问题标签 [ibm-cloud-iam]

我已为 IBM Cloud 生成 API 密钥，如何以编程方式从 API 密钥生成令牌？

IBM Cloud auth 持有者令牌 ( access_token) 将在一小时后过期。两个问题：

是否有特定的错误消息表明access_token已过期？不是一般的错误信息HTTP Authentication failed; no valid credentials available。具体来说，Speech-to-Text SDK 是否在此处发送消息

什么时候access_token过期？

第二个问题：这个答案说

使用 grant_type refresh_token 比获取新的访问令牌没有任何好处

为了确认我理解这一点，refresh_token永远不应该使用；我应该买一个新的access_token？

TL;DR我们如何使用 S3 兼容层自动创建每个用户的凭证以访问 COS 存储桶？
AFAIK 唯一记录在案的方式是 CLI；但是在 Web 服务中嵌入命令行执行并不是很吸引人！

COS （云对象存储）的 IBM 在线文档显示了为给定存储桶和给定角色创建“具有 HMAC 凭据的服务密钥”的两种方法[参考]

• 从管理 UI
• 使用 CLI >>ibmcloud resource service-key-create ****** --parameters '{"HMAC":true}'

这些“HMAC 凭据”的重点是访问存储桶，就好像它存储在 S3（或与 S3 API 兼容的任何其他设备）中一样。

现在，我假设 UI 和 CLI 都在幕后使用某种 API。也许他们必须同时使用 IAM API 和 COS API 才能将特定于 COS 的功能公开为“通用”安全功能。

但我在 IAM API 的在线文档中找不到任何相关内容——唯一指定“资源”和“授权策略”的 API 调用是关于创建临时令牌，而不是持久密钥[参考]
我无法'在 COS API 中也找不到任何相关的内容。那里没有什么安全问题。
如果它是开源的，我会尝试深入研究 CLI 的源代码，但可惜它不是。

我想我唯一的希望是从实际开发 CLI 的 IBM 员工那里获得“内部信息”......因此下面的标签。

在 IBM Cloud 中，我有一个用于安全管理员的 IAM 访问组。我需要授予哪些策略以使其成员对特定于用户的授权进行 READ 访问，即授予用户而不是访问组的访问策略？

帐户所有者可以通过例如List Policies API查看这些授权。安全管理员在调用该 API 时，要么收到一个空列表，要么只收到部分列表。安全管理员的访问组已经拥有 IAM 身份服务和 IAM 访问组服务的管理员权限。

我无法弄清楚如何验证和授权 IBM Cloud Function 以使用 IBM Cloud Foundry API 来管理我的一个 Cloud Foundry 应用程序上的一些路由。

Cloud Foundry API说我需要一个有效的不记名令牌，并且我可以使用 Cloud Foundry UAA 服务器获取一个令牌。我认为使用 OAuth2 不适合我的用例，因为我没有代表他们访问任何其他人的资源。

如何验证和授权我的 Cloud Function 访问 Cloud Foundry API？

编辑：

我刚刚发现Generate an IBM Cloud IAM token by using an API key。IAM 令牌是否与 Cloud Foundry API 兼容？我在本文档中看到 https 响应将令牌类型描述为Bearer.

我创建了一个包含一些文件的存储桶。我希望我的团队访问该存储桶。我尝试创建策略并添加用户，但团队仍然看不到存储桶。

我正在使用 IBM Cloud，有时在喝完咖啡回来后，我必须再次输入我的凭据。有没有办法更改会话到期时间？可以以编程方式完成吗？