Masuk sekali melalui browser agar Alibaba Cloud CLI dapat memperoleh kredensial sementara untuk memanggil API layanan cloud. CLI secara otomatis merefresh dan memutar token—tidak perlu menyimpan atau mengelola pasangan AccessKey jangka panjang secara lokal. Ini merupakan metode autentikasi yang direkomendasikan untuk lingkungan pengembangan lokal. Topik ini mencakup prasyarat, alur konfigurasi, verifikasi kredensial, serta cara kerja manajemen siklus hidup token.
Prasyarat
Persyaratan lingkungan
-
Alibaba Cloud CLI versi
3.3.0atau lebih baru. Jalankanaliyun versionuntuk memeriksa versi yang terinstal. Jika versi Anda lebih lama dari3.3.0, lihat Instal atau perbarui CLI untuk melakukan upgrade sebelum melanjutkan. -
Akun yang dapat masuk ke console: Akun Alibaba Cloud (akun root), RAM user, atau pengguna perusahaan melalui SSO. Jika Anda menggunakan RAM user, pastikan logon console diaktifkan. Untuk informasi selengkapnya, lihat Aktifkan logon console.
-
Lingkungan lokal dengan browser grafis. Lingkungan terminal saja (seperti sesi SSH remote tanpa X11 forwarding) tidak mendukung konfigurasi kredensial OAuth.
Persiapan administrator (sekali saja)
Sebelum pengguna mana pun di organisasi Anda dapat menggunakan kredensial OAuth, administrator RAM harus menyelesaikan persiapan berikut. Setelah persiapan awal ini, penambahan pengguna baru hanya memerlukan Langkah 2.
-
Instal aplikasi CLI (sekali saja): Masuk ke RAM console. Di panel navigasi kiri, pilih . Beralih ke tab Third-party Application. Jika aplikasi
official-clitidak terdaftar, klik Provision Official Application dan pilih Official CLI. -
Tetapkan identitas: Buka halaman detail aplikasi
official-clidan beralih ke tab Assignments. Klik Create Assignment untuk menambahkan RAM user atau role yang perlu menggunakan Alibaba Cloud CLI.
Untuk petunjuk lengkap, lihat Instal aplikasi CLI dan Tetapkan identitas.
Konfigurasikan kredensial
Kredensial OAuth harus dikonfigurasi melalui perintah interaktif aliyun configure --mode OAuth, yang akan menjalankan alur masuk berbasis browser. Perintah aliyun configure set hanya menulis parameter dan tidak memicu proses masuk.
-
Jalankan perintah berikut. Ganti
<ProfileName>dengan nama pilihan Anda (misalnya,OAuthProfile):aliyun configure --mode OAuth --profile <ProfileName> -
Pilih situs masuk saat diminta memasukkan
OAuth Site Type:aliyun configure --profile OAuthProfile --mode OAuth Configuring profile 'OAuthProfile' in 'OAuth' authenticate mode... OAuth Site Type (CN: 0 or INTL: 1, default: CN):-
Masukkan
0atauCNuntuk situs China (aliyun.com). -
Masukkan
1atauINTLuntuk situs Internasional (alibabacloud.com). -
Tekan Enter untuk menerima nilai default (CN).
-
-
Selesaikan proses masuk melalui browser. Jendela browser akan terbuka secara otomatis. Masuk dengan kredensial RAM user Anda. Jika browser tidak terbuka, salin SignIn URL dari terminal dan tempelkan secara manual ke browser:
Please open the following URL in your browser to authorize: https://signin.aliyun.com/oauth2/v1/auth?... -
Otorisasi aplikasi. Pada halaman otorisasi di browser, klik Authorize. Setelah otorisasi berhasil, browser akan menampilkan
Authorization successful. You can close this window. -
Tetapkan region dan bahasa default:
Default Region Id []: cn-shanghai Default Language [zh|en] en: enUntuk daftar region yang tersedia, lihat Region dan titik akhir. Beberapa layanan tidak mendukung akses lintas-region. Tetapkan region default ke region tempat sumber daya Anda berada.
-
Saat terminal menampilkan
Configure Donebeserta pesan selamat datang, konfigurasi telah selesai.
Setelah konfigurasi berhasil, profil baru tersebut secara otomatis menjadi profil aktif. Untuk beralih ke profil lain, jalankan aliyun configure switch --profile <ProfileName>.
Siklus hidup token
Kredensial OAuth terdiri dari tiga lapisan token. CLI mengelola pembaruan secara otomatis—tidak diperlukan intervensi manual selama penggunaan normal:
-
Token Security Token Service (STS)—kredensial sementara untuk panggilan API
-
Token akses OAuth—token berumur pendek untuk memperoleh token STS
-
Token penyegaran OAuth—token berumur panjang untuk memperbarui token akses
Setiap kali token berhasil diperbarui, token lama akan dibatalkan. File konfigurasi (~/.aliyun/config.json) diperbarui secara otomatis.
Hapus kredensial
Jalankan perintah berikut untuk menghapus profil OAuth tertentu:
aliyun configure delete --profile <ProfileName>Perintah ini menghapus:
-
Entri profil dari
~/.aliyun/config.json, beserta semua token OAuth dan token STS yang disimpan secara lokal untuk profil tersebut. -
Hal ini tidak memengaruhi otorisasi aplikasi OAuth di RAM console. Tidak diperlukan tindakan administrator.
FAQ
Browser tidak terbuka selama otorisasi
CLI mencetak URL masuk di terminal. Salin dan buka secara manual. Jika halaman gagal dimuat, periksa:
-
Apakah port lokal 12345–12349 tersedia (CLI mendengarkan salah satu port ini untuk callback otorisasi).
-
Konektivitas jaringan ke
signin.aliyun.com(situs China) atausignin.alibabacloud.com(situs Internasional).
Error: The API call is not authorized / You are not allowed to do this action.
Administrator belum menginstal aplikasi CLI atau belum menetapkan identitas Anda. Minta administrator RAM Anda untuk menyelesaikan Persiapan administrator yang dijelaskan di bagian Prasyarat.
Dapatkah saya beralih dari AccessKey ke OAuth tanpa menghapus profil yang sudah ada?
Ya. Buat profil OAuth baru—profil yang sudah ada tetap dipertahankan. Anda dapat beralih di antara profil tersebut kapan saja menggunakan aliyun configure switch --profile <profile-name>.
Apakah OAuth mendukung masuk sebagai RAM role?
Ya. Gunakan salah satu pendekatan berikut:
-
Masuk melalui role-based SSO dari penyedia identitas (IdP) Anda. Hal ini memerlukan konfigurasi role SSO terlebih dahulu.
-
Masuk terlebih dahulu sebagai RAM user, lalu ganti identitas ke RAM role target di console.
Lakukan langkah-langkah ini sebelum menjalankan aliyun configure --mode OAuth, sehingga CLI mendeteksi identitas Anda saat ini sebagai RAM role selama langkah otorisasi browser.