允许访问的VPC Endpoint 仅在“API访问”页签中可进行配置。限制用户只能从具有设定ID的VPC Endpoint访问华为云API，例如：0ccad098-b8f4-495a-9b10-613e2a5exxxx。若未进行访问控制配置，则默认用户从所有VPC Endpoint都能访问API。 图2 允许访问的VPC Endpoint “允许访问的IP地址区间”、“允许访问的IP地址区间或网段”和“允许访问的VPC Endpoint”，如果同时设置，只要满足其中一种即可允许访问。 单击“恢复默认值”，可以将“允许访问的IP地址区间”恢复为默认值，即0.0.0.0-255.255.255.255，同时将“允许访问的IP地址区间或网段”、“允许访问的VPC Endpoint ”清空。

允许访问的IP地址区间 图1 允许访问的IP地址区间 限制用户只能从设定范围内的IP地址访问华为云，IPv4地址可以在0.0.0.0-255.255.255.255之间设置，默认值为0.0.0.0-255.255.255.255。IPv6地址可以在0:0:0:0:0:0:0:0-FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF之间设置，默认值为0:0:0:0:0:0:0:0-FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF。如不设置或设置为默认值意味着您的 IAM 用户可以从任意地方访问华为云。若需要取消IPv6访问，可以设置为全零地址，例如：0:0:0:0:0:0:0:0-0:0:0:0:0:0:0:0。

密码设置策略 图1 密码设置策略 密码至少包含字符种类（大写字母、小写字母、数字、特殊字符）默认为2种，可以在2~4种之间设置。 密码最小长度默认为8个字符，可以在8~32个字符之间设置。 （可选）开启“设置密码时同一字符不能连续出现”，设置密码中允许同一字符连续出现的最大次数。例如设置为1，表示密码中不允许出现相同字符。 （可选）开启“新密码不能与最近的历史密码相同”，设置新密码不能与最近几次的历史密码相同。例如设置为3，表示不能使用最近三次的历史密码，用户在设置新密码时，如果新密码与历史密码相同，系统将会提示用户不能使用最近三次的历史密码，需要重新设置密码。 修改密码设置策略，将对后续新增IAM用户和后续修改密码的账号以及账号下的IAM用户生效。

完全使用自定义策略 您也可以不使用系统策略，只创建自定义策略，实现IAM用户的指定服务授权。 以下策略样例表示：仅允许IAM用户使用E CS 、EVS、VPC、ELB、 AOM { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:*:*", "evs:*:*", "vpc:*:*", "elb:*:*", "aom:*:*" ] } ] }

配合单个服务系统策略使用 如果您给IAM用户授予单个服务系统策略，例如“BMS FullAccess”，但不希望用户拥有BMS FullAccess中的创建裸金属服务器权限（bms:servers:create），可以创建一条相同Action的自定义策略，并将自定义策略的Effect设置为Deny，然后将系统策略BMS FullAccess和自定义策略同时授予用户，根据Deny优先原则，则用户可以对BMS执行除了创建裸金属服务器外的所有操作。 以下策略样例表示：拒绝IAM用户创建裸金属服务器。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "bms:servers:create" ] } ] } 如果您给IAM用户授予“OBS ReadOnlyAccess”权限，但不希望部分用户查看指定OBS资源（例如，不希望用户名以“TestUser”开头的用户查看以“TestBucket”命名开头的桶），可以再创建一条自定义策略来指定特定的资源，并将自定义策略的Effect设置为Deny，然后将OBS ReadOnlyAccess和自定义策略同时授予用户。根据Deny优先原则，则用户可以对以“TestBucket”命名开头之外的桶进行查看操作。 以下策略样例表示：拒绝以TestUser命名开头的用户查看以TestBucket命名开头的桶。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "obs:bucket:ListAllMybuckets", "obs:bucket:HeadBucket", "obs:bucket:ListBucket", "obs:bucket:GetBucketLocation" ], "Resource": [ "obs:*:*:bucket:TestBucket*" ], "Condition": { "StringStartWith": { "g:UserName": [ "TestUser" ] } } } ] }

配合较高权限系统策略使用 如果您给IAM用户授予较高权限的系统策略，例如“FullAccess” ，但不希望IAM用户拥有某个服务的权限，例如 云审计 服务。您可以创建一个自定义策略，并将自定义策略的Effect设置为Deny，然后将较高权限的系统策略和自定义策略同时授予用户，根据Deny优先原则，则授权的IAM用户除了云审计服务，可以对其他所有服务执行所有操作。 以下策略样例表示：拒绝IAM用户使用云审计服务。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "cts:*:*" ] } ] } Action为授权项，格式为：服务名:资源类型:操作。 "cts:*:*"：表示对云审计的所有操作。其中cts为服务名；“*”为通配符，表示对所有的资源类型可以执行所有操作。 Effect为作用，Deny表示拒绝，Allow表示允许。

敏感操作有哪些 当您开启操作保护后，进行以下操作时，需要进行身份认证。 表1 各云服务定义的敏感操作 类型 服务 敏感操作 计算 弹性云服务器（ECS） 关闭、重启、删除弹性云服务器 重置弹性云服务器密码 卸载磁盘 解绑弹性公网IP 开机状态下变更规格 开机状态下切换操作系统 开机状态下重装操作系统 计算 裸金属服务器（BMS） 关机、重启裸金属服务器 重置裸金属服务器的密码 卸载磁盘 解绑弹性公网IP 计算 弹性伸缩（AS） 删除伸缩组 存储 对象存储服务 （OBS） 删除桶 创建、编辑、删除桶策略 配置对象策略 创建、编辑、删除桶ACL 配置日志记录 配置防盗链 增加、编辑桶清单 存储 云硬盘（EVS） 删除云硬盘 删除快照 退订包年/包月云硬盘 存储 云备份（CBR） 删除存储库 删除备份 备份恢复 删除策略 解绑资源 接受备份 存储 弹性文件服务（SFS） 删除SFS Turbo文件系统 存储 专属分布式存储（DSS） 删除磁盘 CDN与智能边缘 内容分发网络（CDN） 域名下线策略 容器 云容器引擎（CCE） 删除集群 退订集群 容器 华为云UCS 删除联邦 容器 应用编排服务 （AOS） 删除堆栈 网络 云解析服务（DNS） 修改、暂停、删除记录集 修改、删除反向解析 删除自定义线路 网络 虚拟私有云（VPC） 释放、解绑弹性公网IP 删除对等连接 安全组 删除入（出）方向规则 修改入（出）方向规则 批量删除入（出）方向规则 网络 弹性负载均衡（ELB） 共享型负载均衡 删除负载均衡器 删除监听器 删除证书 删除后端云服务器 解绑弹性公网IP 解绑IPv4公网/私有IP 独享型负载均衡 删除负载均衡器 删除监听器 删除证书 删除后端云服务器 解绑弹性公网IP 解绑IPv4公网/私有IP 解绑IPv6地址 移出IPv6共享带宽 网络 弹性公网IP（EIP） 删除共享带宽 释放、解绑弹性公网IP 批量释放、批量解绑弹性公网IP 网络 NAT网关（NAT） 私网NAT网关 ： 删除SNAT规则 删除DNAT规则 删除中转IP 公网NAT网关： 删除SNAT规则 删除DNAT规则 网络 虚拟专用网络 （VPN） 删除/修改VPN连接 退订包年/包月VPN网关 删除/修改VPN网关 删除/修改对端网关 修改VPN网关规格 解绑弹性公网IP 修改服务端 删除/修改服务端证书 删除客户端CA证书 创建/删除/修改用户和用户组 批量删除用户 创建/删除/修改访问策略 重置用户密码 网络 云专线（DC） 删除虚拟接口 安全与合规 数据加密 服务（DEW） 删除密钥 删除密钥别名 撤销密钥授权 删除凭据 删除凭据事件 删除密钥对 删除专属加密集群 删除密码服务管理集群 删除密码服务管理应用 删除密码服务管理密钥 删除管理制度 删除物理与环境信息 管理与监管 统一身份认证 服务（IAM） 关闭操作保护 关闭登录保护 修改手机号 修改邮件地址 修改登录密码 修改登录保护验证方式 删除IAM用户 停用IAM用户 删除委托 删除用户组 删除策略 删除授权 新增访问密钥 删除访问密钥 停用访问密钥 删除项目 修改访问密钥保护状态 管理与监管 云日志 服务（LTS） 删除日志流/组 卸载ICAgent 管理与监管 资源编排 服务（ RFS ） 删除资源栈 应用中间件 分布式缓存服务（DCS） 重置密码 删除实例 清空数据 应用中间件 分布式消息服务Kafka版 删除实例 应用中间件 分布式消息服务RabbitMQ版 删除实例 应用中间件 分布式消息服务RocketMQ版 删除实例 数据库 云数据库 RDS for MySQL 重置管理员密码 删除数据库实例 删除数据库备份 通过备份文件恢复数据库实例 按指定时间点恢复数据库实例 切换主备节点 修改数据库端口 删除数据库账号 删除数据库 修改实例内网IP 解绑弹性公网IP 下载全量备份文件 下载Binlog备份文件 修改内网域名 修改公网域名 修改主机IP 停止实例 开启实例 重启实例 重置数据库账号密码 下载慢日志 数据库 云数据库 RDS for PostgreSQL 重置管理员密码 删除数据库实例 删除数据库备份 切换主备节点 修改数据库端口 修改实例内网IP 解绑弹性公网IP 下载全量备份文件 修改内网域名 下载增量备份文件 通过备份文件恢复数据库实例 按指定时间点恢复数据库实例 数据库 云数据库 RDS for SQL Server 重置管理员密码 删除数据库实例 删除数据库备份 切换主备节点 修改数据库端口 删除数据库 修改实例内网IP 修改内网域名 修改公网域名 解绑弹性公网IP 停止实例 开启实例 重启实例 下载全量备份文件 修改内网域名 下载增量备份文件 通过备份文件恢复数据库实例 按指定时间点恢复数据库实例 数据库 云数据库 TaurusDB 删除实例 重启实例 重启节点 删除只读节点 解绑弹性公网IP 删除数据库 重置数据库账号密码 删除数据库账号 重置管理员密码 修改读写内网地址 将数据库实例恢复到指定时间点 数据库 文档数据库服务（DDS） 重置密码 重启、删除实例 重启节点 副本集主备切换 删除安全组规则 申请Shard或Config节点IP 备份恢复到当前实例 备份恢复到已有实例 包周期实例转按需计费 库表级备份恢复 申请内网域名 补丁升级 迁移可用区 删除备份 备份下载 删除只读节点 数据库 云数据库 GeminiDB 备份恢复到已有实例 清除数据 删除账户 删除节点 关机节点 包周期实例转按需计费 释放实例 退订实例 删除实例 解除双活关系 按需转包周期 补丁升级 重置密码 重启实例 数据库 数据管理服务 DAS 登录实例 大数据 数据仓库 服务 GaussDB (DWS) 集群扩容 经典变更规格 绑定EIP 删除集群 启动集群 停止集群 增删CN节点 升级集群 修改集群参数 删除空闲节点 自动弹性开关 重启集群 大数据 MapReduce服务 （ MRS ） 集群 删除集群 按需转包周期集群 停止所有组件 同步配置 节点 停止所有角色 隔离主机 取消隔离主机 组件： 停止服务 重启服务 滚动重启服务 停止实例 重启实例 滚动重启实例 入服 退服 保存服务配置 补丁： 安装补丁 卸载补丁 回滚补丁 企业应用 云桌面 Workspace 云桌面： 注销云办公服务 关闭云专线接入 关闭互联网接入 切换接入VPC 删除桌面池 桌面池重建系统盘 桌面池删除磁盘 操作桌面池（开机、关机、重启、休眠） 桌面池执行脚本 删除桌面 操作桌面（开机、关机、重启） 重建桌面 解绑用户 切换桌面网络 迁移桌面 删除专享主机 解绑桌面EIP 删除桌面快照 恢复桌面快照 删除桌面数据盘 操作用户（锁定、解锁和重置密码） 删除用户组 删除策略组 删除用户 删除桌面应用 删除站点 修改站点接入方式 取消云办公带宽 云应用： 删除应用组 启用应用 移除应用组授权 删除服务器组 删除服务器 重装服务器 关闭服务器 删除WKS存储 删除个人存储目录 删除策略组 切换服务器镜像 企业应用 消息&短信 （MSG SMS ） 签名删除 模板删除 获取app_secret 指定手机号、邮件地址绑定华为账号 指定IP白名单 续订套餐包 用户服务 费用中心 订单支付 订单退订 资源释放

响应示例 状态码为 201 时: 创建成功。 { "user": { "pwd_status": false, "xuser_id": "", "xuser_type": "", "access_mode" : "default", "description": "IAMDescription", "name": "IAMUser", "phone": "12345678910", "is_domain_owner": false, "enabled": true, "domain_id": "d78cbac186b744899480f25bd...", "areacode": "0086", "email": "IAMEmail@huawei.com", "create_time": "2020-01-06T08:05:16.000000", "xdomain_id": "", "xdomain_type": "", "id": "07664aec578026691f00c003a...", "status": null, "password_expires_at": null, "default_project_id": null } }

请求示例 管理员创建一个名为“IAMUser”的IAM用户，用户的邮箱地址是IAMEmail@huawei.com，手机号码是008612345678910，使用默认访问模式，可以编程访问和管理控制台访问。 POST https://iam.myhuaweicloud.com/v3.0/OS-USER/users { "user": { "domain_id": "d78cbac186b744899480f25...", "name": "IAMUser", "password": "IAMPassword@", "email": "IAMEmail@huawei.com", "areacode": "0086", "phone": "12345678910", "enabled": true, "pwd_status": false, "xuser_type": "", "xuser_id": "", "access_mode" : "default", "description": "IAMDescription" } }

响应参数 表4 响应Body参数 参数 参数类型 描述 user Object IAM用户信息。 表5 user 参数 参数类型 描述 status Integer IAM用户状态信息。 pwd_status Boolean 参数解释： IAM用户首次登录是否重置密码。 约束限制： 不涉及 取值范围： true：首次登录需要重置密码。 false：首次登录不需要重置密码。 默认取值： false xuser_id String IAM用户在外部系统中的ID。 说明： 外部系统指与华为云对接的外部企业管理系统，xaccount_type、xaccount_id、xdomain_type、xdomain_id、xuser_type、xuser_id等参数值，无法在华为云获取，请咨询企业管理员。 xuser_type String 用户在外部系统中的类型。 说明： 外部系统指与华为云对接的外部企业管理系统，xaccount_type、xaccount_id、xdomain_type、xdomain_id、xuser_type、xuser_id等参数值，无法在华为云获取，请咨询企业管理员。 access_mode String IAM用户访问方式。 default：默认访问模式，编程访问和管理控制台访问。 programmatic：编程访问。 console：管理控制台访问。 description String IAM用户描述信息。 name String IAM用户名，长度1~32之间，只能包含如下字符：大小写字母、空格、数字或特殊字符（-_.）且不能以数字或空格开头。 phone String IAM用户手机号，纯数字，长度小于等于32位。必须与国家码同时存在。 is_domain_owner Boolean IAM用户是否为账号管理员。 domain_id String IAM用户所属账号ID。 enabled Boolean 是否启用IAM用户。true为启用，false为停用，默认为true。 areacode String 国家码。中国大陆为“0086”。 email String IAM用户邮箱。 create_time String IAM用户创建时间。 说明： UTC时间，格式为YYYY-MM-DDTHH:mm:ss.ssssss，日期和时间戳格式如：2023-06-28T08:56:33.710000。 xdomain_id String 运营主体的客户编码。 xdomain_type String 运营主体。 default_project_id String 用户默认的项目ID。 id String IAM用户ID。长度为32字符。 password_expires_at String 密码过期时间，“null”表示密码不过期。 说明： UTC时间，格式为YYYY-MM-DDTHH:mm:ss.ssssss，日期和时间戳格式如：2023-06-28T08:56:33.710000。

请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 该字段内容填为“application/json;charset=utf8”。 X-Auth-Token 是 String 访问令牌，承载用户的身份、权限等信息。 token所需权限请参见授权项。 表2 请求Body参数 参数 是否必选 参数类型 描述 user 是 Object IAM用户信息。 表3 user 参数 是否必选 参数类型 描述 name 是 String IAM用户名，长度1~64之间，只能包含如下字符：大小写字母、空格、数字或特殊字符（-_.）且不能以数字或空格开头。 domain_id 是 String IAM用户所属的账号ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 password 否 String IAM用户密码。 email 否 String IAM用户邮箱，需符合邮箱格式，长度小于等于255位。 areacode 否 String 国家码。必须与手机号同时存在。中国大陆为“0086”。 phone 否 String IAM用户手机号，纯数字，长度小于等于32位。必须与国家码同时存在。 enabled 否 Boolean 是否启用IAM用户。true为启用，false为停用，默认为true。 pwd_status 否 Boolean 参数解释： IAM用户首次登录是否重置密码。 约束限制： 不涉及 取值范围： true：首次登录需要重置密码。 false：首次登录不需要重置密码。 默认取值： false xuser_type 否 String IAM用户在外部系统中的类型。长度小于等于64位。xuser_type如果存在，则需要与同一租户中的xaccount_type、xdomain_type校验，须与xuser_id同时存在。xuser_type取值当前仅支持TenantIdp。 说明： 外部系统指与华为云对接的外部企业管理系统，xaccount_type、xaccount_id、xdomain_type、xdomain_id、xuser_type、xuser_id等参数值，无法在华为云获取，请咨询企业管理员。 xuser_id 否 String IAM用户在外部系统中的ID。长度小于等于128位，须与xuser_type同时存在。使用API设置外部身份ID后，由于时延IAM控制台暂无法实时显示，请稍后刷新查看。 说明： 外部系统指与华为云对接的外部企业管理系统，xaccount_type、xaccount_id、xdomain_type、xdomain_id、xuser_type、xuser_id等参数值，无法在华为云获取，请咨询企业管理员。 access_mode 否 String IAM用户访问方式。 default：默认访问模式，编程访问和管理控制台访问。 programmatic：编程访问。 console：管理控制台访问。 description 否 String IAM用户描述信息。

联邦身份认证管理 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 查询身份提供商列表 GET /v3/OS-FEDERATION/identity_providers iam:identityProviders:listIdentityProviders - - 查询身份提供商详情 GET /v3/OS-FEDERATION/identity_providers/{id} iam:identityProviders:getIdentityProvider - - 创建SAML身份提供商 PUT /v3/OS-FEDERATION/identity_providers/{id} iam:identityProviders:createIdentityProvider - - 修改SAML身份提供商配置 PATCH /v3/OS-FEDERATION/identity_providers/{id} iam:identityProviders:updateIdentityProvider - - 删除SAML身份提供商 DELETE /v3/OS-FEDERATION/identity_providers/{id} iam:identityProviders:deleteIdentityProvider - - 创建OIDC身份提供商 POST /v3.0/OS-FEDERATION/identity-providers/{idp_id}/openid-connect-config iam:identityProviders:createOpenIDConnectConfig - - 修改OIDC身份提供商配置 PUT /v3.0/OS-FEDERATION/identity-providers/{idp_id}/openid-connect-config iam:identityProviders:updateOpenIDConnectConfig - - 查询OIDC身份提供商 GET /v3.0/OS-FEDERATION/identity-providers/{idp_id}/openid-connect-config iam:identityProviders:getOpenIDConnectConfig - - 查询映射列表 GET /v3/OS-FEDERATION/mappings iam:identityProviders:listMappings - - 查询映射详情 GET /v3/OS-FEDERATION/mappings/{id} iam:identityProviders:getMapping - - 注册映射 PUT /v3/OS-FEDERATION/mappings/{id} iam:identityProviders:createMapping - - 更新映射 PATCH /v3/OS-FEDERATION/mappings/{id} iam:identityProviders:updateMapping - - 删除映射 DELETE /v3/OS-FEDERATION/mappings/{id} iam:identityProviders:deleteMapping - - 查询协议列表 GET /v3/OS-FEDERATION/identity_providers/{idp_id}/protocols iam:identityProviders:listProtocols - - 查询协议详情 GET /v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id} iam:identityProviders:getProtocol - - 注册协议 PUT /v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id} iam:identityProviders:createProtocol - - 更新协议 PATCH /v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id} iam:identityProviders:updateProtocol - - 删除协议 DELETE /v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id} iam:identityProviders:deleteProtocol - - 查询Metadata文件 GET /v3-ext/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}/metadata iam:identityProviders:getIDPMetadata - - 导入Metadata文件 POST /v3-ext/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}/metadata iam:identityProviders:createIDPMetadata - -

委托管理 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 创建委托 POST /v3.0/OS-AGENCY/agencies iam:agencies:createAgency - - 查询指定条件下的委托列表 GET /v3.0/OS-AGENCY/agencies iam:agencies:listAgencies - - 查询委托详情 GET /v3.0/OS-AGENCY/agencies/{agency_id} iam:agencies:getAgency - - 修改委托 PUT /v3.0/OS-AGENCY/agencies/{agency_id} iam:agencies:updateAgency - - 删除委托 DELETE /v3.0/OS-AGENCY/agencies/{agency_id} iam:agencies:deleteAgency - - 为委托授予项目服务权限 PUT /v3.0/OS-AGENCY/projects/{project_id}/agencies/{agency_id}/roles/{role_id} iam:permissions:grantRoleToAgencyOnProject - - 查询委托是否拥有项目服务权限 HEAD /v3.0/OS-AGENCY/projects/{project_id}/agencies/{agency_id}/roles/{role_id} iam:permissions:checkRoleForAgencyOnProject - - 查询项目服务中的委托权限 GET /v3.0/OS-AGENCY/projects/{project_id}/agencies/{agency_id}/roles iam:permissions:listRolesForAgencyOnProject - - 移除委托的项目服务权限 DELETE /v3.0/OS-AGENCY/projects/{project_id}/agencies/{agency_id}/roles/{role_id} iam:permissions:revokeRoleFromAgencyOnProject - - 为委托授予全局服务权限 PUT /v3.0/OS-AGENCY/domains/{domain_id}/agencies/{agency_id}/roles/{role_id} iam:permissions:grantRoleToAgencyOnDomain - - 查询委托是否拥有全局服务权限 HEAD /v3.0/OS-AGENCY/domains/{domain_id}/agencies/{agency_id}/roles/{role_id} iam:permissions:checkRoleForAgencyOnDomain - - 查询全局服务中的委托权限 GET /v3.0/OS-AGENCY/domains/{domain_id}/agencies/{agency_id}/roles iam:permissions:listRolesForAgencyOnDomain - - 移除委托的全局服务权限 DELETE /v3.0/OS-AGENCY/domains/{domain_id}/agencies/{agency_id}/roles/{role_id} iam:permissions:revokeRoleFromAgencyOnDomain - - 查询委托的所有权限 GET /v3.0/OS-INHERIT/domains/{domain_id}/agencies/{agency_id}/roles/inherited_to_projects iam:permissions:listRolesForAgency - - 查询委托是否拥有指定权限 HEAD /v3.0/OS-INHERIT/domains/{domain_id}/agencies/{agency_id}/roles/{role_id}/inherited_to_projects iam:permissions:checkRoleForAgency - - 为委托授予指定权限 PUT /v3.0/OS-INHERIT/domains/{domain_id}/agencies/{agency_id}/roles/{role_id}/inherited_to_projects iam:permissions:grantRoleToAgency - - 移除委托的指定权限 DELETE /v3.0/OS-INHERIT/domains/{domain_id}/agencies/{agency_id}/roles/{role_id}/inherited_to_projects iam:permissions:revokeRoleFromAgency - -

安全设置 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 修改账号操作保护策略 PUT /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/protect-policy iam:securitypolicies:updateProtectPolicy - - 查询账号操作保护策略 GET /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/protect-policy iam:securitypolicies:getProtectPolicy - - 修改账号密码策略 PUT /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/password-policy iam:securitypolicies:updatePasswordPolicy - - 查询账号密码策略 GET /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/password-policy iam:securitypolicies:getPasswordPolicy - - 修改账号登录策略 PUT /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/login-policy iam:securitypolicies:updateLoginPolicy - - 查询账号登录策略 GET /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/login-policy iam:securitypolicies:getLoginPolicy - - 修改账号控制台访问策略 PUT /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/console-acl-policy iam:securitypolicies:updateConsoleAclPolicy - - 查询账号控制台访问策略 GET /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/console-acl-policy iam:securitypolicies:getConsoleAclPolicy - - 修改账号接口访问策略 PUT /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/api-acl-policy iam:securitypolicies:updateApiAclPolicy - - 查询账号接口访问策略 GET /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/api-acl-policy iam:securitypolicies:getApiAclPolicy - -

自定义策略管理 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 查询自定义策略列表 GET /v3.0/OS-ROLE/roles iam:roles:listRoles - - 查询自定义策略详情 GET /v3.0/OS-ROLE/roles/{role_id} iam:roles:getRole - - 创建云服务自定义策略 POST /v3.0/OS-ROLE/roles iam:roles:createRole - - 修改云服务自定义策略 PATCH /v3.0/OS-ROLE/roles/{role_id} iam:roles:updateRole - - 删除自定义策略 DELETE /v3.0/OS-ROLE/roles/{role_id} iam:roles:deleteRole - -