |
Informações do projeto da parte delegante A. Este parâmetro é retornado somente quando o parâmetro scope no corpo da solicitação foi definido como project. |
|
|
Array of objects |
Informações de permissões do token. |
|
|
Object |
Informações sobre a agência criada pela parte delegante A. |
|
Parâmetro |
Tipo |
Descrição |
|---|---|---|
|
Object |
Informações sobre um usuário do IAM da parte delegada B. |
|
Parâmetro |
Tipo |
Descrição |
|---|---|---|
|
name |
String |
Nome de usuário do IAM. |
|
id |
String |
ID do usuário do IAM. |
|
Object |
Informações da conta da parte delegada B. |
|
|
password_expires_at |
String |
Tempo de expiração da senha do usuário do IAM. Se este parâmetro não for especificado, a senha nunca expirará.
NOTA:
O valor é uma hora UTC no formato AAAA-MM-DDTHH:mm:ss.ssssssZ, por exemplo, 2023-06-28T08:56:33.710000Z. Para obter detalhes sobre os formatos de data e carimbo de data/hora, consulte ISO-8601. |
|
Parâmetro |
Tipo |
Descrição |
|---|---|---|
|
name |
String |
Nome da conta da parte delegada B. |
|
id |
String |
ID da conta da parte delegada B. |
|
Parâmetro |
Tipo |
Descrição |
|---|---|---|
|
Array of objects |
Informações do ponto de extremidade. |
|
|
id |
String |
ID do serviço. |
|
name |
String |
Nome do serviço. |
|
type |
String |
Tipo do serviço ao qual a API pertence. |
|
Parâmetro |
Tipo |
Descrição |
|---|---|---|
|
id |
String |
ID do ponto de extremidade. |
|
interface |
String |
Visibilidade da API. public indica que a API está disponível para acesso público. |
|
region |
String |
Região à qual o ponto de extremidade pertence. |
|
region_id |
String |
ID da região. |
|
url |
String |
URL do ponto de extremidade. |
|
Parâmetro |
Tipo |
Descrição |
|---|---|---|
|
name |
String |
Nome da conta da parte delegante A. |
|
id |
String |
ID da conta da parte delegante A. |
|
Parâmetro |
Tipo |
Descrição |
|---|---|---|
|
name |
String |
Nome do projeto da parte delegante A. |
|
id |
String |
ID do projeto da parte delegante A. |
|
Object |
Informações da conta da parte delegante A. |
|
Parâmetro |
Tipo |
Descrição |
|---|---|---|
|
name |
String |
Nome da conta da parte delegante A. |
|
id |
String |
ID da conta da parte delegante A. |
|
Parâmetro |
Tipo |
Descrição |
|---|---|---|
|
name |
String |
Nome de permissão. |
|
id |
String |
ID de permissão. O valor padrão é 0, que não corresponde a nenhuma permissão. |
Exemplo de resposta
Código de status: 201
A solicitação foi bem-sucedida.
Exemplo 1: resposta à solicitação de uso de um token de usuário com permissões de Agent Operator do usuário do IAM IAMUserB da parte delegada B (nome da conta: IAMDomainB) para obter outro token para gerenciar todos os recursos da parte delegante A (nome da conta: IAMDomainA) por meio da agência IAMAgency
Exemplo 2: resposta à solicitação de uso de um token de usuário com permissões de Agent Operator do usuário do IAM IAMUserB da parte delegada B (nome da conta: IAMDomainB) para obter outro token para gerenciar os recursos da parte delegante A (nome da conta: IAMDomainA) no projeto ap-southeast-1 por meio da agência IAMAgency, sem exibir informações de catálogo na resposta
- Exemplo 1
Parameters in the response header X-Subject-Token:MIIatAYJKoZIhvcNAQcCoIIapTCCGqECAQExDTALB...
Parameters in the response body { "token": { "expires_at": "2020-01-05T05:05:17.429000Z", "methods": [ "assume_role" ], "catalog": [ { "endpoints": [ { "id": "33e1cbdd86d34e89a63cf8ad16a5f49f", "interface": "public", "region": "*", "region_id": "*", "url": "https://iam.myhuaweicloud.com/v3.0" } ], "id": "100a6a3477f1495286579b819d399e36", "name": "iam", "type": "iam" } ], "domain": { "id": "d78cbac186b744899480f25bd022f468", "name": "IAMDomainA" }, "roles": [ { "id": "0", "name": "op_gated_eip_ipv6" }, { "id": "0", "name": "op_gated_rds_mcs" } ], "issued_at": "2020-01-04T05:05:17.429000Z", "user": { "domain": { "id": "d78cbac186b744899480f25bd022f468", "name": "IAMDomainA" }, "id": "0760a9e2a60026664f1fc0031f9f205e", "name": "IAMDomainA/IAMAgency" }, "assumed_by": { "user": { "domain": { "id": "a2cd82a33fb043dc9304bf72a0f38f00", "name": "IAMDomainB" }, "id": "0760a0bdee8026601f44c006524b17a9", "name": "IAMUserB", "password_expires_at": "" } } } } - Exemplo 2
Parameters in the response header X-Subject-Token:MIIatAYJKoZIhvcNAQcCoIIapTCCGqECAQExDTALB...
Parameters in the response body { "token": { "expires_at": "2020-01-05T06:49:28.094000Z", "methods": [ "assume_role" ], "catalog": [], "roles": [ { "id": "0", "name": "op_gated_eip_ipv6" }, { "id": "0", "name": "op_gated_rds_mcs" } ], "project": { "domain": { "id": "d78cbac186b744899480f25bd022f468", "name": "IAMDomainA" }, "id": "aa2d97d7e62c4b7da3ffdfc11551f878", "name": "ap-southeast-1" }, "issued_at": "2020-01-04T06:49:28.094000Z", "user": { "domain": { "id": "d78cbac186b744899480f25bd022f468", "name": "IAMDomainA" }, "id": "0760a9e2a60026664f1fc0031f9f205e", "name": "IAMDomainA/IAMAgency" }, "assumed_by": { "user": { "domain": { "id": "a2cd82a33fb043dc9304bf72a0f38f00", "name": "IAMDomainB" }, "id": "0760a0bdee8026601f44c006524b17a9", "name": "IAMUserB", "password_expires_at": "" } } } }
Código de status: 400
Parâmetros inválidos.
{
"error": {
"code": 400,
"message": "The request body is invalid",
"title": "Bad Request"
}
}
Código de status: 401
Falha na autenticação.
{
"error": {
"code": 401,
"message": "The X-Auth-Token is invalid!",
"title": "Unauthorized"
}
}
Código de status: 403
Acesso negado.
- O token de usuário especificado em X-Auth-Token para o usuário B da parte delegada B não tem a permissão de Agent Operator. Por favor, solicite a permissão necessária.
{
"error": {
"code": 403,
"message": "You have no right to do this action",
"title": "Forbidden"
}
}
Códigos de status
|
Código de status |
Descrição |
|---|---|
|
201 |
A solicitação foi bem-sucedida. |
|
400 |
Parâmetros inválidos. |
|
401 |
Falha na autenticação. |
|
403 |
Acesso negado. (A possível causa desse erro é que a parte delegada não tem a permissão de Agent Operator.) |
|
404 |
O recurso solicitado não pode ser encontrado. |
|
500 |
Erro de servidor interno. |
|
503 |
Serviço indisponível. |
Códigos de erro
Nenhum
