通过token获取临时访问密钥和securitytoken.md

通过token获取临时访问密钥和securitytoken

功能介绍

该接口可以用于通过token来获取临时AK/SK和securitytoken。临时AK/SK和securitytoken是系统颁发给IAM用户的临时访问令牌，有效期可在15分钟至24小时范围内设置，过期后需要重新获取。临时AK/SK和securitytoken遵循权限最小化原则。

该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见：地区和终端节点。

使用获取到的临时AK/SK和securitytoken作为凭证访问云服务，临时AK/SK和securitytoken两者必须同时使用，请求头中需要添加“x-security-token”字段，使用方法详情请参考：使用临时AK/SK做签名。

调试

您可以在API Explorer中调试该接口。

URI

POST /v3.0/OS-CREDENTIAL/securitytokens

请求参数

表 1 请求Header参数

参数	是否必选	参数类型	描述
Content-Type	是	String	该字段填为“application/json;charset=utf8”。
X-Auth-Token	是	String	IAM用户token或联邦用户的token或委托token。

表 2 请求Body参数

参数	是否必选	参数类型	描述
auth	是	Object	认证信息。

表 3 auth

参数	是否必选	参数类型	描述
identity	是	Object	认证参数。

表 4 auth.identity

参数	是否必选	参数类型	描述
methods	是	Array of strings	认证方法，该字段内容为["token"]。
token	否	Object	临时访问密钥和securitytoken的有效期。
policy	否	Object	用户自定义策略的信息，用于限制获取到的临时访问密钥和securitytoken的权限（当前仅适用限制OBS服务的权限）。 如果填写此参数，则临时访问密钥和securitytoken的权限为：原token具有的权限和policy参数限制的权限交集。 关于IAM策略的格式和语法，请参考：策略。

表 5 auth.identity.policy

参数	是否必选	参数类型	描述
Version	是	String	权限版本号，创建自定义策略时，该字段值填为“1.1”。 说明： 1.1：策略。IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。
Statement	是	Array of objects	授权语句，描述自定义策略的具体内容，不超过8个。

表 6 auth.identity.policy.Statement

参数	是否必选	参数类型	描述
Action	是	Array of strings	授权项，指对资源的具体操作权限，不超过100个。 说明： 格式为：服务名:资源类型:操作，例：vpc:ports:create。 服务名为产品名称，例如ecs、evs和vpc等，服务名仅支持小写。 资源类型和操作没有大小写，要求支持通配符号*，无需罗列全部授权项。
Effect	是	String	作用。包含两种：允许（Allow）和拒绝（Deny），既有Allow又有Deny的授权语句时，遵循Deny优先的原则。 取值范围： Allow Deny
Condition	否	Map<String,Map<String,Array<String>>>	限制条件。不超过10个。了解更多相关参数，请参考：配置自定义策略。 说明： 以请求示例中的Condition为例：条件键（obs:prefix）和字符串（public）需相等（StringEquals）。 "Condition": { "StringEquals": { "obs:prefix": [ "public" ] } }
Resource	否	Array of strings	资源。数组长度不超过10，每个字符串长度不超过128，规则如下： 说明： 格式为“服务名:region:domainId:资源类型:资源路径”, 资源类型支持通配符号*，通配符号*表示所有。如"obs:*:*:bucket:*": 表示所有的OBS桶。 region字段为*或用户可访问的region。service必须存在且resource属于对应service。

表 7 auth.identity.token

参数	是否必选	参数类型	描述
duration_seconds	否	Integer	临时访问密钥和securitytoken的有效期，时间单位为秒。 取值范围：15分钟 ~ 24小时 ，默认为15分钟。

响应参数

表 8 响应Body参数

参数	参数类型	描述
credential	Object	认证结果信息。

表 9 credential

参数	参数类型	描述
expires_at	String	AK/SK和securitytoken的过期时间。响应参数为UTC时间格式，北京时间为UTC+8小时。 如返回： "expires_at": "2020-01-08T02:56:19.587000Z" 北京时间：2020-01-08 10:56:19.587
access	String	获取的AK。
secret	String	获取的SK。
securitytoken	String	securitytoken是将所获的AK、SK等信息进行加密后的字符串。

请求示例

• 填写"token"参数。

  POST https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/securitytokens
  

  {
      "auth": {
          "identity": {
              "methods": [
                  "token"
              ],
              "token": {
                  "duration_seconds": 900
              }
          }
      }
  }
  

• 不填写“token”参数（请求头中需要X-Auth-Token）。

  POST https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/securitytokens
  

  {
      "auth": {
          "identity": {
              "methods": [
                  "token"
              ]
          }
      }
  }
  

• 填写“policy”参数。

  POST https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/securitytokens
  

  {
    "auth": {
      "identity": {
        "methods": [
          "token"
        ],
        "policy": {
          "Version": "1.1",
          "Statement": [
            {
              "Effect": "Allow",
              "Action": [
                "obs:object:*"
              ],
              "Resource": [
                "obs:*:*:object:*"
              ],
              "Condition": {
                "StringEquals": {
                  "obs:prefix": [
                    "public"
                  ]
                }
              }
            }
          ]
        },
        "token": {
          "duration_seconds": 900
        }
      }
    }
  }
  

响应示例

状态码为 201 时:

创建成功。

{
    "credential": {
        "access": "NZFAT5VNWEJDGZ4PZ...",
        "expires_at": "2020-01-08T03:50:07.574000Z",
        "secret": "riEoWsy3qO0BvgwfkoLVgCUvzgpjBBcvdq...",
        "securitytoken": "gQpjbi1ub3J0aC00jD4Ej..."
    }
}

返回值

返回值	描述
201	创建成功。
400	参数无效。
401	认证失败。
403	没有操作权限。
500	内部服务错误。

错误码

无