华为云用户手册

URI DELETE /v3.0/OS-PERMISSION/enterprise-projects/{enterprise_project_id}/groups/{group_id}/roles/{role_id} 表1 路径参数 参数 是否必选 参数类型 描述 enterprise_project_id 是 String 企业项目ID。 group_id 是 String 用户组ID。 role_id 是 String 权限ID。

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 已认证的拥有iam:permissions:revokeRoleFromGroupOnEnterpriseProject细粒度权限或Security Administrator权限的token。同时要求group_id所属账号的domain_id与Token中的domain_id一致。

响应 Reponse Body参数说明 参数 是否必选 类型 说明 roles 是 JSONArray 权限的详细信息或者列表。 role格式说明 参数 是否必选 类型 说明 display_name 是 String 权限在界面中的名称。 description 是 String 权限的英文描述。 description_cn 是 String 权限的中文描述。 domain_id 是 String 用户组绑定的是自定义策略，该参数为创建该自定义策略用户的租户ID。 用户组绑定的是系统策略，该参数为空：null。 flag 否 String fine_grained，标识系统内置的细粒度权限Role catalog 是 String 权限所属目录。 用户组绑定的是自定义策略时，权限所属目录为“CUSTOMED”。 用户组绑定的是系统预置策略时，权限所属目录为云服务名称，例如：E CS 。 policy 是 Dict 权限的详情。请参见：•policy格式说明。 id 是 String 权限的ID。 type 是 String 权限的显示位置，其中： AX表示在全局项目中显示 XA表示在除全局项目外的其他项目中显示 说明： 权限的显示位置只能为AX或者XA，不能在全局项目和其他项目中都显示（AA），或者在全局项目和其他项目中都不显示（XX）。 name 是 String 权限在系统内部的名称。 policy格式说明 参数 是否必选 类型 说明 Version 是 String 策略的版本号。 Statement 是 JSONArray 策略授权语句，限制8个。包括了基本元素：作用（Effect）和权限集（Action）。 Statement格式说明 参数 是否必选 类型 说明 Effect 是 String 允许（Allow）和拒绝（Deny），当策略中既有Allow又有Deny的授权语句时，遵循Deny优先的原则。 Action 是 StringArray 权限集，对资源的具体操作权限，不能超过100个。 格式为： 服务名:资源类型:操作，例如：vpc:ports:create。 “服务名”为产品名称，例如ecs、evs和vpc等，服务名仅支持小写。 “资源类型”和“操作”没有大小写要求，支持通配符号*，用户不需要罗列全部授权项，通过配置通配符号*可以方便快捷地实现授权。 响应样例（响应成功） { "roles": [ { "display_name": "Customed ECS Viewer", "description": "The read-only permissions to all ECS resources, which can be used for statistics and survey.", "domain_id": "9698542758bc422088c0c3eabf...", "catalog": "CUSTOMED", "policy": { "Version": "1.1", "Statement": [ { "Action": [ "ecs:*:get*", "ecs:*:list*", "ecs:blockDevice:use", "ecs:serverGroups:manage", "ecs:serverVolumes:use", "evs:*:get*", "evs:*:list*", "vpc:*:get*", "vpc:*:list*", "ims:*:get*", "ims:*:list*" ], "Effect": "Allow" } ] }, "id": "24e7a89bffe443979760c4e9715c1...", "type": "XA", "name": "custom_9698542758bc422088c0c3eabfc30d1..." } ] }

请求 Request Header参数说明 参数 是否必选 类型 说明 X-Auth-Token 是 String 已认证的拥有Security Administrator权限的token。 Content-Type 是 String 该字段内容填为“application/json;charset=utf8”。 请求样例 curl -i -k -H "X-Auth-Token:$token" -H 'Content-Type:application/json;charset=utf8' -X GET https://iam.myhuaweicloud.com/v3.0/OS-PAP/enterprise-projects/535fb147-6148-4c71-a679-b79a2cb0e.../groups/10d8104f395d43468094753f28692.../roles

响应示例 状态码： 200 请求成功。 { "groups" : [ { "createTime" : 1552093271000, "description" : null, "domainId" : "dc7f62ae236c47b8836014c16d64d...", "id" : "e6bde2403bda43e2813a1a6848963...", "name" : "auth" } ] }

响应参数 状态码为 200 时： 表3 响应Body参数 参数 参数类型 描述 groups Array of objects 用户组信息。 表4 ListGroupsForEnterpriseProjectResDetail 参数 参数类型 描述 createTime Integer 用户组创建时间。 description String 用户组描述。 domainId String 帐号ID。 id String 用户组ID。 name String 用户组名称。

URI PUT /v3/OS-INHERIT/domains/{domain_id}/groups/{group_id}/roles/{role_id}/inherited_to_projects 表1 路径参数 参数 是否必选 参数类型 描述 domain_id 是 String 用户组所属帐号ID，获取方式请参见：获取帐号、 IAM 用户、项目、用户组、区域、委托的名称和ID。 group_id 是 String 用户组ID，获取方式请参见：获取帐号、IAM用户、项目、用户组、区域、委托的名称和ID。 role_id 是 String 权限ID，获取方式请参见：获取权限ID。

请求 Request Header参数说明 参数 是否必选 类型 说明 X-Auth-Token 是 String 已认证的拥有Security Administrator权限的token。 Content-Type 是 String 该字段内容填为“application/json;charset=utf8”。 请求样例 curl -i -k -H "X-Auth-Token:$token" -H 'Content-Type:application/json;charset=utf8' -X DELETE https://iam.myhuaweicloud.com/v3.0/OS-PAP/enterprise-projects/535fb147-6148-4c71-a679-b79a2cb0e.../groups/10d8104f395d43468094753f28692.../roles/013ad036ee4c4d108327f02cbb479...

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 已认证的拥有iam:permissions:listGroupsOnEnterpriseProject细粒度权限或Security Administrator权限的token。同时要求enterprise_project_id所属帐号的domain_id与Token中的domain_id一致。

URI URI格式 DELETE /v3.0/OS-PAP/enterprise-projects/{enterprise_project_id}/groups/{group_id}/roles/{role_id} URI参数说明 属性 是否必选 类型 说明 enterprise_project_id 是 String 企业项目的ID。 group_id 是 String 用户组的ID。 role_id 是 String 关联的role的ID。

URI URI格式 PUT /v3.0/OS-PAP/enterprise-projects/{enterprise_project_id}/groups/{group_id}/roles/{role_id} URI参数说明 属性 是否必选 类型 说明 enterprise_project_id 是 String 企业项目的ID。 group_id 是 String 待授权用户组的ID。 role_id 是 String 权限的ID。只能给用户组授予细粒度权限策略（包括系统策略和自定义策略），细粒度策略即策略版本号为1.1的策略。

请求 Request Header参数说明 参数 是否必选 类型 说明 X-Auth-Token 是 String 已认证的拥有Security Administrator权限的token。 Content-Type 是 String 该字段内容填为“application/json;charset=utf8”。 请求样例 curl -i -k -H "X-Auth-Token:$token" -H 'Content-Type:application/json;charset=utf8' -X PUT https://iam.myhuaweicloud.com/v3.0/OS-PAP/enterprise-projects/535fb147-6148-4c71-a679-b79a2cb0e.../groups/10d8104f395d43468094753f28692.../roles/013ad036ee4c4d108327f02cbb479...

请求 Request Header参数说明 参数 是否必选 类型 说明 X-Auth-Token 是 String 已认证的拥有Security Administrator权限的token。 Content-Type 是 String 该字段内容填为“application/json;charset=utf8” 请求样例 curl -i -k -H "X-Auth-Token:$token" -H 'Content-Type:application/json;charset=utf8' -X GET https://iam.myhuaweicloud.com/v3.0/OS-PAP/enterprise-projects/535fb147-6148-4c71-a679-b79a2cb0ee5d/groups

响应 Reponse Body参数说明 参数 是否必选 类型 说明 groups 是 Array 企业项目关联的用户组详情。 groups格式说明 参数 是否必选 类型 说明 group_id 是 String 关联用户组的ID。 group_name 是 String 关联用户组的名称。 group_desc 是 String 关联用户组的描述。 user_num 是 Int 关联用户组中的用户数。 policy_num 是 Int 关联用户组的策略数。 created_at 是 Int 关联用户组创建的时间（Unix时间：毫秒）。 响应样例：查询的企业项目关联了用户组。 { "groups": [ { "group_id": "758b99fa1fa24ec4a297d44e092bd...", "group_name": "Test", "group_desc": "Test", "user_num": 4, "policy_num": 1, "created_at": 1549088526... } ]}

URI GET /v3.0/OS-QUOTA/domains/{domain_id} 表1 路径参数 参数 是否必选 参数类型 描述 domain_id 是 String 待查询的帐号ID，获取方式请参见：获取帐号、IAM用户、项目、用户组、区域、委托的名称和ID 表2 Query参数 参数 是否必选 参数类型 描述 type 否 String 查询配额的类型，取值范围如下。 user：IAM用户配额 group：用户组配额 idp：身份提供商配额 agency：委托配额 policy：自定义策略配额 assigment_group_mp：一个用户组基于IAM项目可绑定的权限配额 assigment_agency_mp：一个委托可绑定的权限配额 assigment_group_ep：一个用户组基于企业项目可绑定的权限配额 assigment_user_ep：一个用户基于企业项目可绑定的权限配额 mapping：帐号中所有身份提供商映射规则配额

响应参数 状态码为 200 时: 表4 响应Body参数 参数 参数类型 描述 quotas Object 帐号配额信息。 表5 quotas 参数 参数类型 描述 resources Array of objects 资源信息。 表6 resources 参数 参数类型 描述 max Integer 配额最大值。 min Integer 配额最小值。 quota Integer 当前配额。 type String 配额类型。 used Integer 已使用的配额。 其中身份提供商映射规则mapping已使用数量为用户自行设置，暂不返回。

响应示例 状态码为 200 时: 请求成功。 { "quotas" : { "resources" : [ { "max" : 1000, "min" : 50, "quota" : 50, "type" : "user", "used" : 10 }, { "max" : 300, "min" : 10, "quota" : 20, "type" : "group", "used" : 8 }, { "max" : 20, "min" : 10, "quota" : 10, "type" : "idp", "used" : 9 }, { "max" : 300, "min" : 10, "quota" : 50, "type" : "agency", "used" : 12 }, { "max" : 300, "min" : 128, "quota" : 200, "type" : "policy", "used" : 8 }, { "max" : 500, "min" : 50, "quota" : 200, "type" : "assigment_group_mp", "used" : 8 }, { "max" : 500, "min" : 50, "quota" : 200, "type" : "assigment_agency_mp", "used" : 8 }, { "max" : 5000, "min" : 50, "quota" : 500, "type" : "assigment_group_ep", "used" : 8 }, { "max" : 5000, "min" : 50, "quota" : 500, "type" : "assigment_user_ep", "used" : 8 }, { "max" : 100, "min" : 10, "quota" : 10, "type" : "mapping", "used" : null } ] } }

响应消息体 响应消息体通常以结构化格式返回，与响应消息头中Content-type对应，传递除响应消息头之外的内容。 对于获取IAM用户Token（使用密码）接口，返回如下消息体。为篇幅起见，这里只展示部分内容。 { "token": { "expires_at": "2019-02-13T06:52:13.855000Z", "methods": [ "password" ], "catalog": [ { "endpoints": [ { "region_id": "cn-north-1",...... 当接口调用出错时，会返回错误码及错误信息说明，错误响应的Body体格式如下所示。 { "error_msg": "The format of message is error", "error_code": "AS.0001"} 其中，error_code表示错误码，error_msg表示错误描述信息。

AK/SK认证 AK/SK签名认证方式仅支持消息体大小12M以内，12M以上的请求请使用Token认证。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 AK(Access Key ID)：访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK(Secret Access Key)：与访问密钥ID结合使用的密钥，对请求进行加密签名，可标识发送方，并防止请求被修改。 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见：API签名指南。 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

Token认证 Token的有效期为24小时，需要使用同一个Token鉴权时，可以缓存起来，避免频繁调用。 Token在计算机系统中代表令牌（临时）的意思，拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头，从而通过身份认证，获得操作API的权限。 Token可通过调用获取IAM用户Token（使用密码）接口获取，调用本服务API需要全局级别的Token，即调用获取IAM用户Token（使用密码）接口时，请求body中auth.scope的取值需要选择domain，如下所示。 { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "domain": { "name": "IAMDomain" }, "name": "IAMUser", "password": "IAMPassword" } } }, "scope": { "domain": { "name": "IAMDomain" } } }} 获取Token 后，再调用其他接口时，您需要在请求消息头中添加“X-Auth-Token”，其值即为获取到的Token。例如Token值为“ABCDEFJ....”，则调用接口时将“X-Auth-Token: ABCDEFJ....”加到请求消息头即可，如下所示。 GET https://iam.cn-north-1.myhuaweicloud.com/v3/auth/projectsContent-Type: application/jsonX-Auth-Token: ABCDEFJ....

URI GET /v3/domains/{domain_id}/config/security_compliance/{option} 表1 路径参数 参数 是否必选 参数类型 描述 domain_id 是 String 待查询的帐号ID，获取方式请参见：获取帐号、IAM用户、项目、用户组、区域、委托的名称和ID。 option 是 String 查询条件。该字段内容为：password_regex或password_regex_description。 password_regex：密码强度策略的正则表达式；password_regex_description：密码强度策略的描述。 取值范围： password_regex password_regex_description

响应示例 状态码为 200 时: 请求成功。 示例1：option为password_regex。 示例2：option为password_regex_description。 示例 1 { "config": { "password_regex": "^(?![A-Z]*$)(?![a-z]*$)(?![\\d]*$)(?![^\\W]*$)\\S{6,32}$" }} 示例 2 { "config": { "password_regex_description": "The password must contain at least two of the following character types: uppercase letters, lowercase letters, digits, and special characters, and be a length between 6 and 32." }}

请求示例 按照条件查询帐号密码强度策略，option为password_regex。 GET https://iam.myhuaweicloud.com/v3/domains/{domain_id}/config/security_compliance/password_regex 按照条件查询帐号密码强度策略，option为password_regex_description。 GET https://iam.myhuaweicloud.com/v3/domains/{domain_id}/config/security_compliance/password_regex_description

响应参数 表3 响应Body参数 参数 参数类型 描述 config Object 配置信息。 表4 config 参数 参数类型 描述 password_regex String 密码强度策略的正则表达式。(当option为password_regex时返回) password_regex_description String 密码强度策略的描述。(当option为password_regex_description时返回)

错误码 当您调用API时，如果遇到“APIGW”开头的错误码，请参见API网关错误码进行处理。 更多服务错误码请参见API错误中心。 状态码 错误码 错误信息 描述 处理措施 400 1100 缺失必选参数。 缺失必选参数。 请检查请求参数。 400 1101 用户名校验失败。 用户名校验失败。 请检查用户名。 400 1102 邮箱校验失败。 邮箱校验失败。 请检查邮箱。 400 1103 密码校验失败。 密码校验失败。 请检查密码。 400 1104 手机号校验失败。 手机号校验失败。 请检查手机号。 400 1105 xuser_type必须与xdomain_type相同。 xuser_type必须与xdomain_type相同。 请确认xuser_type与xdomain_type是否相同。 400 1106 国家码、手机号必须同时存在。 国家码、手机号必须同时存在。 请检查国家码和手机号是否同时存在。 400 1107 帐号管理员不能被删除。 帐号管理员不能被删除。 不允许此操作。 400 1108 新密码不能与原密码相同。 新密码不能与原密码相同。 请修改新密码。 400 1109 用户名已存在。 用户名已存在。 请修改用户名。 400 1110 邮箱已存在。 邮箱已存在。 请修改邮箱。 400 1111 手机号已存在。 手机号已存在。 请修改手机号。 400 1113 xuser_id、xuser_type已存在。 xuser_id、xuser_type已存在。 请修改xuser_id和xuser_type。 400 1115 IAM用户数量达到最大限制。 IAM用户数量达到最大限制。 请修改用户配额或联系技术支持。 400 1117 用户描述校验失败。 用户描述校验失败。 请修改用户描述。 400 1118 密码是弱密码。 密码是弱密码。 重新选择密码。 400 IAM.0007 Request parameter %(key)s is invalid. 请求参数校验失败。 请检查请求参数。 400 IAM.0008 Please scan the QR code first. 请先扫描二维码。 请先扫描二维码。 400 IAM.0009 X-Subject-Token is invalid in the request. 请求中的X-Subject-Token校验失败。 请检查请求参数。 400 IAM.0010 The QR code has already been scanned by another user. 此二维码已经被其他人扫描。 无需处理。 400 IAM.0011 Request body is invalid. 请求体校验失败。 请检查请求体。 400 IAM.0072 '%(key)s' is a required property. 请求校验异常。举例：%(key)s为必填属性 请联系技术支持。 400 IAM.0073 Invalid input for field '%(key)s'. The value is '%(value)s'. 输入字段无效。 请联系技术支持。 400 IAM.0077 Invalid policy type. 策略类型错误。 请联系技术支持。 400 IAM.1000 The role must be a JSONObject. 缺少role对象。 检查请求体中是否有role对象。 400 IAM.1001 The display_name must be a string and cannot be left blank or contain spaces. 策略display_name为空或包含空格。 检查display_name字段的值是否正确。 400 IAM.1002 The length [input length] of the display name exceeds 64 characters. 策略display_name不能超过64个字符。 检查display_name字段的长度。 400 IAM.1003 The display_name contains invalid characters. 策略display_name包含非法字符。 检查display_name字段的值是否正确。 400 IAM.1004 The type must be a string and cannot be left blank or contain spaces. type为空。 检查type字段的值是否正确。 400 IAM.1005 Invalid type [input type]. 非法的type字段。 检查type字段的值是否正确。 400 IAM.1006 The custom policy does not need a catalog. 自定义策略不需要catalog。 删除catalog字段。 400 IAM.1007 The custom policy does not need a flag. 自定义策略不需要flag。 删除flag字段。 400 IAM.1008 The custom policy does not need a name. 自定义策略不需要name。 删除name字段。 400 IAM.1009 The type of a custom policy must be 'AX' or 'XA'. 自定义策略的type只能为'AX'或'XA'。 根据需求修改type字段为'AX'或'XA'。 400 IAM.1010 The catalog must be a string. catalog字段必须为字符串。 检查catalog字段的值是否正确。 400 IAM.1011 The length [input length] of the catalog exceeds 64 characters. catalog字段不能超过64个字符。 检查catalog字段的长度。 400 IAM.1012 Invalid catalog. 非法的catalog字段。 检查catalog字段的值是否正确。 400 IAM.1013 The flag must be a string. flag字段必须为字符串。 检查flag字段的值是否正确。 400 IAM.1014 The value of the flag must be 'fine_grained'. flag字段的值应为"fine_grained"。 将flag字段的值修改为"fine_grained"。 400 IAM.1015 The name must be a string and cannot be left blank or contain spaces. name字段不能为空。 系统角色的name字段必须填写。 400 IAM.1016 The length of the name [input name] cannot exceed 64 characters. name字段长度不能超过64字符。 检查name字段的的值是否正确。 400 IAM.1017 Invalid name. 非法的name字段。 检查name字段的的值是否正确。 400 IAM.1018 Invalid description. 非法的description字段。 检查description字段的的值是否正确。 400 IAM.1019 Invalid description_cn. 非法的description_cn字段。 检查description_cn字段的的值是否正确。 400 IAM.1020 The policy must be a JSONObject. 缺少policy对象。 检查请求体中是否有policy对象。 400 IAM.1021 The size [input policySize] of the policy exceeds 6,144 characters. policy对象大小超过6144字符。 检查policy对象的长度。 400 IAM.1022 The length [input id length] of the ID exceeds 128 characters. id字段大小超过128字符。 检查id字段的长度。 400 IAM.1023 Invalid ID '[input id]'. 策略id字段无效。 检查id字段的值是否正确。 400 IAM.1024 The version of a fine-grained policy must be '1.1'. 细粒度策略的version不为1.1。 细粒度策略version字段的值应改为1.1。 400 IAM.1025 Fine-grained policies do not need depends. 细粒度策略不需要depends字段。 删除depends字段。 400 IAM.1026 The version of an RBAC policy must be '1.0' or '1.1'. RBAC的verion只能为1.0和1.1。 version字段的值改为1.0或1.1。 400 IAM.1027 The Statement/Rules must be a JSONArray. statement字段不为JSONArray。 检查是否存在statement，类型为json数组。 400 IAM.1028 The number of statements [input statement size] must be greater than 0 and less than or equal to 8. statement字段长度不为1-8。 至少应填写一个statement，删除超过8个的statement。 400 IAM.1029 The value of Effect must be 'allow' or 'deny'. effect字段只能为allow或deny。 effect字段填写allow或deny。 400 IAM.1030 The Action or NotAction must be a JSONArray. action或notAction字段不合法。 检查action对象的值是否正确。 400 IAM.1031 The Action and NotAction cannot be set at the same time in a statement. action和notAction字段不能同时存在。 删除action或notAction字段。 400 IAM.1032 The OCP NotAction cannot be 'allow'. OCP的notAction不能为allow。 OCP策略如果使用notAction则只能为deny。 400 IAM.1033 The number of actions [input action size] exceeds 100. action的数量超过100。 检查action的数量，不能超过100。 400 IAM.1034 The length [input urn length] of an action URN exceeds 128 characters. action长度超过128。 检查每条action的长度，不能超过128字符。 400 IAM.1035 Action URN '[input urn]' contains invalid characters. action包含非法字符。 检查action的值是否正确。 400 IAM.1036 Action '[input action]' has not been registered. action未被注册。 通过注册中心的接口先注册action。 400 IAM.1037 The number of resource URIs [input Resource uri size ] must be greater than 0 and less than or equal to 20. resource数量只能为1-20。 检查resource的数量。 400 IAM.1038 Resource URI '[input resource uri]' is invalid. Old resources only support agencies. 非法的资源URI。 检查每条资源URI的值是否正确。 400 IAM.1039 Old policies do not support conditions. 旧格式策略不支持condition。 删除condition或使用新格式策略。 400 IAM.1040 The number of resources [input Resource size] must be greater than 0 and less than or equal to 10. 资源URI数量只能为1-10。 检查每个resource对象的URI数量。 400 IAM.1041 The resource URI cannot be left blank or contain spaces. 资源URI为空。 检查每条资源URI的值是否正确。 400 IAM.1042 The length [input uri length] of a resource URI exceeds 1,500 characters. 资源URI超过1500字符。 检查每条资源URI的长度。 400 IAM.1043 A region must be specified. 缺少资源region。 资源URI中填写region。 400 IAM.1044 Region '[input resource region ]' of resource '[input resource]' is invalid. Region字段不合法。 检查region字段的值是否正确。 400 IAM.1045 Resource URI '[input resource uri]' or service '[input resource split]' is invalid. 资源URI中服务名无效。 检查云服务名是否正确或先注册云服务。 400 IAM.1046 Resource URI '[input resource]' or resource type '[input resource split]' is invalid. 资源URI中类型无效。 检查资源类型是否正确或先注册资源类型。 400 IAM.1047 Resource URI '[input resource uri]' contains invalid characters. 资源URI不合法。 检查资源URI的值是否正确。 400 IAM.1048 Resource URI '[input resource uri]' is too long or contains invalid characters. 资源URI包含非法字符。 检查id值是否包含非法字符。 400 IAM.1049 The Resource must be a JSONObject or JSONArray. 缺少resource对象。 检查resource对象是否为json数组。 400 IAM.1050 The number of conditions [input condition size] must be greater than 0 and less than or equal to 10. 条件数量只能为1-10。 至少填写一个条件，或删除多余的条件。 400 IAM.1051 The values of Operator '[input operator]' cannot be null. 操作符为空。 填写正确的操作符。 400 IAM.1052 Invalid Attribute '[input attribute ]'. 非法的属性字段。 检查属性的值是否正确。 400 IAM.1053 Attribute '[input attribute]' must be a JSONArray. attribute不为json数组。 检查attribute对象是否为json数组。 400 IAM.1054 The number [input attribute size ] of attributes '[input attribute]' for operator '[input operator]' must be greater than 0 and less than or equal to 10. 每个操作符对应的属性数量只能为1-10。 检查每个操作符下的attribute数量是否正确。 400 IAM.1055 Attribute '[input attribute ]' does not match operator '[input operator]'. 属性与操作符不匹配。 检查attribute和操作符类型是否匹配。 400 IAM.1056 The length [condition length] of attribute '[input attribute]' for operator '[input operator]' must be greater than 0 and less than or equal to 1024 characters. condition长度只能为1-1024。 检查condition对象的总长度。 400 IAM.1057 Value [input condition] of attribute [input attributes] for operator [input operator] contains invalid characters. condition包含非法字符。 检查condtion中是否包括非法字符。 400 IAM.1058 The number of depends [input policyDepends size] exceeds 20. depends数量超过20。 删除多余的depends值。 400 IAM.1059 Invalid key '{}'. 策略包含非法的Key。 修改或删除策略请求体中非法的key。 400 IAM.1060 The value of key '{}' must be a string. 该字段必须为字符串。 display_name和name字段改为字符串类型。 400 IAM.1061 Invalid TOTP passcode. 非法的认证密钥。 请确认请求或联系技术支持。 400 IAM.1062 Login protection has been bound to mfa, the unbinding operation cannot be performed. 登录保护已经绑定MFA认证，解绑操作不能执行。 请确认请求或联系技术支持。 400 IAM.1101 The request body size %s is invalid. 请求体的大小不合规范。 请检查请求体是否为空或过大（大于32KB）。 400 IAM.1102 The %s in the request body is invalid. 请求体中的某个值错误。 请参照接口资料检查请求体中的属性值。 400 IAM.1103 The %s is required in the request body. 请求体中的必选值缺失。 请参照接口资料检查请求体。 400 IAM.1104 The access key %s is in the blacklist. 请求的AK已在黑名单中。 请确认AK是否存在。 400 IAM.1105 The access key %s has expired. 请求的AK已经过期。 请重新创建访问密钥。 400 IAM.1106 The user %s with access key %s cannot be found. 找不到AK所属用户信息。 请确认AK所属用户或委托是否存在。 400 IAM.1107 The access key %s is inactive. 请求的AK已被禁用。 重新启用AK。 400 IAM.1108 The securitytoken has expired. 临时访问密钥已过期。 请重新获取临时访问密钥。 400 IAM.1109 The project information cannot be found. 找不到project信息。 请检查请求体或者token中的project是否存在，如不能解决请联系技术支持。 401 IAM.0001 The request you have made requires authentication. 请求认证失败。 请补充或确认请求认证信息。 401 IAM.0061 Account locked. 用户被锁定。 请等待自动解锁。 401 IAM.0062 Incorrect password. 用户密码错误。 请输入正确的帐号密码。 401 IAM.0063 Access token authentication failed. accesstoken认证失败。 请联系技术支持。 401 IAM.0064 The access token does not have permissions for the request. IAM用户没有权限请求。 请确认该IAM用户的权限信息。 401 IAM.0065 HUAWEI IDs registered in European countries cannot log in to HUAWEI CLOUD. 欧洲站点不允许登录。 请输入华为云支持的帐号。 401 IAM.0066 The token has expired. token已过期。 传入有效期内的token。 401 IAM.0067 Invalid token. 错误的token。 传入正确的token。 403 IAM.0002 You are not authorized to perform the requested action. 请求未授权。 请确认是否授权成功。 403 IAM.0003 Policy doesn't allow %(actions)s to be performed. 策略未授权此操作。 请确认策略是否授权此操作。 403 IAM.0080 The user %s with access key %s is disabled. AK所属用户被禁用。 联系用户所属租户的安全管理员。 403 IAM.0081 This user only supports console access, not programmatic access. 用户仅支持控制台访问，不支持程序访问。 联系用户所属租户的安全管理员修改用户访问模式。 403 IAM.0082 The user %s is disabled. 用户被禁用。 请联系用户所属租户安全管理员。 403 IAM.0083 You do not have permission to access the private region %s. 你没有私有region的访问权限。 请使用其他region或者联系私有reigon管理员。 404 IAM.0004 Could not find %(target)s: %(target_id)s. 无法找到请求资源。 请确认请求或联系技术支持。 409 IAM.0005 Conflict occurred when attempting to store %(type)s - %(details)s. 保存请求资源时发生冲突。 请确认请求或联系技术支持。 410 IAM.0020 Original auth failover to other regions, please auth downgrade 源区域Auth服务故障转移至其他区域，系统将自动进行认证降级。 系统将自动进行认证降级。 429 IAM.0012 The throttling threshold has been reached. Threshold: %d times per %d seconds 已达到限流阈值。 请确认请求或联系技术支持。 500 IAM.0006 An unexpected error prevented the server from fulfilling your request. 系统错误。 请联系技术支持。 父主题： 附录

响应示例 状态码为 200 时: 请求成功。 { "role": { "domain_id": "d78cbac186b744899480f25bd02...", "references": 0, "description_cn": "中文描述", "catalog": "CUSTOMED", "name": "custom_d78cbac186b744899480f25bd022f468_11", "description": "IAMDescription", "links": { "self": "https://iam.myhuaweicloud.com/v3/roles/a24a71dcc41f4da989c2a1c900b52d1a" }, "id": "a24a71dcc41f4da989c2a1c900b52d1a", "display_name": "IAMCloudServicePolicy", "type": "AX", "policy": { "Version": "1.1", "Statement": [ { "Condition": { "StringStartWith": { "g:ProjectName": [ "cn-north-1" ] } }, "Action": [ "obs:bucket:GetBucketAcl" ], "Resource": [ "obs:*:*:bucket:*" ], "Effect": "Allow" } ] } }}

响应示例 状态码为 200 时: 请求成功。 { "roles" : [ { "domain_id" : "d78cbac186b744899480f25bd022f...", "updated_time" : "1579229246886", "created_time" : "1579229246886", "description_cn" : "中文描述", "catalog" : "CUSTOMED", "name" : "custom_d78cbac186b744899480f25bd022f468_1", "description" : "IAMDescription", "links" : { "self" : "https://iam.myhuaweicloud.com/v3/roles/93879fd90f1046f69e6e0b31c94d2..." }, "id" : "93879fd90f1046f69e6e0b31c94d2...", "display_name" : "IAMCloudServicePolicy", "type" : "AX", "policy" : { "Version" : "1.1", "Statement" : [ { "Condition" : { "StringStartWith" : { "g:ProjectName" : [ "cn-north-1" ] } }, "Action" : [ "obs:bucket:GetBucketAcl" ], "Resource" : [ "obs:*:*:bucket:*" ], "Effect" : "Allow" } ] } }, { "domain_id" : "d78cbac186b744899480f25bd022f...", "updated_time" : "1579229242358", "created_time" : "1579229242358", "description_cn" : "中文描述", "catalog" : "CUSTOMED", "name" : "custom_d78cbac186b744899480f25bd022f468_0", "description" : "IAMDescription", "links" : { "self" : "https://iam.myhuaweicloud.com/v3/roles/f67224e84dc849ab954ce29fb4f47..." }, "id" : "f67224e84dc849ab954ce29fb4f473...", "display_name" : "IAMAgencyPolicy", "type" : "AX", "policy" : { "Version" : "1.1", "Statement" : [ { "Action" : [ "iam:agencies:assume" ], "Resource" : { "uri" : [ "/iam/agencies/07805acaba800fdd4fbdc00b8f888..." ] }, "Effect" : "Allow" } ] } } ], "links" : { "next" : null, "previous" : null, "self" : "https://iam.myhuaweicloud.com/v3/roles?domain_id=d78cbac186b744899480f25bd022f..." }, "total_number" : 300}

企业项目管理 接口 说明 查询企业项目关联的用户组 该接口用于查询指定ID的企业项目所关联的用户组。 查询企业项目关联用户组的权限 该接口用于查询指定ID的企业项目所关联用户组的权限，适用于待查询的企业项目已关联了用户组。 基于用户组为企业项目授权 该接口用于给指定ID的企业项目授权，建立企业项目、用户组和权限的绑定关系。 删除企业项目关联用户组的权限 该接口提供删除某个企业项目关联的用户组权限。 查询用户组关联的企业项目 该接口可用于查询用户组所关联的企业项目。 查询用户直接关联的企业项目 该接口可用于查询用户所关联的企业项目。 查询企业项目直接关联用户 该接口可用于查询企业项目直接关联用户。 查询企业项目直接关联用户的权限 该接口可用于查询企业项目直接关联用户的权限。 基于用户为企业项目授权 该接口可用于基于用户为企业项目授权。 删除企业项目直接关联用户的权限 该接口可用于删除企业项目直接关联用户的权限，

安全设置 接口 说明 修改帐号操作保护策略 该接口可以用于管理员修改帐号操作保护策略。 查询帐号操作保护策略 该接口可以用于查询帐号操作保护策略。 修改帐号密码策略 该接口可以用于管理员修改帐号密码策略。 查询帐号密码策略 该接口可以用于查询帐号密码策略。 修改帐号登录策略 该接口可以用于管理员修改帐号登录策略。 查询帐号登录策略 该接口可以用于查询帐号登录策略。 修改帐号控制台访问策略 该接口可以用于管理员修改帐号控制台访问策略。 查询帐号控制台访问策略 该接口可以用于查询帐号控制台访问控制策略。 修改帐号接口访问策略 该接口可以用于管理员修改帐号接口访问策略。 查询帐号接口访问策略 该接口可以用于查询帐号接口访问控制策略。

联邦身份认证管理 接口 说明 通过联邦认证获取Token（SP initiated方式） 通过Openstack Client和ShibbolethECP Client获取联邦认证Token。 通过联邦认证获取Token（IdP initiated方式） 以“Client4ShibbolethIdP”脚本为例，介绍IdP initiated方式获取联邦认证Token的方法。 查询身份提供商列表 该接口可以用于查询身份提供商列表。 查询身份提供商详情 该接口可以用于查询身份提供商详情。 创建身份提供商 该接口可以用于管理员注册身份提供商。 修改SAML身份提供商配置 该接口可以用于管理员更新身份提供商。 删除SAML身份提供商 该接口可以用于管理员删除身份提供商。 查询映射列表 该接口可以用于查询映射列表。 查询映射详情 该接口可以用于查询映射详情。 注册映射 该接口可以用于管理员注册映射。 更新映射 该接口可以用于管理员更新映射。 删除映射 该接口可以用于管理员删除映射。 查询协议列表 该接口可以用于查询协议列表。 查询协议详情 该接口可以用于查询协议详情。 注册协议 该接口可以用于管理员注册协议（将协议关联到某一身份提供商）。 更新协议 该接口可以用于管理员更新协议。 删除协议 该接口可以用于管理员删除协议。 查询Metadata文件 该接口可以用于管理员查询身份提供商导入到IAM中的Metadata文件。 查询Keystone的Metadata文件 该接口可以用于查询keystone的Metadata文件。 导入Metadata文件 该接口可以用于管理员导入Metadata文件。 获取联邦认证unscoped token(IdP initiated) 该接口可以用于通过IdP initiated的联邦认证方式获取unscoped token。 获取联邦认证scoped token 该接口可以用于通过联邦认证方式获取scoped token。 获取联邦认证token(OpenID Connect ID token方式) 该接口可以用于通过OpenID Connect ID token方式获取联邦认证token。 获取联邦认证unscoped token(OpenID Connect ID token方式) 该接口可以用于通过OpenID Connect ID token方式获取联邦认证unscoped token。 查询联邦用户可以访问的帐号列表 该接口用于查询联邦用户可以访问的帐号列表。