策略管理接口
更新时间:2020-02-13
说明:权限策略分为自定义策略和系统策略。 自定义策略是用户自行创建管理的权限策略,类型为CUSTOM;系统策略是云平台统一管理的内置策略,类型为SYSTEM。
创建权限策略
接口描述
创建企业组织权限策略。
企业组织权限策略(英文Service Control Policy,简称SCP),与IAM权限策略使用相同策略语法,但授权的效果有所不同:SCP定义的权限,为其附加到的账户或单元成员的最大权限范围,账户子用户、单元成员账户的权限,不能超过此范围。
请求结构
POST /v1/organization/{organizationId}/scp HTTP/1.1
Host: organization.bj.baidubce.com
Authorization: authorization string
{
"description": "description",
"document": "dumped json document of acl",
"name": "name"
}请求头域
除公共头域外,无其它特殊头域。
请求参数
| 名称 | 类型 | 位置 | 描述 | 是否必须 |
|---|---|---|---|---|
| organizationId | String | URL参数 | 企业组织ID | 是 |
| name | String | RequestBody参数 | 权限策略名称 | 是 |
| description | String | RequestBody参数 | 权限策略描述 | 否 |
| document | String | RequestBody参数 | 策略内容,ACL格式序列化后得到的String | 是 |
响应头域
除公共头域外,无其它特殊头域。
响应参数
SCP对象
请求示例
POST /v1/organization/25fc10b3bc61437aa72b35f76515b375/scp
host: organization.bj.baidubce.com
Authorization: AuthorizationString
{
"name": "testScp",
"description": "test scp",
"document": "{\"accessControlList\":[{\"service\":\"bce:bcc\",\"region\":\"*\",\"resource\":[\"*\"],\"effect\":\"Allow\",\"permission\":[\"READ\"]}]}"
}响应示例
HTTP/1.1 201 Created
Content-Type: application/json;charset=UTF-8
X-Bce-Request-Id: fc96771d-f2a3-4b1a-8ed2-ea7665461baf
Server: BWS
{
"description": "test scp",
"createTime": "2019-09-24T07:42:08Z",
"policyType": "CUSTOM",
"document": "{\"accessControlList\":[{\"service\":\"bce:bcc\",\"region\":\"*\",\"resource\":[\"*\"],\"effect\":\"Allow\",\"permission\":[\"READ\"]}]}",
"id": "6b705623cee74f9ea274d5c0dc5523b2",
"name": "testScp"
}删除权限策略
接口描述
删除企业组织权限策略。
说明:删除权限策略前需要解除所有策略关联的权限绑定。
请求结构
DELETE /v1/organization/{organizationId}/scp/{scpId} HTTP/1.1
Host: organization.bj.baidubce.com
Authorization: authorization string请求头域
除公共头域外,无其它特殊头域。
请求参数
| 名称 | 类型 | 位置 | 描述 | 是否必须 |
|---|---|---|---|---|
| organizationId | String | URL参数 | 企业组织ID | 是 |
| scpId | String | URL参数 | 权限策略ID | 是 |
响应头域
除公共头域外,无其它特殊头域。
响应参数
无。
请求示例
DELETE /v1/organization/25fc10b3bc61437aa72b35f76515b375/scp/6b705623cee74f9ea274d5c0dc5523b2
host: organization.bj.baidubce.com
Authorization: AuthorizationString响应示例
HTTP/1.1 204 No Content
Content-Type: application/json;charset=UTF-8
X-Bce-Request-Id: fc96771d-f2a3-4b1a-8ed2-ea7665461baf
Server: BWS查看权限策略
接口描述
查看企业组织权限策略。
请求结构
GET /v1/organization/{organizationId}/scp/{scpId} HTTP/1.1
Host: organization.bj.baidubce.com
Authorization: authorization string请求头域
除公共头域外,无其它特殊头域。
请求参数
| 名称 | 类型 | 位置 | 描述 | 是否必须 |
|---|---|---|---|---|
| organizationId | String | URL参数 | 企业组织ID | 是 |
| scpId | String | URL参数 | 权限策略ID | 是 |
响应头域
除公共头域外,无其它特殊头域。
响应参数
SCP对象
请求示例
GET /v1/organization/25fc10b3bc61437aa72b35f76515b375/scp/480fdbfcaec7485187176f6f66e780a3
host: organization.bj.baidubce.com
Authorization: AuthorizationString响应示例
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
X-Bce-Request-Id: fc96771d-f2a3-4b1a-8ed2-ea7665461baf
Server: BWS
{
"description": "test scp",
"createTime": "2019-09-24T07:43:48Z",
"policyType": "CUSTOM",
"document": "{\"accessControlList\":[{\"service\":\"bce:bcc\",\"region\":\"*\",\"resource\":[\"*\"],\"effect\":\"Allow\",\"permission\":[\"READ\"]}]}",
"id": "480fdbfcaec7485187176f6f66e780a3",
"name": "testScp"
}更新权限策略
接口描述
更新企业组织权限策略。
请求结构
PUT /v1/organization/{organizationId}/scp/{scpId} HTTP/1.1
Host: organization.bj.baidubce.com
Authorization: authorization string
{
"description": "description",
"document": "dumped json document of acl",
"name": "name"
}请求头域
除公共头域外,无其它特殊头域。
请求参数
| 名称 | 类型 | 位置 | 描述 | 是否必须 |
|---|---|---|---|---|
| organizationId | String | URL参数 | 企业组织ID | 是 |
| scpId | String | URL参数 | 权限策略ID | 是 |
| name | String | RequestBody参数 | 权限策略名称 | 否 |
| description | String | RequestBody参数 | 权限策略描述 | 否 |
| document | String | RequestBody参数 | 策略内容,ACL格式序列化后得到的String | 否 |
响应头域
除公共头域外,无其它特殊头域。
响应参数
SCP对象
请求示例
PUT /v1/organization/25fc10b3bc61437aa72b35f76515b375/scp/480fdbfcaec7485187176f6f66e780a3
host: organization.bj.baidubce.com
Authorization: AuthorizationString响应示例
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
X-Bce-Request-Id: fc96771d-f2a3-4b1a-8ed2-ea7665461baf
Server: BWS
{
"description": "update",
"createTime": "2019-09-24T07:43:48Z",
"policyType": "CUSTOM",
"document": "{\"accessControlList\":[{\"service\":\"bce:bcc\",\"region\":\"*\",\"resource\":[\"*\"],\"effect\":\"Allow\",\"permission\":[\"READ\"]}]}",
"id": "480fdbfcaec7485187176f6f66e780a3",
"name": "update"
}列举权限策略
接口描述
列举企业组织权限策略。
policyType参数为"SYSTEM"时,查询系统内置策略;policyType参数为"CUSTOM"或未指定时,查询企业组织下的自定义策略。
请求结构
GET /v1/organization/{organizationId}/scp?policyType={policyType} HTTP/1.1
Host: organization.bj.baidubce.com
Authorization: authorization string请求头域
除公共头域外,无其它特殊头域。
请求参数
| 名称 | 类型 | 位置 | 描述 | 是否必须 |
|---|---|---|---|---|
| organizationId | String | URL参数 | 企业组织ID | 是 |
| policyType | String | Query参数 | 要查询的策略类型 | 否 |
响应头域
除公共头域外,无其它特殊头域。
响应参数
| 名称 | 类型 | 描述 |
|---|---|---|
| scps | List<SCP> | 权限策略的列表 |
请求示例
GET /v1/organization/25fc10b3bc61437aa72b35f76515b375/scp?policyType=CUSTOM
host: organization.bj.baidubce.com
Authorization: AuthorizationString响应示例
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
X-Bce-Request-Id: fc96771d-f2a3-4b1a-8ed2-ea7665461baf
Server: BWS
[
{
"description": "update",
"createTime": "2019-09-24T07:43:48Z",
"policyType": "CUSTOM",
"document": "{\"accessControlList\":[{\"service\":\"bce:bcc\",\"region\":\"*\",\"resource\":[\"*\"],\"effect\":\"Allow\",\"permission\":[\"READ\"]}]}",
"id": "480fdbfcaec7485187176f6f66e780a3",
"name": "update"
}
]关联账户权限策略
接口描述
为账户关联权限策略。
请求结构
PUT /v1/organization/{organizationId}/account/{accountId}/scp/{scpId} HTTP/1.1
Host: organization.bj.baidubce.com
Authorization: authorization string请求头域
除公共头域外,无其它特殊头域。
请求参数
| 名称 | 类型 | 位置 | 描述 | 是否必须 |
|---|---|---|---|---|
| organizationId | String | URL参数 | 企业组织ID | 是 |
| accountId | String | URL参数 | 账户ID | 是 |
| scpId | String | URL参数 | 权限策略ID | 是 |
响应头域
除公共头域外,无其它特殊头域。
响应参数
无。
请求示例
PUT /v1/organization/25fc10b3bc61437aa72b35f76515b375/account/bfdbd1e6316b4729ab49f2cb25710068/scp/480fdbfcaec7485187176f6f66e780a3
host: organization.bj.baidubce.com
Authorization: AuthorizationString响应示例
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
X-Bce-Request-Id: fc96771d-f2a3-4b1a-8ed2-ea7665461baf
Server: BWS解绑账户权限策略
接口描述
解除账户已经关联的指定权限策略。
请求结构
DELETE /v1/organization/{organizationId}/account/{accountId}/scp/{scpId} HTTP/1.1
Host: organization.bj.baidubce.com
Authorization: authorization string请求头域
除公共头域外,无其它特殊头域。
请求参数
| 名称 | 类型 | 位置 | 描述 | 是否必须 |
|---|---|---|---|---|
| organizationId | String | URL参数 | 企业组织ID | 是 |
| accountId | String | URL参数 | 账户ID | 是 |
| scpId | String | URL参数 | 权限策略ID | 是 |
响应头域
除公共头域外,无其它特殊头域。
响应参数
无。
请求示例
DELETE /v1/organization/25fc10b3bc61437aa72b35f76515b375/account/bfdbd1e6316b4729ab49f2cb25710068/scp/480fdbfcaec7485187176f6f66e780a3
host: organization.bj.baidubce.com
Authorization: AuthorizationString响应示例
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
X-Bce-Request-Id: fc96771d-f2a3-4b1a-8ed2-ea7665461baf
Server: BWS查看账户关联的权限策略
接口描述
查看账户已经关联的权限策略。不包括其上级单元所关联的权限策略。
请求结构
GET /v1/organization/{organizationId}/account/{accountId}/scp HTTP/1.1
Host: organization.bj.baidubce.com
Authorization: authorization string请求头域
除公共头域外,无其它特殊头域。
请求参数
| 名称 | 类型 | 位置 | 描述 | 是否必须 |
|---|---|---|---|---|
| organizationId | String | URL参数 | 企业组织ID | 是 |
| accountId | String | URL参数 | 账户ID | 是 |
响应头域
除公共头域外,无其它特殊头域。
响应参数
| 名称 | 类型 | 描述 |
|---|---|---|
| scps | List<SCP> | 权限策略的列表 |
请求示例
GET /v1/organization/25fc10b3bc61437aa72b35f76515b375/account/bfdbd1e6316b4729ab49f2cb25710068/scp
host: organization.bj.baidubce.com
Authorization: AuthorizationString响应示例
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
X-Bce-Request-Id: fc96771d-f2a3-4b1a-8ed2-ea7665461baf
Server: BWS
[
{
"description": "允许所有操作",
"createTime": "2018-03-26T03:25:06Z",
"policyType": "SYSTEM",
"document": "{\"accessControlList\":[{\"service\":\"*\",\"region\":\"*\",\"resource\":[\"*\"],\"effect\":\"Allow\",\"permission\":[\"*\"]}]}",
"id": "c122aeb9065c4ae6bfc5ca58665ea056",
"name": "FullAccessScp"
}
]关联单元权限策略
接口描述
为单元关联权限策略。
请求结构
PUT /v1/organization/{organizationId}/unit/{unitId}/scp/{scpId} HTTP/1.1
Host: organization.bj.baidubce.com
Authorization: authorization string请求头域
除公共头域外,无其它特殊头域。
请求参数
| 名称 | 类型 | 位置 | 描述 | 是否必须 |
|---|---|---|---|---|
| organizationId | String | URL参数 | 企业组织ID | 是 |
| unitId | String | URL参数 | 单元ID | 是 |
| scpId | String | URL参数 | 权限策略ID | 是 |
响应头域
除公共头域外,无其它特殊头域。
响应参数
无。
请求示例
PUT /v1/organization/25fc10b3bc61437aa72b35f76515b375/unit/a6ed8b858a094187b3e3cb95da73b415/scp/480fdbfcaec7485187176f6f66e780a3
host: organization.bj.baidubce.com
Authorization: AuthorizationString响应示例
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
X-Bce-Request-Id: fc96771d-f2a3-4b1a-8ed2-ea7665461baf
Server: BWS解绑单元权限策略
接口描述
解绑单元已关联的指定权限策略。
请求结构
DELETE /v1/organization/{organizationId}/unit/{unitId}/scp/{scpId} HTTP/1.1
Host: organization.bj.baidubce.com
Authorization: authorization string请求头域
除公共头域外,无其它特殊头域。
请求参数
| 名称 | 类型 | 位置 | 描述 | 是否必须 |
|---|---|---|---|---|
| organizationId | String | URL参数 | 企业组织ID | 是 |
| unitId | String | URL参数 | 单元ID | 是 |
| scpId | String | URL参数 | 权限策略ID | 是 |
响应头域
除公共头域外,无其它特殊头域。
响应参数
无。
请求示例
DELETE /v1/organization/25fc10b3bc61437aa72b35f76515b375/unit/a6ed8b858a094187b3e3cb95da73b415/scp/480fdbfcaec7485187176f6f66e780a3
host: organization.bj.baidubce.com
Authorization: AuthorizationString响应示例
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
X-Bce-Request-Id: fc96771d-f2a3-4b1a-8ed2-ea7665461baf
Server: BWS查看单元关联的权限策略
接口描述
查看单元已经关联的权限策略。不包括其上级单元所关联的权限策略。
请求结构
GET /v1/organization/{organizationId}/unit/{unitId}/scp HTTP/1.1
Host: organization.bj.baidubce.com
Authorization: authorization string请求头域
除公共头域外,无其它特殊头域。
请求参数
| 名称 | 类型 | 位置 | 描述 | 是否必须 |
|---|---|---|---|---|
| organizationId | String | URL参数 | 企业组织ID | 是 |
| unitId | String | URL参数 | 单元ID | 是 |
响应头域
除公共头域外,无其它特殊头域。
响应参数
| 名称 | 类型 | 描述 |
|---|---|---|
| scps | List<SCP> | 权限策略的列表 |
请求示例
GET /v1/organization/25fc10b3bc61437aa72b35f76515b375/unit/a6ed8b858a094187b3e3cb95da73b415/scp
host: organization.bj.baidubce.com
Authorization: AuthorizationString响应示例
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
X-Bce-Request-Id: fc96771d-f2a3-4b1a-8ed2-ea7665461baf
Server: BWS
[
{
"description": "允许所有操作",
"createTime": "2018-03-26T03:25:06Z",
"policyType": "SYSTEM",
"document": "{\"accessControlList\":[{\"service\":\"*\",\"region\":\"*\",\"resource\":[\"*\"],\"effect\":\"Allow\",\"permission\":[\"*\"]}]}",
"id": "c122aeb9065c4ae6bfc5ca58665ea056",
"name": "FullAccessScp"
}
]