全部產品
Search
文件中心

Tablestore:配置訪問憑證

更新時間:Aug 29, 2024

使用Node.js SDK發起請求訪問Tablestore,您需要配置訪問憑證。阿里雲服務會通過訪問憑證驗證您的身份資訊和存取權限。您可以根據使用情境對認證和授權的要求,配置不同類型的訪問憑證。

前提條件

配置訪問憑證前,您需要完成安裝TablestoreNode.js SDK的準備工作。具體操作,請參見安裝Node.js SDK

訪問憑證

訪問憑證選型

  • 臨時訪問憑證:對於需要高安全性的情境,建議使用臨時訪問憑證。臨時訪問憑證可以限制訪問的有效期間,從而減少訪問憑證泄露的風險。此外,臨時訪問憑證支援許可權控制,可以有效地避免許可權過大的問題。

  • 長期訪問憑證:出於安全性考慮,不建議您使用長期訪問憑證。對於需要便利性的情境,長期訪問憑證可以在較長時間內免除多次重新整理的麻煩。

    重要
    • 建議每三個月更換一次長期訪問憑證,以提高帳號的安全性。

    • 當長期訪問憑證泄露或者不再使用時,應該及時刪除或者禁用相關的訪問憑證,以免造成安全風險。

臨時訪問憑證

當您準備臨時使用Node.js SDK訪問Tablestore服務時,您可以通過STS服務頒發一個STS臨時訪問憑證。臨時訪問憑證無需透露您的RAM使用者密鑰,使Tablestore的訪問更加安全。

  1. 建立RAM使用者。具體操作,請參見建立RAM使用者

  2. 為RAM使用者授予 AliyunSTSAssumeRoleAccess許可權。具體操作,請參見為RAM使用者授權

  3. 建立RAM角色,並為RAM角色授予自訂權限原則。具體操作,請參見建立RAM角色為RAM角色授予自訂權限原則

  4. 使用RAM使用者扮演RAM角色擷取STS臨時訪問憑證。具體操作,請參見擷取STS臨時訪問憑證

  5. 配置STS臨時訪問憑證。

    1. 使用臨時身份憑證設定環境變數。

      Mac OS X/Linux/Unix

      export OTS_AK_ENV=<OTS_AK_ENV>
      export OTS_SK_ENV=<OTS_SK_ENV>
      export OTS_SESSION_TOKEN=<OTS_SESSION_TOKEN>

      Windows

      以管理員身份運行命令提示字元,執行以下命令。

      setx OTS_AK_ENV <OTS_AK_ENV> /m
      setx OTS_SK_ENV <OTS_SK_ENV> /m
      setx OTS_SESSION_TOKEN <OTS_SESSION_TOKEN> /m
      說明

      環境變數配置完成後,為確保新的設定被正確應用,您可能需要重啟相關的開發工具(IDE等)或服務。

    2. 通過環境變數來傳遞憑證資訊

      var accessKeyId = process.env.OTS_AK_ENV;
      var secretAccessKey = process.env.OTS_SK_ENV;
      var stsToken = process.env.OTS_SESSION_TOKEN;

長期訪問憑證

如果您的應用程式部署運行在安全、穩定且不易受外部攻擊的環境中,需要長期使用Node.js SDK訪問您的Tablestore,您可以使用阿里雲帳號或RAM使用者的AK(Access Key ID、Access Key Secret)的方式訪問。如何擷取AK,請參見使用RAM使用者密鑰發起請求

警告

阿里雲帳號擁有資源的全部許可權,AK一旦泄露,會給系統帶來巨大風險,不建議使用。推薦使用最小化授權的RAM使用者的AK。

  1. 使用AK設定環境變數。

    Mac OS X/Linux/Unix

    export OTS_AK_ENV=<OTS_AK_ENV>
    export OTS_SK_ENV=<OTS_SK_ENV>

    Windows

    以管理員身份運行命令提示字元,執行以下命令。

    setx OTS_AK_ENV <OTS_AK_ENV> /m
    setx OTS_SK_ENV <OTS_SK_ENV> /m
    說明

    環境變數配置完成後,為確保新的設定被正確應用,您可能需要重啟相關的開發工具(IDE等)或服務。

  2. 使用環境變數來傳遞憑證資訊。

    var accessKeyId = process.env.OTS_AK_ENV;
    var secretAccessKey = process.env.OTS_SK_ENV;

後續步驟

初始化憑證提供者後,您需要使用憑證提供者來建立OTSClient執行個體。詳情請參見初始化OTSClient