创建云服务自定义策略

功能介绍

该接口可以用于管理员创建云服务自定义策略。

该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。

URI

POST /v3.0/OS-ROLE/roles

请求参数

表1 请求Header参数
参数	是否必选	参数类型	描述
Content-Type	是	String	该字段内容填为“application/json;charset=utf8”。
X-Auth-Token	是	String	拥有Security Administrator权限的token。

表2 请求Body参数
参数	是否必选	参数类型	描述
role	是	Object	自定义策略信息。

表3 role
参数	是否必选	参数类型	描述
display_name	是	String	自定义策略展示名。
type	是	String	自定义策略的显示模式。说明： AX表示在domain层显示。 XA表示在project层显示。自定义策略的显示模式只能为AX或者XA，不能在domain层和project层都显示（AA），或者在domain层和project层都不显示（XX）。
description	是	String	自定义策略的描述信息。
description_cn	否	String	自定义策略的中文描述信息。
policy	是	Object	自定义策略的具体内容。

表4 role.policy
参数	是否必选	参数类型	描述
Version	是	String	权限版本号，创建自定义策略时，该字段值填为“1.1”。说明： 1.0：系统预置的角色。以服务为粒度，提供有限的服务相关角色用于授权。 1.1：策略。IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。
Statement	是	Array of objects	授权语句，描述自定义策略的具体内容，不超过8个。

表5 role.policy.Statement
参数	是否必选	参数类型	描述
Action	是	Array of strings	授权项，指对资源的具体操作权限，不超过100个。说明：格式为：服务名:资源类型:操作，例：vpc:ports:create。服务名为产品名称，例如ecs、evs和vpc等，服务名仅支持小写。资源类型和操作没有大小写，要求支持通配符号*，无需罗列全部授权项。
Effect	是	String	作用。包含两种：允许（Allow）和拒绝（Deny），既有Allow又有Deny的授权语句时，遵循Deny优先的原则。取值范围： Allow Deny
Condition	否	Object	限制条件。不超过10个。说明：以请求示例中的Condition为例：条件键（obs:prefix）和字符串（public）需相等（StringEquals）。 "Condition": { "StringEquals": { "obs:prefix": [ "public" ] } }
Resource	否	Array of strings	资源。数组长度不超过10，每个字符串长度不超过128，规则如下：说明：可填 * 的五段式：::::，例："obs:::bucket:"。 region字段为或用户可访问的region。service必须存在且resource属于对应service。

响应参数

表6 响应Body参数
参数	参数类型	描述
role	Object	自定义策略信息。

表7 role
参数	参数类型	描述
catalog	String	自定义策略所在目录。
display_name	String	自定义策略展示名。
description	String	自定义策略的描述信息。
links	Object	自定义策略的资源链接信息。
policy	Object	自定义策略的具体内容。
description_cn	String	自定义策略的中文描述信息。
domain_id	String	自定义策略所属账号ID。
type	String	自定义策略的显示模式。说明： AX表示在domain层显示。 XA表示在project层显示。自定义策略的显示模式只能为AX或者XA，不能在domain层和project层都显示（AA），或者在domain层和project层都不显示（XX）。
id	String	自定义策略ID。
name	String	自定义策略名。
updated_time	String	自定义策略更新时间。
created_time	String	自定义策略创建时间。
references	String	自定义策略的引用次数。

表8 role.links
参数	参数类型	描述
self	String	资源链接地址。

表9 role.policy
参数	参数类型	描述
Version	String	权限版本号。说明： 1.0：系统预置的角色。以服务为粒度，提供有限的服务相关角色用于授权。 1.1：策略。IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。
Statement	Array of objects	授权语句，描述自定义策略的具体内容，不超过8个。

**表10** role.policy.Statement
参数	参数类型	描述
Action	Array of strings	授权项，指对资源的具体操作权限，不超过100个。说明：格式为：服务名:资源类型:操作，例：vpc:ports:create。服务名为产品名称，例如ecs、evs和vpc等，服务名仅支持小写。资源类型和操作没有大小写，要求支持通配符号*，无需罗列全部授权项。
Effect	String	作用。包含两种：允许（Allow）和拒绝（Deny），既有Allow又有Deny的授权语句时，遵循Deny优先的原则。取值范围： Allow Deny
Condition	Map<String,Map<String,Array<String>>>	限制条件。不超过10个。说明：以请求示例中的Condition为例：条件键（obs:prefix）和字符串（public）需相等（StringEquals）。 "Condition": { "StringEquals": { "obs:prefix": [ "public" ] } }
Resource	Array of strings	资源。数组长度不超过10，每个字符串长度不超过128，规则如下：说明：可填 * 的五段式：::::，例："obs:::bucket:"。 region字段为或用户可访问的region。service必须存在且resource属于对应service。

请求示例

POST https://sample.domain.com/v3.0/OS-ROLE/roles

{
    "role": {
        "display_name": "IAMCloudServicePolicy",
        "type": "AX",
        "description": "IAMDescription",
        "description_cn": "中文描述",
        "policy": {
            "Version": "1.1",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Action": [
                        "obs:bucket:GetBucketAcl"
                    ],
                    "Condition": {
                        "StringStartWith": {
                            "g:ProjectName": [
                                "example-west-1"
                            ]
                        }
                    },
                }
            ]
        }
    }
}

响应示例

状态码为 201 时:

创建成功。

{
    "role": {
        "catalog": "CUSTOMED",
        "display_name": "IAMCloudServicePolicy",
        "description": "IAMDescription",
        "links": {
            "self": "https://sample.domain.com/v3/roles/93879fd90f1046f69e6e0b31c94d2..."
        },
        "policy": {
            "Version": "1.1",
            "Statement": [
                {
                    "Action": [
                        "obs:bucket:GetBucketAcl"
                    ],
                    "Resource": [
                        "obs:*:*:bucket:*"
                    ],
                    "Effect": "Allow",
                    "Condition": {
                        "StringStartWith": {
                            "g:ProjectName": [
                                "example-west-1"
                            ]
                        }
                    }
                }
            ]
        },
        "description_cn": "中文描述",
        "domain_id": "d78cbac186b744899480f25bd...",
        "type": "AX",
        "id": "93879fd90f1046f69e6e0b31c9...",
        "name": "custom_d78cbac186b744899480f25bd022f468_1"
    }
}

返回值

返回值	描述
201	创建成功。
400	参数无效。
401	认证失败。
403	没有操作权限。
500	内部服务错误。

错误码

无

父主题： 自定义策略管理

上一篇：查询自定义策略详情

下一篇：创建委托自定义策略

意见反馈

文档内容是否对您有帮助？

有帮助没帮助

提供反馈

提交成功！非常感谢您的反馈，我们会继续努力做到更好！

系统繁忙，请稍后重试

在使用文档中是否遇到以下问题

内容与产品页面不一致

内容不易理解

缺失示例代码

步骤不可操作

搜不到想要的内容

缺少最佳实践

意见反馈（选填）

0/500

请至少选择一项反馈信息并填写问题反馈

字符长度不能超过500

直接提交取消