在阿里雲用戶端中配置身份憑證後可在用戶端快速查看和管理Elastic Compute Service、Elastic Container Instance、Simple Application Server等資源。用戶端支援添加多個身份憑證,避免頻繁切換,提升營運效率。
操作步驟
在本地下載並安裝阿里雲用戶端後,可選擇以下任一方式配置身份憑證。
方式一:使用RAM使用者AccessKey(推薦)
阿里雲主帳號的AccessKey擁有賬戶下所有資源的完全控制許可權,其一旦泄露將構成極高的安全風險。為保障賬戶安全,建議遵循最小許可權原則,建立許可權受限的RAM使用者並使用其AccessKey進行日常管理。
在用戶端首頁右上方,單擊表徵圖
,開啟帳號配置介面,單擊帳號列表欄的
表徵圖。添加帳號:
模式:AccessKey。
AccessKey ID和AccessKey Secret:填入已建立RAM使用者的AccessKey。
預設地區:設定後,資源清單將預設展示該地區的資源。
資源群組(可選):指定資源群組ID後,用戶端將僅展示該資源群組內的資源。若留空,則預設顯示所有資源。
驗證並儲存:單擊驗證檢查憑證的有效性。驗證通過後,單擊儲存。
方式二:配置其他身份憑證
用戶端還支援以下身份憑證配置:
角色扮演(Assume RamRole):適用於跨帳號訪問。
安全性權杖(STS Token):適用於RAM角色臨時登入。
控制台帳號(Console Account):使用帳號密碼(包括主帳號和RAM帳號)方式快速登入用戶端。
認證URI(CredentialsURI)/外部命令(Credentials Command):適用於企業內員工,每次從企業內部提供的介面,擷取臨時分配 Token 的情境。
角色扮演(Assume RamRole)
配置此身份憑證需提前為RAM使用者授予角色扮演的許可權。
參數配置:
AccessKey ID和AccessKey Secret:角色的可信實體(RAM使用者)的AccessKey。
RamRoleArn:要扮演的RAM角色的ARN,查看RAM角色ARN。
安全性權杖(STS Token)
配置此身份憑證需提前為RAM使用者授予角色扮演的許可權。
參數配置:
AccessKey ID和AccessKey Secret:角色的可信實體(RAM使用者)的AccessKey。
安全性權杖(STS Token):通過調用AssumeRole介面,可擷取一個扮演RAM角色的臨時身份憑證(STS Token)。擷取方式,請參見如何擷取STS Token。
控制台帳號(Console Account)
操作流程:
添加帳號。
模式:選擇控制台帳號。
帳號類型:選擇主帳號-國際站或子帳號-國際站。
建議使用RAM使用者(子帳號)登入用戶端,並謹慎對該RAM使用者進行授權,避免因RAM使用者管理或授權不當導致越權操作。
單擊登入。在阿里雲登入頁面,按照介面提示,使用阿里雲帳號和密碼登入阿里雲。
登入成功後,自動返回到帳號配置資訊頁面。此時,在頁面下方顯示為已登入,則表示帳號添加成功。
認證URI(CredentialsURI)/外部命令(Credentials Command)
參數配置:
CredentialsURI/Credentials Command:從本地或遠程URI中擷取的身份憑證,更多資訊參見aliyun/aliyun-cli: Alibaba Cloud CLI。該方式必須響應http(s) GET請求、返回狀態代碼200、以及如下的JSON結構:
{
"Code": "Success",
"AccessKeyId": "<ak id>",
"AccessKeySecret": "<ak secret>",
"SecurityToken": "<security token>",
"Expiration": "2006-01-02T15:04:05Z"
}後續步驟
在阿里雲用戶端添加帳號後,可直接在用戶端上查看和管理資源(Elastic Compute Service、Elastic Container Instance、Simple Application Server和阿里雲受管理的執行個體等),具體如下:
常見問題
首次安裝阿里雲用戶端,為何已有帳號登入?
若首次安裝用戶端時已有帳號登入,是因為在使用阿里雲CLI過程中配置了阿里雲帳號資訊,阿里雲用戶端會自動匯入該配置。
如何在多個已添加的帳號之間切換?
在阿里雲用戶端的首頁,單擊當前帳號右側的表徵圖,然後單擊待查看帳號,然後單擊切換到此帳號。
為什麼添加了RAM使用者帳號後,看不到自己建立的資源?
需要為RAM使用者賦予管理對應資源的許可權,詳見為RAM使用者授權。