更新时间:2022-08-16 GMT+08:00

修改云服务自定义策略

功能介绍

该接口可以用于管理员修改云服务自定义策略。

该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。

URI

PATCH /v3.0/OS-ROLE/roles/{role_id}

表1 路径参数

参数

是否必选

参数类型

描述

role_id

String

待修改的自定义策略ID,获取方式请参见:自定义策略ID

请求参数

表2 请求Header参数

参数

是否必选

参数类型

描述

Content-Type

String

该字段内容填为“application/json;charset=utf8”。

X-Auth-Token

String

拥有Security Administrator权限的token。

表3 请求Body参数

参数

是否必选

参数类型

描述

role

Object

自定义策略信息。

表4 role

参数

是否必选

参数类型

描述

display_name

String

自定义策略展示名。

type

String

自定义策略的显示模式。

说明:
  • AX表示在domain层显示。
  • XA表示在project层显示。
  • 自定义策略的显示模式只能为AX或者XA,不能在domain层和project层都显示(AA),或者在domain层和project层都不显示(XX)。

description

String

自定义策略的描述信息。

description_cn

String

自定义策略的中文描述信息。

policy

Object

自定义策略的具体内容。

表5 role.policy

参数

是否必选

参数类型

描述

Version

String

权限版本号,创建自定义策略时,该字段值填为“1.1”。

说明:
  • 1.0:系统预置的角色。以服务为粒度,提供有限的服务相关角色用于授权。
  • 1.1:策略。IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。

Statement

Array of objects

授权语句,描述自定义策略的具体内容,不超过8个。

表6 role.policy.Statement

参数

是否必选

参数类型

描述

Action

Array of strings

授权项,指对资源的具体操作权限,不超过100个。

说明:
  • 格式为:服务名:资源类型:操作,例:vpc:ports:create。
  • 服务名为产品名称,例如ecs、evs和vpc等,服务名仅支持小写。 资源类型和操作没有大小写,要求支持通配符号*,无需罗列全部授权项。

Effect

String

作用。包含两种:允许(Allow)和拒绝(Deny),既有Allow又有Deny的授权语句时,遵循Deny优先的原则。

取值范围:

  • Allow
  • Deny

Condition

Object

限制条件。不超过10个。

Resource

Array of strings

资源。数组长度不超过10,每个字符串长度不超过128,规则如下:

说明:
  • 可填 * 的五段式:::::,例:"obs:::bucket:*"。
  • region字段为*或用户可访问的region。service必须存在且resource属于对应service。
表7 role.policy.Statement.Condition

参数

是否必选

参数类型

描述

<operator>

Object

运算符。具体运算符如 “Bool”、“StringEquals”等。

  • 该参数类型为自定义对象。
表8 role.policy.Statement.Condition.<operator>

参数

是否必选

参数类型

描述

<attribute>

Array of strings

条件键。key为与运算符有对应关系的合法属性,value为长度不超过10的字符串数组。

  • 该参数类型为自定义字符串数组。

响应参数

表9 响应Body参数

参数

参数类型

描述

role

Object

自定义策略信息。

表10 role

参数

参数类型

描述

catalog

String

自定义策略所在目录。

display_name

String

自定义策略展示名。

description

String

自定义策略的描述信息。

links

Object

自定义策略的资源链接信息。

policy

Object

自定义策略的具体内容。

description_cn

String

自定义策略的中文描述信息。

domain_id

String

自定义策略所属账号ID。

type

String

自定义策略的显示模式。

说明:
  • AX表示在domain层显示。
  • XA表示在project层显示。
  • 自定义策略的显示模式只能为AX或者XA,不能在domain层和project层都显示(AA),或者在domain层和project层都不显示(XX)。

id

String

自定义策略ID。

name

String

自定义策略名。

updated_time

String

自定义策略更新时间。

created_time

String

自定义策略创建时间。

references

String

自定义策略的引用次数。

表12 role.policy

参数

参数类型

描述

Version

String

权限版本号。

说明:
  • 1.0:系统预置的角色。以服务为粒度,提供有限的服务相关角色用于授权。
  • 1.1:策略。IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。

Statement

Array of objects

授权语句,描述自定义策略的具体内容,不超过8个。

表13 role.policy.Statement

参数

参数类型

描述

Action

Array of strings

授权项,指对资源的具体操作权限,不超过100个。

说明:
  • 格式为:服务名:资源类型:操作,例:vpc:ports:create。
  • 服务名为产品名称,例如ecs、evs和vpc等,服务名仅支持小写。 资源类型和操作没有大小写,要求支持通配符号*,无需罗列全部授权项。

Effect

String

作用。包含两种:允许(Allow)和拒绝(Deny),既有Allow又有Deny的授权语句时,遵循Deny优先的原则。

取值范围:

  • Allow
  • Deny

Condition

Object

限制条件。不超过10个。

Resource

Array of strings

资源。数组长度不超过10,每个字符串长度不超过128,规则如下:

说明:
  • 可填 * 的五段式:::::,例:"obs:::bucket:*"。
  • region字段为*或用户可访问的region。service必须存在且resource属于对应service。
表14 role.policy.Statement.Condition

参数

参数类型

描述

operator

Object

运算符。具体运算符如 “Bool”、“StringEquals”等。

  • 该参数类型为自定义对象。
表15 role.policy.Statement.Condition.operator

参数

参数类型

描述

attribute

Array of strings

条件键。key为与运算符有对应关系的合法属性,value为长度不超过10的字符串数组。

  • 该参数类型为自定义字符串数组。

请求示例

PATCH https://sample.domain.com/v3.0/OS-ROLE/roles/{role_id}
{
    "role": {
        "display_name": "IAMCloudServicePolicy",
        "type": "AX",
        "description": "IAMDescription",
        "description_cn": "中文描述",
        "policy": {
            "Version": "1.1",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Action": [
                        "obs:bucket:GetBucketAcl"
                    ],
                    "Condition": {
                        "StringStartWith": {
                            "g:ProjectName": [
                                "example-west-1"
                            ]
                        }
                    },
                    "Resource": [
                        "obs:*:*:bucket:*"
                    ]
                }
            ]
        }
    }
}

响应示例

状态码为 200 时:

请求成功。

{
    "role": {
        "catalog": "CUSTOMED",
        "display_name": "IAMCloudServicePolicy",
        "description": "IAMDescription",
        "links": {
            "self": "https://sample.domain.com/v3/roles/93879fd90f1046f69e6e0b31c94d2615"
        },
        "policy": {
            "Version": "1.1",
            "Statement": [
                {
                    "Action": [
                        "obs:bucket:GetBucketAcl"
                    ],
                    "Resource": [
                        "obs:*:*:bucket:*"
                    ],
                    "Effect": "Allow",
                    "Condition": {
                        "StringStartWith": {
                            "g:ProjectName": [
                                "example-west-1"
                            ]
                        }
                    }
                }
            ]
        },
        "description_cn": "中文描述",
        "domain_id": "d78cbac186b744899480f25bd0...",
        "type": "AX",
        "id": "93879fd90f1046f69e6e0b31c94d2615",
        "name": "custom_d78cbac186b744899480f25bd022f468_1"
    }
}

返回值

返回值

描述

200

请求成功。

400

参数无效。

401

认证失败。

403

没有操作权限。

404

未找到相应的资源。

500

内部服务错误。

错误码