初始化sdk

更新时间：2025-08-21

确认Endpoint

在确认您使用SDK时配置的Endpoint时，可先阅读开发人员指南中关于IAM访问域名的部分，理解Endpoint相关的概念。百度云目前开放了多区域支持，请参考区域选择说明。

获取密钥

要使用百度云IAM，您需要拥有一个有效的AK(Access Key ID)和SK(Secret Access Key)用来进行签名认证。AK/SK是由系统分配给用户的，均为字符串，用于标识用户，为访问IAM做签名验证。

可以通过如下步骤获得并了解您的AK/SK信息：

注册百度云账号

创建AK/SK

新建IAM Client

普通型IAM Client是IAM服务的客户端，为开发者与IAM服务进行交互提供了一系列的方法。

使用AK/SK新建IAM Client

通过AK/SK方式访问IAM，用户可以参考如下代码新建一个IAM Client：

1import (
2	"github.com/baidubce/bce-sdk-go/services/iam"
3)
4
5func main() {
6	// 用户的Access Key ID和Secret Access Key
7	ACCESS_KEY_ID, SECRET_ACCESS_KEY := <your-access-key-id>, <your-secret-access-key>
8
9	// 初始化一个IAMClient
10	iamClient, err := iam.NewClient(AK, SK)
11}

在上面代码中，ACCESS_KEY_ID对应控制台中的“Access Key ID”，SECRET_ACCESS_KEY对应控制台中的“Access Key Secret”，获取方式请参考《操作指南如何获取AKSK》。

使用STS创建IAM Client

申请STS token

IAM可以通过STS机制实现第三方的临时授权访问。STS（Security Token Service）是百度云提供的临时授权服务。通过STS，您可以为第三方用户颁发一个自定义时效和权限的访问凭证。第三方用户可以使用该访问凭证直接调用百度云的API或SDK访问百度云资源。

通过STS方式访问IAM，用户需要先通过STS的client申请一个认证字符串，申请方式可参见百度云STS使用介绍。

用STS token新建IAM Client

申请好STS后，可将STS Token配置到IAM Client中，从而实现通过STS Token创建IAM Client。

代码示例

GO SDK实现了STS服务的接口，用户可以参考如下完整代码，实现申请STS Token和创建IAM Client对象：

1import (
2	"fmt"
3
4	"github.com/baidubce/bce-sdk-go/auth"            //导入认证模块
5	"github.com/baidubce/bce-sdk-go/services/iam"    //导入IAM服务模块
6	"github.com/baidubce/bce-sdk-go/services/sts"    //导入STS服务模块
7)
8
9func main() {
10	// 创建STS服务的Client对象，Endpoint使用默认值
11	AK, SK := <your-access-key-id>, <your-secret-access-key>
12	stsClient, err := sts.NewClient(AK, SK)
13	if err != nil {
14		fmt.Println("create sts client object :", err)
15		return
16	}
17
18	// 获取临时认证token，有效期为60秒，ACL为空
19	stsObj, err := stsClient.GetSessionToken(60, "")
20	if err != nil {
21		fmt.Println("get session token failed:", err)
22		return
23    }
24	fmt.Println("GetSessionToken result:")
25	fmt.Println("  accessKeyId:", stsObj.AccessKeyId)
26	fmt.Println("  secretAccessKey:", stsObj.SecretAccessKey)
27	fmt.Println("  sessionToken:", stsObj.SessionToken)
28	fmt.Println("  createTime:", stsObj.CreateTime)
29	fmt.Println("  expiration:", stsObj.Expiration)
30	fmt.Println("  userId:", stsObj.UserId)
31
32	// 使用申请的临时STS创建IAM服务的Client对象，Endpoint使用默认值
33	iamClient, err := iam.NewClient(stsObj.AccessKeyId, stsObj.SecretAccessKey, "")
34	if err != nil {
35		fmt.Println("create iam client failed:", err)
36		return
37	}
38	stsCredential, err := auth.NewSessionBceCredentials(
39		stsObj.AccessKeyId,
40		stsObj.SecretAccessKey,
41		stsObj.SessionToken)
42	if err != nil {
43		fmt.Println("create sts credential object failed:", err)
44		return
45	}
46	iamClient.Config.Credentials = stsCredential
47}

注意：目前使用STS配置IAM Client时，无论对应IAM服务的Endpoint在哪里，STS的Endpoint都需配置为http://sts.bj.baidubce.com。上述代码中创建STS对象时使用此默认值。

配置HTTPS协议访问IAM

IAM支持HTTPS传输协议，您可以通过在创建IAM Client对象时指定的Endpoint中指明HTTPS的方式，在IAM GO SDK中使用HTTPS访问IAM服务：

1// import "github.com/baidubce/bce-sdk-go/services/iam"
2
3ENDPOINT := "https://iam.bj.baidubce.com" //指明使用HTTPS协议
4AK, SK := <your-access-key-id>, <your-secret-access-key>
5iamClient, _ := iam.NewClientWithEndpoint(AK, SK, ENDPOINT)

配置IAM Client

如果用户需要配置IAM Client的一些细节的参数，可以在创建IAM Client对象之后，使用该对象的导出字段Config进行自定义配置，可以为客户端配置代理，最大连接数等参数。

使用代理

下面一段代码可以让客户端使用代理访问IAM服务：

1// import "github.com/baidubce/bce-sdk-go/services/iam"
2
3//创建IAM Client对象
4AK, SK := <your-access-key-id>, <your-secret-access-key>
5ENDPOINT := "iam.bj.baidubce.com
6client, _ := iam.NewClient(AK, SK, ENDPOINT)
7
8//代理使用本地的8080端口
9client.Config.ProxyUrl = "127.0.0.1:8080"

设置网络参数

用户可以通过如下的示例代码进行网络参数的设置：

1// import "github.com/baidubce/bce-sdk-go/services/iam"
2
3AK, SK := <your-access-key-id>, <your-secret-access-key>
4client, _ := iam.NewClient(AK, SK)
5
6// 配置不进行重试，默认为Back Off重试
7client.Config.Retry = bce.NewNoRetryPolicy()
8
9// 配置连接超时时间为30秒
10client.Config.ConnectionTimeoutInMillis = 30 * 1000

配置生成签名字符串选项

1// import "github.com/baidubce/bce-sdk-go/services/iam"
2
3AK, SK := <your-access-key-id>, <your-secret-access-key>
4client, _ := iam.NewClient(AK, SK)
5
6// 配置签名使用的HTTP请求头为`Host`
7headersToSign := map[string]struct{}{"Host": struct{}{}}
8client.Config.SignOption.HeadersToSign = HeadersToSign
9
10// 配置签名的有效期为30秒
11client.Config.SignOption.ExpireSeconds = 30

参数说明

用户使用GO SDK访问IAM时，创建的IAM Client对象的Config字段支持的所有参数如下表所示：

配置项名称	类型	含义
Endpoint	string	请求服务的域名
ProxyUrl	string	客户端请求的代理地址
Region	string	请求资源的区域
UserAgent	string	用户名称，HTTP请求的User-Agent头
Credentials	*auth.BceCredentials	请求的鉴权对象，分为普通AK/SK与STS两种
SignOption	*auth.SignOptions	认证字符串签名选项
Retry	RetryPolicy	连接重试策略
ConnectionTimeoutInMillis	int	连接超时时间，单位毫秒，默认20分钟

说明：

Credentials字段使用auth.NewBceCredentials与auth.NewSessionBceCredentials函数创建，默认使用前者，后者为使用STS鉴权时使用，详见“使用STS创建IAM Client”小节。
SignOption字段为生成签名字符串时的选项，详见下表说明：

名称	类型	含义
HeadersToSign	map[string]struct{}	生成签名字符串时使用的HTTP头
Timestamp	int64	生成的签名字符串中使用的时间戳，默认使用请求发送时的值
ExpireSeconds	int	签名字符串的有效期

Plain Text

1 其中，HeadersToSign默认为`Host`，`Content-Type`，`Content-Length`，`Content-MD5`；TimeStamp一般为零值，表示使用调用生成认证字符串时的时间戳，用户一般不应该明确指定该字段的值；ExpireSeconds默认为1800秒即30分钟。

Retry字段指定重试策略，目前支持两种：NoRetryPolicy和BackOffRetryPolicy。默认使用后者，该重试策略是指定最大重试次数、最长重试时间和重试基数，按照重试基数乘以2的指数级增长的方式进行重试，直到达到最大重试测试或者最长重试时间为止。

安装SDK工具包

概述

多用户访问控制 IAM