策略管理接口
说明:权限策略分为自定义策略和系统策略。 自定义策略是用户自行创建管理的权限策略,类型为CUSTOM;系统策略是云平台统一管理的内置策略,类型为SYSTEM。
创建权限策略
接口描述
创建企业组织权限策略。
企业组织权限策略(英文Service Control Policy,简称SCP),与IAM权限策略使用相同策略语法,但授权的效果有所不同:SCP定义的权限,为其附加到的账户或单元成员的最大权限范围,账户子用户、单元成员账户的权限,不能超过此范围。
请求结构
1POST /v1/organization/{organizationId}/scp HTTP/1.1
2Host: organization.bj.baidubce.com
3Authorization: authorization string
4
5{
6 "description": "description",
7 "document": "dumped json document of acl",
8 "name": "name"
9}
请求头域
除公共头域外,无其它特殊头域。
请求参数
名称 | 类型 | 位置 | 描述 | 是否必须 |
---|---|---|---|---|
organizationId | String | URL参数 | 企业组织ID | 是 |
name | String | RequestBody参数 | 权限策略名称 | 是 |
description | String | RequestBody参数 | 权限策略描述 | 否 |
document | String | RequestBody参数 | 策略内容,ACL格式序列化后得到的String | 是 |
响应头域
除公共头域外,无其它特殊头域。
响应参数
SCP对象
请求示例
1POST /v1/organization/25fc10b3bc61437aa72b35f76515b375/scp
2host: organization.bj.baidubce.com
3Authorization: AuthorizationString
4
5{
6 "name": "testScp",
7 "description": "test scp",
8 "document": "{\"accessControlList\":[{\"service\":\"bce:bcc\",\"region\":\"*\",\"resource\":[\"*\"],\"effect\":\"Allow\",\"permission\":[\"READ\"]}]}"
9}
响应示例
1HTTP/1.1 201 Created
2Content-Type: application/json;charset=UTF-8
3X-Bce-Request-Id: fc96771d-f2a3-4b1a-8ed2-ea7665461baf
4Server: BWS
5
6{
7 "description": "test scp",
8 "createTime": "2019-09-24T07:42:08Z",
9 "policyType": "CUSTOM",
10 "document": "{\"accessControlList\":[{\"service\":\"bce:bcc\",\"region\":\"*\",\"resource\":[\"*\"],\"effect\":\"Allow\",\"permission\":[\"READ\"]}]}",
11 "id": "6b705623cee74f9ea274d5c0dc5523b2",
12 "name": "testScp"
13}
删除权限策略
接口描述
删除企业组织权限策略。
说明:删除权限策略前需要解除所有策略关联的权限绑定。
请求结构
1DELETE /v1/organization/{organizationId}/scp/{scpId} HTTP/1.1
2Host: organization.bj.baidubce.com
3Authorization: authorization string
请求头域
除公共头域外,无其它特殊头域。
请求参数
名称 | 类型 | 位置 | 描述 | 是否必须 |
---|---|---|---|---|
organizationId | String | URL参数 | 企业组织ID | 是 |
scpId | String | URL参数 | 权限策略ID | 是 |
响应头域
除公共头域外,无其它特殊头域。
响应参数
无。
请求示例
1DELETE /v1/organization/25fc10b3bc61437aa72b35f76515b375/scp/6b705623cee74f9ea274d5c0dc5523b2
2host: organization.bj.baidubce.com
3Authorization: AuthorizationString
响应示例
1HTTP/1.1 204 No Content
2Content-Type: application/json;charset=UTF-8
3X-Bce-Request-Id: fc96771d-f2a3-4b1a-8ed2-ea7665461baf
4Server: BWS
查看权限策略
接口描述
查看企业组织权限策略。
请求结构
1GET /v1/organization/{organizationId}/scp/{scpId} HTTP/1.1
2Host: organization.bj.baidubce.com
3Authorization: authorization string
请求头域
除公共头域外,无其它特殊头域。
请求参数
名称 | 类型 | 位置 | 描述 | 是否必须 |
---|---|---|---|---|
organizationId | String | URL参数 | 企业组织ID | 是 |
scpId | String | URL参数 | 权限策略ID | 是 |
响应头域
除公共头域外,无其它特殊头域。
响应参数
SCP对象
请求示例
1GET /v1/organization/25fc10b3bc61437aa72b35f76515b375/scp/480fdbfcaec7485187176f6f66e780a3
2host: organization.bj.baidubce.com
3Authorization: AuthorizationString
响应示例
1HTTP/1.1 200 OK
2Content-Type: application/json;charset=UTF-8
3X-Bce-Request-Id: fc96771d-f2a3-4b1a-8ed2-ea7665461baf
4Server: BWS
5
6{
7 "description": "test scp",
8 "createTime": "2019-09-24T07:43:48Z",
9 "policyType": "CUSTOM",
10 "document": "{\"accessControlList\":[{\"service\":\"bce:bcc\",\"region\":\"*\",\"resource\":[\"*\"],\"effect\":\"Allow\",\"permission\":[\"READ\"]}]}",
11 "id": "480fdbfcaec7485187176f6f66e780a3",
12 "name": "testScp"
13}
更新权限策略
接口描述
更新企业组织权限策略。
请求结构
1PUT /v1/organization/{organizationId}/scp/{scpId} HTTP/1.1
2Host: organization.bj.baidubce.com
3Authorization: authorization string
4
5{
6 "description": "description",
7 "document": "dumped json document of acl",
8 "name": "name"
9}
请求头域
除公共头域外,无其它特殊头域。
请求参数
名称 | 类型 | 位置 | 描述 | 是否必须 |
---|---|---|---|---|
organizationId | String | URL参数 | 企业组织ID | 是 |
scpId | String | URL参数 | 权限策略ID | 是 |
name | String | RequestBody参数 | 权限策略名称 | 否 |
description | String | RequestBody参数 | 权限策略描述 | 否 |
document | String | RequestBody参数 | 策略内容,ACL格式序列化后得到的String | 否 |
响应头域
除公共头域外,无其它特殊头域。
响应参数
SCP对象
请求示例
1PUT /v1/organization/25fc10b3bc61437aa72b35f76515b375/scp/480fdbfcaec7485187176f6f66e780a3
2host: organization.bj.baidubce.com
3Authorization: AuthorizationString
响应示例
1HTTP/1.1 200 OK
2Content-Type: application/json;charset=UTF-8
3X-Bce-Request-Id: fc96771d-f2a3-4b1a-8ed2-ea7665461baf
4Server: BWS
5
6{
7 "description": "update",
8 "createTime": "2019-09-24T07:43:48Z",
9 "policyType": "CUSTOM",
10 "document": "{\"accessControlList\":[{\"service\":\"bce:bcc\",\"region\":\"*\",\"resource\":[\"*\"],\"effect\":\"Allow\",\"permission\":[\"READ\"]}]}",
11 "id": "480fdbfcaec7485187176f6f66e780a3",
12 "name": "update"
13}
列举权限策略
接口描述
列举企业组织权限策略。
policyType参数为"SYSTEM"时,查询系统内置策略;policyType参数为"CUSTOM"或未指定时,查询企业组织下的自定义策略。
请求结构
1GET /v1/organization/{organizationId}/scp?policyType={policyType} HTTP/1.1
2Host: organization.bj.baidubce.com
3Authorization: authorization string
请求头域
除公共头域外,无其它特殊头域。
请求参数
名称 | 类型 | 位置 | 描述 | 是否必须 |
---|---|---|---|---|
organizationId | String | URL参数 | 企业组织ID | 是 |
policyType | String | Query参数 | 要查询的策略类型 | 否 |
响应头域
除公共头域外,无其它特殊头域。
响应参数
名称 | 类型 | 描述 |
---|---|---|
scps | List<SCP> | 权限策略的列表 |
请求示例
1GET /v1/organization/25fc10b3bc61437aa72b35f76515b375/scp?policyType=CUSTOM
2host: organization.bj.baidubce.com
3Authorization: AuthorizationString
响应示例
1HTTP/1.1 200 OK
2Content-Type: application/json;charset=UTF-8
3X-Bce-Request-Id: fc96771d-f2a3-4b1a-8ed2-ea7665461baf
4Server: BWS
5
6[
7 {
8 "description": "update",
9 "createTime": "2019-09-24T07:43:48Z",
10 "policyType": "CUSTOM",
11 "document": "{\"accessControlList\":[{\"service\":\"bce:bcc\",\"region\":\"*\",\"resource\":[\"*\"],\"effect\":\"Allow\",\"permission\":[\"READ\"]}]}",
12 "id": "480fdbfcaec7485187176f6f66e780a3",
13 "name": "update"
14 }
15]
关联账户权限策略
接口描述
为账户关联权限策略。
请求结构
1PUT /v1/organization/{organizationId}/account/{accountId}/scp/{scpId} HTTP/1.1
2Host: organization.bj.baidubce.com
3Authorization: authorization string
请求头域
除公共头域外,无其它特殊头域。
请求参数
名称 | 类型 | 位置 | 描述 | 是否必须 |
---|---|---|---|---|
organizationId | String | URL参数 | 企业组织ID | 是 |
accountId | String | URL参数 | 账户ID | 是 |
scpId | String | URL参数 | 权限策略ID | 是 |
响应头域
除公共头域外,无其它特殊头域。
响应参数
无。
请求示例
1PUT /v1/organization/25fc10b3bc61437aa72b35f76515b375/account/bfdbd1e6316b4729ab49f2cb25710068/scp/480fdbfcaec7485187176f6f66e780a3
2host: organization.bj.baidubce.com
3Authorization: AuthorizationString
响应示例
1HTTP/1.1 200 OK
2Content-Type: application/json;charset=UTF-8
3X-Bce-Request-Id: fc96771d-f2a3-4b1a-8ed2-ea7665461baf
4Server: BWS
解绑账户权限策略
接口描述
解除账户已经关联的指定权限策略。
请求结构
1DELETE /v1/organization/{organizationId}/account/{accountId}/scp/{scpId} HTTP/1.1
2Host: organization.bj.baidubce.com
3Authorization: authorization string
请求头域
除公共头域外,无其它特殊头域。
请求参数
名称 | 类型 | 位置 | 描述 | 是否必须 |
---|---|---|---|---|
organizationId | String | URL参数 | 企业组织ID | 是 |
accountId | String | URL参数 | 账户ID | 是 |
scpId | String | URL参数 | 权限策略ID | 是 |
响应头域
除公共头域外,无其它特殊头域。
响应参数
无。
请求示例
1DELETE /v1/organization/25fc10b3bc61437aa72b35f76515b375/account/bfdbd1e6316b4729ab49f2cb25710068/scp/480fdbfcaec7485187176f6f66e780a3
2host: organization.bj.baidubce.com
3Authorization: AuthorizationString
响应示例
1HTTP/1.1 200 OK
2Content-Type: application/json;charset=UTF-8
3X-Bce-Request-Id: fc96771d-f2a3-4b1a-8ed2-ea7665461baf
4Server: BWS
查看账户关联的权限策略
接口描述
查看账户已经关联的权限策略。不包括其上级单元所关联的权限策略。
请求结构
1GET /v1/organization/{organizationId}/account/{accountId}/scp HTTP/1.1
2Host: organization.bj.baidubce.com
3Authorization: authorization string
请求头域
除公共头域外,无其它特殊头域。
请求参数
名称 | 类型 | 位置 | 描述 | 是否必须 |
---|---|---|---|---|
organizationId | String | URL参数 | 企业组织ID | 是 |
accountId | String | URL参数 | 账户ID | 是 |
响应头域
除公共头域外,无其它特殊头域。
响应参数
名称 | 类型 | 描述 |
---|---|---|
scps | List<SCP> | 权限策略的列表 |
请求示例
1GET /v1/organization/25fc10b3bc61437aa72b35f76515b375/account/bfdbd1e6316b4729ab49f2cb25710068/scp
2host: organization.bj.baidubce.com
3Authorization: AuthorizationString
响应示例
1HTTP/1.1 200 OK
2Content-Type: application/json;charset=UTF-8
3X-Bce-Request-Id: fc96771d-f2a3-4b1a-8ed2-ea7665461baf
4Server: BWS
5
6[
7 {
8 "description": "允许所有操作",
9 "createTime": "2018-03-26T03:25:06Z",
10 "policyType": "SYSTEM",
11 "document": "{\"accessControlList\":[{\"service\":\"*\",\"region\":\"*\",\"resource\":[\"*\"],\"effect\":\"Allow\",\"permission\":[\"*\"]}]}",
12 "id": "c122aeb9065c4ae6bfc5ca58665ea056",
13 "name": "FullAccessScp"
14 }
15]
关联单元权限策略
接口描述
为单元关联权限策略。
请求结构
1PUT /v1/organization/{organizationId}/unit/{unitId}/scp/{scpId} HTTP/1.1
2Host: organization.bj.baidubce.com
3Authorization: authorization string
请求头域
除公共头域外,无其它特殊头域。
请求参数
名称 | 类型 | 位置 | 描述 | 是否必须 |
---|---|---|---|---|
organizationId | String | URL参数 | 企业组织ID | 是 |
unitId | String | URL参数 | 单元ID | 是 |
scpId | String | URL参数 | 权限策略ID | 是 |
响应头域
除公共头域外,无其它特殊头域。
响应参数
无。
请求示例
1PUT /v1/organization/25fc10b3bc61437aa72b35f76515b375/unit/a6ed8b858a094187b3e3cb95da73b415/scp/480fdbfcaec7485187176f6f66e780a3
2host: organization.bj.baidubce.com
3Authorization: AuthorizationString
响应示例
1HTTP/1.1 200 OK
2Content-Type: application/json;charset=UTF-8
3X-Bce-Request-Id: fc96771d-f2a3-4b1a-8ed2-ea7665461baf
4Server: BWS
解绑单元权限策略
接口描述
解绑单元已关联的指定权限策略。
请求结构
1DELETE /v1/organization/{organizationId}/unit/{unitId}/scp/{scpId} HTTP/1.1
2Host: organization.bj.baidubce.com
3Authorization: authorization string
请求头域
除公共头域外,无其它特殊头域。
请求参数
名称 | 类型 | 位置 | 描述 | 是否必须 |
---|---|---|---|---|
organizationId | String | URL参数 | 企业组织ID | 是 |
unitId | String | URL参数 | 单元ID | 是 |
scpId | String | URL参数 | 权限策略ID | 是 |
响应头域
除公共头域外,无其它特殊头域。
响应参数
无。
请求示例
1DELETE /v1/organization/25fc10b3bc61437aa72b35f76515b375/unit/a6ed8b858a094187b3e3cb95da73b415/scp/480fdbfcaec7485187176f6f66e780a3
2host: organization.bj.baidubce.com
3Authorization: AuthorizationString
响应示例
1HTTP/1.1 200 OK
2Content-Type: application/json;charset=UTF-8
3X-Bce-Request-Id: fc96771d-f2a3-4b1a-8ed2-ea7665461baf
4Server: BWS
查看单元关联的权限策略
接口描述
查看单元已经关联的权限策略。不包括其上级单元所关联的权限策略。
请求结构
1GET /v1/organization/{organizationId}/unit/{unitId}/scp HTTP/1.1
2Host: organization.bj.baidubce.com
3Authorization: authorization string
请求头域
除公共头域外,无其它特殊头域。
请求参数
名称 | 类型 | 位置 | 描述 | 是否必须 |
---|---|---|---|---|
organizationId | String | URL参数 | 企业组织ID | 是 |
unitId | String | URL参数 | 单元ID | 是 |
响应头域
除公共头域外,无其它特殊头域。
响应参数
名称 | 类型 | 描述 |
---|---|---|
scps | List<SCP> | 权限策略的列表 |
请求示例
1GET /v1/organization/25fc10b3bc61437aa72b35f76515b375/unit/a6ed8b858a094187b3e3cb95da73b415/scp
2host: organization.bj.baidubce.com
3Authorization: AuthorizationString
响应示例
1HTTP/1.1 200 OK
2Content-Type: application/json;charset=UTF-8
3X-Bce-Request-Id: fc96771d-f2a3-4b1a-8ed2-ea7665461baf
4Server: BWS
5
6[
7 {
8 "description": "允许所有操作",
9 "createTime": "2018-03-26T03:25:06Z",
10 "policyType": "SYSTEM",
11 "document": "{\"accessControlList\":[{\"service\":\"*\",\"region\":\"*\",\"resource\":[\"*\"],\"effect\":\"Allow\",\"permission\":[\"*\"]}]}",
12 "id": "c122aeb9065c4ae6bfc5ca58665ea056",
13 "name": "FullAccessScp"
14 }
15]