获取角色的临时身份

概述

通过扮演角色，获取角色的临时身份
在扮演角色前，请确认是否有相应的权限:
1.访问者有调用AssumeRole的权限
2.角色的信任账号列表中需要包含访问者所在账号.

注1：该接口只能以子用户或者角色的身份进行调用。在调用其他OpenAPI的时候，请在header头增加X-Ksc-Security-Token:SecurityToken（会话）。不需要再算签名时包含该header头

请求参数

名称	类型	必须	长度限制(字符)	参数格式	描述
Action	String	是		AssumeRole	action名称
RoleKrn	String	是	min:20, max:2048	krn:ksc:iam::account-id:role/role-name
RoleSessionName	String	是	min:2, max:64	[\w+=,[email protected]]*	用户自定义参数,此参数区分不同的临时证书
DurationSeconds	String	否	min:900, max:3600,默认 3600		指定临时证书的持续有效时间
Policy	String	否	min:1, max:2048	[\u0009\u000A\u000D\u0020-\u00FF]+	如果传递了policy，最终值将取policy和role的access_policy的交集。没有传递该参数，将获取role附加的access_policy的所有权限

返回元素（调用成功）

名称	类型	描述
AssumeRoleResult		AssumeRole的临时证书

错误码（调用不成功）

错误代码	描述	HTTP 状态码	语义
InvalidParameterValue	An invalid or out-of-range value was supplied for the input parameter.	400	参数格式/取值范围不对，具体参数名在错误消息中说明(UserName)
NoSuchEntity	The request was rejected because it referenced a resource that does not exist	404	实体不存在，具体实体名称在错误消息中说明
InvalidClientTokenId	The access key ID provided does not exist in our records.	403	无效的accessKey
AccessDenied	用户krn:ksc:iam::%s:user%s%s没有权限执行操作：%s:%s。	403	没有执行该操作的权限

示例（调用成功）

请求示例

http://sts.cn-beijing-6.api.ksyun.com/?Action=AssumeRole
&Version=2015-11-01
&RoleSessionName=Bob
&RoleKrn=krn:ksc:iam::123456789012:role/demo
&AUTHPARAMS

返回示例

• xml示例

<AssumeRoleResponse>
  <AssumeRoleResult>
      <Credentials>
        <SecretAccessKey>wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY</SecretAccessKey>
        <Expiration>2017-07-15T23:28:33.359Z</Expiration>
        <AccessKeyId>AKIAIOSFODNN7EXAMPLE</AccessKeyId>
        <SecurityToken>V1xxxxxxxxxxxx</SecurityToken>
      </Credentials>
      <AssumedRoleUser>
         <Krn>krn:ksc:sts::123456789012:assumed-role/demo/Bob</Krn>
         <AssumedRoleId>ARO123EXAMPLE123:Bob</AssumedRoleId>
      </AssumedRoleUser>
   </AssumeRoleResult>
   <ResponseMetadata>
     <RequestId>c6104cbe-af31-11e0-8154-cbc7ccf896c7</RequestId>
   </ResponseMetadata>
</AssumeRoleResponse>