阿里云助力您在中国加快取得成功
一站式安全合规咨询服务
MLPS 2.0 一站式合规解决方案
依托我们的网络进军中国市场
提升面向互联网应用的性能和安全性
保障您的中国业务安全无忧
通过强大的数据安全框架保护您的数据资产
申请 ICP 备案的流程解读和咨询服务
面向大数据建设、管理及应用的全域解决方案
企业内大数据建设、管理和应用的一站式解决方案
将您的采购和销售置于同一企业级全渠道数字平台上
全渠道内置 AI 驱动、拟人化、多语言对话的聊天机器人
快速搭建在线教育平台
提供域名注册、分析和保护服务
即时部署可伸缩的虚拟云服务器
完全托管、本地部署的阿里云基础架构和服务。
阿里云开放给企业应用服务商和其客户的服务管理PaaS平台
助您构建公共云上的专有资源池
富弹性可伸缩的高性能计算服务
易用、安全、高效的云上桌面服务
高效运维、稳定安全和操作流畅的云端虚拟手机
基于GPU的弹性计算服务
可快速搭建应用且易于管理的轻量级云服务器
根据用户的业务需求和策略,自动调整其弹性计算资源的管理服务
云原生 Kubernetes 容器化应用运行环境
以 Kubernetes 为使用界面的容器服务产品,提供符合容器规范的算力资源
安全的镜像托管服务,支持全生命周期管理
多集群环境下微服务应用流量统一管理
提供任意基础设施上容器集群的统一管控,助您轻松管控分布式云场景
高弹性、高可靠的企业级无服务器 Kubernetes 容器产品
敏捷安全的 Serverless 容器运行服务
为虚拟机和容器提供高可靠性、高性能、低时延的块存储服务
一款海量、安全、低成本、高可靠的云存储服务
可靠、弹性、高性能、多共享的文件存储服务
全托管、可扩展的并行文件系统服务。
全托管的 NoSQL 结构化数据实时存储服务
可抵扣多种存储产品的容量包,兼具灵活性和长期成本优化
让您的应用跨不同可用区资源自动分配访问量
随时绑定和解绑 VPC ECS
云网络公网、跨域流量统一计费
高性价比,可抵扣按流量计费的流量费用
创建云上隔离的网络,在专有环境中运行资源
在 VPC 环境下构建公网流量的出入口
具备网络状态可视化、故障智能诊断能力的自助式网络运维服务。
安全便捷的云上服务专属连接
基于阿里云专有网络的私有 DNS 解析服务
保障在线业务不受大流量 DDoS 攻击影响
系统运维和安全审计管控平台
业务上云的第一个网络安全基础设施
集零信任内网访问、办公数据保护、终端管理等多功能于一体的办公安全管控平台
提供7X24小时安全运维平台
防御常见 Web 攻击,缓解 HTTP 泛洪攻击
实现全站 HTTPS,呈现可信的 WEB 访问
为云上应用提供符合行业标准和密码算法等级的数据加解密、签名验签和数据认证能力
一款发现、分类和保护敏感数据的安全服务
创建、控制和管理您的加密密钥
快速提高应用高可用能力服务
围绕应用和微服务的 PaaS 平台
兼容主流开源微服务生态的一站式平台
多集群环境下微服务应用流量统一管理
企业级全托管实时数据流平台
全托管,开箱即用的Apache Kafka全托管服务
提供物联网移动端和云交互的消息队列
开箱即用的全托管 RabbitMQ 服务
提供基于消息的可靠异步通信机制
应用之间的消息队列和通知
无服务器事件总线服务
Super MySQL 和 PostgreSQL,高度兼容 Oracle 语法
全托管 MySQL、PostgreSQL、SQL Server、MariaDB
兼容 Redis® 的缓存和KV数据库
兼容Apache Cassandra、Apache HBase、Elasticsearch、OpenTSDB 等多种开源接口
文档型数据库,支持副本集和分片架构
100%兼容 Apache HBase 并深度扩展,稳定、易用、低成本的NoSQL数据库。
低成本、高可用、可弹性伸缩的在线时序数据库服务
专为搜索和分析而设计,成本效益达到开源的两倍,采用最新的企业级AI搜索和AI助手功能。
一款兼容PostgreSQL协议的实时交互式分析产品
一种快速、完全托管的 TB/PB 级数据仓库
基于 Flink 为大数据行业提供解决方案
基于Qwen和其他热门模型的一站式生成式AI平台,可构建了解您业务的智能应用程
一站式机器学习平台,满足数据挖掘分析需求
高性能向量检索服务,提供低代码API和高成本效益
帮助您的应用快速构建高质量的个性化推荐服务能力
提供定制化的高品质机器翻译服务
全面的AI计算平台,满足大模型训练等高性能AI计算的算力和性能需求
具备智能会话能力的会话机器人
基于机器学习的智能图像搜索产品
基于阿里云深度学习技术,为用户提供图像分割、视频分割、文字识别等离线SDK能力,支持Android、iOS不同的适用终端。
语音识别、语音合成服务以及自学习平台
一站式智能搜索业务开发平台
助力金融企业快速搭建超低时延、高质量、稳定的行情数据服务
帮助企业快速测算和分析企业的碳排放和产品碳足迹
企业工作流程自动化,全面提高效率
金融级云原生分布式架构的一站式高可用应用研发、运维平台
eKYC 数字远程在线解决方案
可智能检测、大数据驱动的综合性反洗钱 (AML) 解决方案
阿里云APM类监控产品
实时云监控服务,确保应用及服务器平稳运行
为系统运维人员管理云基础架构提供全方位服务的云上自动化运维平台
面向您的云资源的风险检测服务
提升分布式环境下的诊断效率
日志类数据一站式服务,无需开发就能部署
ECS 预留实例
让弹性计算产品的成本和灵活性达到最佳平衡的付费方式。云原生 AI 套件
加速AI平台构建,提高资源效率和交付速度FinOps
实时分析您的云消耗并实现节约SecOps
实施细粒度安全控制DevOps
快速、安全地最大限度提高您的DevOps优势自带IP上云
自带公网 IP 地址上云全球网络互联
端到端的软件定义网络解决方案,可推动跨国企业的业务发展全球应用加速
提升面向互联网应用的性能和安全性全球互联网接入
将IDC网关迁移到云端云原生 AI 套件
加速AI平台构建,提高资源效率和交付速度FinOps
实时分析您的云消耗并实现节约SecOps
实施细粒度安全控制DevOps
快速、安全地最大限度提高您的DevOps优势金融科技云数据库解决方案
利用专为金融科技而设的云原生数据库解决方案游戏行业云数据库解决方案
提供多种成熟架构,解决所有数据问题Oracle 数据库迁移
将 Oracle 数据库顺利迁移到云原生数据库数据库迁移
加速迁移您的数据到阿里云阿里云上的数据湖
实时存储、管理和分析各种规模和类型的数据数码信贷
利用大数据和 AI 降低信贷和黑灰产风险面向企业数据技术的大数据咨询服务
帮助企业实现数据现代化并规划其数字化未来人工智能对话服务
全渠道内置 AI 驱动、拟人化、多语言对话的聊天机器人EasyDispatch 现场服务管理
为现场服务调度提供实时AI决策支持在线教育
快速搭建在线教育平台窄带高清 (HD) 转码
带宽成本降低高达 30%广电级大型赛事直播
为全球观众实时直播大型赛事,视频播放流畅不卡顿直播电商
快速轻松地搭建一站式直播购物平台用于供应链规划的Alibaba Dchain
构建和管理敏捷、智能且经济高效的供应链云胸牌
针对赛事运营的创新型凭证数字服务数字门店中的云 POS 解决方案
将所有操作整合到一个云 POS 系统中元宇宙
元宇宙是下一代互联网人工智能 (AI) 加速
利用阿里云 GPU 技术,为 AI 驱动型业务以及 AI 模型训练和推理加速DevOps
快速、安全地最大限度提高您的DevOps优势数据迁移解决方案
加速迁移您的数据到阿里云企业 IT 治理
在阿里云上构建高效可控的云环境基于日志管理的AIOps
登录到带有智能化日志管理解决方案的 AIOps 环境备份与存档
数据备份、数据存档和灾难恢复用阿里云金融服务加快创新
在云端开展业务,提升客户满意度
为全球资本市场提供安全、准确和数字化的客户体验
利用专为金融科技而设的云原生数据库解决方案
利用大数据和 AI 降低信贷和黑灰产风险
建立快速、安全的全球外汇交易平台
新零售时代下,实现传统零售业转型
利用云服务处理流量波动问题,扩展业务运营、降低成本
快速轻松地搭建一站式直播购物平台
面向大数据建设、管理及应用的全域解决方案
全渠道内置 AI 驱动、拟人化、多语言对话的聊天机器人
以数字化媒体旅程为当今的媒体市场准备就绪您的内容
带宽成本降低高达 30%
快速轻松地搭建一站式直播购物平台
为全球观众实时直播大型赛事,视频播放流畅不卡顿
使用阿里云弹性高性能计算 E-HPC 将本地渲染农场连接到云端
构建发现服务,帮助客户找到最合适的内容
保护您的媒体存档安全
通过统一的数据驱动平台提供一致的全生命周期客户服务
在钉钉上打造一个多功能的电信和数字生活平台
在线存储、共享和管理照片与文件
提供全渠道的无缝客户体验
面向中小型企业,为独立软件供应商提供可靠的IT服务
打造最快途径,助力您的新云业务扬帆起航
先进的SD-WAN平台,可实现WAN连接、实时优化并降低WAN成本
通过自动化和流程标准化实现快速事件响应
针对关键网络安全威胁提供集中可见性并进行智能安全分析
提供大容量、可靠且高度安全的企业文件传输
用智能技术数字化体育赛事
基于人工智能的低成本体育广播服务
专业的广播转码及信号分配管理服务
基于云的音视频内容引入、编辑和分发服务
在虚拟场馆中模拟关键运营任务
针对赛事运营的创新型凭证数字服务
智能和交互式赛事指南
轻松管理云端背包单元的绑定直播流
通过数据加强您的营销工作
元宇宙是下一代互联网
加速迁移您的数据到阿里云
在阿里云上建立一个安全且易扩容的环境,助力高效率且高成本效益的上云旅程
迁移到完全托管的云数据库
将 Oracle 数据库顺利迁移到云原生数据库
自带公网 IP 地址上云
利用阿里云强大的安全工具集,保障业务安全、应用程序安全、数据安全、基础设施安全和帐户安全
保护、备份和还原您的云端数据资产
MLPS 2.0 一站式合规解决方案
快速高效地将您的业务扩展到中国,同时遵守适用的当地法规
实现对 CloudOps、DevOps、SecOps、AIOps 和 FinOps 的高效、安全和透明的管理
构建您的原生云环境并高效管理集群
快速、安全地最大限度提高您的DevOps优势
实施细粒度安全控制
提供运维效率和总体系统安全性
实时分析您的云消耗并实现节约
利用生成式 AI 加速创新,创造新的业务佳绩
阿里云高性能开源大模型
探索阿里云人工智能和数据智能的所有功能、新优惠和最新产品
该体验中心提供广泛的用例和产品帮助文档,助您开始使用阿里云 AI 产品和浏览您的业务数据。
利用阿里云 GPU 技术,为 AI 驱动型业务以及 AI 模型训练和推理加速
元宇宙是下一代互联网
构建发现服务,帮助客户找到最合适的内容
全渠道内置 AI 驱动、拟人化、多语言对话的聊天机器人
实时存储、管理和分析各种规模和类型的数据
登录到带有智能化日志管理解决方案的 AIOps 环境
帮助企业实现数据现代化并规划其数字化未来
帮助零售商快速规划数字化之旅
将全球知名的 CRM 平台引入中国
在线存储、共享和管理照片与文件
构建、部署和管理高可用、高可靠、高弹性的应用程序
快速、安全地最大限度提高您的DevOps优势
将您的采购和销售置于同一企业级全渠道数字平台上
企业内大数据建设、管理和应用的一站式解决方案
帮助企业简化 IT 架构、实现商业价值、加速数字化转型的步伐
快速高效地将您的业务扩展到中国,同时遵守适用的当地法规
快速搜集、处理、分析联网设备产生的数据
0.0.201
本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
当您通过阿里云SDK调用OpenAPI进行资源操作时,必须正确配置凭证信息。阿里云的Credentials工具提供了一套强大的功能,使您能够轻松地获取和管理这些访问凭证。无论是利用默认凭证,AccessKey(AK),还是安全令牌服务(STS)令牌等,Credentials工具都能为您提供相应支持。此外,本文档将详细阐述如何根据优先级使用默认凭证。您将深入理解如何在阿里云SDK中配置和维护凭证,从而确保您对云资源的操作既有效率又具有高度安全性。
凭据是指用户证明其身份的一组信息。用户在系统中进行登录时,需要提供正确的凭据才能验证身份。常见的凭据类型有:
阿里云主账号和RAM用户的永久凭据 AccessKey(简称AK)是由AccessKey ID和AccessKey Secret组成的密钥对。
阿里云RAM角色的STS临时访问Token,简称STS Token。它是可以自定义时效和访问权限的临时身份凭据,详情请参见什么是STS。
Bearer Token。它是一种身份验证和授权的令牌类型。
使用Credentials工具要求Go版本 >= 1.10.x。
使用V2.0代系的阿里云SDK,详情请参见通过IDE使用阿里云Go SDK。
使用go get
下载安装。
$ go get -u github.com/aliyun/credentials-go
如果您使用dep
来管理的依赖包,您可以使用以下命令。
$ dep ensure -add github.com/aliyun/credentials-go
使用最新发布Credentials依赖包,确保所有凭证支持。
Credentials工具支持多种方式初始化凭据客户端,您可根据实际情况选择合适的方式进行凭据客户端初始化。
在项目中使用明文AccessKey,容易因代码仓库权限管理不当造成AccessKey泄露,会威胁该账号下所有资源的安全。建议通过环境变量、配置文件等方式获取AccessKey。
当您在初始化凭据客户端不传入任何参数时,Credentials会使用默认凭据链方式初始化客户端。默认凭据的读取逻辑请参见默认凭据链。
package main
import (
"fmt"
"github.com/aliyun/credentials-go/credentials"
)
func main() {
// 不指定参数
credential, err := credentials.NewCredential(nil)
}
本示例以调用云服务器ECS的DescribeRegions接口为例,因此需先安装ECS SDK。
package main
import (
openapi "github.com/alibabacloud-go/darabonba-openapi/v2/client"
ecs20140526 "github.com/alibabacloud-go/ecs-20140526/v4/client"
util "github.com/alibabacloud-go/tea-utils/v2/service"
"github.com/alibabacloud-go/tea/tea"
"github.com/aliyun/credentials-go/credentials"
)
func main() {
// 使用默认凭证初始化Credentials Client。
credentialClient, _err := credentials.NewCredential(nil)
if _err != nil {
panic(_err)
}
ecsConfig := &openapi.Config{}
// 配置云产品服务接入地址(endpoint)。
ecsConfig.Endpoint = tea.String("ecs.cn-beijing.aliyuncs.com")
// 使用Credentials配置凭证。
ecsConfig.Credential = credentialClient
// 初始化ECS Client。
ecsClient, _err := ecs20140526.NewClient(ecsConfig)
// 初始化DescribeRegions请求。
describeInstancesRequest := &ecs20140526.DescribeRegionsRequest{}
// 初始化运行时配置。
runtime := &util.RuntimeOptions{}
// 调用DescribeRegions接口并获得响应。
response, _err := ecsClient.DescribeRegionsWithOptions(describeInstancesRequest, runtime)
if _err != nil {
panic(_err)
}
panic(response.Body.String())
}
阿里云账号、RAM用户可生成调用OpenAPI的密钥对AK。如何获取AK请参见文档创建AccessKey。您可使用AK初始化凭据客户端。
阿里云主账号拥有资源的全部权限,AK一旦泄露,会给系统带来巨大风险,不建议使用。
推荐使用最小化授权的RAM用户的AK。
import (
"fmt"
"os"
"github.com/aliyun/credentials-go/credentials"
)
func main() {
config := new(credentials.Config).
SetType("access_key").
SetAccessKeyId(os.Getenv("ALIBABA_CLOUD_ACCESS_KEY_ID")).
SetAccessKeySecret(os.Getenv("ALIBABA_CLOUD_ACCESS_KEY_SECRET"))
akCredential, err := credentials.NewCredential(config)
if err != nil {
return
}
accessKeyId, err := akCredential.GetAccessKeyId()
accessSecret, err := akCredential.GetAccessKeySecret()
credentialType := akCredential.GetType()
fmt.Println(accessKeyId, accessSecret, credentialType)
}
通过Credentials工具读取AK,完成云产品OpenAPI接口的调用。
本示例以调用云服务器ECS的DescribeRegions接口为例,因此需先安装ECS SDK。
package main
import (
openapi "github.com/alibabacloud-go/darabonba-openapi/v2/client"
ecs20140526 "github.com/alibabacloud-go/ecs-20140526/v4/client"
util "github.com/alibabacloud-go/tea-utils/v2/service"
"github.com/alibabacloud-go/tea/tea"
"github.com/aliyun/credentials-go/credentials"
"os"
)
func main() {
// 使用AK 初始化Credentials Client。
credentialsConfig := new(credentials.Config).
// 凭证类型。
SetType("access_key").
// 设置为AccessKey ID值。
SetAccessKeyId(os.Getenv("ALIBABA_CLOUD_ACCESS_KEY_ID")).
// 设置为AccessKey Secret值。
SetAccessKeySecret(os.Getenv("ALIBABA_CLOUD_ACCESS_KEY_SECRET"))
credentialClient, _err := credentials.NewCredential(credentialsConfig)
if _err != nil {
panic(_err)
}
ecsConfig := &openapi.Config{}
// 配置云产品服务接入地址(endpoint)。
ecsConfig.Endpoint = tea.String("ecs.cn-beijing.aliyuncs.com")
// 使用Credentials配置凭证。
ecsConfig.Credential = credentialClient
// 初始化ECS Client。
ecsClient, _err := ecs20140526.NewClient(ecsConfig)
// 初始化DescribeRegions请求。
describeInstancesRequest := &ecs20140526.DescribeRegionsRequest{}
// 初始化运行时配置。
runtime := &util.RuntimeOptions{}
// 调用DescribeRegions接口并获得响应。
response, _err := ecsClient.DescribeRegionsWithOptions(describeInstancesRequest, runtime)
if _err != nil {
panic(_err)
}
panic(response.Body.String())
}
以一个RAM用户的身份调用STS服务的AssumeRole接口,设置Token的最大过期时间,即可换取到临时凭据STS Token。以下示例演示如何使用STS Token初始化凭据客户端(不包含如何获取到STS Token的过程)。
package main
import (
"fmt"
"github.com/aliyun/credentials-go/credentials"
"os"
)
func main() {
config := new(credentials.Config).
SetType("sts").
// 从环境变量中获取AccessKey Id。
SetAccessKeyId(os.Getenv("ALIBABA_CLOUD_ACCESS_KEY_ID")).
// 从环境变量中获取AccessKey Secret
SetAccessKeySecret(os.Getenv("ALIBABA_CLOUD_ACCESS_KEY_SECRET")).
// 从环境变量中获取STS临时凭证。
SetSecurityToken(os.Getenv("ALIBABA_CLOUD_SECURITY_TOKEN"))
stsCredential, err := credentials.NewCredential(config)
if err != nil {
return
}
credential, err := stsCredential.GetCredential()
accessKeyId := credential.AccessKeyId
accessKeySecret := credential.AccessKeySecret
securityToken := credential.SecurityToken
credentialType := credential.Type
fmt.Println(accessKeyId, accessKeySecret, securityToken, credentialType)
}
通过Credentials工具读取临时安全令牌(STS Token),完成云产品OpenAPI接口的调用。
本示例以调用云服务器ECS的DescribeRegions接口为例,因此需先安装Elastic Compute Service SDK和Security Token Service SDK。
package main
import (
"os"
openapi "github.com/alibabacloud-go/darabonba-openapi/v2/client"
ecs20140526 "github.com/alibabacloud-go/ecs-20140526/v4/client"
sts20150401 "github.com/alibabacloud-go/sts-20150401/v2/client"
util "github.com/alibabacloud-go/tea-utils/v2/service"
"github.com/alibabacloud-go/tea/tea"
"github.com/aliyun/credentials-go/credentials"
)
func main() {
// 创建STS client,调用AssumeRole获取STS TOKEN
stsConfig := &openapi.Config{}
stsConfig.SetAccessKeyId(os.Getenv("ALIBABA_CLOUD_ACCESS_KEY_ID"))
stsConfig.SetAccessKeySecret(os.Getenv("ALIBABA_CLOUD_ACCESS_KEY_SECRET"))
stsConfig.SetEndpoint("sts.cn-hangzhou.aliyuncs.com")
client, _err := sts20150401.NewClient(stsConfig)
if _err != nil {
panic(_err)
}
assumeRoleRequest := &sts20150401.AssumeRoleRequest{}
// 要扮演的RAM角色ARN,示例值:acs:ram::123456789012****:role/adminrole,可以通过环境变量ALIBABA_CLOUD_ROLE_ARN设置RoleArn
assumeRoleRequest.SetRoleArn("<RoleArn>")
// 角色会话名称,可以通过环境变量ALIBABA_CLOUD_ROLE_SESSION_NAME设置RoleSessionName
assumeRoleRequest.SetRoleSessionName("<RoleSessionName>")
assumeRoleRequest.SetDurationSeconds(3600)
result, _err := client.AssumeRole(assumeRoleRequest)
if _err != nil {
panic(_err)
}
assumeRoleResponseBodyCredentials := result.Body.Credentials
// 使用STS Token初始化Credentials Client。
credentialsConfig := new(credentials.Config).
// 凭证类型。
SetType("sts").
SetAccessKeyId(*assumeRoleResponseBodyCredentials.AccessKeyId).
SetAccessKeySecret(*assumeRoleResponseBodyCredentials.AccessKeySecret).
SetSecurityToken(*assumeRoleResponseBodyCredentials.SecurityToken)
credentialClient, _err := credentials.NewCredential(credentialsConfig)
if _err != nil {
panic(_err)
}
ecsConfig := &openapi.Config{}
// 配置云产品服务接入地址(endpoint)。
ecsConfig.Endpoint = tea.String("ecs.cn-hangzhou.aliyuncs.com")
// 使用Credentials配置凭证。
ecsConfig.Credential = credentialClient
// 初始化ECS Client。
ecsClient, _err := ecs20140526.NewClient(ecsConfig)
// 初始化DescribeRegions请求。
describeInstancesRequest := &ecs20140526.DescribeRegionsRequest{}
// 初始化运行时配置。
runtime := &util.RuntimeOptions{}
// 调用DescribeRegions接口并获得响应。
response, _err := ecsClient.DescribeRegionsWithOptions(describeInstancesRequest, runtime)
if _err != nil {
panic(_err)
}
panic(response.Body.String())
}
该方式底层实现是STS Token。通过指定RAM角色的ARN(Alibabacloud Resource Name),Credentials工具可以帮助开发者前往STS换取STS Token。您也可以通过为SetPolicy
赋值来限制RAM角色到一个更小的权限集合。
package main
import (
"fmt"
"os"
"github.com/aliyun/credentials-go/credentials"
)
func main() {
config := new(credentials.Config).
SetType("ram_role_arn").
SetAccessKeyId(os.Getenv("ALIBABA_CLOUD_ACCESS_KEY_ID")).
SetAccessKeySecret(os.Getenv("ALIBABA_CLOUD_ACCESS_KEY_SECRET")).
// 要扮演的RAM角色ARN,示例值:acs:ram::123456789012****:role/adminrole,可以通过环境变量ALIBABA_CLOUD_ROLE_ARN设置RoleArn
SetRoleArn("<RoleArn>").
// 角色会话名称,可以通过环境变量ALIBABA_CLOUD_ROLE_SESSION_NAME设置RoleSessionName
SetRoleSessionName("<RoleSessionName>").
// 设置更小的权限策略,非必填。示例值:{"Statement": [{"Action": ["*"],"Effect": "Allow","Resource": ["*"]}],"Version":"1"}
SetPolicy("<Policy>").
// 非必填,设置session过期时间。
SetRoleSessionExpiration(3600).
// 非必填,角色外部 ID,该参数为外部提供的用于表示角色的参数信息,主要功能是防止混淆代理人问题。
SetExternalId("ExternalId").
// 非必填,默认为sts.aliyuncs.com,建议使用Region化的STS域名,选择地理位置更接近的Region可以保证网络连通性.
SetSTSEndpoint("sts.cn-hangzhou.aliyuncs.com")
arnCredential, err := credentials.NewCredential(config)
if err != nil {
return
}
credential, err := arnCredential.GetCredential()
accessKeyId := credential.AccessKeyId
accessKeySecret := credential.AccessKeySecret
securityToken := credential.SecurityToken
credentialType := credential.Type
fmt.Println(accessKeyId, accessKeySecret, securityToken, credentialType)
}
ExternalId的更多介绍,请参见使用ExternalId防止混淆代理人问题。
本示例以调用云服务器ECS的DescribeRegions接口为例,因此需先安装ECS SDK。
package main
import (
openapi "github.com/alibabacloud-go/darabonba-openapi/v2/client"
ecs20140526 "github.com/alibabacloud-go/ecs-20140526/v4/client"
util "github.com/alibabacloud-go/tea-utils/v2/service"
"github.com/alibabacloud-go/tea/tea"
"github.com/aliyun/credentials-go/credentials"
"os"
)
func main() {
// 使用RamRoleArn初始化Credentials Client。
credentialsConfig := new(credentials.Config).
// 凭证类型。
SetType("ram_role_arn").
// 设置为AccessKey ID值。
SetAccessKeyId(os.Getenv("ALIBABA_CLOUD_ACCESS_KEY_ID")).
// 设置为AccessKey Secret值。
SetAccessKeySecret(os.Getenv("ALIBABA_CLOUD_ACCESS_KEY_SECRET")).
// 要扮演的RAM角色ARN,示例值:acs:ram::123456789012****:role/adminrole,可以通过环境变量ALIBABA_CLOUD_ROLE_ARN设置RoleArn
SetRoleArn("<RoleArn>").
// 角色会话名称,可以通过环境变量ALIBABA_CLOUD_ROLE_SESSION_NAME设置RoleSessionName
SetRoleSessionName("<RoleSessionName>").
// 设置更小的权限策略,非必填。示例值:{"Statement": [{"Action": ["*"],"Effect": "Allow","Resource": ["*"]}],"Version":"1"}
SetPolicy("<Policy>").
// 设置session过期时间,非必填。
SetRoleSessionExpiration(3600).
// 非必填,默认为sts.aliyuncs.com,建议使用Region化的STS域名,选择地理位置更接近的Region可以保证网络连通性.
SetSTSEndpoint("sts.cn-hangzhou.aliyuncs.com")
credentialClient, _err := credentials.NewCredential(credentialsConfig)
if _err != nil {
panic(_err)
}
ecsConfig := &openapi.Config{}
// 配置云产品服务接入地址(endpoint)。
ecsConfig.Endpoint = tea.String("ecs.cn-beijing.aliyuncs.com")
// 使用Credentials配置凭证。
ecsConfig.Credential = credentialClient
// 初始化ECS Client。
ecsClient, _err := ecs20140526.NewClient(ecsConfig)
// 初始化DescribeRegions请求。
describeInstancesRequest := &ecs20140526.DescribeRegionsRequest{}
// 初始化运行时配置。
runtime := &util.RuntimeOptions{}
// 调用DescribeRegions接口并获得响应。
response, _err := ecsClient.DescribeRegionsWithOptions(describeInstancesRequest, runtime)
if _err != nil {
panic(_err)
}
panic(response.Body.String())
}
ECS和ECI实例均支持绑定实例RAM角色,当在实例中使用Credentials工具时,将自动获取实例绑定的RAM角色,并通过访问元数据服务获取RAM角色的STS Token,以完成凭据客户端的初始化。
实例元数据服务器支持加固模式和普通模式两种访问方式,Credentials工具默认使用加固模式(IMDSv2)获取访问凭据。若使用加固模式时发生异常,您可以通过设置DisableIMDSv1
来执行不同的异常处理逻辑:
当值为false
(默认值)时,会使用普通模式继续获取访问凭据。
当值为true
时,表示只能使用加固模式获取访问凭据,会抛出异常。
服务端是否支持IMDSv2,取决于您在服务器的配置。
关于ECS实例元数据的介绍,请参见实例元数据。
如何为ECS和ECI实例授予RAM角色,具体操作请参见创建RAM角色并授予给ECS实例和为ECI实例授予实例RAM角色。
package main
import (
"fmt"
"github.com/aliyun/credentials-go/credentials"
)
func _main(args []*string) {
// 使用EcsRamRole初始化Credentials Client。
credentialsConfig := new(credentials.Config).
// 凭证类型。
SetType("ecs_ram_role").
// 选填,该ECS角色的角色名称,不填会自动获取,但是建议加上以减少请求次数,可以通过环境变量ALIBABA_CLOUD_ECS_METADATA设置RoleName
SetRoleName("<RoleName>")
// true表示强制使用加固模式。默认值:false,系统将首先尝试在加固模式下获取凭据。如果失败,则会切换到普通模式进行尝试(IMDSv1)。
// credentialsConfig.SetDisableIMDSv1(true)
credentialClient, err := credentials.NewCredential(credentialsConfig)
if err != nil {
return
}
credential, err := credentialClient.GetCredential()
accessKeyId := credential.AccessKeyId
accessKeySecret := credential.AccessKeySecret
securityToken := credential.SecurityToken
credentialType := credential.Type
fmt.Println(accessKeyId, accessKeySecret, securityToken, credentialType)
}
本示例以调用云服务器ECS的DescribeRegions接口为例,因此需先安装ECS SDK。
package main
import (
openapi "github.com/alibabacloud-go/darabonba-openapi/v2/client"
ecs20140526 "github.com/alibabacloud-go/ecs-20140526/v4/client"
util "github.com/alibabacloud-go/tea-utils/v2/service"
"github.com/alibabacloud-go/tea/tea"
credentials "github.com/aliyun/credentials-go/credentials"
)
func _main(args []*string) {
// 使用EcsRamRole初始化Credentials Client。
credentialsConfig := new(credentials.Config).
// 凭证类型。
SetType("ecs_ram_role").
// 选填,该ECS角色的角色名称,不填会自动获取,但是建议加上以减少请求次数,可以通过环境变量ALIBABA_CLOUD_ECS_METADATA设置RoleName
SetRoleName("<RoleName>")
credentialClient, _err := credentials.NewCredential(credentialsConfig)
if _err != nil {
panic(_err)
}
ecsConfig := &openapi.Config{}
// 配置云产品服务接入地址(endpoint)。
ecsConfig.Endpoint = tea.String("ecs.cn-beijing.aliyuncs.com")
// 使用Credentials配置凭证。
ecsConfig.Credential = credentialClient
// 初始化ECS Client。
ecsClient, _err := ecs20140526.NewClient(ecsConfig)
// 初始化DescribeRegions请求。
describeInstancesRequest := &ecs20140526.DescribeRegionsRequest{}
// 初始化运行时配置。
runtime := &util.RuntimeOptions{}
// 调用DescribeRegions接口并获得响应。
response, _err := ecsClient.DescribeRegionsWithOptions(describeInstancesRequest, runtime)
if _err != nil {
panic(_err)
}
panic(response.Body.String())
}
在容器服务 Kubernetes 版中设置了Worker节点RAM角色后,对应节点内的Pod中的应用也就可以像ECS上部署的应用一样,通过元数据服务(Meta Data Server)获取关联角色的STS Token。但如果容器集群上部署的是不可信的应用(比如部署您的客户提交的应用,代码也没有对您开放),您可能并不希望它们能通过元数据服务获取Worker节点关联实例RAM角色的STS Token。为了避免影响云上资源的安全,同时又能让这些不可信的应用安全地获取所需的 STS Token,实现应用级别的权限最小化,您可以使用RRSA(RAM Roles for Service Account)功能。阿里云容器集群会为不同的应用Pod创建和挂载相应的服务账户OIDC Token文件,并将相关配置信息注入到环境变量中,Credentials工具通过获取环境变量的配置信息,调用STS服务的AssumeRoleWithOIDC - OIDC角色SSO时获取扮演角色的临时身份凭证接口换取绑定角色的STS Token。详情请参见通过RRSA配置ServiceAccount的RAM权限实现Pod权限隔离。
注入的环境变量如下:
ALIBABA_CLOUD_ROLE_ARN:RAM角色名称ARN;
ALIBABA_CLOUD_OIDC_PROVIDER_ARN:OIDC提供商ARN;
ALIBABA_CLOUD_OIDC_TOKEN_FILE:OIDC Token文件路径;
package main
import (
"fmt"
"github.com/aliyun/credentials-go/credentials"
"os"
)
func main() {
config := new(credentials.Config).
SetType("oidc_role_arn").
// OIDC提供商ARN,可以通过环境变量ALIBABA_CLOUD_OIDC_PROVIDER_ARN设置OidcProviderArn
SetOIDCProviderArn(os.Getenv("ALIBABA_CLOUD_OIDC_PROVIDER_ARN")).
// OIDC Token文件路径,可以通过环境变量ALIBABA_CLOUD_OIDC_TOKEN_FILE设置OidcTokenFilePath
SetOIDCTokenFilePath(os.Getenv("ALIBABA_CLOUD_OIDC_TOKEN_FILE")).
// RAM角色名称ARN,可以通过环境变量ALIBABA_CLOUD_ROLE_ARN设置RoleArn
SetRoleArn(os.Getenv("ALIBABA_CLOUD_ROLE_ARN")).
// 角色会话名称,可以通过环境变量ALIBABA_CLOUD_ROLE_SESSION_NAME设置RoleSessionName
SetRoleSessionName(os.Getenv("ALIBABA_CLOUD_ROLE_SESSION_NAME")).
// 设置更小的权限策略,非必填。示例值:{"Statement": [{"Action": ["*"],"Effect": "Allow","Resource": ["*"]}],"Version":"1"}
SetPolicy("<Policy>").
// 非必填,设置session过期时间
SetRoleSessionExpiration(3600).
// 非必填,默认为sts.aliyuncs.com,建议使用Region化的STS域名,选择地理位置更接近的Region可以保证网络连通性
SetSTSEndpoint("sts.cn-hangzhou.aliyuncs.com")
oidcCredential, err := credentials.NewCredential(config)
if err != nil {
return
}
credential, err := oidcCredential.GetCredential()
accessKeyId := credential.AccessKeyId
accessKeySecret := credential.AccessKeySecret
securityToken := credential.SecurityToken
credentialType := credential.Type
fmt.Println(accessKeyId, accessKeySecret, securityToken, credentialType)
}
本示例以调用云服务器ECS的DescribeRegions接口为例,因此需先安装ECS SDK。
package main
import (
openapi "github.com/alibabacloud-go/darabonba-openapi/v2/client"
ecs20140526 "github.com/alibabacloud-go/ecs-20140526/v4/client"
util "github.com/alibabacloud-go/tea-utils/v2/service"
"github.com/alibabacloud-go/tea/tea"
credentials "github.com/aliyun/credentials-go/credentials"
"os"
)
func _main(args []*string) {
// 使用OIDCRoleArn初始化Credentials Client。
credentialsConfig := new(credentials.Config).
// 凭证类型。
SetType("oidc_role_arn").
// OIDC提供商ARN,可以通过环境变量ALIBABA_CLOUD_OIDC_PROVIDER_ARN设置OidcProviderArn
SetOIDCProviderArn(os.Getenv("ALIBABA_CLOUD_OIDC_PROVIDER_ARN")).
// OIDC Token文件路径,可以通过环境变量ALIBABA_CLOUD_OIDC_TOKEN_FILE设置OidcTokenFilePath
SetOIDCTokenFilePath(os.Getenv("ALIBABA_CLOUD_OIDC_TOKEN_FILE")).
// RAM角色名称ARN,可以通过环境变量ALIBABA_CLOUD_ROLE_ARN设置RoleArn
SetRoleArn(os.Getenv("ALIBABA_CLOUD_ROLE_ARN")).
// 角色会话名称,可以通过环境变量ALIBABA_CLOUD_ROLE_SESSION_NAME设置RoleSessionName
SetRoleSessionName(os.Getenv("ALIBABA_CLOUD_ROLE_SESSION_NAME")).
// 设置更小的权限策略,非必填。示例值:{"Statement": [{"Action": ["*"],"Effect": "Allow","Resource": ["*"]}],"Version":"1"}
SetPolicy("<Policy>").
// 设置session过期时间
SetRoleSessionExpiration(3600)
credentialClient, _err := credentials.NewCredential(credentialsConfig)
if _err != nil {
panic(_err)
}
ecsConfig := &openapi.Config{}
// 配置云产品服务接入地址(endpoint)。
ecsConfig.Endpoint = tea.String("ecs.cn-beijing.aliyuncs.com")
// 使用Credentials配置凭证。
ecsConfig.Credential = credentialClient
// 初始化ECS Client。
ecsClient, _err := ecs20140526.NewClient(ecsConfig)
// 初始化DescribeRegions请求。
describeInstancesRequest := &ecs20140526.DescribeRegionsRequest{}
// 初始化运行时配置。
runtime := &util.RuntimeOptions{}
// 调用DescribeRegions接口并获得响应。
response, _err := ecsClient.DescribeRegionsWithOptions(describeInstancesRequest, runtime)
if _err != nil {
panic(_err)
}
panic(response.Body.String())
}
该方案底层实现是STS Token。Credentials工具通过您提供的URI获取STS Token,完成凭据客户端初始化。
package main
import (
"github.com/aliyun/credentials-go/credentials"
)
func main() {
config := new(credentials.Config).
SetType("credentials_uri").
// 凭证的 URI,格式为http://local_or_remote_uri/,可以通过环境变量ALIBABA_CLOUD_CREDENTIALS_URI设置CredentialsUri
SetCredentialsUri("<CredentialsUri>")
uriCredential, err := credentials.NewCredential(config)
}
指定Credentials提供地址,实现通过本地或远程的URI来获取并自动更新Token,完成云产品接口的调用。
本示例以调用云服务器ECS的DescribeRegions接口为例,因此需先安装ECS SDK。
package main
import (
openapi "github.com/alibabacloud-go/darabonba-openapi/v2/client"
ecs20140526 "github.com/alibabacloud-go/ecs-20140526/v4/client"
util "github.com/alibabacloud-go/tea-utils/v2/service"
"github.com/alibabacloud-go/tea/tea"
credentials "github.com/aliyun/credentials-go/credentials"
"os"
)
func main() {
config := new(credentials.Config).
SetType("credentials_uri").
// 凭证的 URI,格式为http://local_or_remote_uri/,可以通过环境变量ALIBABA_CLOUD_CREDENTIALS_URI设置CredentialsUri
SetCredentialsUri("<CredentialsUri>")
uriCredential, _err := credentials.NewCredential(config)
if _err != nil {
panic(_err)
}
ecsConfig := &openapi.Config{}
// 配置云产品服务接入地址(endpoint)。
ecsConfig.Endpoint = tea.String("ecs.cn-beijing.aliyuncs.com")
// 使用Credentials配置凭证。
ecsConfig.Credential = uriCredential
// 初始化ECS Client。
ecsClient, _err := ecs20140526.NewClient(ecsConfig)
// 初始化DescribeRegions请求。
describeInstancesRequest := &ecs20140526.DescribeRegionsRequest{}
// 初始化运行时配置。
runtime := &util.RuntimeOptions{}
// 调用DescribeRegions接口并获得响应。
response, _err := ecsClient.DescribeRegionsWithOptions(describeInstancesRequest, runtime)
if _err != nil {
panic(_err)
}
panic(response.Body.String())
}
目前只有云呼叫中心CCC这款产品支持Bearer Token的凭据初始化方式。
package main
import (
"fmt"
"github.com/aliyun/credentials-go/credentials"
)
func main() {
config := new(credentials.Config).
SetType("bearer").
// 填入您的Bearer Token
SetBearerToken("<BearerToken>")
bearerCredential, err := credentials.NewCredential(config)
if err != nil {
return
}
bearerToken := bearerCredential.GetBearerToken()
credentialType := bearerCredential.GetType()
fmt.Println(bearerToken, credentialType)
}
本示例以调用呼叫中心CCC的GetInstance接口为例,因此需先安装CCC SDK。
package main
import (
ccc20200701 "github.com/alibabacloud-go/ccc-20200701/v2/client"
openapi "github.com/alibabacloud-go/darabonba-openapi/v2/client"
util "github.com/alibabacloud-go/tea-utils/v2/service"
"github.com/alibabacloud-go/tea/tea"
credentials "github.com/aliyun/credentials-go/credentials"
)
func _main() (_err error) {
// 使用Bearer Token初始化Credentials Client。
credentialsConfig := new(credentials.Config).
// 凭证类型。
SetType("bearer").
SetBearerToken("<BearerToken>")
credentialClient, _err := credentials.NewCredential(credentialsConfig)
if _err != nil {
return _err
}
// 使用Credentials Client初始化CCC Client。
config := &openapi.Config{}
config.Endpoint = tea.String("ccc.cn-shanghai.aliyuncs.com") // 配置云产品服务接入地址(endpoint)。
config.Credential = credentialClient // 使用Credentials配置凭证。
cccClient, _err := ccc20200701.NewClient(config)
if _err != nil {
return _err
}
getInstanceRequest := &ccc20200701.GetInstanceRequest{
InstanceId: tea.String("ccc-test"),
}
runtime := &util.RuntimeOptions{}
response, _err := cccClient.GetInstanceWithOptions(getInstanceRequest, runtime)
if _err != nil {
return _err
}
panic(response.Body.String())
}
func main() {
err := _main()
if err != nil {
panic(err)
}
}
当开发环境与生产环境使用的凭据类型不一致时,常见做法是在代码中获取当前环境信息,编写获取不同凭据的分支代码。借助Credentials工具的默认凭据链,您可以用同一套代码,通过程序之外的配置来控制不同环境下的凭据获取方式。当您使用NewCredential()
初始化凭据客户端,且不传入任何参数时,阿里云SDK将会尝试按照如下顺序查找相关凭据信息。
若不存在优先级更高的凭据信息,Credentials工具会优先在环境变量中获取凭据信息。
如果系统环境变量ALIBABA_CLOUD_ACCESS_KEY_ID(密钥Key) 和 ALIBABA_CLOUD_ACCESS_KEY_SECRET(密钥Value) 不为空,Credentials工具会优先使用它们作为默认凭据。
如果系统环境变量ALIBABA_CLOUD_ACCESS_KEY_ID(密钥Key)、ALIBABA_CLOUD_ACCESS_KEY_SECRET(密钥Value)、ALIBABA_CLOUD_SECURITY_TOKEN(Token)均不为空,Credentials工具会优先使用STS Token作为默认凭据。
若不存在优先级更高的凭据信息,Credentials工具会在环境变量中获取如下内容:
ALIBABA_CLOUD_ROLE_ARN:RAM角色名称ARN;
ALIBABA_CLOUD_OIDC_PROVIDER_ARN:OIDC提供商ARN;
ALIBABA_CLOUD_OIDC_TOKEN_FILE:OIDC Token文件路径;
若以上三个环境变量都已设置内容,Credentials将会使用变量内容调用STS服务的AssumeRoleWithOIDC - OIDC角色SSO时获取扮演角色的临时身份凭证接口换取STS Token作为默认凭据。
若不存在优先级更高的凭据信息,Credentials工具会优先在如下位置查找config.json文件是否存在:
Linux系统:~/.aliyun/config.json
Windows系统: C:\Users\USER_NAME\.aliyun\config.json
如果文件存在,程序将会使用配置文件中current 指定的凭据信息初始化凭据客户端。当然,您也可以通过环境变量 ALIBABA_CLOUD_PROFILE 来指定凭据信息,例如设置 ALIBABA_CLOUD_PROFILE 的值为client1。
在config.json配置文件中每个mode的值代表了不同的凭据信息获取方式:
AK:使用用户的Access Key作为凭据信息;
RamRoleArn:使用RAM角色的ARN来获取凭据信息;
EcsRamRole:利用ECS绑定的RAM角色来获取凭据信息;
OIDC:通过OIDC ARN和OIDC Token来获取凭据信息;
ChainableRamRoleArn:采用角色链的方式,通过指定JSON文件中的其他凭据,以重新获取新的凭据信息。
配置示例信息如下:
{
"current": "default",
"profiles": [
{
"name": "default",
"mode": "AK",
"access_key_id": "<ALIBABA_CLOUD_ACCESS_KEY_ID>",
"access_key_secret": "<ALIBABA_CLOUD_ACCESS_KEY_SECRET>"
},
{
"name":"client1",
"mode":"RamRoleArn",
"access_key_id":"<ALIBABA_CLOUD_ACCESS_KEY_ID>",
"access_key_secret":"<ALIBABA_CLOUD_ACCESS_KEY_SECRET>",
"ram_role_arn":"<ROLE_ARN>",
"ram_session_name":"<ROLE_SESSION_NAME>",
"expired_seconds":3600
},
{
"name":"client2",
"mode":"EcsRamRole",
"ram_role_name":"<RAM_ROLE_ARN>"
},
{
"name":"client3",
"mode":"OIDC",
"oidc_provider_arn":"<OIDC_PROVIDER_ARN>",
"oidc_token_file":"<OIDC_TOKEN_FILE>",
"ram_role_arn":"<ROLE_ARN>",
"ram_session_name":"<ROLE_SESSION_NAME>",
"expired_seconds":3600
},
{
"name":"client4",
"mode":"ChainableRamRoleArn",
"source_profile":"<PROFILE_NAME>",
"ram_role_arn":"<ROLE_ARN>",
"ram_session_name":"<ROLE_SESSION_NAME>",
"expired_seconds":3600
}
]
}
若不存在优先级更高的凭据信息,Credentials工具将通过环境变量获取ALIBABA_CLOUD_ECS_METADATA(ECS实例RAM角色名称)的值。若该变量的值存在,程序将采用加固模式(IMDSv2)访问ECS的元数据服务(Meta Data Server),以获取ECS实例RAM角色的STS Token作为默认凭据信息。在使用加固模式时若发生异常,将使用普通模式兜底来获取访问凭据。您也可以通过设置环境变量ALIBABA_CLOUD_IMDSV1_DISABLED,执行不同的异常处理逻辑:
当值为false
时,会使用普通模式继续获取访问凭据。
当值为true
时,表示只能使用加固模式获取访问凭据,会抛出异常。
服务端是否支持IMDSv2,取决于您在服务器的配置。
若不存在优先级更高的凭据信息,Credentials工具会在环境变量中获取ALIBABA_CLOUD_CREDENTIALS_URI,若存在,程序将请求该URI地址,获取临时安全凭证作为默认凭据信息。
当您想要在程序中使用不同的访问凭据调用不同OpenAPI时,可以通过如下方式。
通过初始化多个凭据客户端,传入到不同的接口请求客户端。
package main
import (
credentials "github.com/aliyun/credentials-go/credentials"
"os"
)
func main() {
config1 := new(credentials.Config).
SetType("access_key").
SetAccessKeyId(os.Getenv("ALIBABA_CLOUD_ACCESS_KEY_ID")).
SetAccessKeySecret(os.Getenv("ALIBABA_CLOUD_ACCESS_KEY_SECRET"))
akCredential, err1 := credentials.NewCredential(config1)
config2 := new(credentials.Config).
SetType("sts").
SetAccessKeyId(os.Getenv("ALIBABA_CLOUD_ACCESS_KEY_ID")).
SetAccessKeySecret(os.Getenv("ALIBABA_CLOUD_ACCESS_KEY_SECRET")).
SetSecurityToken(os.Getenv("ALIBABA_CLOUD_SECURITY_TOKEN"))
akCredential, err2 := credentials.NewCredential(config2)
}