更新时间:2024-07-25 GMT+08:00

约束与限制

您创建的IAM资源的数量与配额有关系,如果您想查看服务配额、扩大配额,具体请参见:《IAM用户指南》中的“约束与限制”章节。

IAM所有的API都可以使用全局区域的Endpoint调用;除了全局区域外,使用其他区域的Endpoint可以调用部分API,如下表所示。这些API不仅可以使用其他区域的Endpoint调用,还可以使用全局区域进行调用,除了这些API之外,IAM其他的API仅能使用全局区域的Endpoint调用。

使用IAM其他区域的域名获取的token和临时ak/sk,不能跨region使用,即在A区域生成的token或者ak/sk仅能调用A区域的服务接口。

表1 全局以及其他区域的API接口

分类

API URI

接口

Token管理

POST /v3/auth/tokens

获取用户Token

获取委托Token

获取联邦认证scoped token

GET /v3/auth/tokens

校验Token的有效性

访问密钥管理

POST /v3.0/OS-CREDENTIAL/securitytokens

获取临时AK/SK

服务和终端节点

GET /v3/services{?type}

查询服务列表

GET /v3/endpoints{? interface, service_id}

查询终端节点列表

版本信息管理

GET /

查询Keystone API的版本信息

GET /v3

查询Keystone API的3.0版本信息

项目管理

GET /v3/auth/projects

查询用户可以访问的项目列表

租户管理

GET /v3/auth/domains

查询用户可以访问的租户列表

联邦身份认证管理

GET /v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}/auth

获取联邦认证unscoped token(SP initiated)

POST /v3.0/OS-FEDERATION/tokens

IdP initiated方式

GET /v3/OS-FEDERATION/projects

查询联邦用户可以访问的项目列表

GET /v3/OS-FEDERATION/domains

查询联邦用户可以访问的租户列表

GET /v3-ext/auth/OS-FEDERATION/SSO/metadata

查询Keystone的Metadata文件