Cara Mengonfigurasi Kredensial Identitas di Cloud Assistant CLI - Alibaba Cloud CLI

Sebelum menggunakan Cloud Assistant CLI, Anda perlu mengonfigurasi kredensial, wilayah, dan bahasa. Informasi ini diperlukan untuk mengakses sumber daya Alibaba Cloud.

Catatan

Pastikan informasi kredensial Anda akurat selama konfigurasi untuk mencegah kerugian tidak perlu akibat kesalahan operasi atau kegagalan panggilan API.

Metode konfigurasi kredensial identitas

Cloud Assistant CLI menyediakan dua metode konfigurasi: interaktif dan non-interaktif. Metode interaktif menawarkan proses terpandu yang membantu Anda mengonfigurasi kredensial identitas di Cloud Assistant CLI dengan cepat dan mudah, serta memiliki kurva pembelajaran yang rendah.

Konfigurasi interaktif

Sintaks umum

Untuk mengonfigurasi kredensial secara interaktif, gunakan perintah aliyun <a baseurl="t395345_v3_0_0.xdita" data-node="395350" data-root="7086" data-tag="xref" href="t395350.xdita#088c4c1fc8x3u" id="a5b02a6e850pt">configure</a>. Sintaks perintah adalah sebagai berikut:

aliyun configure [--profile <PROFILE_NAME>] [--mode <AUTHENTICATE_MODE>]

Parameter:

PROFILE_NAME: Nama konfigurasi.
- Jika konfigurasi yang ditentukan sudah ada, maka akan dimodifikasi. Jika tidak, konfigurasi baru akan dibuat.
- Jika opsi ini tidak ditentukan, konfigurasi saat ini akan dimodifikasi. Untuk informasi lebih lanjut, lihat Manajemen Kredensial.
AUTHENTICATE_MODE: Jenis Kredensial Identitas. Defaultnya adalah tipe AK (AccessKey).

Berikut adalah contoh tanggapan untuk konfigurasi yang berhasil:

Configure Done!!!
..............888888888888888888888 ........=8888888888888888888D=..............
...........88888888888888888888888 ..........D8888888888888888888888I...........
.........,8888888888888ZI: ...........................=Z88D8888888888D..........
.........+88888888 ..........................................88888888D..........
.........+88888888 .......Selamat datang di Alibaba Cloud.......O8888888D..........
.........+88888888 ............. ************* ..............O8888888D..........
.........+88888888 .... Command Line Interface(Reloaded) ....O8888888D..........
.........+88888888...........................................88888888D..........
..........D888888888888DO+. ..........................?ND888888888888D..........
...........O8888888888888888888888...........D8888888888888888888888=...........
............ .:D8888888888888888888.........78888888888888888888O ..............

Konfigurasi non-interaktif

Sintaks umum

Gunakan perintah <a baseurl="t395345_v3_0_0.xdita" data-node="395350" data-root="7086" data-tag="xref" href="t395350.xdita#289ac5b8e2cvk" id="14941ad19583u">aliyun configure set</a> untuk mengonfigurasi kredensial dalam mode non-interaktif. Sintaks:

aliyun configure set [--profile <PROFILE_NAME>] [--mode <AUTHENTICATE_MODE>] [--settingName <SETTING_VALUE>...]

Opsi:

PROFILE_NAME: Menentukan nama konfigurasi. Jika konfigurasi dengan nama tersebut sudah ada, maka akan dimodifikasi. Jika tidak, konfigurasi baru akan dibuat.
AUTHENTICATE_MODE: Menentukan jenis kredensial untuk konfigurasi. Tipe AccessKey (AK) digunakan secara default. Untuk informasi lebih lanjut tentang jenis yang didukung, lihat Jenis Kredensial Identitas.
SETTING_VALUE: Informasi yang diperlukan bervariasi tergantung pada jenis kredensial. Untuk detail lebih lanjut, lihat Jenis Kredensial Identitas dan Buat atau Modifikasi Konfigurasi dalam Mode Non-Interaktif.

Setelah mengonfigurasi kredensial dalam mode non-interaktif, gunakan perintah <a baseurl="t395345_v3_0_0.xdita" data-node="395350" data-root="7086" data-tag="xref" href="t395350.xdita#4addcad7ec44w" id="66c35caaa0oap">aliyun configure list</a> atau <a baseurl="t395345_v3_0_0.xdita" data-node="395350" data-root="7086" data-tag="xref" href="t395350.xdita#13d374aa41q2t" id="1bd85226b351e">aliyun configure get</a> untuk memverifikasi bahwa konfigurasi telah berhasil dibuat.

Jenis Kredensial Identitas

Cloud Assistant CLI menyediakan tipe kredensial berikut, yang dapat dikonfigurasi sesuai kebutuhan.

Jenis kredensial	Kebijakan pembaruan kredensial	Akses tanpa kunci
AK	Pembaruan manual	Tidak didukung
StsToken	Pembaruan manual	Tidak didukung
RamRoleArn	Pembaruan otomatis	Tidak didukung
EcsRamRole	Pembaruan otomatis	Didukung
External	Diperbarui oleh sistem eksternal	Didukung
ChainableRamRoleArn	Mengikuti kebijakan pembaruan kredensial sebelumnya	Didukung
CredentialsURI	Diperbarui oleh sistem eksternal	Didukung
OIDC	Pembaruan otomatis	Didukung
CloudSSO	Memerlukan login melalui browser	Didukung
OAuth	Memerlukan interaksi browser untuk otorisasi awal. Dapat diperbarui otomatis kemudian.	Didukung

AK

Deskripsi

Penting

Untuk memastikan keamanan akun, buat Pengguna Resource Access Management (RAM) yang didedikasikan untuk akses API dan buat Pasangan Kunci Akses yang sesuai. Untuk informasi lebih lanjut, lihat Penggunaan kredensial secara aman.

Kredensial AK adalah tipe kredensial default dan menggunakan AccessKey sebagai kredensial identitas. Saat mengonfigurasi kredensial AK, Anda dapat mengabaikan opsi --mode.

Parameter kredensial:

Parameter	Deskripsi	Contoh
AccessKey Id	ID AccessKey Anda. Untuk informasi lebih lanjut tentang cara mendapatkan ID AccessKey, lihat Buat Pasangan Kunci Akses untuk Pengguna RAM.	yourAccessKeyID
AccessKey Secret	Rahasia AccessKey Anda. Untuk informasi lebih lanjut tentang cara mendapatkan rahasia AccessKey, lihat Buat Pasangan Kunci Akses untuk Pengguna RAM.	yourAccessKeySecret
Region Id	Wilayah default region. Beberapa Layanan Alibaba Cloud tidak mendukung akses lintas wilayah. Atur wilayah default ke wilayah tempat sumber daya yang Anda beli berada.	cn-hangzhou

Contoh

Contoh berikut menunjukkan cara mengonfigurasi kredensial AK bernama AkProfile.

Konfigurasi interaktif

Perintah:

aliyun configure --profile AkProfile

Contoh proses interaktif:

Contoh

Mengonfigurasi profil 'AkProfile' dalam mode otentikasi 'AK'...
Access Key Id []: <yourAccessKeyID>
Access Key Secret []: <yourAccessKeySecret>
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Hanya mendukung json)
Default Language [zh|en] en: en
Menyimpan profil[AkProfile] ...Selesai.

Konfigurasi non-interaktif

Perintah:

Bash

aliyun configure set \
  --profile AkProfile \
  --mode AK \
  --access-key-id <yourAccessKeyID> \
  --access-key-secret <yourAccessKeySecret> \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile AkProfile `
  --mode AK `
  --access-key-id <yourAccessKeyID> `
  --access-key-secret <yourAccessKeySecret> `
  --region "cn-hangzhou"

StsToken

Deskripsi

Alibaba Cloud Security Token Service (STS) adalah layanan yang menyediakan pengelolaan izin akses sementara. Untuk informasi lebih lanjut, lihat Apa itu STS?.

Parameter kredensial:

Catatan

Untuk informasi lebih lanjut, lihat Dapatkan kredensial identitas sementara untuk Peran RAM.

Parameter	Deskripsi	Contoh
AccessKey ID	ID AccessKey sementara Anda.	STS.L4aBSCSJVMuKg5U1****
AccessKey Secret	Rahasia AccessKey sementara Anda.	yourAccessKeySecret
STS Token	Token Layanan Token Keamanan Anda.	yourSecurityToken
Region Id	Wilayah default region. Beberapa layanan Alibaba Cloud tidak mendukung akses lintas wilayah. Atur wilayah default ke wilayah di mana sumber daya yang Anda beli berada.	cn-hangzhou

Contoh

Contoh berikut menunjukkan cara mengonfigurasi kredensial StsToken bernama StsProfile.

Konfigurasi interaktif

Perintah:

aliyun configure --profile StsProfile --mode StsToken

Contoh proses interaktif:

Contoh

Mengonfigurasi profil 'StsProfile' dalam mode autentikasi 'StsToken'...
Access Key Id []: STS.L4aBSCSJVMuKg5U1****
Access Key Secret []: <yourAccessKeySecret>
Sts Token []: <yourSecurityToken>
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Hanya mendukung json)
Default Language [zh|en] en: en
Menyimpan profil[StsProfile] ...Selesai.

Konfigurasi non-interaktif

Perintah:

Bash

aliyun configure set \
  --profile StsProfile \
  --mode StsToken \
  --access-key-id "STS.L4aBSCSJVMuKg5U1****" \
  --access-key-secret <yourAccessKeySecret> \
  --sts-token <yourSecurityToken> \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile StsProfile `
  --mode StsToken `
  --access-key-id "STS.L4aBSCSJVMuKg5U1****" `
  --access-key-secret <yourAccessKeySecret> `
  --sts-token <yourSecurityToken> `
  --region "cn-hangzhou"

RamRoleArn

Deskripsi

Catatan

Mulai versi v3.0.276, Cloud Assistant CLI mendukung External Id dalam kredensial tipe RamRoleArn. Untuk detail lebih lanjut, lihat tabel berikut.

Kredensial tipe RamRoleArn memungkinkan Pengguna RAM memanggil operasi API <a baseurl="t395345_v3_3_0.xdita" data-node="3314723" data-root="7086" data-tag="xref" href="t2155837.xdita#" id="f4bd816a9bjt1">AssumeRole</a> dari Layanan Token Keamanan (STS) untuk mendapatkan kredensial identitas sementara (token STS).

Parameter kredensial:

Parameter	Deskripsi	Contoh
AccessKey Id	ID AccessKey Anda. Untuk informasi lebih lanjut tentang cara mendapatkan ID AccessKey, lihat Buat pasangan AccessKey untuk Pengguna RAM.	yourAccessKeyID
AccessKey Secret	Rahasia AccessKey Anda. Untuk informasi lebih lanjut tentang cara mendapatkan rahasia AccessKey, lihat Buat pasangan AccessKey untuk Pengguna RAM.	yourAccessKeySecret
Wilayah STS	Wilayah tempat panggilan dilakukan untuk mendapatkan token STS. Untuk informasi lebih lanjut tentang wilayah yang didukung oleh STS, lihat Endpoints.	cn-hangzhou
Ram Role Arn	Nama Sumber Daya Alibaba Cloud (ARN) dari Peran RAM yang akan diasumsikan. Peran ini adalah Peran RAM yang entitas tepercayanya adalah Akun Alibaba Cloud. Untuk informasi lebih lanjut, lihat Buat Peran RAM untuk Akun Alibaba Cloud Tepercaya atau CreateRole. Anda dapat melihat ARN peran di Konsol Manajemen RAM atau dengan memanggil API: Konsol RAM: Untuk informasi lebih lanjut, lihat Bagaimana cara melihat ARN dari Peran RAM?. API: Untuk informasi lebih lanjut, lihat ListRoles atau GetRole.	acs:ram::012345678910****:role/Alice
Nama Sesi Peran	Nama sesi peran. Ini adalah parameter kustom. Biasanya diatur ke identitas pengguna yang memanggil API ini, seperti nama pengguna. Dalam log audit, meskipun Peran RAM yang sama melakukan operasi, Anda dapat membedakan operator sebenarnya berdasarkan nilai `RoleSessionName` yang berbeda untuk menerapkan audit akses tingkat pengguna. Nilainya harus memiliki panjang 2 hingga 64 karakter dan dapat berisi huruf, angka, serta karakter khusus `.@-_`.	alice
Id Eksternal	ID eksternal dari peran. Parameter ini disediakan oleh pihak eksternal untuk mewakili peran. Ini terutama digunakan untuk mencegah masalah wakil yang bingung. Untuk informasi lebih lanjut, lihat Gunakan ID eksternal untuk mencegah masalah wakil yang bingung. Nilainya harus memiliki panjang 2 hingga 1.224 karakter dan dapat berisi huruf, angka, serta karakter khusus `=,.@:/-_`. Ekspresi reguler adalah `[\w+=,.@:\/-]*`.	abcd1234
Expired Seconds	Waktu kedaluwarsa kredensial, dalam detik. Nilai default adalah `900`. Nilai maksimumnya adalah `MaxSessionDuration` dari peran yang akan diasumsikan.	900
Region Id	Default region. Beberapa layanan Alibaba Cloud tidak mendukung akses lintas wilayah. Atur wilayah default ke wilayah tempat sumber daya yang Anda beli berada.	cn-hangzhou

Contoh

Contoh berikut menunjukkan cara mengonfigurasi kredensial RamRoleArn bernama RamRoleArnProfile.

Konfigurasi interaktif

Perintah:

aliyun configure --profile RamRoleArnProfile --mode RamRoleArn

Contoh proses interaktif:

Contoh

Mengonfigurasi profil 'RamRoleArnProfile' dalam mode autentikasi 'RamRoleArn'...
Access Key Id []: <yourAccessKeyID>
Access Key Secret []: <yourAccessKeySecret>
Sts Region []: cn-hangzhou
Ram Role Arn []: acs:ram::012345678910****:role/Alice
Role Session Name []: alice
External ID []: abcd1234
Expired Seconds [900]: 900
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Hanya mendukung json)
Default Language [zh|en] en: en
Menyimpan profil[RamRoleArnProfile] ...Selesai.

Konfigurasi non-interaktif

Perintah:

Bash

aliyun configure set \
  --profile RamRoleArnProfile \
  --mode RamRoleArn \
  --access-key-id <yourAccessKeyID> \
  --access-key-secret <yourAccessKeySecret> \
  --sts-region "cn-hangzhou"
  --ram-role-arn "acs:ram::012345678910****:role/Alice" \
  --role-session-name "alice" \
  --external-id "abcd1234" \
  --expired-seconds 900 \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile RamRoleArnProfile `
  --mode RamRoleArn `
  --access-key-id <yourAccessKeyID> `
  --access-key-secret <yourAccessKeySecret> `
  --sts-region "cn-hangzhou" `
  --ram-role-arn "acs:ram::012345678910****:role/Alice" `
  --role-session-name "alice" `
  --external-id "abcd1234" `
  --expired-seconds 900 `
  --region "cn-hangzhou"

EcsRamRole

Deskripsi

Catatan

Mulai versi v3.0.225, Cloud Assistant CLI secara default mendapatkan kredensial akses dalam mode diperketat (IMDSv2). Kami menyarankan Anda menginstal versi terbaru Cloud Assistant CLI sebelum mengonfigurasi jenis kredensial ini.
Untuk informasi lebih lanjut tentang cara memberikan Peran RAM kepada Instance ECS atau ECI, lihat Buat Peran RAM dan Berikan kepada Instance ECS dan Berikan Peran RAM Instans kepada Instance ECI.

Anda tidak perlu mengonfigurasi AccessKey untuk kredensial EcsRamRole. Saat menggunakan Cloud Assistant CLI di dalam instance ECS atau ECI, Anda dapat mengakses Layanan Meta Data untuk mendapatkan kredensial identitas sementara (STS token) untuk Peran RAM guna memanggil operasi OpenAPI. Metode ini mengurangi risiko kebocoran AccessKey.
Server metadata instans mendukung mode aman dan mode normal. Cloud Assistant CLI secara default menggunakan mode aman (IMDSv2) untuk mendapatkan kredensial akses. Jika terjadi pengecualian dalam mode aman, Anda dapat mengatur variabel lingkungan ALIBABA_CLOUD_IMDSV1_DISABLED untuk menentukan logika penanganan pengecualian. Nilai yang valid adalah:
- Jika nilainya false (default), Cloud Assistant CLI akan beralih ke mode normal untuk mendapatkan kredensial akses.
- Jika nilainya true, Cloud Assistant CLI hanya menggunakan mode aman untuk mendapatkan kredensial akses dan melempar pengecualian jika gagal.
Apakah server mendukung IMDSv2 bergantung pada konfigurasi server Anda.
Untuk informasi lebih lanjut, lihat Konfigurasikan Variabel Lingkungan di Linux, macOS, dan Windows.

Parameter kredensial:

Parameter

Deskripsi

Contoh

Ecs Ram Role

Nama Peran RAM yang diberikan kepada Instance ECS.

Jika Anda tidak menentukan parameter ini, program secara otomatis mengakses layanan metadata Instance ECS untuk mendapatkan informasi RoleName, lalu mendapatkan kredensial berdasarkan RoleName. Proses ini memerlukan dua permintaan.

ECSAdmin

Region Id

Wilayah default region.

Beberapa Layanan Alibaba Cloud tidak mendukung akses lintas wilayah. Atur wilayah default ke wilayah tempat sumber daya yang Anda beli berada.

cn-hangzhou

Contoh

Contoh berikut menunjukkan cara mengonfigurasi kredensial EcsRamRole bernama EcsProfile.

Konfigurasi interaktif

Perintah:

aliyun configure --profile EcsProfile --mode EcsRamRole

Contoh proses interaktif:

Contoh

Mengonfigurasi profil 'EcsProfile' dalam mode autentikasi 'EcsRamRole'...
Ecs Ram Role []: ECSAdmin
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Hanya mendukung json)
Default Language [zh|en] en: en
Menyimpan profil[EcsProfile] ...Selesai.

Konfigurasi non-interaktif

Perintah:

Bash

aliyun configure set \
  --profile EcsProfile \
  --mode EcsRamRole \
  --ram-role-name "ECSAdmin" \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile EcsProfile `
  --mode EcsRamRole `
  --ram-role-name "ECSAdmin" `
  --region "cn-hangzhou"

Eksternal

Deskripsi

Kredensial Eksternal mengambil data kredensial dari program eksternal. Ketika Cloud Assistant CLI menggunakan kredensial ini, ia mengeksekusi perintah program yang telah ditentukan dan menggunakan outputnya sebagai kredensial.

Parameter kredensial:

Parameter

Deskripsi

Contoh

Perintah Proses

Perintah program eksternal. Program eksternal dapat mengembalikan dua jenis kredensial statis: AccessKey dan STS Token.

acs-sso login --profile sso

ID Wilayah

Default Wilayah.

Beberapa layanan Alibaba Cloud tidak mendukung akses lintas wilayah. Atur wilayah default ke wilayah tempat sumber daya yang Anda beli berada.

cn-hangzhou

Contoh kredensial yang dikembalikan oleh program eksternal:

AccessKey

{
  "mode": "AK",
  "access_key_id": "<yourAccessKeyID>",
  "access_key_secret": "<yourAccessKeySecret>"
}

STS Token

{
  "mode": "StsToken",
  "access_key_id": "<yourAccessKeyID>",
  "access_key_secret": "<yourAccessKeySecret>",
  "sts_token": "<yourSecurityToken>"
}

Contoh

Contoh berikut menunjukkan cara mengonfigurasi kredensial Eksternal bernama ExternalProfile.

Konfigurasi interaktif

Perintah:

aliyun configure --profile ExternalProfile --mode External

Contoh proses interaktif:

Contoh

Mengonfigurasi profil 'ExternalProfile' dalam mode otentikasi 'External'...
Perintah Proses []: acs-sso login --profile sso
ID Wilayah Default []: cn-hangzhou
Format Output Default [json]: json (Hanya mendukung json)
Bahasa Default [zh|en] en: en
Menyimpan profil[ExternalProfile] ...Selesai.

Konfigurasi non-interaktif

Perintah:

Bash

aliyun configure set \
  --profile ExternalProfile \
  --mode External \
  --process-command "acs-sso login --profile sso" \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile ExternalProfile `
  --mode External `
  --process-command "acs-sso login --profile sso" `
  --region "cn-hangzhou"

ChainableRamRoleArn

Deskripsi

Catatan

Mulai versi v3.0.276, Cloud Assistant CLI mendukung External Id dalam kredensial tipe ChainableRamRoleArn. Untuk detail lebih lanjut, lihat parameter kredensial pada tabel berikut.

Kredensial ChainableRamRoleArn menggunakan konfigurasi identitas sumber untuk mendapatkan kredensial perantara, seperti AccessKey atau token STS. Selanjutnya, Cloud Assistant CLI mengasumsikan peran menggunakan kredensial perantara untuk mendapatkan kredensial identitas sementara akhir, yaitu token STS.

Parameter kredensial:

Parameter	Deskripsi	Contoh
Profil Sumber	Nama konfigurasi sumber. Sebelum Anda mengonfigurasi kredensial ChainableRamRoleArn, Anda harus membuat kredensial pendahulu sebagai konfigurasi sumber. Untuk informasi lebih lanjut, lihat Contoh.	RamRoleArnProfile
Wilayah STS	Wilayah tempat panggilan dilakukan untuk mendapatkan token STS. Untuk informasi lebih lanjut tentang wilayah yang didukung oleh STS, lihat Endpoints.	cn-hangzhou
Ram Role Arn	ARN dari RAM role yang akan diasumsikan. Peran ini adalah RAM role yang entitas tepercayanya adalah Akun Alibaba Cloud. Untuk informasi lebih lanjut, lihat Buat RAM role untuk Akun Alibaba Cloud tepercaya atau CreateRole. Anda dapat melihat ARN dari peran di Konsol RAM atau dengan memanggil API: Konsol RAM: Untuk informasi lebih lanjut, lihat Bagaimana cara melihat ARN dari RAM role?. API: Untuk informasi lebih lanjut, lihat ListRoles atau GetRole.	acs:ram::012345678910****:role/Alice
Nama Sesi Peran	Nama sesi peran. Ini adalah parameter kustom. Biasanya diatur ke identitas pengguna yang memanggil API ini, seperti nama pengguna. Dalam log audit, meskipun RAM role yang sama melakukan operasi, Anda dapat membedakan operator sebenarnya berdasarkan nilai `RoleSessionName` yang berbeda untuk menerapkan audit akses tingkat pengguna. Nilainya harus memiliki panjang 2 hingga 64 karakter dan dapat berisi huruf, angka, serta karakter khusus `.@-_`.	alice
ID Eksternal	ID eksternal dari peran. Parameter ini disediakan oleh pihak eksternal untuk mewakili peran. Ini terutama digunakan untuk mencegah masalah wakil bingung. Untuk informasi lebih lanjut, lihat Gunakan ID eksternal untuk mencegah masalah wakil bingung. Nilainya harus memiliki panjang 2 hingga 1.224 karakter dan dapat berisi huruf, angka, serta karakter khusus `=,.@:/-_`. Ekspresi reguler adalah `[\w+=,.@:\/-]*`.	abcd1234
Expired Seconds	Waktu kedaluwarsa kredensial, dalam detik. Nilai default adalah `900`. Nilai maksimum adalah `MaxSessionDuration` dari peran yang akan diasumsikan.	900
ID Wilayah	Default wilayah. Beberapa Layanan Alibaba Cloud tidak mendukung akses lintas wilayah. Atur wilayah default ke wilayah tempat sumber daya yang Anda beli berada.	cn-hangzhou

Contoh

Catatan

Sebelum mengonfigurasi kredensial ChainableRamRoleArn, pastikan kebijakan sistem AliyunSTSAssumeRoleAccess telah diberikan kepada identitas RAM yang sesuai dengan kredensial identitas sumber.

Contoh berikut menunjukkan cara mengonfigurasi kredensial ChainableRamRoleArn bernama ChainableProfile yang menggunakan kredensial RamRoleArn bernama RamRoleArnProfile sebagai kredensial identitas sumber.

Konfigurasi interaktif

Konfigurasikan kredensial identitas sumber RamRoleArnProfile. Untuk informasi lebih lanjut tentang proses konfigurasi, lihat contoh-contoh di bagian RamRoleArn.

Jalankan perintah berikut untuk mengonfigurasi kredensial ChainableRamRoleArn ChainableProfile.

aliyun configure --profile ChainableProfile --mode ChainableRamRoleArn

Dalam contoh interaktif berikut, masukkan RamRoleArnProfile sebagai nama konfigurasi untuk opsi Source Profile untuk menggunakan kredensial yang telah dikonfigurasi sebelumnya:

Contoh

Mengonfigurasi profil 'ChainableProfile' dalam mode autentikasi 'ChainableRamRoleArn'...
Source Profile []: RamRoleArnProfile
Sts Region []: cn-hangzhou
Ram Role Arn []: acs:ram::012345678910****:role/Alice
Role Session Name []: alice
External ID []: abcd1234
Expired Seconds [900]: 900
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Hanya mendukung json)
Default Language [zh|en] en: en
Menyimpan profil[ChainableProfile] ...Selesai.

Konfigurasi non-interaktif

Alibaba Cloud CLI versi v3.0.298 dan yang lebih baru memungkinkan Anda mengonfigurasi kredensial tipe ChainableRamRoleArn secara non-interaktif dengan menjalankan perintah aliyun configure set. Berikut adalah contoh perintah:

Bash

aliyun configure set \
  --profile ChainableProfile \
  --mode ChainableRamRoleArn \
  --source-profile RamRoleArnProfile \
  --sts-region "cn-hangzhou" \
  --ram-role-arn "acs:ram::012345678910****:role/Alice" \
  --role-session-name "alice" \
  --external-id "abcd1234" \
  --expired-seconds 900 \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile ChainableProfile `
  --mode ChainableRamRoleArn `
  --source-profile RamRoleArnProfile `
  --sts-region "cn-hangzhou" `
  --ram-role-arn "acs:ram::012345678910****:role/Alice" `
  --role-session-name "alice" `
  --external-id "abcd1234" `
  --expired-seconds 900 `
  --region "cn-hangzhou"

CredentialsURI

Deskripsi

Kredensial CredentialsURI digunakan untuk memperoleh kredensial identitas sementara (token STS) guna memanggil operasi OpenAPI melalui URI yang Anda sediakan.

Parameter kredensial:

Parameter

Deskripsi

Contoh

CredentialsURI

URI lokal atau remote.

Jika URI yang ditentukan tidak mengembalikan kode status HTTP 200, atau jika konten responsnya tidak sesuai dengan format yang diharapkan, Cloud Assistant CLI akan memperlakukan permintaan tersebut sebagai gagal.

http://credentials.uri/

ID Wilayah

Default Wilayah.

Beberapa layanan Alibaba Cloud tidak mendukung akses lintas wilayah. Atur wilayah default ke wilayah tempat sumber daya yang Anda beli berada.

cn-hangzhou

Struktur contoh respons URI:

{
  "Code": "Success",
  "AccessKeyId": "<yourAccessKeyID>",
  "AccessKeySecret": "<yourAccessKeySecret>",
  "SecurityToken": "<yourSecurityToken>",
  "Expiration": "2006-01-02T15:04:05Z" // waktu utc
}

Contoh

Contoh berikut menunjukkan cara mengonfigurasi kredensial CredentialsURI bernama URIProfile.

Konfigurasi interaktif

Perintah:

aliyun configure --profile URIProfile --mode CredentialsURI

Contoh proses interaktif:

Contoh

Mengonfigurasi profil 'URIProfile' dalam mode autentikasi 'CredentialsURI'...
URI Kredensial []: http://credentials.uri/
ID Wilayah Default []: cn-hangzhou
Format Output Default [json]: json (Hanya mendukung json)
Bahasa Default [zh|en] en: en
Menyimpan profil[URIProfile] ...Selesai.

CredentialsURI tidak dapat dikonfigurasi secara non-interaktif.

OIDC

Deskripsi

Kredensial OIDC memperoleh kredensial identitas sementara (token STS) untuk peran yang terhubung dengan memanggil operasi API AssumeRoleWithOIDC dari STS. Untuk informasi lebih lanjut, lihat Gunakan RRSA untuk mengonfigurasi izin RAM untuk akun layanan dan menerapkan isolasi izin tingkat pod.

Parameter kredensial:

Parameter	Deskripsi	Contoh
OIDCProviderARN	ARN Penyedia Identitas OIDC. Anda dapat melihat ARN Penyedia Identitas OIDC di Konsol RAM atau dengan memanggil API: Konsol RAM: Untuk informasi lebih lanjut, lihat Kelola Penyedia Identitas OIDC. API: Untuk informasi lebih lanjut, lihat GetOIDCProvider atau ListOICProviders.	acs:ram::012345678910****:oidc-provider/TestOidcIdp
OIDCTokenFile	Jalur ke file token OIDC. Token OIDC adalah token OIDC yang diterbitkan oleh IdP eksternal.	/path/to/oidctoken
Ram Role Arn	ARN peran RAM untuk diasumsikan. Anda dapat melihat ARN peran di Konsol RAM atau dengan memanggil API: Konsol RAM: Untuk informasi lebih lanjut, lihat Bagaimana cara melihat ARN peran RAM?. API: Untuk informasi lebih lanjut, lihat ListRoles atau GetRole.	acs:ram::012345678910****:role/Alice
Role Session Name	Nama sesi peran. Ini adalah parameter kustom. Biasanya diatur sebagai identitas pengguna yang memanggil API ini, seperti nama pengguna. Dalam log audit, meskipun peran RAM yang sama melakukan operasi, Anda dapat membedakan operator sebenarnya berdasarkan nilai `RoleSessionName` yang berbeda untuk menerapkan audit akses tingkat pengguna. Nilai harus memiliki panjang 2 hingga 64 karakter dan dapat berisi huruf, angka, serta karakter khusus `.@-_`.	alice
Region Id	Wilayah default region. Beberapa layanan Alibaba Cloud tidak mendukung akses lintas wilayah. Atur wilayah default ke wilayah tempat sumber daya yang Anda beli berada.	cn-hangzhou

Contoh

Contoh berikut menunjukkan cara mengonfigurasi kredensial OIDC bernama OIDC_Profile.

Konfigurasi interaktif

Perintah:

aliyun configure --profile OIDC_Profile --mode OIDC

Contoh proses interaktif:

Contoh

Mengonfigurasi profil 'OIDC_Profile' dalam mode autentikasi 'OIDC'...
OIDC Provider ARN []: acs:ram::012345678910****:oidc-provider/TestOidcIdp
OIDC Token File []: /path/to/oidctoken
RAM Role ARN []: acs:ram::012345678910****:role/Alice
Role Session Name []: alice
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Hanya mendukung json)
Default Language [zh|en] en: en
Menyimpan profil[OIDC_Profile] ...Selesai.

Konfigurasi non-interaktif

Perintah:

Bash

aliyun configure set \
  --profile OIDC_Profile \
  --mode OIDC \
  --oidc-provider-arn "acs:ram::012345678910****:oidc-provider/TestOidcIdp" \
  --oidc-token-file "/path/to/oidctoken" \
  --ram-role-arn "acs:ram::012345678910****:role/Alice" \
  --role-session-name "alice" \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile OIDC_Profile `
  --mode OIDC `
  --oidc-provider-arn "acs:ram::012345678910****:oidc-provider/TestOidcIdp" `
  --oidc-token-file "/path/to/oidctoken" `
  --ram-role-arn "acs:ram::012345678910****:role/Alice" `
  --role-session-name "alice" `
  --region "cn-hangzhou"

CloudSSO

Deskripsi

Catatan

Mulai versi 3.0.271, Cloud Assistant CLI memperkenalkan tipe kredensial CloudSSO untuk menyederhanakan proses logon CloudSSO. Metode untuk versi sebelumnya tetap tersedia.

CloudSSO menyediakan manajemen identitas terpadu dan kontrol akses berbasis Direktori Sumber Daya Alibaba Cloud. Saat memberikan konfigurasi akses untuk akun dalam direktori sumber daya kepada pengguna atau kelompok CloudSSO, Peran RAM diterapkan pada akun tersebut. CloudSSO mengasumsikan Peran RAM ini untuk mendapatkan kredensial identitas sementara (token STS) guna memanggil operasi OpenAPI. Metode ini mengurangi risiko kebocoran AccessKey.
Kredensial CloudSSO memerlukan logon berbasis browser dan interaksi pengguna untuk otentikasi identitas.

Parameter kredensial:

Parameter	Deskripsi	Contoh
SignIn Url	URL logon pengguna. Untuk mendapatkan URL, masuk ke Konsol CloudSSO. Di halaman Ikhtisar, temukan URL logon pengguna di sebelah kanan.	https://signin-******.alibabacloudsso.com/device/login
Akun	Akun dalam direktori sumber daya. Dalam konfigurasi interaktif, pilih akun dengan memasukkan nomor urut sebelum nama akun. Dalam konfigurasi non-interaktif, tentukan akun dengan melewatkan ID-nya. Untuk mendapatkan ID, masuk ke Konsol CloudSSO. Pada halaman Manajemen Izin Multi-Akun, temukan UID akun di sebelah kanan.	012345678910****
Konfigurasi Akses	Konfigurasi akses. Dalam konfigurasi interaktif, pilih konfigurasi dengan memasukkan nomor urut sebelum nama konfigurasi. Dalam konfigurasi non-interaktif, tentukan konfigurasi dengan melewatkan ID-nya. Untuk mendapatkan ID, masuk ke Konsol CloudSSO. Pada halaman Konfigurasi Akses, temukan ID konfigurasi akses.	ac-012345678910abcde****
ID Wilayah	Wilayah default wilayah. Beberapa Layanan Alibaba Cloud tidak mendukung akses lintas wilayah. Atur wilayah default ke wilayah tempat sumber daya yang Anda beli berada.	cn-hangzhou

Contoh

Contoh berikut menunjukkan cara mengonfigurasi kredensial CloudSSO bernama SSOProfile.

Konfigurasi Interaktif

Jalankan perintah berikut untuk memulai konfigurasi informasi logon CloudSSO. Anda dapat mengatur beberapa profil dan beralih cepat antara akun logon serta konfigurasi akses dengan menentukan profil.
```
aliyun configure --profile SSOProfile --mode CloudSSO
```

Masukkan URL logon pengguna SignIn Url sesuai petunjuk.

aliyun configure --profile SSOProfile --mode CloudSSO
CloudSSO Sign In Url []: https://signin-******.alibabacloudsso.com/device/login

Di jendela browser yang muncul, ikuti instruksi di layar untuk menyelesaikan logon pengguna CloudSSO. Setelah masuk, tutup jendela browser.
Catatan
Jika jendela browser tidak muncul, Anda dapat menyalin URL logon (SignIn url) dan kode pengguna (User code) secara manual dari prompt CLI untuk menyelesaikan logon.
Contoh prompt:
```
Jika browser tidak terbuka secara otomatis, gunakan URL berikut untuk menyelesaikan proses login:

SignIn url: https://signin-****.alibabacloudsso.com/device/code
User code: *********
```

CLI mengembalikan pesan sukses dan mencantumkan akun dalam direktori sumber daya yang dapat Anda akses. Masukkan nomor yang sesuai dengan akun yang ingin Anda akses.

Sekarang Anda dapat masuk ke akun Anda dengan konfigurasi SSO di browser.
Anda telah berhasil masuk.
Silakan pilih akun:
1. <RD Management Account>
2. AccountName
Silakan masukkan nomor akun: 1

CLI mencantumkan konfigurasi akses yang dapat Anda gunakan. Masukkan nomor yang sesuai dengan konfigurasi akses yang ingin Anda gunakan.
```
Silakan pilih konfigurasi akses:
1. AccessConfiguration1
2. AccessConfiguration2
Silakan masukkan nomor konfigurasi akses: 2
```
Tentukan wilayah default.
```
Default Region Id []: cn-hangzhou
```
Setelah konfigurasi berhasil, `Configure Done` dan pesan selamat datang ditampilkan.

Konfigurasi Non-Interaktif

Catatan

Setelah mengonfigurasi kredensial CloudSSO dalam mode non-interaktif, Anda harus menjalankan perintah aliyun configure --profile <PROFILE_NAME> untuk masuk saat pertama kali menggunakan kredensial tersebut.

Anda dapat menggunakan perintah aliyun configure set untuk melakukan konfigurasi non-interaktif. Berikut adalah perintahnya:

Bash

aliyun configure set \
  --profile SSOProfile \
  --mode CloudSSO \
  --cloud-sso-sign-in-url "https://signin-******.alibabacloudsso.com/device/login" \
  --cloud-sso-access-config "ac-012345678910abcde****" \
  --cloud-sso-account-id "012345678910****" \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile SSOProfile `
  --mode CloudSSO `
  --cloud-sso-sign-in-url "https://signin-******.alibabacloudsso.com/device/login" `
  --cloud-sso-access-config "ac-012345678910abcde****" `
  --cloud-sso-account-id "012345678910****" `
  --region "cn-hangzhou"

OAuth

Deskripsi

Catatan

Alibaba Cloud CLI mendukung tipe kredensial OAuth mulai versi v3.0.299 dan yang lebih baru. Disarankan untuk menginstal versi terbaru Alibaba Cloud CLI sebelum mengonfigurasi tipe kredensial ini.

Saat mengonfigurasi kredensial OAuth untuk pertama kalinya, Cloud Assistant CLI membuat aplikasi pihak ketiga OAuth application di Resource Access Management. Setelah otorisasi, Cloud Assistant CLI dapat menggunakan aplikasi ini untuk memperoleh token yang mewakili identitas pengguna guna mengakses sumber daya cloud.
Kredensial OAuth memerlukan browser untuk menyelesaikan alur otorisasi. Browser yang digunakan untuk interaksi dan Cloud Assistant CLI harus berjalan di perangkat yang sama.

Parameter kredensial:

Parameter

Deskripsi

Contoh

Tipe Situs OAuth

Situs login. Nilai default: CN.

Situs Tiongkok (aliyun.com): 0 atau CN.
Situs internasional (alibabacloud.com): 1 atau INTL.

ID Wilayah

Wilayah default region.

Beberapa layanan Alibaba Cloud tidak mendukung akses lintas wilayah. Atur wilayah default ke wilayah tempat sumber daya yang Anda beli berada.

cn-hangzhou

Cakupan OAuth:

Cakupan OAuth	Deskripsi cakupan OAuth
openid	Memperoleh OpenID Pengguna RAM. OpenID adalah string yang secara unik mewakili pengguna, tetapi tidak berisi informasi seperti UID Alibaba Cloud atau nama pengguna.
/internal/ram/usersts	Digunakan untuk memperoleh kredensial STS untuk memanggil API layanan Alibaba Cloud.

Contoh

Contoh berikut menunjukkan cara mengonfigurasi kredensial OAuth bernama OAuthProfile.

Konfigurasi Interaktif

Jalankan perintah berikut untuk mulai mengonfigurasi informasi logon OAuth.
```
aliyun configure --profile OAuthProfile --mode OAuth
```
Masukkan situs logon OAuth Site Type sesuai petunjuk.
```
aliyun configure --profile OAuthProfile --mode OAuth
Mengonfigurasi profil 'OAuthProfile' dalam mode autentikasi 'OAuth'...
OAuth Site Type (CN: 0 atau INTL: 1, default: CN): 
```
- Masukkan 0 atau CN untuk mengatur situs logon ke situs Tiongkok Alibaba Cloud (aliyun.com).
- Masukkan 1 atau INTL untuk mengatur situs logon ke situs internasional Alibaba Cloud (alibabacloud.com).
- Tekan Enter untuk memilih situs Tiongkok (aliyun.com) (CN) secara default.
Di jendela browser yang muncul, lakukan otorisasi.
Catatan
Otorisasi ini harus dilakukan oleh administrator dengan izin AliyunRAMFullAccess. Jika Anda tidak memiliki izin tersebut, hubungi administrator.
Jika jendela browser tidak muncul, Anda dapat menyalin SignIn Url secara manual ke browser Anda untuk menyelesaikan logon dan otorisasi.
Contoh prompt:
```
Jika browser tidak terbuka secara otomatis, gunakan URL berikut untuk menyelesaikan proses logon:

SignIn url: https://signin.aliyun.com/oauth2/v1/auth?response_type=code&client_id=403818195455774****&redirect_uri=http%3A%2F%2F127.0.0.1%3A12345%2Fcli%2Fcallback&state=EKumS4qOPm11yRx7&code_challenge=BxR9DHWIdKBypPb089N0ekP-C-SAYwLj_jbLU-N****&code_challenge_method=S256
```
1. Saat mengonfigurasi kredensial OAuth untuk pertama kalinya, di halaman Third-party Application Authorization, klik Authorize. Cloud Assistant CLI membuat aplikasi OAuth pihak ketiga di Resource Access Management.
2. Setelah menyelesaikan otorisasi, tetapkan Pengguna RAM ke aplikasi ini. Klik Go To Assign untuk pergi ke halaman Resource Access Management Console > OAuth Applications.
3. Di tab OAuth Applications > Third-party Applications, klik nama aplikasi official-cli.
4. Di tab Assignments, klik Create Assignment dan pilih Pengguna RAM yang ingin Anda loginkan. Klik OK untuk menyelesaikan penugasan.
Setelah penugasan selesai, Anda harus memulai proses otorisasi lagi. Akses SignIn URL kembali dan klik Authorize.
Setelah otorisasi berhasil, tentukan wilayah default untuk Cloud Assistant CLI.
```
Default Region Id []: cn-hangzhou
```
Setelah konfigurasi berhasil, pesan `Configure Done` dan selamat datang akan ditampilkan.

Konfigurasi Non-interaktif

Catatan

Setelah mengonfigurasi kredensial OAuth dalam mode non-interaktif, Anda harus menjalankan perintah aliyun configure --profile <PROFILE_NAME> untuk melakukan operasi otorisasi saat menggunakan kredensial untuk pertama kalinya.
Saat mengonfigurasi kredensial dalam mode non-interaktif, hanya CN (situs Tiongkok (aliyun.com)) atau INTL (situs internasional (alibabacloud.com)) yang merupakan nilai valid untuk tipe situs logon.

Anda dapat menggunakan perintah aliyun configure set untuk melakukan konfigurasi non-interaktif. Berikut adalah perintahnya:

Bash

aliyun configure set \
  --profile OAuthProfile \
  --mode OAuth \
  --oauth-site-type "CN" \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile OAuthProfile `
  --mode OAuth `
  --oauth-site-type "CN" `
  --region "cn-hangzhou"

Pengelolaan kredensial

Cloud Assistant CLI memungkinkan Anda mengonfigurasi dan mengelola berbagai kredensial identitas. Anda dapat beralih atau menentukan konfigurasi kredensial sesuai kebutuhan.

Tetapkan konfigurasi saat ini

Jalankan perintah berikut untuk menetapkan konfigurasi tertentu sebagai konfigurasi saat ini:

aliyun configure switch --profile <PROFILE_NAME>

Setelah pergantian berhasil, Cloud Assistant CLI secara default akan menggunakan pengaturan dan kredensial dalam konfigurasi ini hingga Anda melakukan perubahan lain.

Selain itu, ketika perintah <a baseurl="t395345_v3_2_0.xdita" data-node="395350" data-root="39083" data-tag="xref" href="t395350.xdita#289ac5b8e2cvk" id="d7e8857d3e65g">aliyun configure set</a> berhasil dijalankan, konfigurasi yang dimodifikasi secara otomatis menjadi konfigurasi saat ini.

Tentukan konfigurasi di baris perintah

Ketika menjalankan perintah di antarmuka baris perintah (CLI), Anda dapat menggunakan opsi --profile untuk secara eksplisit menentukan konfigurasi yang akan digunakan. Opsi ini memiliki prioritas tertinggi dan menimpa konfigurasi default lainnya.

Contoh: Gunakan konfigurasi tertentu exampleProfile untuk memanggil operasi Elastic Compute Service DescribeInstances dan ambil informasi instans Elastic Compute Service.

aliyun ecs DescribeInstances --profile exampleProfile

Perintah pengelolaan kredensial lainnya

Cloud Assistant CLI menyediakan perintah configure dan subperintahnya untuk mengelola berbagai kredensial identitas. Anda dapat menggunakan perintah-perintah ini untuk menambah, menghapus, memodifikasi, dan melihat kredensial. Untuk informasi lebih lanjut, lihat Kelola Beberapa Kredensial.

Lokasi penyimpanan konfigurasi kredensial

Profil kredensial, juga dikenal sebagai profile, merupakan sekumpulan pengaturan bernama. Semua informasi dan pengaturan kredensial disimpan dalam file config.json dalam format JSON. File ini terletak di folder .aliyun pada direktori home Anda. Lokasi direktori home bergantung pada sistem operasi yang digunakan.

Windows: C:\Users\<USER_NAME>\.aliyun
Linux/macOS: /home/<USER_NAME>/.aliyun

Metode konfigurasi kredensial identitas

Konfigurasi interaktif

Sintaks umum

Konfigurasi non-interaktif

Sintaks umum

Jenis Kredensial Identitas

AK

Deskripsi

Contoh

StsToken

Deskripsi

Contoh

RamRoleArn

Deskripsi

Contoh

EcsRamRole

Deskripsi

Contoh

Eksternal

Deskripsi

AccessKey

STS Token

Contoh

ChainableRamRoleArn

Deskripsi

Contoh

CredentialsURI

Deskripsi

Contoh

OIDC

Deskripsi

Contoh

CloudSSO

Deskripsi

Contoh

OAuth

Deskripsi

Contoh

Pengelolaan kredensial

Tetapkan konfigurasi saat ini

Tentukan konfigurasi di baris perintah

Perintah pengelolaan kredensial lainnya

Lokasi penyimpanan konfigurasi kredensial

Referensi