华为云用户手册

响应参数 表2 响应Body参数 参数 参数类型 描述 login_protects Array of objects 登录状态保护信息列表。 说明： 只返回开启过登录保护的用户状态信息。 表3 login_protects 参数 参数类型 描述 enabled Boolean IAM用户是否开启登录保护，开启为"true"，未开启为"false"。 user_id String IAM用户ID。 verification_method String IAM用户登录验证方式。

响应示例 状态码为 200 时: 请求成功。 { "virtual_mfa_devices" : [ { "user_id" : "16b26081f43d4c628c4bb88cf32e9...", "serial_number" : "iam/mfa/16b26081f43d4c628c4bb88cf32e9..." }, { "user_id" : "47026081f43d4c628c4bb88cf32e9...", "serial_number" : "iam/mfa/75226081f43d4c628c4bb88cf32e9..." } ] }

请求示例 绑定MFA设备，第一组验证码为“977931”，第二组验证码为“527347”，MFA设备序列号为“iam:09f6bd6a96801de40f01c00c85691...:mfa/{device_name}”。 PUT https://iam.myhuaweicloud.com/v3.0/OS-MFA/mfa-devices/bind { "user_id" : "09f99d8f6a001d4f1f01c00c31968...", "authentication_code_first" : "977931", "authentication_code_second" : "527347", "serial_number" : "iam:09f6bd6a96801de40f01c00c85691...:mfa/{device_name}" }

请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-token 是 String 请求Body中user_id所对应IAM用户的token（无需特殊权限）。 表2 请求Body参数 参数 是否必选 参数类型 描述 user_id 是 String 待绑定MFA设备的IAM用户ID。 serial_number 是 String MFA设备序列号。 authentication_code_first 是 String 第一组验证码。 authentication_code_second 是 String 第二组验证码。

响应参数 状态码为 200 时: 表3 响应Body参数 参数 参数类型 描述 login_protect object 登录状态保护信息。 表4 login_protect 参数 参数类型 描述 enabled Boolean IAM用户是否开启登录保护，开启为"true"，未开启为"false"。 user_id String IAM用户ID。 verification_method String IAM用户登录验证方式。

请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 请求Body中user_id所对应IAM用户的token（无需特殊权限）。 表2 请求Body参数 参数 是否必选 参数类型 描述 virtual_mfa_device 是 object 创建的MFA设备信息。 表3 virtual_mfa_device 参数 是否必选 参数类型 描述 name 是 String 设备名称。 最小长度：1 最大长度：64 user_id 是 String 创建MFA设备的IAM用户ID。

请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 管理员为IAM用户解绑MFA设备：请参见授权项。 IAM用户为自己解绑MFA设备：请求Body中user_id所对应IAM用户的token（无需特殊权限）。 表2 请求Body参数 参数 是否必选 参数类型 描述 user_id 是 String 待解绑MFA设备的IAM用户ID。 authentication_code 是 String 管理员为IAM用户解绑MFA设备：填写6位任意验证码，不做校验。 IAM用户为自己解绑MFA设备：填写虚拟MFA验证码。 serial_number 是 String MFA设备序列号。

请求示例 解绑序列号为“iam:09f6bd6a96801de40f01c00c85691...:mfa/{device_name}”的MFA设备，验证码是“373658”。 PUT https://iam.myhuaweicloud.com/v3.0/OS-MFA/mfa-devices/unbind { "user_id" : "09f99d8f6a001d4f1f01c00c31968...", "authentication_code" : "373658", "serial_number" : "iam:09f6bd6a96801de40f01c00c85691...:mfa/{device_name}" }

响应参数 状态码为 200 时： 表5 响应Body参数 参数 参数类型 描述 login_protect object 登录保护状态信息。 表6 login_protect 参数 参数类型 描述 user_id String 待修改登录保护状态信息的IAM用户ID。 enabled Boolean IAM用户是否开启登录保护，开启为"true"，不开启为"false"。 verification_method String IAM用户登录验证方式。手机验证为“sms”,邮箱验证为“email”,MFA验证为“vmfa”。

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-token 是 String 拥有Security Administrator权限的token。 表3 请求Body参数 参数 是否必选 参数类型 描述 login_protect 是 object 登录保护状态信息。 表4 Login_project 参数 是否必选 参数类型 描述 enabled 是 Boolean IAM用户是否开启登录保护，开启为"true"，未开启为"false"。 verification_method 是 String IAM用户登录验证方式。手机验证为“sms”,邮箱验证为“email”,MFA验证为“vmfa”。

请求示例 修改IAM用户的登录保护状态信息：开启登录保护，且登录验证方式为MFA验证。 PUT https://iam.myhuaweicloud.com/v3.0/OS-USER/users/{user_id}/login-protect { "login_protect" : { "enabled" : true, "verification_method" : "vmfa" } }

响应参数 表3 响应Body参数 参数 参数类型 描述 group Object 用户组信息。 表4 group 参数 参数类型 描述 description String 用户组描述信息。 id String 用户组ID。 domain_id String 用户组所属帐号ID。 name String 用户组名。 links Object 用户组的资源链接信息。 create_time Long 用户组创建时间。 表5 group.links 参数 参数类型 描述 self String 资源链接地址。 previous String 前一邻接资源链接地址。 next String 后一邻接资源链接地址。

响应示例 状态码为 200 时: 请求成功。 { "group": { "domain_id": "d78cbac186b744899480f25bd02...", "create_time": 1578107542861, "name": "IAMGroup", "description": "", "links": { "next": null, "previous": null, "self": "https://iam.myhuaweicloud.com/v3/groups/07609e7eb200250a3f7dc003cb7a..." }, "id": "07609e7eb200250a3f7dc003cb7..." }}

URI HEAD /v3/groups/{group_id}/users/{user_id} 表1 路径参数 参数 是否必选 参数类型 描述 group_id 是 String 用户组ID，获取方式请参见：获取帐号、IAM用户、项目、用户组、区域、委托的名称和ID。 user_id 是 String 待查询的IAM用户ID，获取方式请参见：获取帐号、IAM用户、项目、用户组、区域、委托的名称和ID。

响应示例 状态码为 200 时: 请求成功。 { "roles" : [ { "domain_id" : null, "description_cn" : "漏洞扫描服务（VSS）管理员，拥有该服务下的所有权限", "catalog" : "VulnScan", "name" : "wscn_adm", "description" : "Vulnerability Scan Service administrator of tasks and reports.", "links" : { "next" : null, "previous" : null, "self" : "https://iam.myhuaweicloud.com/v3/roles/0af84c1502f447fa9c2fa18083fbb87e" }, "id" : "0af84c1502f447fa9c2fa18083fbb87e", "display_name" : "VSS Administrator", "type" : "XA", "policy" : { "Version" : "1.0", "Statement" : [ { "Action" : [ "WebScan:*:*" ], "Effect" : "Allow" } ], "Depends" : [ { "catalog" : "BASE", "display_name" : "Server Administrator" }, { "catalog" : "BASE", "display_name" : "Tenant Guest" } ] } }, { "domain_id" : null, "flag" : "fine_grained", "description_cn" : "微服务引擎服务管理员权限", "catalog" : "CSE", "name" : "system_all_34", "description" : "All permissions of CSE service.", "links" : { "next" : null, "previous" : null, "self" : "https://iam.myhuaweicloud.com/v3/roles/0b5ea44ebdc64a24a9c372b2317f7e39" }, "id" : "0b5ea44ebdc64a24a9c372b2317f7e39", "display_name" : "CSE Admin", "type" : "XA", "policy" : { "Version" : "1.1", "Statement" : [ { "Action" : [ "cse:*:*", "ecs:*:*", "evs:*:*", "vpc:*:*" ], "Effect" : "Allow" } ] } } ], "links" : { "next" : null, "previous" : null, "self" : "https://iam.myhuaweicloud.com/v3/roles" }, "total_number" : 300}

响应参数 表3 响应Body参数 参数 参数类型 描述 links Object 资源链接信息。 roles Array of objects 权限信息列表。 total_number Integer 返回权限的总数。 表4 links 参数 参数类型 描述 self String 资源链接。 previous String 上一个邻接资源链接。 next String 下一个邻接资源链接。 表5 roles 参数 参数类型 描述 domain_id String 权限所属帐号ID。 flag String 该参数值为fine_grained时，标识此权限为系统内置的策略。 description_cn String 权限的中文描述信息。 catalog String 权限所在目录。 name String 系统内部呈现的权限名称。如云目录服务CCS普通用户权限CCS User的name为ccs_user。 携带在用户的token中，云服务根据该名称来判断用户是否有权限访问。 description String 权限描述信息。 links Object 权限的资源链接信息。 id String 权限ID。 display_name String 权限名称。 type String 权限的显示模式。 说明： AX表示在domain层显示。 XA表示在project层显示。 AA表示在domain和project层均显示。 XX表示在domain和project层均不显示。 自定义策略的显示模式只能为AX或者XA，不能在domain层和project层都显示（AA），或者在domain层和project层都不显示（XX）。 policy Object 权限的具体内容。 updated_time String 权限更新时间。 created_time String 权限创建时间。 表6 roles.links 参数 参数类型 描述 self String 资源链接地址。 previous String 前一邻接资源链接地址。 next String 后一邻接资源链接地址。 表7 roles.policy 参数 参数类型 描述 Depends Array of objects 该权限所依赖的权限。 Statement Array of objects 授权语句，描述权限的具体内容。 Version String 权限版本号。 说明： 1.0：系统预置的角色。以服务为粒度，提供有限的服务相关角色用于授权。 1.1：策略。IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。 表8 roles.policy.Depends 参数 参数类型 描述 catalog String 权限所在目录。 display_name String 权限展示名。 表9 roles.policy.Statement 参数 参数类型 描述 Action Array of strings 授权项，指对资源的具体操作权限。支持的授权项请参考各云服务《API参考》中“权限和授权项”章节。 说明： 格式为：服务名:资源类型:操作，例：vpc:ports:create。 服务名为产品名称，例如ecs、evs和vpc等，服务名仅支持小写。 资源类型和操作没有大小写，要求支持通配符号*，无需罗列全部授权项。 当自定义策略为委托自定义策略时，该字段值为： "Action": ["iam:agencies:assume"]。 Effect String 作用。包含两种：允许（Allow）和拒绝（Deny），既有Allow又有Deny的授权语句时，遵循Deny优先的原则。 取值范围： Allow Deny Condition Object 限制条件。了解更多相关参数，请参考：配置自定义策略。 说明： 以请求示例中的Condition为例：条件键（obs:prefix）和字符串（public）需相等（StringEquals）。 "Condition": { "StringEquals": { "obs:prefix": [ "public" ] } } Resource Array of strings 资源。规则如下： 说明： 可填 * 的五段式：::::，例："obs:::bucket:*"。 region字段为*或用户可访问的region。service必须存在且resource属于对应service。 当该自定义策略为委托自定义策略时，该字段类型为Object，值为："Resource": {"uri": ["/iam/agencies/07805acaba800fdd4fbdc00b8f888c7c"]}。 表10 roles.policy.Statement.Condition.operator 参数 参数类型 描述 attribute Array of strings 条件键。key为与运算符有对应关系的合法属性，value为长度不超过10的字符串数组。 该参数类型为自定义字符串数组。

URI GET /v3/roles 表1 Query参数 参数 是否必选 参数类型 描述 domain_id 否 String 帐号ID，获取方式请参见：获取帐号、IAM用户、项目、用户组、区域、委托的名称和ID。 说明： 如果填写此参数，则返回帐号下所有自定义策略。 如果不填写此参数，则返回所有系统权限（包含系统策略和系统角色）。 permission_type 否 String 区分系统权限类型的参数。当domain_id参数为空时生效。 policy：返回系统策略 role：返回系统角色。 name 否 String 系统内部呈现的权限名称。如云目录服务CCS普通用户权限CCS User的name为ccs_user。 建议您传参display_name，不传name参数。 display_name 否 String 权限名称或过滤条件。该参数可以传入控制台或系统权限显示的权限名称。 权限名称：如传参为ECS FullAccess，则返回该权限相关信息。 过滤条件：如传参为Administrator，则返回满足条件的所有管理员权限。 page 否 Integer 分页查询时数据的页数，查询值最小为1。需要与per_page同时存在。传入domain_id参数查询自定义策略时，可配套使用。 per_page 否 Integer 分页查询时每页的数据个数，取值范围为[1,300]，默认值为300。需要与page同时存在。 不传page和per_page参数时，每页最多返回300个权限。 type 否 String 过滤权限的显示模式。取值范围：domain,project,all。type为domain时，返回type=AA或AX的权限；type为project时，返回type=AA或XA的权限；type为all时返回type为AA、AX、XA的权限。 说明： AX表示在domain层显示。 XA表示在project层显示。 AA表示在domain和project层均显示。 XX表示在domain和project层均不显示。 catalog 否 String 权限所在目录。catalog值精确匹配策略的catalog字段(可以过滤服务的策略、或者自定义策略)。

响应示例 状态码为 200 时: 请求成功。 { "role": { "domain_id": null, "description_cn": "漏洞扫描服务（VSS）管理员，拥有该服务下的所有权限", "catalog": "VulnScan", "name": "wscn_adm", "description": "Vulnerability Scan Service administrator of tasks and reports.", "links": { "next": null, "previous": null, "self": "https://iam.myhuaweicloud.com/v3/roles/0af84c1502f447fa9c2fa18083fbb87e" }, "id": "0af84c1502f447fa9c2fa18083fbb87e", "display_name": "VSS Administrator", "type": "XA", "policy": { "Version": "1.0", "Statement": [ { "Action": [ "WebScan:*:*" ], "Effect": "Allow" } ], "Depends": [ { "catalog": "BASE", "display_name": "Server Administrator" }, { "catalog": "BASE", "display_name": "Tenant Guest" } ] } }}

响应参数 表3 响应Body参数 参数 参数类型 描述 role Object 权限信息。 表4 role 参数 参数类型 描述 domain_id String 权限所属帐号ID。 flag String 该参数值为fine_grained时，标识此权限为系统内置的策略。 description_cn String 权限的中文描述信息。 catalog String 权限所在目录。 name String 系统内部呈现的权限名称。如云目录服务CCS普通用户权限CCS User的name为ccs_user。 携带在用户的token中，云服务根据该名称来判断用户是否有权限访问。 description String 权限描述信息。 links Object 权限的资源链接信息。 id String 权限ID。 display_name String 权限名称。 type String 权限的显示模式。 说明： AX表示在domain层显示。 XA表示在project层显示。 AA表示在domain和project层均显示。 XX表示在domain和project层均不显示。 自定义策略的显示模式只能为AX或者XA，不能在domain层和project层都显示（AA），或者在domain层和project层都不显示（XX）。 policy Object 权限的具体内容。 updated_time String 权限更新时间。 created_time String 权限创建时间。 表5 role.links 参数 参数类型 描述 self String 资源链接地址。 previous String 前一邻接资源链接地址。 next String 后一邻接资源链接地址。 表6 role.policy 参数 参数类型 描述 Depends Array of objects 该权限所依赖的权限。 Statement Array of objects 授权语句，描述权限的具体内容。 Version String 权限版本号。 说明： 1.0：系统预置的角色。以服务为粒度，提供有限的服务相关角色用于授权。 1.1：策略。IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。 表7 role.policy.Depends 参数 参数类型 描述 catalog String 权限所在目录。 display_name String 权限展示名。 表8 role.policy.Statement 参数 参数类型 描述 Action Array of strings 授权项，指对资源的具体操作权限。支持的授权项请参考各云服务《API参考》中“权限和授权项”章节。 说明： 格式为：服务名:资源类型:操作，例：vpc:ports:create。 服务名为产品名称，例如ecs、evs和vpc等，服务名仅支持小写。 资源类型和操作没有大小写，要求支持通配符号*，无需罗列全部授权项。 当自定义策略为委托自定义策略时，该字段值为： "Action": ["iam:agencies:assume"]。 Effect String 作用。包含两种：允许（Allow）和拒绝（Deny），既有Allow又有Deny的授权语句时，遵循Deny优先的原则。 取值范围： Allow Deny Condition Object 限制条件。了解更多相关参数，请参考：配置自定义策略。 说明： 以请求示例中的Condition为例：条件键（obs:prefix）和字符串（public）需相等（StringEquals）。 "Condition": { "StringEquals": { "obs:prefix": [ "public" ] } } Resource Array of strings 资源。规则如下： 说明： 可填 * 的五段式：::::，例："obs:::bucket:*"。 region字段为*或用户可访问的region。service必须存在且resource属于对应service。 当该自定义策略为委托自定义策略时，该字段类型为Object，值为："Resource": {"uri": ["/iam/agencies/07805acaba800fdd4fbdc00b8f888c7c"]}。

URI PUT /v3/groups/{group_id}/users/{user_id} 表1 路径参数 参数 是否必选 参数类型 描述 group_id 是 String 用户组ID，获取方式请参见：获取帐号、IAM用户、项目、用户组、区域、委托的名称和ID。 user_id 是 String 待添加的IAM用户ID，获取方式请参见：获取帐号、IAM用户、项目、用户组、区域、委托的名称和ID。

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 该字段填为“application/json;charset=utf8””。 X-Auth-Token 是 String 管理员删除IAM用户的指定永久访问密钥：请参见授权项。 IAM用户删除自己的指定永久访问密钥：URL中access_key所对应IAM用户的token（无需特殊权限）。

响应参数 表2 响应Body参数 参数 参数类型 描述 links Object 资源链接信息。 regions Array of objects 区域信息列表。 表3 links 参数 参数类型 描述 self String 资源链接地址。 previous String 前一邻接资源链接地址。 next String 后一邻接资源链接地址。 表4 regions 参数 参数类型 描述 description String 区域描述信息。 parent_region_id String null. links Object 区域的资源链接信息。 locales Object 区域名。 id String 区域ID。 type String 区域类型。 表5 regions.links 参数 参数类型 描述 self String 资源链接地址。 表6 regions.locales 参数 参数类型 描述 zh-cn String 区域的中文名称。 en-us String 区域的英文名称。 pt-br String 区域的葡萄牙语名称。 es-us String 区域的美国西班牙语名称。 es-es String 区域的西班牙语名称。

响应示例 状态码为 200 时: 请求成功。 { "regions": [ { "parent_region_id": null, "description": "", "links": { "self": "https://iam.myhuaweicloud.com/v3/regions/cn-north-1" }, "type": "public", "id": "cn-north-1", "locales": { "zh-cn": "“华北-北京一”", "en-us": "cn-north-1" } }, { "parent_region_id": null, "description": "", "links": { "self": "https://iam.myhuaweicloud.com/v3/regions/la-south-2" }, "type": "public", "id": "la-south-2", "locales": { "pt-br": "AL-Santiago", "zh-cn": "拉美-圣地亚哥", "en-us": "LA-Santiago", "es-us": "AL-Santiago de Chile1", "es-es": "LA-Santiago" } } ], "links": { "self": "https://iam.myhuaweicloud.com/v3/regions", "previous": null, "next": null }}

URI GET /v3/projects 表1 Query参数 参数 是否必选 参数类型 描述 domain_id 否 String 项目所属帐号ID，获取方式请参见：获取帐号、IAM用户、项目、用户组、区域、委托的名称和ID。 enabled 否 Boolean 项目是否启用。 is_domain 否 Boolean 该字段无需填写。 name 否 String 项目名称，获取方式请参见：获取帐号、IAM用户、项目、用户组、区域、委托的名称和ID。 page 否 Integer 分页查询时数据的页数，查询值最小为1。需要与per_page同时存在。 parent_id 否 String 如果查询自己创建的项目，则此处应填为所属区域的项目ID。 如果查询的是系统内置项目，如cn-north-1，则此处应填为帐号ID。 获取项目ID和帐号ID，请参见：获取帐号、IAM用户、项目、用户组、区域、委托的名称和ID。 per_page 否 Integer 分页查询时每页的数据个数，取值范围为[1,5000]。需要与page同时存在。

响应参数 表3 响应Body参数 参数 参数类型 描述 links Object 资源链接信息。 projects Array of objects 项目信息列表。 表4 links 参数 参数类型 描述 self String 资源链接地址。 previous String 前一邻接资源链接地址。 next String 后一邻接资源链接地址。 表5 projects 参数 参数类型 描述 is_domain Boolean false. description String 项目描述信息。 links Object 项目的资源链接。 enabled Boolean 项目是否可用。 id String 项目ID。 parent_id String 如果查询自己创建的项目，则此处返回所属区域的项目ID。 如果查询的是系统内置项目，如cn-north-1，则此处返回帐号ID。 domain_id String 项目所属帐号ID。 name String 项目名称。如cn-north-1、MOS等，其中MOS为OBS内置项目。 表6 projects.links 参数 参数类型 描述 self String 资源链接地址。 previous String 前一邻接资源链接地址。 next String 后一邻接资源链接地址。

响应示例 状态码为 200 时: 请求成功。 { "projects": [ { "domain_id": "d78cbac186b744899480f25bd02...", "is_domain": false, "parent_id": "d78cbac186b744899480f25bd022...", "name": "cn-north-1", "description": "", "links": { "next": null, "previous": null, "self": "https://iam.myhuaweicloud.com/v3/projects/06f1c15e6f0010672f86c003006c5f17" }, "id": "06f1c15e6f0010672f86c00300...", "enabled": true }, { "domain_id": "d78cbac186b744899480f25bd...", "is_domain": false, "parent_id": "d78cbac186b744899480f25bd0...", "name": "cn-north-1", "description": "", "links": { "next": null, "previous": null, "self": "https://iam.myhuaweicloud.com/v3/projects/065a7c66da0010992ff7c0031e5a..." }, "id": "065a7c66da0010992ff7c0031e5a...", "enabled": true } ], "links": { "next": null, "previous": null, "self": "https://iam.myhuaweicloud.com/v3/projects" }}

响应示例 状态码为 200 时: 请求成功。 { "region": { "description": "", "links": { "self": "https://iam.myhuaweicloud.com/v3/regions/la-south-2" }, "type": "public", "id": "la-south-2", "locales": { "pt-br": "AL-Santiago", "zh-cn": "拉美-圣地亚哥", "en-us": "LA-Santiago", "es-us": "AL-Santiago de Chile1", "es-es": "LA-Santiago" } }}

响应参数 表3 响应Body参数 参数 参数类型 描述 region Object 区域信息。 表4 region 参数 参数类型 描述 description String 区域描述信息。 parent_region_id String null. links Object 区域的资源链接信息。 locales Object 区域名。 id String 区域ID。 type String 区域类型。 表5 region.links 参数 参数类型 描述 self String 资源链接地址。 表6 region.locales 参数 参数类型 描述 zh-cn String 区域的中文名称。 en-us String 区域的英文名称。 pt-br String 区域的葡萄牙语名称。 es-us String 区域的美国西班牙语名称。 es-es String 区域的西班牙语名称。

响应参数 表3 响应Body参数 参数 参数类型 描述 links Object 资源链接信息。 projects Array of objects 项目信息列表。 表4 links 参数 参数类型 描述 self String 资源链接地址。 previous String 前一邻接资源链接地址。 next String 后一邻接资源链接地址。 表5 projects 参数 参数类型 描述 is_domain Boolean false. description String 项目描述信息。 links Object 项目的资源链接。 enabled Boolean 项目是否可用。 id String 项目ID。 parent_id String 如果查询自己创建的项目，则此处返回所属区域的项目ID。 如果查询的是系统内置项目，如cn-north-1，则此处返回帐号ID。 domain_id String 项目所属帐号ID。 name String 项目名称。 表6 projects.links 参数 参数类型 描述 self String 资源链接地址。 previous String 前一邻接资源链接地址。 next String 后一邻接资源链接地址。

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 该字段内容填为“application/json;charset=utf8”。 X-Auth-Token 是 String 访问令牌，承载用户的身份、权限等信息。 管理员查询指定IAM用户的项目列表：请参见授权项。 IAM用户查询自身项目列表：URL中user_id所对应IAM用户的token（无需特殊权限）。