首页阿里云CLI配置阿里云CLI配置凭证
输入文档关键字查找

配置凭证

更新时间:2025-02-13 09:19
社区

在使用阿里云CLI之前,您需要配置调用阿里云资源所需的凭证信息、地域、语言等。阿里云CLI在初次运行时会自动生成并使用default配置。您也可以创建并使用属于您的自定义配置。

身份凭证配置方式

阿里云CLI提供了两种配置方式,分别是交互式配置和非交互式配置,根据用户需求可以选择不同的配置方式。

  • 交互式配置为用户提供了流程引导,使用户能以较低的学习成本在阿里云CLI中快速配置身份凭证。对于新手用户、不熟悉命令行操作的用户或只需要偶尔进行配置的用户,建议选择该方式完成配置。

  • 非交互式配置可以通过命令行参数或环境变量等方式直接指定配置项,具有灵活性和高效性的优点。对于希望通过脚本、自动化部署工具或配置管理工具来管理和操作阿里云CLI的用户,建议选择该方式完成配置。

交互式配置
非交互式配置

通用语法

调用aliyun configure命令,使用交互式方式配置凭证的命令语法如下:

aliyun configure --mode <AuthenticateMode> --profile <profileName>

  • 选项详情:

    • --mode:指定凭证类型,默认为AK类型。更多关于支持类型的详细信息,请参见身份凭证类型

    • --profile:指定配置名称。若不指定,则使用默认身份凭证配置调用命令。如果指定的配置已存在,则修改已存在配置;若不存在,则创建新配置。

  • 注意事项

    • 请确保配置正确的凭证信息。若凭证信息有误,可能会造成误操作或者无法调用接口。

    • 使用交互式配置方式配置凭证后,若身份凭证配置有效,将显示如下信息:

      完整提示信息

       
      Configure Done!!!
..............888888888888888888888 ........=8888888888888888888D=..............
...........88888888888888888888888 ..........D8888888888888888888888I...........
.........,8888888888888ZI: ...........................=Z88D8888888888D..........
.........+88888888 ..........................................88888888D..........
.........+88888888 .......Welcome to use Alibaba Cloud.......O8888888D..........
.........+88888888 ............. ************* ..............O8888888D..........
.........+88888888 .... Command Line Interface(Reloaded) ....O8888888D..........
.........+88888888...........................................88888888D..........
..........D888888888888DO+. ..........................?ND888888888888D..........
...........O8888888888888888888888...........D8888888888888888888888=...........
............ .:D8888888888888888888.........78888888888888888888O ..............

通用语法

调用aliyun configure set命令,使用非交互式方式配置凭证,命令语法如下:

aliyun configure set [--settingName <settingValue>]... --mode <AuthenticateMode> --profile <profileName>
说明

凭证选项是用于配置凭证的必需信息。配置某一凭证类型时,仅需配置该凭证类型所需的选项。

  • 常见的通用选项如下,其适用于任一凭证类型。

    • --profile(必选):指定配置名称。如果指定的配置存在,则修改配置。若不存在,则创建配置。

    • --region(必选):指定默认地域。详情请参见地域和可用区

    • --language:指定阿里云CLI显示的语言,默认为英语。

    • --mode:指定配置的凭证类型,默认为AK类型。更多关于支持类型的详细信息,请参见身份凭证类型

  • 注意事项

    • 请确保配置正确的AccessKey信息,若不正确,可能会造成误操作或者无法调用接口。

    • 使用非交互式配置方式配置凭证后,可使用aliyun configure listaliyun configure get命令查看配置是否创建成功。使用方法及示例请参见配置凭证相关命令

身份凭证类型

AK
StsToken
RamRoleArn
EcsRamRole
External
ChainableRamRoleArn
CredentialsURI
OIDC

凭证说明

重要

为保证账号安全,建议您创建专用于API访问的RAM用户并创建对应的AccessKey。更多关于凭据的安全使用建议,请参见凭据的安全使用方案

  • AK类型凭证为默认凭证类型,使用AccessKey信息作为身份凭证。配置AK类型凭证时可以忽略--mode选项。

  • 配置必填项如下:

配置示例

如下示例,配置名为AkProfileAK类型凭证。

  • 交互式配置

    配置命令如下:

    aliyun configure --profile AkProfile

    配置交互过程示例如下:

    示例

     
    Configuring profile 'AkProfile' in 'AK' authenticate mode...
Access Key Id []: ****
Access Key Secret []: ****
Default Region Id []: ****
Default Output Format [json]: json (Only support json))
Default Language [zh|en] en: en
Saving profile[akProfile] ...Done.

  • 非交互式配置

    使用configure命令下的set子命令进行非交互式配置,配置命令如下:

    aliyun configure set \
  --profile AkProfile \
  --mode AK \
  --access-key-id **** \
  --access-key-secret **** \
  --region ****

凭证说明

  • 阿里云STS(Security Token Service)是阿里云提供的一种临时访问权限管理服务。有关STS Token的更多信息,请参见什么是STS

  • STS Token具有时效性,过期失效后需要重新获取。在阿里云CLI中,StsToken类型不支持自动刷新身份凭证,推荐您配置以下类型凭证使用阿里云CLI:

  • 配置StsToken类型凭证时,需要在命令中使用--mode StsToken指定凭证类型。

  • 配置必填项如下:

配置示例

如下示例,配置名为StsProfileStsToken类型凭证。

  • 交互式配置

    配置命令如下:

    aliyun configure --profile StsProfile --mode StsToken

    配置交互过程示例如下:

    示例

     
    Configuring profile 'StsProfile' in 'StsToken' authenticate mode...
Access Key Id []: ****
Access Key Secret []: ****
Sts Token []: ****
Default Region Id []: ****
Default Output Format [json]: json (Only support json))
Default Language [zh|en] en: en
Saving profile[stsTokenProfile] ...Done.

  • 非交互式配置

    使用configure命令下的set子命令进行非交互式配置,配置命令如下:

    aliyun configure set \
  --profile StsProfile \
  --mode StsToken \
  --access-key-id **** \
  --access-key-secret **** \
  --sts-token **** \
  --region ****

凭证说明

配置示例

如下示例,配置名为RamRoleArnProfileRamRoleArn类型凭证。

  • 交互式配置

    配置命令如下:

    aliyun configure --profile RamRoleArnProfile --mode RamRoleArn

    配置交互过程示例如下:

    示例

     
    Configuring profile 'RamRoleArnProfile' in 'RamRoleArn' authenticate mode...
Access Key Id []: ****
Access Key Secret []: ****
Ram Role Arn []: ****
Role Session Name []: ****
Default Region Id []: ****
Default Output Format [json]: json (Only support json))
Default Language [zh|en] en: en
Saving profile[ramRoleArnProfile] ...Done.

  • 非交互式配置

    使用configure命令下的set子命令进行非交互式配置,配置命令如下:

    aliyun configure set \
  --profile RamRoleArnProfile \
  --mode RamRoleArn \
  --access-key-id **** \
  --access-key-secret **** \
  --ram-role-arn **** \
  --role-session-name ****\
  --region ****

凭证说明

说明

  • EcsRamRole类型凭证无需配置AccessKey,当您在ECSECI实例内部使用阿里云CLI时,可通过访问元数据服务(Meta Data Service)获取RAM角色的临时身份凭证(STS Token)以调用OpenAPI,从而降低AccessKey泄露的风险。

  • EcsRamRole类型凭证支持自动刷新临时身份凭证。

  • 实例元数据服务器支持加固模式和普通模式两种访问方式,阿里云CLI默认使用加固模式(IMDSv2)获取访问凭据。若使用加固模式时发生异常,您可以通过设置环境变量ALIBABA_CLOUD_IMDSV1_DISABLED来执行不同的异常处理逻辑,变量值参考如下所示:

    • 当值为false(默认值)时,会使用普通模式继续获取访问凭据。

    • 当值为true时,表示只能使用加固模式获取访问凭据,会抛出异常。

    服务端是否支持IMDSv2,取决于您在服务器的配置。

    配置环境变量的具体操作,请参见在Linux、macOS和Windows系统配置环境变量

  • 配置必填项如下:

    • Region Id:指定默认地域的RegionId。阿里云支持的RegionId,请参见地域和可用区

配置示例

如下示例,配置名为EcsRamRoleProfileEcsRamRole类型凭证。

  • 交互式配置

    配置命令如下:

    aliyun configure --profile EcsRamRoleProfile --mode EcsRamRole

    配置交互过程示例如下:

    示例

     
    Configuring profile 'EcsRamRoleProfile' in 'EcsRamRole' authenticate mode...
Ecs Ram Role []: ****
Default Region Id []: ****
Default Output Format [json]: json (Only support json))
Default Language [zh|en] en: en
Saving profile[ecsRamRamRoleArnProfile] ...Done.

  • 非交互式配置

    使用configure命令下的set子命令进行非交互式配置,配置命令如下:

    aliyun configure set \
  --profile EcsRamRoleProfile \
  --mode EcsRamRole \
  --region ****

凭证说明

说明

该凭证类型支持自动刷新身份凭证。

  • External类型凭证通过外部程序获取凭证数据,阿里云CLI在使用时会执行该程序命令,获取返回结果作为凭证。该凭证类型支持用户自行实现身份凭证刷新机制。

  • External类型凭证支持用户自行实现身份凭证刷新机制。

  • 阿里云CLI支持通过配置External类型凭证登录云SSO。具体操作,请参见使用CLI登录云SSO并访问阿里云资源

  • 配置必填项如下:

    • Process Command:外部程序命令。支持外部程序返回Accesskey和STS Token两种静态凭证。凭证结构示例如下:

      AK

       
      {
  "mode": "AK",
  "access_key_id": "accessKeyId",
  "access_key_secret": "accessKeySecret"
}

      StsToken

       
      {
  "mode": "StsToken",
  "access_key_id": "accessKeyId",
  "access_key_secret": "accessKeySecret",
  "sts_token": "stsToken"
}

    • Region Id:指定默认区域的RegionId。阿里云支持的RegionId,请参见地域和可用区

配置示例

如下示例,配置名为ExternalProfileExternal类型凭证。

  • 交互式配置

    配置命令如下:

    aliyun configure --profile ExternalProfile --mode External

    配置交互过程示例如下:

    示例

     
    Configuring profile 'ExternalProfile' in 'External' authenticate mode...
Process Command []: ****
Default Region Id []: ****
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[externalTest] ...Done.

  • 非交互式配置

    使用configure命令下的set子命令进行非交互式配置,配置命令如下:

    aliyun configure set \
  --profile ExternalProfile \
  --mode External \
  --process-command **** \
  --region ****

凭证说明

  • ChainableRamRoleArn类型凭证通过指定一个前置身份凭证配置,从前置配置中获取中间凭证(AccessKey或STS Token),再基于中间凭证完成角色扮演,获取最终的临时身份凭证(STS Token)。

  • ChainableRamRoleArn类型凭证支持自动刷新身份凭证。

  • 配置必填项如下:

    • Source Profile:前置身份凭证配置名称。前置凭证类型不作限制,在配置ChainableRamRoleArn类型凭证之前,您需要先配置前置凭证。详情可参见配置示例

    • Region Id:指定默认区域的RegionId。阿里云支持的RegionId,请参见地域和可用区

    • RamRoleArn:需要扮演的RAM角色ARN。您可以通过RAM控制台或API查看角色 ARN,具体操作如下:

    • RoleSessionName:角色会话名称。该参数为用户自定义参数,通常设置为调用该API的用户身份,例如:用户名。

配置示例

说明

配置ChainableRamRoleArn类型凭证前,需为前置身份凭证对应RAM身份授予系统权限策略AliyunSTSAssumeRoleAccess

示例如下,以配置名为ChainableProfileChainableRamRoleArn类型凭证为例,使用RamRoleArn类型凭证RamRoleArnProfile作为前置身份凭证。

  • 交互式配置

    1. 配置前置身份凭证RamRoleArnProfile,配置流程可参考RamRoleArn类型凭证配置示例

    2. 执行如下命令,配置ChainableRamRoleArn类型凭证ChainableProfile

      aliyun configure --profile ChainableProfile --mode ChainableRamRoleArn

      配置交互过程示例如下,在Source Profile选项处输入配置名称RamRoleArnProfile,以指定前置凭证:

      示例

       
      Configuring profile 'ChainableProfile' in 'ChainableRamRoleArn' authenticate mode...
Source Profile []: RamRoleArnProfile
Sts Region []: ****
Ram Role Arn []: ****
Role Session Name []: ****
Expired Seconds [900]: ****
Default Region Id []: ****
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[p1] ...Done.

  • 暂不支持使用非交互式方式配置ChainableRamRoleArn类型凭证。

凭证说明

  • CredentialsURI类型凭证通过访问您提供的URI地址获取临时身份凭证(STS Token)以调用OpenAPI。

  • CredentialsURI类型凭证支持用户自行实现身份凭证刷新机制。

  • 配置必填项如下:

    • CredentialsURI:本地或远程URI地址。若该地址无法正常访问或返回结构不正确,阿里云CLI将处理为失败案例。标准返回结构如下所示:

      标准返回结构

       
      {
  "Code": "Success",
  "AccessKeyId": "<ak id>",
  "AccessKeySecret": "<ak secret>",
  "SecurityToken": "<security token>",
  "Expiration": "2006-01-02T15:04:05Z"
}

    • Region Id:指定默认区域的RegionId。阿里云支持的RegionId,请参见地域和可用区

配置示例

如下示例,配置名为URIProfileCredentialsURI类型凭证。

  • 交互式配置

    配置命令如下:

    aliyun configure --profile URIProfile --mode CredentialsURI

    配置交互过程示例如下:

    示例

     
    Configuring profile 'URIProfile' in 'CredentialsURI' authenticate mode...
Credentials URI []: ****
Default Region Id []: ****
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[cup] ...Done.

  • 暂不支持使用非交互式方式配置CredentialsURI类型凭证。

凭证说明

  • 容器服务 Kubernetes 版中设置了Worker节点RAM角色后,对应节点内的Pod中的应用也就可以像ECS上部署的应用一样,通过元数据服务(Meta Data Server)获取关联角色的STS Token。但如果容器集群上部署的是不可信的应用(比如部署您的客户提交的应用,代码也没有对您开放),您可能并不希望它们能通过元数据服务获取Worker节点关联实例RAM角色的STS Token。为了避免影响云上资源的安全,同时又能让这些不可信的应用安全地获取所需的 STS Token,实现应用级别的权限最小化,您可以使用RRSA(RAM Roles for Service Account)功能。阿里云容器集群会为不同的应用Pod创建和挂载相应的服务账户OIDC Token文件,并将相关配置信息注入到环境变量中,阿里云CLI工具通过获取环境变量的配置信息,调用STS服务的AssumeRoleWithOIDC - OIDC角色SSO时获取扮演角色的临时身份凭证接口换取绑定角色的STS Token。详情请参见通过RRSA配置ServiceAccount的RAM权限实现Pod权限隔离

  • OIDC类型凭证支持自动刷新临时身份凭证。

  • 配置必填项如下:

配置示例

如下示例,配置名为OIDCProfileOIDC类型凭证。

  • 交互式配置

    配置命令如下:

    aliyun configure --profile OIDCProfile --mode OIDC

    配置交互过程示例如下:

    示例

     
    Configuring profile 'OIDCProfile' in 'OIDC' authenticate mode...
OIDC Provider ARN []: ****
OIDC Token File []: ****
RAM Role ARN []: ****
Role Session Name []: ****
Default Region Id []: ****
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[oidc_p] ...Done.

  • 非交互式配置

    使用configure命令下的set子命令进行非交互式配置,配置命令如下:

    aliyun configure set \
  --profile OIDCProfile \
  --mode OIDC \
  --oidc-provider-arn **** \
  --oidc-token-file **** \
  --ram-role-arn **** \
  --role-session-name ****\
  --region ****

使用身份凭证配置

  • 如果未指定身份凭证配置,则默认使用default配置。

  • 若您需要指定身份凭证配置,可以参考以下方式进行设置。

    命令行参数
    默认身份凭证配置

    在您的命令后使用--profile选项,以使用指定的身份凭证配置。

    示例:使用指定身份凭证配置exampleProfile调用云服务器 ECS OpenAPIDescribeInstances获取云服务器 ECS实例信息。

    aliyun ecs DescribeInstances --profile exampleProfile

    您可以通过设定默认身份凭证配置,避免在使用阿里云CLI时重复指定配置文件。您仍然可以使用--profile选项覆盖此设置。

    修改方式:

    • 执行aliyun configure switch命令,设定默认身份凭证配置。具体操作,请参见设定默认身份凭证配置

    • 执行aliyun configure set命令成功修改配置后,阿里云CLI会将被修改的配置设定为默认身份凭证配置。具体操作,请参见修改指定身份凭证配置

    • 手动在config.json文件中修改current元素值,将其设定为待指定的身份凭证配置名称。

身份凭证配置存储位置

身份凭证配置文件profile是一个可自定义名称的设置集,所有身份凭证与设置项均以JSON格式存储在config.json文件中。该文件位于您个人用户目录下的.aliyun文件夹中,个人用户目录位置因操作系统而异。

  • Windows环境:C:\Users\<USERNAME>\.aliyun

  • Linux或macOS:~/.aliyun

上一篇:配置阿里云CLI下一篇:配置凭证相关命令
  • 本页导读 (1)
  • 身份凭证配置方式
  • 身份凭证类型
  • 使用身份凭证配置
  • 身份凭证配置存储位置
文档反馈
phone 联系我们

立即和Alibaba Cloud在线服务人员进行交谈,获取您想了解的产品信息以及最新折扣。

alicare alicarealicarealicare