该接口可以用于通过token来获取临时AK/SK和securitytoken。临时AK/SK和securitytoken是系统颁发给IAM用户的临时访问令牌,有效期可在15分钟至24小时范围内设置,过期后需要重新获取。临时AK/SK和securitytoken遵循权限最小化原则。
该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。
使用获取到的临时AK/SK和securitytoken作为凭证访问云服务,临时AK/SK和securitytoken两者必须同时使用,请求头中需要添加“x-security-token”字段,使用方法详情请参考:使用临时AK/SK做签名。
您可以在API Explorer中调试该接口。
POST /v3.0/OS-CREDENTIAL/securitytokens
表 1 请求Header参数
表 2 请求Body参数
表 3 auth
表 4 auth.identity
用户自定义策略的信息,用于限制获取到的临时访问密钥和securitytoken的权限(当前仅适用限制OBS服务的权限)。 如果填写此参数,则临时访问密钥和securitytoken的权限为:原token具有的权限和policy参数限制的权限交集。 关于IAM策略的格式和语法,请参考:策略。 |
表 5 auth.identity.policy
表 6 auth.identity.policy.Statement
作用。包含两种:允许(Allow)和拒绝(Deny),既有Allow又有Deny的授权语句时,遵循Deny优先的原则。
|
|||
限制条件。不超过10个。了解更多相关参数,请参考:配置自定义策略。 |
|||
表 7 auth.identity.token
表 8 响应Body参数
表 9 credential
AK/SK和securitytoken的过期时间。响应参数为UTC时间格式,北京时间为UTC+8小时。 "expires_at": "2020-01-08T02:56:19.587000Z" |
||
-
填写"token"参数。
POST https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/securitytokens
{ "auth": { "identity": { "methods": [ "token" ], "token": { "duration_seconds": 900 } } } }
-
不填写“token”参数(请求头中需要X-Auth-Token)。
POST https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/securitytokens
{ "auth": { "identity": { "methods": [ "token" ] } } }
-
填写“policy”参数。
POST https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/securitytokens
{ "auth": { "identity": { "methods": [ "token" ], "policy": { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "obs:object:*" ], "Resource": [ "obs:*:*:object:*" ], "Condition": { "StringEquals": { "obs:prefix": [ "public" ] } } } ] }, "token": { "duration_seconds": 900 } } } }
状态码为 201 时:
创建成功。
{
"credential": {
"access": "NZFAT5VNWEJDGZ4PZ...",
"expires_at": "2020-01-08T03:50:07.574000Z",
"secret": "riEoWsy3qO0BvgwfkoLVgCUvzgpjBBcvdq...",
"securitytoken": "gQpjbi1ub3J0aC00jD4Ej..."
}
}
无