Alibaba Cloud CLI：配置憑證

憑證說明

• AK類型憑證為預設憑證類型，使用AccessKey資訊作為身份憑證。配置AK類型憑證時可以忽略--mode選項。

• 配置必填項如下：

  • AccessKey Id：指定您的AccessKey ID。擷取方式請參見建立RAM使用者的AccessKey。

  • AccessKey Secret：指定您的AccessKey Secret。擷取方式請參見建立RAM使用者的AccessKey。

  • Region Id：指定預設區域的Region Id。阿里雲支援的Region Id，請參見地區和可用性區域。

配置樣本

如下樣本，配置名為AkProfile的AK類型憑證。

• 互動式配置

  配置命令如下：

  aliyun configure --profile AkProfile

  配置互動過程樣本如下：

  樣本

  Configuring profile 'AkProfile' in 'AK' authenticate mode...
  Access Key Id []: ****
  Access Key Secret []: ****
  Default Region Id []: ****
  Default Output Format [json]: json (Only support json))
  Default Language [zh|en] en: en
  Saving profile[akProfile] ...Done.

• 非互動式配置

  使用configure命令下的set子命令進行非互動式配置，配置命令如下：

  aliyun configure set \
    --profile AkProfile \ 
    --mode AK \
    --access-key-id **** \
    --access-key-secret **** \
    --region **** 

憑證說明

• RamRoleArn類型憑證通過RAM子帳號進行角色扮演擷取臨時憑證SecurityToken。更多關於此憑證類型的資訊，請參見AssumeRole - 擷取扮演角色的臨時身份憑證。

• 配置RamRoleArn類型憑證時，需要在命令中使用--mode RamRoleArn指定憑證類型。

• 配置必填項如下：

  • AccessKey Id：指定您的AccessKey ID。擷取方式請參見建立AccessKey。

  • AccessKey Secret：指定您的AccessKey Secret。擷取方式請參見建立AccessKey。

  • Region Id：指定預設區域的RegionId。阿里雲支援的RegionId，請參見地區和可用性區域。

  • RamRoleArn：需要扮演的RAM角色ARN。您可以通過RAM控制台或API查看角色 ARN，具體操作如下：

    • RAM控制台：請參見如何查看 RAM 角色的 ARN。

    • API：請參見ListRoles - 擷取角色列表或GetRole - 擷取角色資訊。

  • RoleSessionName：角色會話名稱。該參數為使用者自訂參數，通常設定為調用該API的使用者身份，例如：使用者名稱。

配置樣本

如下樣本，配置名為RamRoleArnProfile的RamRoleArn類型憑證。

• 互動式配置

  配置命令如下：

  aliyun configure --profile RamRoleArnProfile --mode RamRoleArn

  配置互動過程樣本如下：

  樣本

  Configuring profile 'RamRoleArnProfile' in 'RamRoleArn' authenticate mode...
  Access Key Id []: ****
  Access Key Secret []: ****
  Ram Role Arn []: ****
  Role Session Name []: ****
  Default Region Id []: ****
  Default Output Format [json]: json (Only support json))
  Default Language [zh|en] en: en
  Saving profile[ramRoleArnProfile] ...Done.

• 非互動式配置

  使用configure命令下的set子命令進行非互動式配置，配置命令如下：

  aliyun configure set \
    --profile RamRoleArnProfile \
    --mode RamRoleArn \
    --access-key-id **** \
    --access-key-secret **** \
    --ram-role-arn **** \
    --role-session-name ****\
    --region **** 

憑證說明

• EcsRamRole類型憑證無需配置AccessKey，即可在ECS執行個體內部通過訪問中繼資料服務（Meta Data Service）擷取臨時身份憑證（STS Token）以調用API，從而降低AccessKey泄露的風險。

• EcsRamRole類型憑證僅支援在執行個體RAM角色綁定的ECS執行個體內部使用，在執行個體外部無法配置或使用該類型憑證。

• 配置EcsRamRole類型憑證時，需要在命令中使用--mode EcsRamRole指定憑證類型。

• 配置必填項如下：

  • Region Id：指定預設地區的RegionId。阿里雲支援的RegionId，請參見地區和可用性區域。

  • EcsRamRole：指定ECS執行個體RAM角色的角色名稱。執行個體RAM角色的建立方式，請參見建立RAM角色並授予給ECS執行個體。

配置樣本

如下樣本，配置名為EcsRamRoleProfile的EcsRamRole類型憑證。

• 互動式配置

  配置命令如下：

  aliyun configure --profile EcsRamRoleProfile --mode EcsRamRole

  配置互動過程樣本如下：

  樣本

  Configuring profile 'EcsRamRoleProfile' in 'EcsRamRole' authenticate mode...
  Ecs Ram Role []: ****
  Default Region Id []: ****
  Default Output Format [json]: json (Only support json))
  Default Language [zh|en] en: en
  Saving profile[ecsRamRamRoleArnProfile] ...Done.

• 非互動式配置

  使用configure命令下的set子命令進行非互動式配置，配置命令如下：

  aliyun configure set \
    --profile EcsRamRoleProfile \
    --mode EcsRamRole \
    --ram-role-name **** \
    --region ****

憑證說明

• External類型憑證通過外部程式擷取憑證資料，阿里雲CLI在使用時會執行該程式命令，擷取返回結果作為憑證。

• 配置External類型憑證時，需要在命令中使用--mode External指定憑證類型。

• 阿里雲CLI支援雲SSO通過該憑證類型進行登入。具體操作，請參見使用CLI登入雲SSO並訪問阿里雲資源。

• 配置必填項如下：

  • Process Command：外部程式命令。支援外部程式返回AK和StsToken兩種靜態憑證。憑證結構樣本如下：

    AK

    {
      "mode": "AK",
      "access_key_id": "accessKeyId",
      "access_key_secret": "accessKeySecret"
    }

    StsToken

    {
      "mode": "StsToken",
      "access_key_id": "accessKeyId",
      "access_key_secret": "accessKeySecret",
      "sts_token": "stsToken"
    }

  • Region Id：指定預設區域的RegionId。阿里雲支援的RegionId，請參見地區和可用性區域。

配置樣本

如下樣本，配置名為ExternalProfile的External類型憑證。

• 互動式配置

  配置命令如下：

  aliyun configure --profile ExternalProfile --mode External

  配置互動過程樣本如下：

  樣本

  Configuring profile 'ExternalProfile' in 'External' authenticate mode...
  Process Command []: ****
  Default Region Id []: ****
  Default Output Format [json]: json (Only support json)
  Default Language [zh|en] en: en
  Saving profile[externalTest] ...Done.

• 非互動式配置

  使用configure命令下的set子命令進行非互動式配置，配置命令如下：

  aliyun configure set \
    --profile ExternalProfile \
    --mode External \
    --process-command **** \
    --region ****

憑證說明

• ChainableRamRoleArn類型憑證通過指定一個前置身份憑證配置，從前置配置中擷取中間憑證，再基於中間憑證完成角色扮演，擷取最終的身份憑證。

• 配置ChainableRamRoleArn類型憑證時，需要在命令中使用--mode ChainableRamRoleArn指定憑證類型。

• 配置必填項如下：

  • Source Profile：前置身份憑證配置名稱。前置憑證類型不作限制，在配置ChainableRamRoleArn類型憑證之前，您需要先配置前置憑證。詳情可參見配置樣本。

  • Region Id：指定預設區域的RegionId。阿里雲支援的RegionId，請參見地區和可用性區域。

  • RamRoleArn：需要扮演的RAM角色ARN。您可以通過RAM控制台或API查看角色 ARN，具體操作如下：

    • RAM控制台：請參見如何查看 RAM 角色的 ARN。

    • API：請參見ListRoles - 擷取角色列表或GetRole - 擷取角色資訊。

  • RoleSessionName：角色會話名稱。該參數為使用者自訂參數，通常設定為調用該API的使用者身份，例如：使用者名稱。

配置樣本

樣本如下，以配置名為ChainableProfile的ChainableRamRoleArn類型憑證為例，使用RamRoleArn類型憑證RamRoleArnProfile作為前置身份憑證。

• 互動式配置

  1. 配置前置身份憑證RamRoleArnProfile，配置流程可參考RamRoleArn類型憑證配置樣本。

  2. 執行如下命令，配置ChainableRamRoleArn類型憑證ChainableProfile。

     aliyun configure --profile ChainableProfile --mode ChainableRamRoleArn

     配置互動過程樣本如下，在Source Profile選項處輸入配置名稱RamRoleArnProfile，以指定前置憑證：

     樣本

     Configuring profile 'ChainableProfile' in 'ChainableRamRoleArn' authenticate mode...
     Source Profile []: RamRoleArnProfile
     Sts Region []: ****
     Ram Role Arn []: ****
     Role Session Name []: ****
     Expired Seconds [900]: ****
     Default Region Id []: ****
     Default Output Format [json]: json (Only support json)
     Default Language [zh|en] en: en
     Saving profile[p1] ...Done.

• 暫不支援使用非互動式方式配置ChainableRamRoleArn類型憑證。

憑證說明

• CredentialsURI類型憑證通過訪問一個本地或遠端URI地址擷取身份憑證。

• 配置CredentialsURI類型憑證時，需要在命令中使用--mode CredentialsURI指定憑證類型。

• 配置必填項如下：

  • CredentialsURI：本地或遠程URI地址。若該地址無法正常訪問或返回結構不正確，阿里雲CLI將處理為失敗案例。標準返回結構如下所示：

    標準返回結構

    {
      "Code": "Success",
      "AccessKeyId": "<ak id>",
      "AccessKeySecret": "<ak secret>",
      "SecurityToken": "<security token>",
      "Expiration": "2006-01-02T15:04:05Z"
    }

  • Region Id：指定預設區域的RegionId。阿里雲支援的RegionId，請參見地區和可用性區域。

配置樣本

如下樣本，配置名為URIProfile的CredentialsURI類型憑證。

• 互動式配置

  配置命令如下：

  aliyun configure --profile URIProfile --mode CredentialsURI

  配置互動過程樣本如下：

  樣本

  Configuring profile 'URIProfile' in 'CredentialsURI' authenticate mode...
  Credentials URI []: ****
  Default Region Id []: ****
  Default Output Format [json]: json (Only support json)
  Default Language [zh|en] en: en
  Saving profile[cup] ...Done.

• 暫不支援使用非互動式方式配置CredentialsURI類型憑證。

憑證說明

• OIDC類型憑證使用基於OIDC的SSO角色扮演擷取憑證。更多關於此憑證類型的資訊，請參見AssumeRoleWithOIDC - OIDC角色SSO時擷取扮演角色的臨時身份憑證。

• 配置OIDC類型憑證時，需要在命令中使用--mode OIDC指定憑證類型。

• 配置必填項如下：

  • OIDCProviderARN：指定OIDC身份供應商的ARN。您可以通過 RAM 控制台或 API 查看 OIDC 身份供應商的 ARN，具體操作如下：

    • RAM 控制台：請參見管理OIDC身份供應商。

    • API：請參見GetOIDCProvider - 查詢OIDC身份供應商資訊或ListOIDCProviders - 查詢OIDC身份供應商列表。

  • OIDCTokenFile：指定OIDC Token檔案路徑。OIDC Token是由外部IdP簽發的OIDC令牌。

  • Region Id：指定預設區域的RegionId。阿里雲支援的RegionId，請參見地區和可用性區域。

  • RamRoleArn：需要扮演的RAM角色ARN。您可以通過RAM控制台或API查看角色ARN，具體操作如下：

    • RAM控制台：請參見如何查看 RAM 角色的 ARN。

    • API：請參見ListRoles - 擷取角色列表或GetRole - 擷取角色資訊。

  • RoleSessionName：角色會話名稱。該參數為使用者自訂參數，通常設定為調用該API的使用者身份，例如：使用者名稱。

配置樣本

如下樣本，配置名為OIDCProfile的OIDC類型憑證。

• 互動式配置

  配置命令如下：

  aliyun configure --profile OIDCProfile --mode OIDC

  配置互動過程樣本如下：

  樣本

  Configuring profile 'OIDCProfile' in 'OIDC' authenticate mode...
  OIDC Provider ARN []: ****
  OIDC Token File []: ****
  RAM Role ARN []: ****
  Role Session Name []: ****
  Default Region Id []: ****
  Default Output Format [json]: json (Only support json)
  Default Language [zh|en] en: en
  Saving profile[oidc_p] ...Done.

• 非互動式配置

  使用configure命令下的set子命令進行非互動式配置，配置命令如下：

  aliyun configure set \
    --profile OIDCProfile \
    --mode OIDC \
    --oidc-provider-arn **** \
    --oidc-token-file **** \
    --ram-role-arn **** \
    --role-session-name ****\
    --region ****