Alibaba Cloud CLI での認証情報の設定 - Alibaba Cloud CLI - Alibaba Cloud ドキュメントセンター

Alibaba Cloud CLI を使用する前に、Alibaba Cloud リソースを呼び出すために必要な認証情報を設定する必要があります。認証情報には、認証情報、リージョン、言語が含まれます。

説明

認証情報を設定する際は、情報が正しいことを確認してください。誤った情報を使用すると、ユーザーエラーや API 呼び出しの失敗により、ビジネス上の損失が発生する可能性があります。

認証情報の設定方法

Alibaba Cloud CLI では、対話モードと非対話モードで認証情報を設定できます。対話モードでは、設定プロセスがガイドされます。これにより、学習コストを低く抑えながら Alibaba Cloud CLI でプロファイルを設定できます。

対話モード

共通構文

<a baseurl="t395345_v3_0_0.xdita" data-node="395350" data-root="7086" data-tag="xref" href="t395350.xdita#088c4c1fc8x3u" id="a5b02a6e850pt">aliyun configure</a> コマンドを実行して、対話モードで認証情報を設定できます。構文:

aliyun configure [--profile <PROFILE_NAME>] [--mode <AUTHENTICATE_MODE>]

コマンドオプション：

PROFILE_NAME：プロファイルの名前。
- 指定したプロファイルが存在する場合、上書きされます。指定したプロファイルが存在しない場合、指定した名前のプロファイルが作成されます。
- プロファイルを指定しない場合、現在のプロファイルが変更されます。現在のプロファイルの変更方法の詳細については、本トピックの「現在のプロファイルの設定」セクションをご参照ください。
AUTHENTICATE_MODE：ID 認証情報タイプ。デフォルト値：AK。サポートされている認証情報タイプの詳細については、本トピックの「認証情報タイプ」セクションをご参照ください。

成功応答の例：

Configure Done!!!
..............888888888888888888888 ........=8888888888888888888D=..............
...........88888888888888888888888 ..........D8888888888888888888888I...........
.........,8888888888888ZI: ...........................=Z88D8888888888D..........
.........+88888888 ..........................................88888888D..........
.........+88888888 .......Welcome to use Alibaba Cloud.......O8888888D..........
.........+88888888 ............. ************* ..............O8888888D..........
.........+88888888 .... Command Line Interface(Reloaded) ....O8888888D..........
.........+88888888...........................................88888888D..........
..........D888888888888DO+. ..........................?ND888888888888D..........
...........O8888888888888888888888...........D8888888888888888888888=...........
............ .:D8888888888888888888.........78888888888888888888O ..............

非対話モード

共通構文

非対話モードで認証情報を設定するには、<a baseurl="t395345_v3_0_0.xdita" data-node="395350" data-root="7086" data-tag="xref" href="t395350.xdita#289ac5b8e2cvk" id="14941ad19583u">aliyun configure set</a> コマンドを実行します。構文:

aliyun configure set [--profile <PROFILE_NAME>] [--mode <AUTHENTICATE_MODE>] [--settingName <SETTING_VALUE>...]

コマンドオプション：

ProfileName：プロファイルの名前。指定したプロファイルが存在する場合、上書きされます。指定したプロファイルが存在しない場合、指定した名前のプロファイルが作成されます。
AUTHENTICATE_MODE：認証情報タイプ。デフォルト値：AK。サポートされている認証情報タイプの詳細については、本トピックの「認証情報タイプ」セクションをご参照ください。
SETTING_VALUE：指定する必要がある情報は、認証情報タイプによって異なります。詳細については、本トピックの「認証情報タイプ」セクションおよび「プロファイル関連のコマンド」の「非対話モード」セクションをご参照ください。

非対話モードで認証情報を設定した後、<a baseurl="t395345_v3_0_0.xdita" data-node="395350" data-root="7086" data-tag="xref" href="t395350.xdita#4addcad7ec44w" id="66c35caaa0oap">aliyun configure list</a> または <a baseurl="t395345_v3_0_0.xdita" data-node="395350" data-root="7086" data-tag="xref" href="t395350.xdita#13d374aa41q2t" id="1bd85226b351e">aliyun configure get</a> コマンドを実行して、認証情報が期待どおりに設定されているかどうかを確認できます。

認証情報タイプ

Alibaba Cloud CLI は、以下の認証情報タイプを提供します。必要に応じて設定できます。

認証情報タイプ	認証情報のリフレッシュポリシー	キーフリーアクセス
AK	手動リフレッシュ	非サポート
StsToken	手動リフレッシュ	非サポート
RamRoleArn	自動リフレッシュ	非サポート
EcsRamRole	自動リフレッシュ	サポート
External	外部システムによるリフレッシュ	サポート
ChainableRamRoleArn	先行する認証情報のリフレッシュポリシーに従う	サポート
CredentialsURI	外部システムによるリフレッシュ	サポート
OIDC	自動リフレッシュ	サポート
CloudSSO	ブラウザでのログインが必要	サポート
OAuth	初回承認にはブラウザ操作が必要。その後は自動更新可能。	サポート

AK

説明

重要

ご利用の Alibaba Cloud アカウントのセキュリティを確保するため、API 操作を呼び出すための Resource Access Management (RAM) ユーザーを作成し、その RAM ユーザーの AccessKey ペアを作成することを推奨します。AccessKey ペアを安全に使用する方法の詳細については、「認証情報のセキュリティソリューション」をご参照ください。

Alibaba Cloud CLI では、AK はデフォルトの認証情報タイプであり、AccessKey ペアを認証情報として使用します。したがって、AK 認証情報タイプの認証情報を設定する際に --mode オプションを省略できます。

オプション：

オプション	説明	例
AccessKey Id	カスタムイメージの作成に使用される AccessKey ID。詳細については、「RAM ユーザーの AccessKey ペアの作成」をご参照ください。	yourAccessKeyID
AccessKey Secret	カスタムイメージの作成に使用される AccessKey Secret。詳細については、「RAM ユーザーの AccessKey ペアの作成」をご参照ください。	yourAccessKeySecret
Region Id	デフォルトのリージョン。一部のクラウドサービスはクロスリージョンアクセスをサポートしていません。ご利用のリソースのリージョンを指定することを推奨します。	cn-hangzhou

設定例

以下の例は、AK タイプの AkProfile という名前の認証情報を設定する方法を示しています。

対話モード

次のコマンドを実行します：

aliyun configure --profile AkProfile

以下のサンプル応答は、対話プロセスを示しています：

サンプル応答

Configuring profile 'AkProfile' in 'AK' authenticate mode...
Access Key Id []: <yourAccessKeyID>
Access Key Secret []: <yourAccessKeySecret>
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[AkProfile] ...Done.

非対話モード

次のコマンドを実行します：

Bash

aliyun configure set \
  --profile AkProfile \
  --mode AK \
  --access-key-id <yourAccessKeyID> \
  --access-key-secret <yourAccessKeySecret> \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile AkProfile `
  --mode AK `
  --access-key-id <yourAccessKeyID> `
  --access-key-secret <yourAccessKeySecret> `
  --region "cn-hangzhou"

StsToken

説明

セキュリティトークンサービス (STS) トークンは、Alibaba Cloud がサービスへの一時的なアクセスと管理のために提供するものです。STS トークンの詳細については、「STS とは」をご参照ください。

オプション：

説明

STS トークンの取得方法の詳細については、「AssumeRole」をご参照ください。

オプション	説明	例
AccessKey Id	AccessKey ID。	STS.L4aBSCSJVMuKg5U1****
AccessKey Secret	AccessKey Secret。	yourAccessKeySecret
STS Token	STS トークン。	yourSecurityToken
Region Id	デフォルトのリージョン。一部のクラウドサービスはクロスリージョンアクセスをサポートしていません。ご利用のリソースのリージョンを指定することを推奨します。	cn-hangzhou

設定例

以下の例は、StsToken 認証情報タイプの StsProfile という名前の認証情報を設定する方法を示しています。

対話モード

次のコマンドを実行します：

aliyun configure --profile StsProfile --mode StsToken

以下のサンプル応答は、対話プロセスを示しています：

サンプル応答

Configuring profile 'StsProfile' in 'StsToken' authenticate mode...
Access Key Id []: STS.L4aBSCSJVMuKg5U1****
Access Key Secret []: <yourAccessKeySecret>
Sts Token []: <yourSecurityToken>
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[StsProfile] ...Done.

非対話モード

次のコマンドを実行します：

Bash

aliyun configure set \
  --profile StsProfile \
  --mode StsToken \
  --access-key-id "STS.L4aBSCSJVMuKg5U1****" \
  --access-key-secret <yourAccessKeySecret> \
  --sts-token <yourSecurityToken> \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile StsProfile `
  --mode StsToken `
  --access-key-id "STS.L4aBSCSJVMuKg5U1****" `
  --access-key-secret <yourAccessKeySecret> `
  --sts-token <yourSecurityToken> `
  --region "cn-hangzhou"

RamRoleArn

説明

Alibaba Cloud CLI 3.0.276 以降では、RamRoleArn 認証情報の External Id オプションがサポートされています。詳細については、以下の表をご参照ください。

RamRoleArn タイプの資格情報を設定するには、STS の <a baseurl="t395345_v3_3_0.xdita" data-node="3314723" data-root="7086" data-tag="xref" href="t2155837.xdita#" id="f4bd816a9bjt1">AssumeRole</a> 操作を呼び出し、STS トークンを取得します。

オプション：

オプション	説明	例
AccessKey Id	カスタムイメージの作成に使用される AccessKey ID。詳細については、「RAM ユーザーの AccessKey ペアの作成」をご参照ください。	yourAccessKeyID
AccessKey Secret	カスタムイメージの作成に使用される AccessKey Secret。詳細については、「RAM ユーザーの AccessKey ペアの作成」をご参照ください。	yourAccessKeySecret
STS Region	STS トークンのリクエストが開始されるリージョン。STS がサポートされているリージョンの詳細については、「エンドポイント」をご参照ください。	cn-hangzhou
Ram Role Arn	引き受ける RAM ロールの ARN。 RAM ロールの信頼できるエンティティは Apsara Stack テナントアカウントです。詳細については、「信頼できる Alibaba Cloud アカウントの RAM ロールの作成」または「CreateRole」をご参照ください。 RAM ロールの ARN は、RAM コンソールを使用するか、API 操作を呼び出すことで表示できます。詳細は以下の通りです： RAM コンソールで ARN を表示する方法の詳細については、「RAM ロールの ARN を見つけるにはどうすればよいですか？」をご参照ください。操作を呼び出して ARN を表示する方法の詳細については、「ListRoles」または「GetRole」をご参照ください。	acs:ram::012345678910****:role/Alice
Role Session Name	ロールセッションの名前。値はユーザー定義です。ほとんどの場合、このパラメーターを操作を呼び出すユーザーの ID に設定できます。たとえば、ユーザー名を指定できます。`RoleSessionName` を指定して、ActionTrail ログで同じ RAM ロールを引き受ける API 呼び出し元を識別できます。これにより、操作を実行したユーザーを追跡できます。名前は 2〜64 文字の長さで、文字、数字、および次の特殊文字を含めることができます：`. @ - _`。	alice
External Id	RAM ロールの外部 ID。このパラメーターの値は外部の当事者によって提供され、Confused Deputy 問題を防ぐために使用されます。詳細については、「ExternalId を使用して Confused Deputy 問題を防ぐ」をご参照ください。 ID は 2〜1,224 文字の長さで、文字、数字、および次の特殊文字を含めることができます：`= , . @ : / - _`。このパラメーターの正規表現は `[\w+=,.@:\/-]*` です。	abcd1234
Expired Seconds	アクセストークンの有効期間。単位：秒。デフォルト値は `900` です。最大値は `MaxSessionDuration` の値です。	900
Region Id	デフォルトのリージョン。一部のクラウドサービスはクロスリージョンアクセスをサポートしていません。ご利用のリソースのリージョンを指定することを推奨します。	cn-hangzhou

設定例

以下の例は、RamRoleArn 認証情報タイプの RamRoleArnProfile という名前の認証情報を設定する方法を示しています。

対話モード

次のコマンドを実行します：

aliyun configure --profile RamRoleArnProfile --mode RamRoleArn

以下のサンプル応答は、対話プロセスを示しています：

サンプル応答

Configuring profile 'RamRoleArnProfile' in 'RamRoleArn' authenticate mode...
Access Key Id []: <yourAccessKeyID>
Access Key Secret []: <yourAccessKeySecret>
Sts Region []: cn-hangzhou
Ram Role Arn []: acs:ram::012345678910****:role/Alice
Role Session Name []: alice
External ID []: abcd1234
Expired Seconds [900]: 900
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[RamRoleArnProfile] ...Done.

非対話モード

次のコマンドを実行します：

Bash

aliyun configure set \
  --profile RamRoleArnProfile \
  --mode RamRoleArn \
  --access-key-id <yourAccessKeyID> \
  --access-key-secret <yourAccessKeySecret> \
  --sts-region "cn-hangzhou"
  --ram-role-arn "acs:ram::012345678910****:role/Alice" \
  --role-session-name "alice" \
  --external-id "abcd1234" \
  --expired-seconds 900 \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile RamRoleArnProfile `
  --mode RamRoleArn `
  --access-key-id <yourAccessKeyID> `
  --access-key-secret <yourAccessKeySecret> `
  --sts-region "cn-hangzhou" `
  --ram-role-arn "acs:ram::012345678910****:role/Alice" `
  --role-session-name "alice" `
  --external-id "abcd1234" `
  --expired-seconds 900 `
  --region "cn-hangzhou"

EcsRamRole

説明

Alibaba Cloud CLI 3.0.225 以降では、セキュリティ強化モード (IMDSv2) で認証情報を取得できます。EcsRamRole タイプの認証情報を設定する前に、最新バージョンの Alibaba Cloud CLI をインストールすることを推奨します。
ECS インスタンスに RAM ロールをアタッチする方法の詳細については、「インスタンス RAM ロール」トピックの「インスタンス RAM ロールを作成し、ECS インスタンスにアタッチする」セクションをご参照ください。Elastic Container Instance に RAM ロールをアタッチする方法の詳細については、「API 操作を呼び出してインスタンス RAM ロールを使用する」トピックの「インスタンス RAM ロールを Elastic Container Instance に割り当てる」セクションをご参照ください。

EcsRamRole タイプの認証情報には AccessKey ペアは必要ありません。ECS インスタンスまたは ECI で API 操作を実行するために Alibaba Cloud CLI を使用する場合、インスタンスのメタデータサービスにアクセスして STS トークンを取得できます。これにより、AccessKey の漏洩リスクを最小限に抑えることができます。
メタデータサーバーは、通常モード (IMDSv1) とセキュリティ強化モード (IMDSv2) でのアクセスをサポートしています。デフォルトでは、Alibaba Cloud CLI はセキュリティ強化モードでメタデータサーバーからアクセス認証情報を取得します。セキュリティ強化モードで例外が発生した場合、ALIBABA_CLOUD_IMDSV1_DISABLED 環境変数を設定して例外処理ロジックを指定できます。設定例：
- false (デフォルト)：Credentials ツールは通常モードでアクセス認証情報の取得を続行します。
- true：例外がスローされ、Alibaba Cloud CLI はセキュリティ強化モードでアクセス認証情報の取得を続行します。
メタデータサーバーの設定によって、サーバーがセキュリティ強化モード (IMDSv2) をサポートするかどうかが決まります。
環境変数の設定方法の詳細については、「Linux、macOS、Windows での環境変数の設定」をご参照ください。

オプション：

オプション

説明

例

Ecs Ram Role

ECS インスタンスにアタッチする RAM ロールの名前。

RAM ロールを指定しない場合、プログラムは自動的に ECS インスタンスのメタデータサービスにアクセスして RoleName 情報を取得し、それを使用して認証情報を取得します。このプロセス中に 2 つのリクエストが送信される必要があります。

ECSAdmin

Region Id

デフォルトのリージョン。

一部のクラウドサービスはクロスリージョンアクセスをサポートしていません。ご利用のリソースのリージョンを指定することを推奨します。

cn-hangzhou

設定例

以下の例は、EcsRamRole タイプの EcsRamRole という名前の認証情報を設定する方法を示しています。

対話モード

次のコマンドを実行します：

aliyun configure --profile EcsProfile --mode EcsRamRole

以下のサンプル応答は、対話プロセスを示しています：

サンプル応答

Configuring profile 'EcsProfile' in 'EcsRamRole' authenticate mode...
Ecs Ram Role []: ECSAdmin
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[EcsProfile] ...Done.

非対話モード

次のコマンドを実行します：

Bash

aliyun configure set \
  --profile EcsProfile \
  --mode EcsRamRole \
  --ram-role-name "ECSAdmin" \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile EcsProfile `
  --mode EcsRamRole `
  --ram-role-name "ECSAdmin" `
  --region "cn-hangzhou"

External

説明

Alibaba Cloud CLI は、外部プログラムのコマンドを実行することで外部認証情報を取得できます。

オプション：

オプション

説明

例

Process Command

外部プログラムを実行するためのコマンド。外部プログラムを設定して、AccessKey ペアまたは STS トークン (どちらも静的認証情報) を返すことができます。

acs-sso login --profile sso

Region Id

デフォルトのリージョン。

一部のクラウドサービスはクロスリージョンアクセスをサポートしていません。ご利用のリソースのリージョンを指定することを推奨します。

cn-hangzhou

外部プログラムから返される認証情報の例：

AccessKey ペア

{
  "mode": "AK",
  "access_key_id": "<yourAccessKeyID>",
  "access_key_secret": "<yourAccessKeySecret>"
}

STS トークン

{
  "mode": "StsToken",
  "access_key_id": "<yourAccessKeyID>",
  "access_key_secret": "<yourAccessKeySecret>",
  "sts_token": "<yourSecurityToken>"
}

設定例

以下の例は、External 認証情報タイプの ExternalProfile という名前の認証情報を設定する方法を示しています。

対話モード

次のコマンドを実行します：

aliyun configure --profile ExternalProfile --mode External

以下のサンプル応答は、対話プロセスを示しています：

サンプル応答

Configuring profile 'ExternalProfile' in 'External' authenticate mode...
Process Command []: acs-sso login --profile sso
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[ExternalProfile] ...Done.

非対話モード

次のコマンドを実行します：

Bash

aliyun configure set \
  --profile ExternalProfile \
  --mode External \
  --process-command "acs-sso login --profile sso" \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile ExternalProfile `
  --mode External `
  --process-command "acs-sso login --profile sso" `
  --region "cn-hangzhou"

ChainableRamRoleArn

説明

Alibaba Cloud CLI 3.0.276 以降では、ChainableRamRoleArn 認証情報の External Id オプションがサポートされています。詳細については、以下の表をご参照ください。

ChainableRamRoleArn 認証情報タイプでは、連鎖的なロールの引き受けを使用して認証情報を取得できます。このタイプの認証情報を使用するために、Alibaba Cloud CLI はソース認証情報から AccessKey ペアや STS トークンなどの中間認証情報を取得し、その中間認証情報を使用してロールを引き受け、最終的な認証情報である STS トークンを取得します。

オプション：

オプション	説明	例
Source Profile	ソースプロファイルの名前。 ChainableRamRoleArn タイプの認証情報を設定する前に、ソースプロファイルを設定する必要があります。詳細については、以下の設定例をご参照ください。	RamRoleArnProfile
STS Region	STS トークンのリクエストが開始されるリージョン。STS がサポートされているリージョンの詳細については、「エンドポイント」をご参照ください。	cn-hangzhou
Ram Role Arn	引き受ける RAM ロールの ARN。 RAM ロールの信頼できるエンティティは Apsara Stack テナントアカウントです。詳細については、「信頼できる Alibaba Cloud アカウントの RAM ロールの作成」または「CreateRole」をご参照ください。 RAM ロールの ARN は、RAM コンソールを使用するか、API 操作を呼び出すことで表示できます。詳細は以下の通りです： RAM コンソールで ARN を表示する方法の詳細については、「RAM ロールの ARN を見つけるにはどうすればよいですか？」をご参照ください。操作を呼び出して ARN を表示する方法の詳細については、「ListRoles」または「GetRole」をご参照ください。	acs:ram::012345678910****:role/Alice
Role Session Name	ロールセッションの名前。値はユーザー定義です。ほとんどの場合、このパラメーターを操作を呼び出すユーザーの ID に設定できます。たとえば、ユーザー名を指定できます。`RoleSessionName` を指定して、ActionTrail ログで同じ RAM ロールを引き受ける API 呼び出し元を識別できます。これにより、操作を実行したユーザーを追跡できます。名前は 2〜64 文字の長さで、文字、数字、および次の特殊文字を含めることができます：`. @ - _`。	alice
External Id	RAM ロールの外部 ID。このパラメーターの値は外部の当事者によって提供され、Confused Deputy 問題を防ぐために使用されます。詳細については、「ExternalId を使用して Confused Deputy 問題を防ぐ」をご参照ください。 ID は 2〜1,224 文字の長さで、文字、数字、および次の特殊文字を含めることができます：`= , . @ : / - _`。このパラメーターの正規表現は `[\w+=,.@:\/-]*` です。	abcd1234
Expired Seconds	アクセストークンの有効期間。単位：秒。デフォルト値は `900` です。最大値は `MaxSessionDuration` の値です。	900
Region Id	デフォルトのリージョン。一部のクラウドサービスはクロスリージョンアクセスをサポートしていません。ご利用のリソースのリージョンを指定することを推奨します。	cn-hangzhou

設定例

説明

ChainableRamRoleArn タイプの認証情報を設定する前に、AliyunSTSAssumeRoleAcces システムポリシーをソース認証情報に関連付けられた RAM ユーザーにアタッチする必要があります。

以下の例は、ChainableRamRoleArn タイプの ChainableProfile という名前の認証情報を設定する方法を示しています。この例では、ソースプロファイルは RamRoleArnProfile という名前で、RamRoleArn 認証情報タイプです。

対話モード
1. ソースプロファイル RamRoleArnProfile を設定します。詳細については、本トピックの「RamRoleArn」セクションの設定例をご参照ください。
2. 次のコマンドを実行して、ChainableRamRoleArn タイプの ChainableProfile 認証情報を設定します。
```
aliyun configure --profile ChainableProfile --mode ChainableRamRoleArn
```
  以下のサンプル応答は、対話プロセスを示しています。Source Profile パラメーターを RamRoleArnProfile に設定して、ソースプロファイルを指定します。
  サンプル応答
```
Configuring profile 'ChainableProfile' in 'ChainableRamRoleArn' authenticate mode...
Source Profile []: RamRoleArnProfile
Sts Region []: cn-hangzhou
Ram Role Arn []: acs:ram::012345678910****:role/Alice
Role Session Name []: alice
External ID []: abcd1234
Expired Seconds [900]: 900
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[ChainableProfile] ...Done.
```

非対話モード

Alibaba Cloud CLI 3.0.298 以降では、aliyun configure set コマンドを実行することで、ChainableRamRoleArn タイプの認証情報を非対話的に設定できます。次のコマンドを実行します：

Bash

aliyun configure set \
  --profile ChainableProfile \
  --mode ChainableRamRoleArn \
  --source-profile RamRoleArnProfile \
  --sts-region "cn-hangzhou" \
  --ram-role-arn "acs:ram::012345678910****:role/Alice" \
  --role-session-name "alice" \
  --external-id "abcd1234" \
  --expired-seconds 900 \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile ChainableProfile `
  --mode ChainableRamRoleArn `
  --source-profile RamRoleArnProfile `
  --sts-region "cn-hangzhou" `
  --ram-role-arn "acs:ram::012345678910****:role/Alice" `
  --role-session-name "alice" `
  --external-id "abcd1234" `
  --expired-seconds 900 `
  --region "cn-hangzhou"

CredentialsURI

説明

CredentialsURI タイプの認証情報は、指定された URI を使用して API 呼び出し用の STS トークンを取得します。

オプション：

オプション

説明

例

CredentialsURI

ローカルまたはリモートの URI。

指定されたアドレスから HTTP 200 ステータスコードが返されない場合、または応答構造が期待される形式でない場合、Alibaba Cloud CLI はリクエストが失敗したと判断します。

http://credentials.uri/

Region Id

デフォルトのリージョン。

一部のクラウドサービスはクロスリージョンアクセスをサポートしていません。ご利用のリソースのリージョンを指定することを推奨します。

cn-hangzhou

URI からの応答構造の例：

{
  "Code": "Success",
  "AccessKeyId": "<yourAccessKeyID>",
  "AccessKeySecret": "<yourAccessKeySecret>",
  "SecurityToken": "<yourSecurityToken>",
  "Expiration": "2006-01-02T15:04:05Z" // utc time
}

設定例

以下の例は、CredentialsURI タイプの URIProfile という名前の認証情報を設定する方法を示しています。

対話モード

次のコマンドを実行します：

aliyun configure --profile URIProfile --mode CredentialsURI

以下のサンプル応答は、対話プロセスを示しています：

サンプル応答

Configuring profile 'URIProfile' in 'CredentialsURI' authenticate mode...
Credentials URI []: http://credentials.uri/
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[URIProfile] ...Done.

非対話モードでは、CredentialsURI タイプの認証情報を設定できません。

OIDC

説明

OIDC タイプの認証情報を設定するには、STS の AssumeRoleWithOIDC 操作を呼び出して STS トークンを取得します。詳細については、「RRSA を使用して異なる Pod が異なるクラウドサービスにアクセスすることを承認する」をご参照ください。

オプション：

オプション	説明	例
OIDCProviderARN	OIDC IdP の ARN。 OIDC IdP の ARN は、RAM コンソールで表示するか、API 操作を呼び出すことで表示できます。 RAM コンソールで OIDC IdP の ARN を表示する方法の詳細については、「OIDC IdP の管理」をご参照ください。操作を呼び出して ARN を表示する方法の詳細については、「GetOIDCProvider」または「ListOICProviders」をご参照ください。	acs:ram::012345678910****:oidc-provider/TestOidcIdp
OIDCTokenFile	OIDC トークンのファイルパス。OIDC トークンは外部 IdP によって発行されます。	/path/to/oidctoken
Ram Role Arn	引き受ける RAM ロールの ARN。 RAM ロールの ARN は、RAM コンソールを使用するか、API 操作を呼び出すことで表示できます。詳細は以下の通りです： RAM コンソールで ARN を表示する方法の詳細については、「RAM ロールの ARN を見つけるにはどうすればよいですか」をご参照ください。操作を呼び出して ARN を表示する方法の詳細については、「ListRoles」または「GetRole」をご参照ください。	acs:ram::012345678910****:role/Alice
Role Session Name	ロールセッションの名前。値はユーザー定義です。ほとんどの場合、このパラメーターを操作を呼び出すユーザーの ID に設定できます。たとえば、ユーザー名を指定できます。`RoleSessionName` を指定して、ActionTrail ログで同じ RAM ロールを引き受ける API 呼び出し元を識別できます。これにより、操作を実行したユーザーを追跡できます。名前は 2〜64 文字の長さで、文字、数字、および次の特殊文字を含めることができます：`. @ - _`。	alice
Region Id	デフォルトのリージョン。一部のクラウドサービスはクロスリージョンアクセスをサポートしていません。ご利用のリソースのリージョンを指定することを推奨します。	cn-hangzhou

設定例

以下の例は、OIDC タイプの OIDC_Profile という名前の認証情報を設定する方法を示しています。

対話モード

次のコマンドを実行します：

aliyun configure --profile OIDC_Profile --mode OIDC

以下のサンプル応答は、対話プロセスを示しています：

サンプル応答

Configuring profile 'OIDC_Profile' in 'OIDC' authenticate mode...
OIDC Provider ARN []: acs:ram::012345678910****:oidc-provider/TestOidcIdp
OIDC Token File []: /path/to/oidctoken
RAM Role ARN []: acs:ram::012345678910****:role/Alice
Role Session Name []: alice
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[OIDC_Profile] ...Done.

非対話モード

次のコマンドを実行します：

Bash

aliyun configure set \
  --profile OIDC_Profile \
  --mode OIDC \
  --oidc-provider-arn "acs:ram::012345678910****:oidc-provider/TestOidcIdp" \
  --oidc-token-file "/path/to/oidctoken" \
  --ram-role-arn "acs:ram::012345678910****:role/Alice" \
  --role-session-name "alice" \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile OIDC_Profile `
  --mode OIDC `
  --oidc-provider-arn "acs:ram::012345678910****:oidc-provider/TestOidcIdp" `
  --oidc-token-file "/path/to/oidctoken" `
  --ram-role-arn "acs:ram::012345678910****:role/Alice" `
  --role-session-name "alice" `
  --region "cn-hangzhou"

CloudSSO

説明

Alibaba Cloud CLI 3.0.271 以降では、CloudSSO 認証情報タイプがサポートされており、CloudSSO へのログインが簡素化されています。Alibaba Cloud CLI 3.0.271 以前を使用して CloudSSO にログインする手順も引き続き有効です。

CloudSSO は Alibaba Cloud リソースディレクトリと統合されており、統一されたマルチアカウントの ID 管理とアクセスの制御を提供します。リソースディレクトリ内のアカウントへのアクセス権限をアクセス構成を使用して CloudSSO ユーザーまたはユーザーグループに割り当てると、そのアクセス構成がアカウントにプロビジョニングされ、アカウントの RAM ロールとして機能します。CloudSSO はその RAM ロールを引き受けて、API 操作を呼び出すための STS トークンを取得します。これにより、AccessKey ペアの漏洩リスクが軽減されます。
CloudSSO 認証情報には、ID 認証のためのブラウザベースのログインとユーザー操作が必要です。

オプション：

オプション	説明	例
SignIn Url	ログイン URL。 URL を取得するには、CloudSSO コンソールにログインし、概要ページに移動し、右側のユーザーログイン URL セクションを見つけます。	https://signin-******.alibabacloudsso.com/device/login
Account	リソースディレクトリ内のアカウント。対話モードでは、アカウント名の前にある序数を入力してアカウントを選択します。非対話モードでは、ID を渡してアカウントを指定します。 ID を取得するには、CloudSSO コンソールにログインします。マルチアカウント権限設定ページで、右側にあるアカウントの UID を見つけます。	012345678910****
Access Configuration	アクセス構成。対話モードでは、構成名の前にある序数を入力して構成を選択します。非対話モードでは、ID を渡して構成を指定します。 ID を取得するには、CloudSSO コンソールにログインします。アクセス構成ページで、アクセス構成 ID を見つけます。	ac-012345678910abcde****
Region Id	デフォルトのリージョン。一部のクラウドサービスはクロスリージョンアクセスをサポートしていません。ご利用のリソースのリージョンを指定することを推奨します。	cn-hangzhou

設定例

以下の例は、CloudSSO 認証情報タイプの SSOProfile という名前の認証情報を設定する方法を示しています。

対話モード

次のコマンドを実行して、CloudSSO へのアクセス情報を設定します：複数のプロファイルを指定し、特定のプロファイルを指定してアカウントとアクセス構成をすばやく切り替えることができます。
```
aliyun configure --profile SSOProfile --mode CloudSSO
```
signinUrl オプションに URL を指定して、CloudSSO ユーザーポータルへのログインに使用する URL を設定します。
```
aliyun configure --profile SSOProfile --mode CloudSSO
CloudSSO Sign In Url []: https://signin-******.alibabacloudsso.com/device/login
```
表示されたブラウザで、ユーザーポータルにログインします。ユーザーポータルにログインした後、ブラウザを閉じます。
説明
ブラウザが表示されない場合は、CLI で提供されるログイン URL とユーザーコードをコピーしてユーザーポータルにログインします。
例：
```
If the browser does not open automatically, use the following URL to complete the login process:

SignIn url: https://signin-****.alibabacloudsso.com/device/code
User code: *********
```
CLI はログインが成功したことを示し、アクセス可能なリソースディレクトリアカウントのユーザー名を出力します。アクセスしたいアカウントの番号を入力します。
```
Now you can login to your account with SSO configuration in the browser.
You have successfully logged in.
Please choose an account:
1. <RD Management Account>
2. AccountName
Please input the account number: 1
```

CLI は利用可能なアクセス構成を出力します。使用したいアクセス構成の番号を入力します。

Please choose an access configuration:
1. AccessConfiguration1
2. AccessConfiguration2
Please input the access configuration number: 2

デフォルトのリージョンを指定します。
```
Default Region Id []: cn-hangzhou
```
設定が成功すると、Configure Done メッセージとウェルカムメッセージが表示されます。

非対話モード

説明

非対話モードで CloudSSO 認証情報を設定した後、初めて認証情報を使用する際には aliyun configure --profile <PROFILE_NAME> コマンドを実行してログインする必要があります。

aliyun configure set コマンドを実行して、非対話モードで認証情報を設定できます。構文：

Bash

aliyun configure set \
  --profile SSOProfile \
  --mode CloudSSO \
  --cloud-sso-sign-in-url "https://signin-******.alibabacloudsso.com/device/login" \
  --cloud-sso-access-config "ac-012345678910abcde****" \
  --cloud-sso-account-id "012345678910****" \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile SSOProfile `
  --mode CloudSSO `
  --cloud-sso-sign-in-url "https://signin-******.alibabacloudsso.com/device/login" `
  --cloud-sso-access-config "ac-012345678910abcde****" `
  --cloud-sso-account-id "012345678910****" `
  --region "cn-hangzhou"

OAuth

説明

Alibaba Cloud CLI 3.0.299 以降では、OAuth 認証情報タイプがサポートされています。この認証情報タイプを設定する前に、最新バージョンの Alibaba Cloud CLI をインストールすることを推奨します。

初めて OAuth 認証情報を設定する際、Alibaba Cloud CLI は RAM にサードパーティの OAuth アプリケーションを作成します。承認後、Alibaba Cloud CLI はこのアプリケーションを使用して、ユーザー ID を表すトークンを取得し、クラウドリソースにアクセスできます。
OAuth 認証情報には、承認プロセスを完了するためにブラウザが必要です。ブラウザと Alibaba Cloud CLI は同じデバイスで実行する必要があります。

オプション：

オプション

説明

例

OAuth Site Type

ログインサイト。デフォルト値：CN。

中国サイト (aliyun.com)：0 /CN。
国際サイト (alibabacloud.com)：1 /INTL。

Region Id

デフォルトのリージョン。

一部のクラウドサービスはクロスリージョンアクセスをサポートしていません。ご利用のリソースのリージョンを指定することを推奨します。

cn-hangzhou

OAuth スコープ：

OAuth スコープ	説明
openid	RAM ユーザーの OpenID を取得します。OpenID はユーザーを一意に識別する文字列ですが、ユーザーの Alibaba Cloud UID やユーザー名などの情報は含まれません。
/internal/ram/usersts	Alibaba Cloud サービス API を呼び出すための STS トークンを取得します。

設定例

以下の例は、OAuth 認証情報タイプの OAuthProfile という名前の認証情報を設定する方法を示しています。

対話モード

次のコマンドを実行して、OAuth ログインの情報を設定します：
```
aliyun configure --profile OAuthProfile --mode OAuth
```
プロンプトに従って OAuth Site Type を設定します。
```
aliyun configure --profile OAuthProfile --mode OAuth
Configuring profile 'OAuthProfile' in 'OAuth' authenticate mode...
OAuth Site Type (CN: 0 or INTL: 1, default: CN): 
```
- 0 または CN を入力して、ログインサイトを Alibaba Cloud 中国サイト (aliyun.com) に設定します。
- 1 または INTL を入力して、ログインサイトを Alibaba Cloud 国際サイト (alibabacloud.com) に設定します。
- Enter キーを押すと、デフォルトで中国サイト (aliyun.com) (CN) が選択されます。
表示されたブラウザウィンドウで、承認を実行します。
説明
この承認は、AliyunRAMFullAccess ポリシーがアタッチされた管理者によって実行される必要があります。権限がない場合は、管理者に連絡してください。
ブラウザウィンドウが表示されない場合は、CLI で提供される SignIn url の値をコピーしてユーザーポータルにログインします。
例：
```
If the browser does not open automatically, use the following URL to complete the login process:

SignIn url: https://signin.aliyun.com/oauth2/v1/auth?response_type=code&client_id=403818195455774****&redirect_uri=http%3A%2F%2F127.0.0.1%3A12345%2Fcli%2Fcallback&state=EKumS4qOPm11yRx7&code_challenge=BxR9DHWIdKBypPb089N0ekP-C-SAYwLj_jbLU-N****&code_challenge_method=S256
```
1. 初めて OAuth 認証情報を設定する場合、サードパーティアプリケーションの承認ページで承認をクリックします。Alibaba Cloud CLI は、Resource Access Management コンソールにサードパーティの OAuth アプリケーションを作成します。
2. 承認が完了したら、このアプリケーションに RAM ユーザーを割り当てる必要があります。割り当てに移動をクリックして、RAM コンソール > OAuth アプリケーションページに移動します。
3. OAuth アプリケーションページで、サードパーティアプリケーションタブをクリックし、official-cli アプリケーションの名前をクリックします。
4. 割り当てタブで、割り当ての作成をクリックし、ログインしたい RAM ユーザーアカウントを選択します。OK をクリックして割り当てを完了します。
割り当てが完了したら、再度承認プロセスを開始する必要があります。ログイン URL に再度アクセスし、承認をクリックします。
承認が成功したら、Alibaba Cloud CLI のデフォルトリージョンを指定します。
```
Default Region Id []: cn-hangzhou
```
設定が成功すると、Configure Done メッセージとウェルカムメッセージが表示されます。

非対話モード

説明

非対話モードで OAuth 認証情報を設定した後、初めて認証情報を使用する際には aliyun configure --profile <PROFILE_NAME> コマンドを実行して承認操作を実行する必要があります。
非対話モードで認証情報を設定する場合、ログインサイトタイプには CN または INTL のみが有効な値です。

aliyun configure set コマンドを実行して、非対話モードで認証情報を設定できます。構文：

Bash

aliyun configure set \
  --profile OAuthProfile \
  --mode OAuth \
  --oauth-site-type "CN" \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile OAuthProfile `
  --mode OAuth `
  --oauth-site-type "CN" `
  --region "cn-hangzhou"

認証情報の管理

Alibaba Cloud CLI では、複数の認証情報セットを設定および管理できます。必要に応じてプロファイルを切り替えたり、指定したりできます。

現在のプロファイルの使用

次のコマンドを実行して、現在のプロファイルから特定のプロファイルに切り替えます。

aliyun configure switch --profile <PROFILE_NAME>

切り替えが成功すると、Alibaba Cloud CLI は、別の変更を行うまで、デフォルトでこのプロファイルの設定と認証情報を使用します。

また、<a baseurl="t395345_v3_2_0.xdita" data-node="395350" data-root="39083" data-tag="xref" href="t395350.xdita#289ac5b8e2cvk" id="d7e8857d3e65g">aliyun configure set</a> コマンドを実行して、認証情報のプロファイル設定を変更することもできます。変更後の設定が使用されます。

プロファイルの指定

コマンドを実行する際に、--profile オプションを使用して使用するプロファイルを明示的に指定できます。この方法は最も優先度が高く、他の方法の設定を上書きします。

例：exampleProfile という名前の認証情報を使用して Elastic Compute Service の DescribeInstances 操作を呼び出し、Elastic Compute Service インスタンスの情報を照会します。

aliyun ecs DescribeInstances --profile exampleProfile

その他の認証情報管理コマンド

Alibaba Cloud CLI は、複数の ID 認証情報を管理するための configure コマンドとそのサブコマンドを提供します。これらのコマンドを使用して、認証情報の追加、削除、変更、表示ができます。詳細については、「複数の認証情報の管理」をご参照ください。

認証情報の保存場所

認証情報プロファイルは、一連の設定項目を指定し、カスタム名を持ちます。すべてのプロファイルは、JSON 形式で config.json ファイルに保存されます。このファイルは、個人のユーザーディレクトリ内の .aliyun フォルダにあります。フォルダのパスはオペレーティングシステムによって異なります。

Windows：C:\Users\<USERNAME>\.aliyun
Linux/macOS：/home/ <USER_NAME> /.aliyun

認証情報の設定方法

対話モード

共通構文

非対話モード

共通構文

認証情報タイプ

AK

説明

設定例

StsToken

説明

設定例

RamRoleArn

説明

設定例

EcsRamRole

説明

設定例

External

説明

AccessKey ペア

STS トークン

設定例

ChainableRamRoleArn

説明

設定例

CredentialsURI

説明

設定例

OIDC

説明

設定例

CloudSSO

説明

設定例

OAuth

説明

設定例

認証情報の管理

現在のプロファイルの使用

プロファイルの指定

その他の認証情報管理コマンド

認証情報の保存場所

参考