Konfigurasikan kredensial di Alibaba Cloud CLI - Alibaba Cloud CLI

Sebelum menggunakan Alibaba Cloud CLI, Anda harus mengonfigurasi kredensial yang diperlukan untuk memanggil sumber daya Alibaba Cloud. Informasi kredensial mencakup kredensial identitas, wilayah, dan bahasa.

Catatan

Saat mengonfigurasi kredensial, pastikan informasi tersebut benar. Jika tidak, kesalahan pengguna atau kegagalan pemanggilan API dapat menyebabkan kerugian bisnis.

Metode konfigurasi kredensial

Alibaba Cloud CLI memungkinkan Anda mengonfigurasi kredensial dalam mode interaktif dan non-interaktif. Mode interaktif memandu Anda melalui proses konfigurasi sehingga Anda dapat membuat profil di Alibaba Cloud CLI dengan biaya pembelajaran yang rendah.

Mode interaktif

Sintaks umum

Anda dapat menjalankan perintah <a baseurl="t395345_v3_0_0.xdita" data-node="395350" data-root="7086" data-tag="xref" href="t395350.xdita#088c4c1fc8x3u" id="a5b02a6e850pt">aliyun configure</a> untuk mengonfigurasi kredensial secara interaktif. Sintaks:

aliyun configure [--profile <PROFILE_NAME>] [--mode <AUTHENTICATE_MODE>]

Opsi perintah:

PROFILE_NAME: Nama profil.
- Jika profil yang ditentukan sudah ada, profil tersebut akan ditimpa. Jika belum ada, profil baru dengan nama tersebut akan dibuat.
- Jika Anda tidak menentukan profil, profil saat ini akan dimodifikasi. Untuk informasi selengkapnya tentang cara memodifikasi profil saat ini, lihat bagian "Tetapkan profil saat ini" dalam topik ini.
AUTHENTICATE_MODE: Jenis kredensial identitas. Nilai default: AK. Untuk informasi selengkapnya tentang jenis kredensial yang didukung, lihat bagian "Jenis kredensial" dalam topik ini.

Contoh respons sukses:

Configure Done!!!
..............888888888888888888888 ........=8888888888888888888D=..............
...........88888888888888888888888 ..........D8888888888888888888888I...........
.........,8888888888888ZI: ...........................=Z88D8888888888D..........
.........+88888888 ..........................................88888888D..........
.........+88888888 .......Welcome to use Alibaba Cloud.......O8888888D..........
.........+88888888 ............. ************* ..............O8888888D..........
.........+88888888 .... Command Line Interface(Reloaded) ....O8888888D..........
.........+88888888...........................................88888888D..........
..........D888888888888DO+. ..........................?ND888888888888D..........
...........O8888888888888888888888...........D8888888888888888888888=...........
............ .:D8888888888888888888.........78888888888888888888O ..............

Mode non-interaktif

Sintaks umum

Anda dapat menjalankan perintah <a baseurl="t395345_v3_0_0.xdita" data-node="395350" data-root="7086" data-tag="xref" href="t395350.xdita#289ac5b8e2cvk" id="14941ad19583u">aliyun configure set</a> untuk mengonfigurasi kredensial dalam mode non-interaktif. Sintaks:

aliyun configure set [--profile <PROFILE_NAME>] [--mode <AUTHENTICATE_MODE>] [--settingName <SETTING_VALUE>...]

Opsi perintah:

ProfileName: Nama profil. Jika profil yang ditentukan sudah ada, profil tersebut akan ditimpa. Jika belum ada, profil baru dengan nama tersebut akan dibuat.
AUTHENTICATE_MODE: Jenis kredensial. Nilai default: AK. Untuk informasi selengkapnya tentang jenis kredensial yang didukung, lihat bagian "Jenis kredensial" dalam topik ini.
SETTING_VALUE: Informasi yang perlu Anda tentukan bervariasi tergantung pada jenis kredensial. Untuk informasi selengkapnya, lihat bagian "Jenis kredensial" dalam topik ini dan bagian "Mode non-interaktif" dalam Perintah terkait profil.

Setelah mengonfigurasi kredensial dalam mode non-interaktif, Anda dapat menjalankan perintah <a baseurl="t395345_v3_0_0.xdita" data-node="395350" data-root="7086" data-tag="xref" href="t395350.xdita#4addcad7ec44w" id="66c35caaa0oap">aliyun configure list</a> atau <a baseurl="t395345_v3_0_0.xdita" data-node="395350" data-root="7086" data-tag="xref" href="t395350.xdita#13d374aa41q2t" id="1bd85226b351e">aliyun configure get</a> untuk memeriksa apakah kredensial dikonfigurasi sesuai harapan.

Jenis kredensial

Alibaba Cloud CLI menyediakan jenis kredensial berikut. Anda dapat mengonfigurasinya sesuai kebutuhan.

Jenis kredensial	Kebijakan penyegaran kredensial	Akses tanpa kunci
AK	Penyegaran manual	Tidak didukung
StsToken	Penyegaran manual	Tidak didukung
RamRoleArn	Penyegaran otomatis	Tidak didukung
EcsRamRole	Penyegaran otomatis	Didukung
External	Disegarkan oleh sistem eksternal	Didukung
ChainableRamRoleArn	Mengikuti kebijakan penyegaran kredensial sebelumnya	Didukung
CredentialsURI	Disegarkan oleh sistem eksternal	Didukung
OIDC	Penyegaran otomatis	Didukung
CloudSSO	Memerlukan login browser	Didukung
OAuth	Memerlukan interaksi browser untuk otorisasi awal. Dapat disegarkan secara otomatis setelahnya.	Didukung

AK

Deskripsi

Penting

Untuk memastikan keamanan Akun Alibaba Cloud Anda, kami menyarankan agar Anda membuat Pengguna Resource Access Management (RAM) untuk memanggil operasi API dan membuat Pasangan Kunci Akses untuk pengguna RAM tersebut. Untuk informasi selengkapnya tentang cara menggunakan Pasangan Kunci Akses secara aman, lihat Solusi keamanan kredensial.

Di Alibaba Cloud CLI, AK adalah jenis kredensial default yang menggunakan Pasangan Kunci Akses sebagai kredensial. Oleh karena itu, Anda dapat melewatkan opsi --mode saat mengonfigurasi kredensial jenis AK.

Opsi:

Opsi	Deskripsi	Contoh
AccessKey Id	ID AccessKey yang digunakan untuk membuat gambar kustom. Untuk informasi selengkapnya, lihat Buat Pasangan Kunci Akses untuk Pengguna RAM.	yourAccessKeyID
AccessKey Secret	Rahasia AccessKey yang digunakan untuk membuat gambar kustom. Untuk informasi selengkapnya, lihat Buat Pasangan Kunci Akses untuk Pengguna RAM.	yourAccessKeySecret
Region Id	Wilayah default. Beberapa layanan cloud tidak mendukung akses lintas wilayah. Kami menyarankan agar Anda menentukan wilayah sumber daya Anda.	cn-hangzhou

Contoh konfigurasi

Contoh berikut menunjukkan cara mengonfigurasi kredensial bernama AkProfile jenis AK.

Mode interaktif

Jalankan perintah berikut:

aliyun configure --profile AkProfile

Respons contoh berikut menunjukkan proses interaksi:

Respons contoh

Configuring profile 'AkProfile' in 'AK' authenticate mode...
Access Key Id []: <yourAccessKeyID>
Access Key Secret []: <yourAccessKeySecret>
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[AkProfile] ...Done.

Mode non-interaktif

Jalankan perintah berikut:

Bash

aliyun configure set \
  --profile AkProfile \
  --mode AK \
  --access-key-id <yourAccessKeyID> \
  --access-key-secret <yourAccessKeySecret> \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile AkProfile `
  --mode AK `
  --access-key-id <yourAccessKeyID> `
  --access-key-secret <yourAccessKeySecret> `
  --region "cn-hangzhou"

StsToken

Deskripsi

Token Security Token Service (STS) disediakan oleh Alibaba Cloud untuk akses sementara dan manajemen layanan. Untuk informasi selengkapnya tentang token STS, lihat Apa itu STS.

Opsi:

Catatan

Untuk informasi selengkapnya tentang cara mendapatkan token STS, lihat AssumeRole.

Opsi	Deskripsi	Contoh
AccessKey Id	ID AccessKey.	STS.L4aBSCSJVMuKg5U1****
AccessKey Secret	Rahasia AccessKey.	yourAccessKeySecret
STS Token	Token STS.	yourSecurityToken
Region Id	Wilayah default. Beberapa layanan cloud tidak mendukung akses lintas wilayah. Kami menyarankan agar Anda menentukan wilayah sumber daya Anda.	cn-hangzhou

Contoh konfigurasi

Contoh berikut menunjukkan cara mengonfigurasi kredensial bernama StsProfile jenis StsToken.

Mode interaktif

Jalankan perintah berikut:

aliyun configure --profile StsProfile --mode StsToken

Respons contoh berikut menunjukkan proses interaksi:

Respons contoh

Configuring profile 'StsProfile' in 'StsToken' authenticate mode...
Access Key Id []: STS.L4aBSCSJVMuKg5U1****
Access Key Secret []: <yourAccessKeySecret>
Sts Token []: <yourSecurityToken>
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[StsProfile] ...Done.

Mode non-interaktif

Jalankan perintah berikut:

Bash

aliyun configure set \
  --profile StsProfile \
  --mode StsToken \
  --access-key-id "STS.L4aBSCSJVMuKg5U1****" \
  --access-key-secret <yourAccessKeySecret> \
  --sts-token <yourSecurityToken> \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile StsProfile `
  --mode StsToken `
  --access-key-id "STS.L4aBSCSJVMuKg5U1****" `
  --access-key-secret <yourAccessKeySecret> `
  --sts-token <yourSecurityToken> `
  --region "cn-hangzhou"

RamRoleArn

Deskripsi

Catatan

Alibaba Cloud CLI versi 3.0.276 dan yang lebih baru mendukung opsi External Id untuk kredensial RamRoleArn. Untuk informasi selengkapnya, lihat tabel berikut.

Untuk mengonfigurasi kredensial tipe RamRoleArn, panggil operasi <a baseurl="t395345_v3_3_0.xdita" data-node="3314723" data-root="7086" data-tag="xref" href="t2155837.xdita#" id="f4bd816a9bjt1">AssumeRole</a> dari STS untuk mendapatkan token STS.

Opsi:

Opsi	Deskripsi	Contoh
AccessKey Id	ID AccessKey yang digunakan untuk membuat gambar kustom. Untuk informasi selengkapnya, lihat Buat Pasangan Kunci Akses untuk Pengguna RAM.	yourAccessKeyID
AccessKey Secret	Rahasia AccessKey yang digunakan untuk membuat gambar kustom. Untuk informasi selengkapnya, lihat Buat Pasangan Kunci Akses untuk Pengguna RAM.	yourAccessKeySecret
STS Region	Wilayah tempat permintaan token STS diajukan. Untuk informasi selengkapnya tentang wilayah yang mendukung STS, lihat Endpoints.	cn-hangzhou
Ram Role Arn	ARN dari peran RAM yang akan diasumsikan. Entitas tepercaya dari peran RAM adalah akun penyewa Apsara Stack. Untuk informasi selengkapnya, lihat Buat Peran RAM untuk Akun Alibaba Cloud Tepercaya atau CreateRole. Anda dapat melihat ARN peran RAM melalui konsol RAM atau dengan memanggil operasi API. Detailnya sebagai berikut: Untuk informasi selengkapnya tentang cara melihat ARN di konsol RAM, lihat Bagaimana cara menemukan ARN peran RAM? Untuk informasi selengkapnya tentang cara melihat ARN dengan memanggil operasi, lihat ListRoles atau GetRole.	acs:ram::012345678910****:role/Alice
Role Session Name	Nama sesi peran. Nilainya ditentukan pengguna. Biasanya, Anda dapat mengatur parameter ini ke identitas pengguna yang memanggil operasi. Misalnya, Anda dapat menentukan username. Anda dapat menentukan `RoleSessionName` untuk mengidentifikasi pemanggil API yang mengasumsikan peran RAM yang sama dalam log ActionTrail. Hal ini memungkinkan Anda melacak pengguna yang melakukan operasi tersebut. Nama harus terdiri dari 2 hingga 64 karakter, dan dapat berisi huruf, angka, serta karakter khusus berikut: `. @ - _`.	alice
External Id	ID eksternal dari peran RAM. Nilai parameter ini disediakan oleh pihak eksternal dan digunakan untuk mencegah masalah confused deputy. Untuk informasi selengkapnya, lihat Gunakan ExternalId untuk mencegah masalah confused deputy. ID harus terdiri dari 2 hingga 1.224 karakter dan dapat berisi huruf, angka, serta karakter khusus berikut: `= , . @ : / - _`. Ekspresi reguler untuk parameter ini adalah `[\w+=,.@:\/-]*`.	abcd1234
Expired Seconds	Periode validitas token akses. Satuan: detik. Nilai default adalah `900`. Nilai maksimum adalah nilai dari `MaxSessionDuration`.	900
Region Id	Wilayah default. Beberapa layanan cloud tidak mendukung akses lintas wilayah. Kami menyarankan agar Anda menentukan wilayah sumber daya Anda.	cn-hangzhou

Contoh konfigurasi

Contoh berikut menunjukkan cara mengonfigurasi kredensial bernama RamRoleArnProfile jenis RamRoleArn.

Mode interaktif

Jalankan perintah berikut:

aliyun configure --profile RamRoleArnProfile --mode RamRoleArn

Respons contoh berikut menunjukkan proses interaksi:

Respons contoh

Configuring profile 'RamRoleArnProfile' in 'RamRoleArn' authenticate mode...
Access Key Id []: <yourAccessKeyID>
Access Key Secret []: <yourAccessKeySecret>
Sts Region []: cn-hangzhou
Ram Role Arn []: acs:ram::012345678910****:role/Alice
Role Session Name []: alice
External ID []: abcd1234
Expired Seconds [900]: 900
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[RamRoleArnProfile] ...Done.

Mode non-interaktif

Jalankan perintah berikut:

Bash

aliyun configure set \
  --profile RamRoleArnProfile \
  --mode RamRoleArn \
  --access-key-id <yourAccessKeyID> \
  --access-key-secret <yourAccessKeySecret> \
  --sts-region "cn-hangzhou"
  --ram-role-arn "acs:ram::012345678910****:role/Alice" \
  --role-session-name "alice" \
  --external-id "abcd1234" \
  --expired-seconds 900 \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile RamRoleArnProfile `
  --mode RamRoleArn `
  --access-key-id <yourAccessKeyID> `
  --access-key-secret <yourAccessKeySecret> `
  --sts-region "cn-hangzhou" `
  --ram-role-arn "acs:ram::012345678910****:role/Alice" `
  --role-session-name "alice" `
  --external-id "abcd1234" `
  --expired-seconds 900 `
  --region "cn-hangzhou"

EcsRamRole

Deskripsi

Catatan

Alibaba Cloud CLI versi 3.0.225 dan yang lebih baru memungkinkan Anda mendapatkan kredensial dalam mode penguatan keamanan (IMDSv2). Kami menyarankan agar Anda menginstal versi terbaru Alibaba Cloud CLI sebelum mengonfigurasi kredensial jenis EcsRamRole.
Untuk informasi selengkapnya tentang cara menyambungkan peran RAM ke instance ECS, lihat bagian "Buat peran RAM instans dan sambungkan peran RAM instans ke instance ECS" dalam topik Peran RAM instans. Untuk informasi selengkapnya tentang cara menyambungkan peran RAM ke instance kontainer elastis, lihat bagian "Tetapkan peran RAM instans ke instance kontainer elastis" dalam topik Gunakan peran RAM instans dengan memanggil operasi API.

Kredensial jenis EcsRamRole tidak memerlukan Pasangan Kunci Akses. Jika Anda menggunakan Alibaba Cloud CLI untuk melakukan operasi API pada instance ECS atau instance ECI, Anda dapat mengakses layanan metadata instans untuk mendapatkan token STS. Hal ini meminimalkan risiko kebocoran AccessKey.
Server metadata mendukung akses dalam mode normal (IMDSv1) dan mode penguatan keamanan (IMDSv2). Secara default, Alibaba Cloud CLI mendapatkan kredensial akses dari server metadata dalam mode penguatan keamanan. Jika terjadi pengecualian dalam mode penguatan keamanan, Anda dapat mengonfigurasi variabel lingkungan ALIBABA_CLOUD_IMDSV1_DISABLED untuk menentukan logika penanganan pengecualian. Contoh konfigurasi:
- false (default): Tool Kredensial tetap mendapatkan kredensial akses dalam mode normal.
- true: Pengecualian dilemparkan dan Alibaba Cloud CLI tetap mendapatkan kredensial akses dalam mode penguatan keamanan.
Konfigurasi server metadata menentukan apakah server mendukung mode penguatan keamanan (IMDSv2).
Untuk informasi selengkapnya tentang cara mengonfigurasi variabel lingkungan, lihat Konfigurasikan variabel lingkungan di Linux, macOS, dan Windows.

Opsi:

Opsi

Deskripsi

Contoh

Ecs Ram Role

Nama peran RAM yang akan disambungkan ke instance ECS.

Jika Anda tidak menentukan peran RAM, program secara otomatis mengakses layanan metadata instance ECS untuk mendapatkan informasi RoleName, yang dapat digunakan untuk mendapatkan kredensial. Proses ini memerlukan dua permintaan.

ECSAdmin

Region Id

Wilayah default.

Beberapa layanan cloud tidak mendukung akses lintas wilayah. Kami menyarankan agar Anda menentukan wilayah sumber daya Anda.

cn-hangzhou

Contoh konfigurasi

Contoh berikut menunjukkan cara mengonfigurasi kredensial bernama EcsRamRole jenis EcsRamRole.

Mode interaktif

Jalankan perintah berikut:

aliyun configure --profile EcsProfile --mode EcsRamRole

Respons contoh berikut menunjukkan proses interaksi:

Respons contoh

Configuring profile 'EcsProfile' in 'EcsRamRole' authenticate mode...
Ecs Ram Role []: ECSAdmin
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[EcsProfile] ...Done.

Mode non-interaktif

Jalankan perintah berikut:

Bash

aliyun configure set \
  --profile EcsProfile \
  --mode EcsRamRole \
  --ram-role-name "ECSAdmin" \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile EcsProfile `
  --mode EcsRamRole `
  --ram-role-name "ECSAdmin" `
  --region "cn-hangzhou"

External

Deskripsi

Alibaba Cloud CLI dapat memperoleh kredensial eksternal dengan menjalankan perintah dari program eksternal.

Opsi:

Opsi

Deskripsi

Contoh

Process Command

Perintah untuk menjalankan program eksternal. Anda dapat mengonfigurasi program eksternal untuk mengembalikan Pasangan Kunci Akses atau token STS, yang keduanya merupakan kredensial statis.

acs-sso login --profile sso

Region Id

Wilayah default.

Beberapa layanan cloud tidak mendukung akses lintas wilayah. Kami menyarankan agar Anda menentukan wilayah sumber daya Anda.

cn-hangzhou

Contoh kredensial yang dikembalikan dari program eksternal:

Pasangan Kunci Akses

{
  "mode": "AK",
  "access_key_id": "<yourAccessKeyID>",
  "access_key_secret": "<yourAccessKeySecret>"
}

Token STS

{
  "mode": "StsToken",
  "access_key_id": "<yourAccessKeyID>",
  "access_key_secret": "<yourAccessKeySecret>",
  "sts_token": "<yourSecurityToken>"
}

Contoh konfigurasi

Contoh berikut menunjukkan cara mengonfigurasi kredensial bernama ExternalProfile jenis External.

Mode interaktif

Jalankan perintah berikut:

aliyun configure --profile ExternalProfile --mode External

Respons contoh berikut menunjukkan proses interaksi:

Respons contoh

Configuring profile 'ExternalProfile' in 'External' authenticate mode...
Process Command []: acs-sso login --profile sso
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[ExternalProfile] ...Done.

Mode non-interaktif

Jalankan perintah berikut:

Bash

aliyun configure set \
  --profile ExternalProfile \
  --mode External \
  --process-command "acs-sso login --profile sso" \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile ExternalProfile `
  --mode External `
  --process-command "acs-sso login --profile sso" `
  --region "cn-hangzhou"

ChainableRamRoleArn

Deskripsi

Catatan

Alibaba Cloud CLI versi 3.0.276 dan yang lebih baru mendukung opsi External Id untuk kredensial ChainableRamRoleArn. Untuk informasi selengkapnya, lihat tabel berikut.

Jenis kredensial ChainableRamRoleArn memungkinkan Anda menggunakan asumsi peran berantai untuk mendapatkan kredensial. Untuk menggunakan kredensial jenis ini, Alibaba Cloud CLI memperoleh kredensial perantara, seperti Pasangan Kunci Akses atau token STS, dari kredensial sumber, mengasumsikan peran menggunakan kredensial perantara tersebut, lalu memperoleh kredensial akhir berupa token STS.

Opsi:

Opsi	Deskripsi	Contoh
Source Profile	Nama profil sumber. Sebelum mengonfigurasi kredensial jenis ChainableRamRoleArn, Anda harus mengonfigurasi profil sumber terlebih dahulu. Untuk informasi selengkapnya, lihat contoh konfigurasi berikut.	RamRoleArnProfile
STS Region	Wilayah tempat permintaan token STS diajukan. Untuk informasi selengkapnya tentang wilayah yang mendukung STS, lihat Endpoints.	cn-hangzhou
Ram Role Arn	ARN dari peran RAM yang akan diasumsikan. Entitas tepercaya dari peran RAM adalah akun penyewa Apsara Stack. Untuk informasi selengkapnya, lihat Buat Peran RAM untuk Akun Alibaba Cloud Tepercaya atau CreateRole. Anda dapat melihat ARN peran RAM melalui konsol RAM atau dengan memanggil operasi API. Detailnya sebagai berikut: Untuk informasi selengkapnya tentang cara melihat ARN di konsol RAM, lihat Bagaimana cara menemukan ARN peran RAM? Untuk informasi selengkapnya tentang cara melihat ARN dengan memanggil operasi, lihat ListRoles atau GetRole.	acs:ram::012345678910****:role/Alice
Role Session Name	Nama sesi peran. Nilainya ditentukan pengguna. Biasanya, Anda dapat mengatur parameter ini ke identitas pengguna yang memanggil operasi. Misalnya, Anda dapat menentukan username. Anda dapat menentukan `RoleSessionName` untuk mengidentifikasi pemanggil API yang mengasumsikan peran RAM yang sama dalam log ActionTrail. Hal ini memungkinkan Anda melacak pengguna yang melakukan operasi tersebut. Nama harus terdiri dari 2 hingga 64 karakter, dan dapat berisi huruf, angka, serta karakter khusus berikut: `. @ - _`.	alice
External Id	ID eksternal dari peran RAM. Nilai parameter ini disediakan oleh pihak eksternal dan digunakan untuk mencegah masalah confused deputy. Untuk informasi selengkapnya, lihat Gunakan ExternalId untuk mencegah masalah confused deputy. ID harus terdiri dari 2 hingga 1.224 karakter dan dapat berisi huruf, angka, serta karakter khusus berikut: `= , . @ : / - _`. Ekspresi reguler untuk parameter ini adalah `[\w+=,.@:\/-]*`.	abcd1234
Expired Seconds	Periode validitas token akses. Satuan: detik. Nilai default adalah `900`. Nilai maksimum adalah nilai dari `MaxSessionDuration`.	900
Region Id	Wilayah default. Beberapa layanan cloud tidak mendukung akses lintas wilayah. Kami menyarankan agar Anda menentukan wilayah sumber daya Anda.	cn-hangzhou

Contoh konfigurasi

Catatan

Sebelum mengonfigurasi kredensial jenis ChainableRamRoleArn, Anda harus menyambungkan kebijakan sistem AliyunSTSAssumeRoleAcces ke pengguna RAM yang terkait dengan kredensial sumber.

Contoh berikut menunjukkan cara mengonfigurasi kredensial bernama ChainableProfile jenis ChainableRamRoleArn. Dalam contoh ini, profil sumber bernama RamRoleArnProfile dan berjenis kredensial RamRoleArn.

Mode interaktif

Konfigurasikan profil sumber RamRoleArnProfile. Untuk informasi selengkapnya, lihat contoh konfigurasi dalam bagian "RamRoleArn" topik ini.

Jalankan perintah berikut untuk mengonfigurasi kredensial ChainableProfile jenis ChainableRamRoleArn.

aliyun configure --profile ChainableProfile --mode ChainableRamRoleArn

Respons contoh berikut menunjukkan proses interaksi. Tentukan profil sumber dengan mengatur parameter Source Profile menjadi RamRoleArnProfile.

Respons contoh

Configuring profile 'ChainableProfile' in 'ChainableRamRoleArn' authenticate mode...
Source Profile []: RamRoleArnProfile
Sts Region []: cn-hangzhou
Ram Role Arn []: acs:ram::012345678910****:role/Alice
Role Session Name []: alice
External ID []: abcd1234
Expired Seconds [900]: 900
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[ChainableProfile] ...Done.

Mode non-interaktif

Alibaba Cloud CLI versi 3.0.298 dan yang lebih baru memungkinkan Anda mengonfigurasi kredensial jenis ChainableRamRoleArn secara non-interaktif dengan menjalankan perintah aliyun configure set. Jalankan perintah berikut:

Bash

aliyun configure set \
  --profile ChainableProfile \
  --mode ChainableRamRoleArn \
  --source-profile RamRoleArnProfile \
  --sts-region "cn-hangzhou" \
  --ram-role-arn "acs:ram::012345678910****:role/Alice" \
  --role-session-name "alice" \
  --external-id "abcd1234" \
  --expired-seconds 900 \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile ChainableProfile `
  --mode ChainableRamRoleArn `
  --source-profile RamRoleArnProfile `
  --sts-region "cn-hangzhou" `
  --ram-role-arn "acs:ram::012345678910****:role/Alice" `
  --role-session-name "alice" `
  --external-id "abcd1234" `
  --expired-seconds 900 `
  --region "cn-hangzhou"

CredentialsURI

Deskripsi

Kredensial jenis CredentialsURI memperoleh token STS untuk pemanggilan API dengan menggunakan URI yang Anda sediakan.

Opsi:

Opsi

Deskripsi

Contoh

CredentialsURI

URI lokal atau jarak jauh.

Jika kode status HTTP 200 tidak dapat dikembalikan dari alamat yang ditentukan, atau struktur respons tidak sesuai format yang diharapkan, Alibaba Cloud CLI menentukan bahwa permintaan gagal.

http://credentials.uri/

Region Id

Wilayah default.

Beberapa layanan cloud tidak mendukung akses lintas wilayah. Kami menyarankan agar Anda menentukan wilayah sumber daya Anda.

cn-hangzhou

Struktur respons contoh dari URI:

{
  "Code": "Success",
  "AccessKeyId": "<yourAccessKeyID>",
  "AccessKeySecret": "<yourAccessKeySecret>",
  "SecurityToken": "<yourSecurityToken>",
  "Expiration": "2006-01-02T15:04:05Z" // utc time
}

Contoh konfigurasi

Contoh berikut menunjukkan cara mengonfigurasi kredensial bernama URIProfile jenis CredentialsURI.

Mode interaktif

Jalankan perintah berikut:

aliyun configure --profile URIProfile --mode CredentialsURI

Respons contoh berikut menunjukkan proses interaksi:

Respons contoh

Configuring profile 'URIProfile' in 'CredentialsURI' authenticate mode...
Credentials URI []: http://credentials.uri/
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[URIProfile] ...Done.

Anda tidak dapat mengonfigurasi kredensial jenis CredentialsURI dalam mode non-interaktif.

OIDC

Deskripsi

Untuk mengonfigurasi kredensial jenis OIDC, panggil operasi AssumeRoleWithOIDC STS untuk mendapatkan token STS. Untuk informasi selengkapnya, lihat Gunakan RRSA untuk mengotorisasi pod berbeda mengakses layanan cloud berbeda.

Opsi:

Opsi	Deskripsi	Contoh
OIDCProviderARN	ARN dari Penyedia Identitas OIDC. Anda dapat melihat ARN Penyedia Identitas OIDC di konsol RAM atau dengan memanggil operasi API. Untuk informasi selengkapnya tentang cara melihat ARN Penyedia Identitas OIDC di konsol RAM, lihat Kelola Penyedia Identitas OIDC. Untuk informasi selengkapnya tentang cara melihat ARN dengan memanggil operasi, lihat GetOIDCProvider atau ListOICProviders.	acs:ram::012345678910****:oidc-provider/TestOidcIdp
OIDCTokenFile	Jalur file token OIDC. Token OIDC dikeluarkan oleh IdP eksternal.	/path/to/oidctoken
Ram Role Arn	ARN dari peran RAM yang akan diasumsikan. Anda dapat melihat ARN peran RAM melalui konsol RAM atau dengan memanggil operasi API. Detailnya sebagai berikut: Untuk informasi selengkapnya tentang cara melihat ARN di konsol RAM, lihat Bagaimana cara menemukan ARN peran RAM. Untuk informasi selengkapnya tentang cara melihat ARN dengan memanggil operasi, lihat ListRoles atau GetRole.	acs:ram::012345678910****:role/Alice
Role Session Name	Nama sesi peran. Nilainya ditentukan pengguna. Biasanya, Anda dapat mengatur parameter ini ke identitas pengguna yang memanggil operasi. Misalnya, Anda dapat menentukan username. Anda dapat menentukan `RoleSessionName` untuk mengidentifikasi pemanggil API yang mengasumsikan peran RAM yang sama dalam log ActionTrail. Hal ini memungkinkan Anda melacak pengguna yang melakukan operasi tersebut. Nama harus terdiri dari 2 hingga 64 karakter, dan dapat berisi huruf, angka, serta karakter khusus berikut: `. @ - _`.	alice
Region Id	Wilayah default. Beberapa layanan cloud tidak mendukung akses lintas wilayah. Kami menyarankan agar Anda menentukan wilayah sumber daya Anda.	cn-hangzhou

Contoh konfigurasi

Contoh berikut menunjukkan cara mengonfigurasi kredensial bernama OIDC_Profile jenis OIDC.

Mode interaktif

Jalankan perintah berikut:

aliyun configure --profile OIDC_Profile --mode OIDC

Respons contoh berikut menunjukkan proses interaksi:

Respons contoh

Configuring profile 'OIDC_Profile' in 'OIDC' authenticate mode...
OIDC Provider ARN []: acs:ram::012345678910****:oidc-provider/TestOidcIdp
OIDC Token File []: /path/to/oidctoken
RAM Role ARN []: acs:ram::012345678910****:role/Alice
Role Session Name []: alice
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[OIDC_Profile] ...Done.

Mode non-interaktif

Jalankan perintah berikut:

Bash

aliyun configure set \
  --profile OIDC_Profile \
  --mode OIDC \
  --oidc-provider-arn "acs:ram::012345678910****:oidc-provider/TestOidcIdp" \
  --oidc-token-file "/path/to/oidctoken" \
  --ram-role-arn "acs:ram::012345678910****:role/Alice" \
  --role-session-name "alice" \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile OIDC_Profile `
  --mode OIDC `
  --oidc-provider-arn "acs:ram::012345678910****:oidc-provider/TestOidcIdp" `
  --oidc-token-file "/path/to/oidctoken" `
  --ram-role-arn "acs:ram::012345678910****:role/Alice" `
  --role-session-name "alice" `
  --region "cn-hangzhou"

CloudSSO

Deskripsi

Catatan

Alibaba Cloud CLI versi 3.0.271 dan yang lebih baru mendukung jenis kredensial CloudSSO untuk menyederhanakan login ke CloudSSO. Prosedur login ke CloudSSO menggunakan Alibaba Cloud CLI 3.0.271 dan versi sebelumnya masih berlaku.

CloudSSO terintegrasi dengan Direktori Sumber Daya Alibaba Cloud untuk menyediakan manajemen identitas dan kontrol akses multi-akun terpadu. Setelah Anda menetapkan izin akses ke akun dalam direktori sumber daya kepada Pengguna CloudSSO atau grup pengguna menggunakan konfigurasi akses, konfigurasi akses tersebut disediakan untuk akun tersebut dan berfungsi sebagai peran RAM akun tersebut. CloudSSO mengasumsikan peran RAM untuk mendapatkan token STS guna memanggil operasi API. Hal ini mengurangi risiko kebocoran Pasangan Kunci Akses.
Kredensial CloudSSO memerlukan login berbasis browser dan interaksi pengguna untuk otentikasi identitas.

Opsi:

Opsi	Deskripsi	Contoh
SignIn Url	URL login. Untuk mendapatkan URL tersebut, login ke Konsol CloudSSO, buka halaman Overview, lalu temukan bagian User Logon URL di sebelah kanan.	https://signin-******.alibabacloudsso.com/device/login
Account	Akun dalam direktori sumber daya. Dalam mode interaktif, pilih akun dengan memasukkan nomor urut di depan nama akun. Dalam mode non-interaktif, tentukan akun dengan meneruskan ID-nya. Untuk mendapatkan ID tersebut, login ke Konsol CloudSSO. Di halaman Multi-account Permission Configuration, temukan UID akun di sebelah kanan.	012345678910****
Access Configuration	Konfigurasi akses. Dalam mode interaktif, pilih konfigurasi dengan memasukkan nomor urut di depan nama konfigurasi. Dalam mode non-interaktif, tentukan konfigurasi dengan meneruskan ID-nya. Untuk mendapatkan ID tersebut, login ke Konsol CloudSSO. Di halaman Access Configuration, temukan ID konfigurasi akses.	ac-012345678910abcde****
Region Id	Wilayah default. Beberapa layanan cloud tidak mendukung akses lintas wilayah. Kami menyarankan agar Anda menentukan wilayah sumber daya Anda.	cn-hangzhou

Contoh konfigurasi

Contoh berikut menunjukkan cara mengonfigurasi kredensial bernama SSOProfile jenis CloudSSO.

Mode interaktif

Jalankan perintah berikut untuk mengonfigurasi informasi akses ke CloudSSO: Anda dapat menentukan beberapa profil dan menentukan profil tertentu untuk beralih cepat antar akun dan konfigurasi akses.
```
aliyun configure --profile SSOProfile --mode CloudSSO
```

Tentukan URL untuk opsi signinUrl guna mengonfigurasi URL yang digunakan untuk login ke portal pengguna CloudSSO.

aliyun configure --profile SSOProfile --mode CloudSSO
CloudSSO Sign In Url []: https://signin-******.alibabacloudsso.com/device/login

Di browser yang muncul, login ke portal pengguna. Setelah login ke portal pengguna, tutup browser tersebut.
Catatan
Jika tidak ada browser yang muncul, salin URL login dan kode pengguna yang disediakan di CLI untuk login ke portal pengguna.
Contoh:
```
If the browser does not open automatically, use the following URL to complete the login process:

SignIn url: https://signin-****.alibabacloudsso.com/device/code
User code: *********
```

CLI memberi prompt bahwa login berhasil dan menampilkan username akun direktori sumber daya yang dapat Anda akses. Masukkan nomor akun yang ingin Anda akses.

Now you can login to your account with SSO configuration in the browser.
You have successfully logged in.
Please choose an account:
1. <RD Management Account>
2. AccountName
Please input the account number: 1

CLI menampilkan konfigurasi akses yang tersedia. Masukkan nomor konfigurasi akses yang ingin Anda gunakan.

Please choose an access configuration:
1. AccessConfiguration1
2. AccessConfiguration2
Please input the access configuration number: 2

Tentukan wilayah default.
```
Default Region Id []: cn-hangzhou
```
Setelah konfigurasi berhasil, pesan Configure Done dan pesan selamat datang ditampilkan.

Mode non-interaktif

Catatan

Setelah mengonfigurasi kredensial CloudSSO dalam mode non-interaktif, Anda harus menjalankan perintah aliyun configure --profile <PROFILE_NAME> untuk login saat pertama kali menggunakan kredensial tersebut.

Anda dapat menjalankan perintah aliyun configure set untuk mengonfigurasi kredensial dalam mode non-interaktif. Sintaks:

Bash

aliyun configure set \
  --profile SSOProfile \
  --mode CloudSSO \
  --cloud-sso-sign-in-url "https://signin-******.alibabacloudsso.com/device/login" \
  --cloud-sso-access-config "ac-012345678910abcde****" \
  --cloud-sso-account-id "012345678910****" \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile SSOProfile `
  --mode CloudSSO `
  --cloud-sso-sign-in-url "https://signin-******.alibabacloudsso.com/device/login" `
  --cloud-sso-access-config "ac-012345678910abcde****" `
  --cloud-sso-account-id "012345678910****" `
  --region "cn-hangzhou"

OAuth

Deskripsi

Catatan

Alibaba Cloud CLI versi 3.0.299 dan yang lebih baru mendukung jenis kredensial OAuth. Kami menyarankan agar Anda menginstal versi terbaru Alibaba Cloud CLI sebelum mengonfigurasi jenis kredensial ini.

Saat mengonfigurasi kredensial OAuth untuk pertama kalinya, Alibaba Cloud CLI membuat Aplikasi OAuth pihak ketiga di RAM. Setelah otorisasi, Alibaba Cloud CLI dapat menggunakan aplikasi ini untuk mendapatkan token yang merepresentasikan identitas pengguna guna mengakses sumber daya cloud.
Kredensial OAuth memerlukan browser untuk menyelesaikan proses otorisasi. Browser dan Alibaba Cloud CLI harus dijalankan pada perangkat yang sama.

Opsi:

Opsi

Deskripsi

Contoh

OAuth Site Type

Situs login. Nilai default: CN.

Situs China (aliyun.com): 0 /CN :.
Situs internasional (alibabacloud.com): 1 /INTL.

Region Id

Wilayah default.

Beberapa layanan cloud tidak mendukung akses lintas wilayah. Kami menyarankan agar Anda menentukan wilayah sumber daya Anda.

cn-hangzhou

Ruang lingkup OAuth:

Ruang lingkup OAuth	Deskripsi
openid	Memperoleh OpenID Pengguna RAM. OpenID adalah string yang secara unik mengidentifikasi pengguna. Namun, OpenID tidak berisi informasi seperti UID Alibaba Cloud dan username pengguna.
/internal/ram/usersts	Memperoleh token STS untuk memanggil API layanan Alibaba Cloud.

Contoh konfigurasi

Contoh berikut menunjukkan cara mengonfigurasi kredensial bernama OAuthProfile jenis OAuth.

Mode interaktif

Jalankan perintah berikut untuk mengonfigurasi informasi login OAuth:
```
aliyun configure --profile OAuthProfile --mode OAuth
```
Konfigurasikan OAuth Site Type sesuai permintaan.
```
aliyun configure --profile OAuthProfile --mode OAuth
Configuring profile 'OAuthProfile' in 'OAuth' authenticate mode...
OAuth Site Type (CN: 0 or INTL: 1, default: CN): 
```
- Masukkan 0 atau CN untuk mengatur situs login ke situs Alibaba Cloud China (aliyun.com).
- Masukkan 1 atau INTL untuk mengatur situs login ke situs internasional Alibaba Cloud (alibabacloud.com).
- Tekan Enter untuk memilih situs China (aliyun.com) (CN) secara default.
Di jendela browser yang muncul, lakukan otorisasi.
Catatan
Otorisasi ini harus dilakukan oleh administrator yang dilampirkan kebijakan AliyunRAMFullAccess. Jika Anda tidak memiliki izin tersebut, hubungi administrator.
Jika tidak ada jendela browser yang muncul, salin nilai SignIn url yang disediakan di CLI untuk login ke portal pengguna.
Contoh:
```
If the browser does not open automatically, use the following URL to complete the login process:

SignIn url: https://signin.aliyun.com/oauth2/v1/auth?response_type=code&client_id=403818195455774****&redirect_uri=http%3A%2F%2F127.0.0.1%3A12345%2Fcli%2Fcallback&state=EKumS4qOPm11yRx7&code_challenge=BxR9DHWIdKBypPb089N0ekP-C-SAYwLj_jbLU-N****&code_challenge_method=S256
```
1. Saat mengonfigurasi kredensial OAuth untuk pertama kalinya, di halaman Third-party Application Authorization, klik Authorize. Alibaba Cloud CLI membuat aplikasi OAuth pihak ketiga di konsol Resource Access Management.
2. Setelah menyelesaikan otorisasi, Anda harus menetapkan Pengguna RAM ke aplikasi ini. Klik Go to allocate untuk menuju ke halaman RAM console > OAuth Application.
3. Di halaman OAuth Application, klik tab Third-party Application, lalu klik nama aplikasi official-cli.
4. Di tab Assignments, klik Create Assignment dan pilih akun Pengguna RAM yang ingin Anda login. Klik OK untuk menyelesaikan penugasan.
Setelah penugasan selesai, Anda harus memulai proses otorisasi lagi. Akses URL login lagi dan klik Authorize.
Setelah otorisasi berhasil, tentukan wilayah default untuk Alibaba Cloud CLI.
```
Default Region Id []: cn-hangzhou
```
Setelah konfigurasi berhasil, pesan Configure Done dan pesan selamat datang ditampilkan.

Mode non-interaktif

Catatan

Setelah mengonfigurasi kredensial OAuth dalam mode non-interaktif, Anda harus menjalankan perintah aliyun configure --profile <PROFILE_NAME> untuk melakukan operasi otorisasi saat pertama kali menggunakan kredensial tersebut.
Saat mengonfigurasi kredensial dalam mode non-interaktif, hanya CN atau INTL yang merupakan nilai valid untuk jenis situs login.

Anda dapat menjalankan perintah aliyun configure set untuk mengonfigurasi kredensial dalam mode non-interaktif. Sintaks:

Bash

aliyun configure set \
  --profile OAuthProfile \
  --mode OAuth \
  --oauth-site-type "CN" \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile OAuthProfile `
  --mode OAuth `
  --oauth-site-type "CN" `
  --region "cn-hangzhou"

Manajemen kredensial

Alibaba Cloud CLI memungkinkan Anda mengonfigurasi dan mengelola beberapa set kredensial. Anda dapat beralih antar profil atau menentukan profil sesuai kebutuhan.

Gunakan profil saat ini

Jalankan perintah berikut untuk beralih dari profil saat ini ke profil tertentu.

aliyun configure switch --profile <PROFILE_NAME>

Setelah beralih berhasil, Alibaba Cloud CLI menggunakan pengaturan dan kredensial dalam profil ini secara default hingga Anda melakukan perubahan lain.

Anda juga dapat menjalankan perintah <a baseurl="t395345_v3_2_0.xdita" data-node="395350" data-root="39083" data-tag="xref" href="t395350.xdita#289ac5b8e2cvk" id="d7e8857d3e65g">aliyun configure set</a> untuk memodifikasi pengaturan profil kredensial. Pengaturan yang dimodifikasi akan digunakan.

Tentukan profil

Saat menjalankan perintah, Anda dapat menggunakan opsi --profile untuk secara eksplisit menentukan profil yang akan digunakan. Metode ini memiliki prioritas tertinggi dan menimpa konfigurasi metode lain.

Contoh: Panggil operasi DescribeInstances Elastic Compute Service menggunakan kredensial bernama exampleProfile untuk mengkueri informasi instance Elastic Compute Service.

aliyun ecs DescribeInstances --profile exampleProfile

Perintah manajemen kredensial lainnya

Alibaba Cloud CLI menyediakan perintah configure dan sub-perintahnya untuk mengelola beberapa kredensial identitas. Anda dapat menggunakan perintah ini untuk menambah, menghapus, memodifikasi, dan melihat kredensial. Untuk informasi selengkapnya, lihat Kelola beberapa kredensial.

Lokasi penyimpanan kredensial

Profil kredensial profil menentukan satu set item konfigurasi dan memiliki nama kustom. Semua profil disimpan dalam file config.json dalam format JSON. File ini berada di folder .aliyun di direktori pengguna pribadi Anda. Jalur folder ini berbeda-beda tergantung sistem operasi.

Windows: C:\Users\<USERNAME>\.aliyun
Linux/macOS: /home/<USER_NAME>/.aliyun

Metode konfigurasi kredensial

Mode interaktif

Sintaks umum

Mode non-interaktif

Sintaks umum

Jenis kredensial

AK

Deskripsi

Contoh konfigurasi

StsToken

Deskripsi

Contoh konfigurasi

RamRoleArn

Deskripsi

Contoh konfigurasi

EcsRamRole

Deskripsi

Contoh konfigurasi

External

Deskripsi

Pasangan Kunci Akses

Token STS

Contoh konfigurasi

ChainableRamRoleArn

Deskripsi

Contoh konfigurasi

CredentialsURI

Deskripsi

Contoh konfigurasi

OIDC

Deskripsi

Contoh konfigurasi

CloudSSO

Deskripsi

Contoh konfigurasi

OAuth

Deskripsi

Contoh konfigurasi

Manajemen kredensial

Gunakan profil saat ini

Tentukan profil

Perintah manajemen kredensial lainnya

Lokasi penyimpanan kredensial

Referensi