全部产品
Search

搜索本产品

    Resource Access Management:Gunakan Alibaba Cloud CLI untuk memanggil operasi API dari STS

    文档中心

    Resource Access Management:Gunakan Alibaba Cloud CLI untuk memanggil operasi API dari STS

    更新时间:Jul 06, 2025

    Alibaba Cloud CLI adalah alat baris perintah serbaguna yang dikembangkan berdasarkan API. Anda dapat menggunakan Alibaba Cloud CLI untuk mengimplementasikan manajemen dan pemeliharaan otomatis Security Token Service (STS). Topik ini menjelaskan cara menggunakan Alibaba Cloud CLI untuk memanggil operasi API dari STS. Dalam contoh ini, operasi AssumeRole dari STS dipanggil untuk mendapatkan kredensial identitas sementara.

    Sebelum Anda mulai

    Sebelum membaca topik ini, Anda mungkin perlu memahami konsep-konsep berikut:

    Langkah 1: Instal Alibaba Cloud CLI

    Anda harus menginstal Alibaba Cloud CLI sebelum menggunakannya. Alibaba Cloud CLI mendukung Windows, Linux, dan macOS. Saat menginstal Alibaba Cloud CLI, pilih paket instalasi sesuai dengan sistem operasi perangkat Anda.

    Anda juga dapat menggunakan Cloud Shell dari Alibaba Cloud untuk men-debug perintah yang ingin Anda jalankan di Alibaba Cloud CLI. Untuk informasi lebih lanjut tentang Cloud Shell, lihat Apa itu Cloud Shell?.

    Langkah 2: Konfigurasikan Alibaba Cloud CLI

    Penting

    Anda hanya dapat memanggil operasi AssumeRole sebagai Pengguna Resource Access Management (RAM) atau Peran RAM. Anda tidak dapat menggunakan akun Alibaba Cloud untuk memanggil operasi tersebut. Dalam contoh ini, Pengguna RAM digunakan untuk memanggil operasi tersebut.

    Sebelum menggunakan Alibaba Cloud CLI, Anda harus menentukan kredensial identitas dan ID wilayah di Alibaba Cloud CLI. Alibaba Cloud CLI mendukung berbagai jenis kredensial identitas. Untuk informasi lebih lanjut, lihat bagian "Jenis Kredensial" dalam topik Konfigurasi Profil. Dalam contoh ini, pasangan AccessKey digunakan sebagai kredensial identitas.

    1. Buat Pengguna RAM dan buat pasangan AccessKey untuk Pengguna RAM. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM dan Buat Pasangan AccessKey.

    2. Berikan izin yang diperlukan kepada Pengguna RAM. Dalam contoh ini, kebijakan AliyunSTSAssumeRoleAccess dilampirkan ke Pengguna RAM. Kebijakan ini memberikan izin untuk memanggil operasi AssumeRole dari STS. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.

    3. Dapatkan ID wilayah yang ingin Anda gunakan. Alibaba Cloud CLI menggunakan ID wilayah yang Anda tentukan untuk memulai panggilan API. Untuk informasi lebih lanjut, lihat Endpoints.

      Catatan

      Saat menggunakan Alibaba Cloud CLI, Anda dapat menggunakan opsi --region untuk menjalankan perintah di wilayah tertentu. Jika Anda menggunakan opsi ini, Alibaba Cloud CLI akan mengabaikan informasi wilayah dalam pengaturan kredensial default dan variabel lingkungan. Untuk informasi lebih lanjut, lihat Opsi Baris Perintah.

    4. Gunakan pasangan AccessKey dari Pengguna RAM untuk mengonfigurasi kredensial identitas dalam file konfigurasi AkProfile. Untuk informasi lebih lanjut, lihat bagian "Contoh Konfigurasi" dalam topik Konfigurasi Profil.

    Langkah 3: Buat Peran RAM

    Penting

    Parameter RoleArn menunjukkan Nama Sumber Daya Alibaba Cloud (ARN) dari Peran RAM dan diperlukan untuk memanggil operasi AssumeRole. Untuk mendapatkan nilai parameter ini, Anda harus membuat Peran RAM untuk akun Alibaba Cloud tepercaya.

    Dalam contoh ini, Anda harus menggunakan Pengguna RAM yang dibuat di Langkah 2: Konfigurasikan Alibaba Cloud CLI untuk mengasumsikan Peran RAM. Oleh karena itu, Anda harus menyetel akun Alibaba Cloud tepercaya ke ID akun Alibaba Cloud tempat Pengguna RAM yang dibuat di Langkah 2: Konfigurasikan Alibaba Cloud CLI milik. Untuk informasi lebih lanjut, lihat Buat Peran RAM untuk Akun Alibaba Cloud Tepercaya.

    Anda juga dapat mengubah kebijakan kepercayaan yang dilampirkan ke Peran RAM untuk mengubah Pengguna RAM yang dapat mengasumsikan Peran RAM. Untuk informasi lebih lanjut, lihat Edit Kebijakan Kepercayaan Peran RAM.

    Langkah 4: Hasilkan perintah CLI

    1. Di OpenAPI Explorer, panggil operasi AssumeRole.

    2. Pada tab Parameters, konfigurasikan parameter permintaan. Kemudian, klik tab CLI Example untuk melihat perintah sampel yang dihasilkan.

    3. Jalankan perintah CLI di Cloud Shell atau salin perintah CLI.

      • Klik ikon image untuk memulai Cloud Shell dan debug perintah CLI di Cloud Shell.

      • Klik ikon image untuk menyalin perintah CLI ke clipboard. Anda juga dapat menempelkan perintah CLI ke shell lokal Anda untuk menjalankan perintah.

        Catatan

        • Saat menempelkan perintah CLI ke shell lokal Anda untuk debugging, perhatikan format parameternya. Untuk informasi lebih lanjut tentang format parameter yang diperlukan oleh Alibaba Cloud CLI, lihat Format Parameter.

        • Secara default, OpenAPI Explorer menambahkan opsi --region ke perintah CLI yang dihasilkan. Saat Anda menyalin perintah ke shell lokal Anda, Alibaba Cloud CLI mengabaikan informasi wilayah dalam pengaturan kredensial identitas default dan variabel lingkungan, dan secara prioritas menjalankan perintah di wilayah yang ditentukan oleh opsi tersebut. Anda dapat menghapus atau mempertahankan opsi tersebut berdasarkan kebutuhan bisnis Anda.

    image

    Langkah 5: Panggil operasi API dari STS

    Contoh 1: Kueri operasi API STS yang dapat dipanggil menggunakan Alibaba Cloud CLI

    Kode berikut memberikan contoh tentang cara menggunakan opsi --help untuk menanyakan operasi API STS yang dapat dipanggil menggunakan Alibaba Cloud CLI. Anda juga dapat melihat operasi API yang didukung di Daftar Operasi Berdasarkan Fungsi.

    1. Jalankan perintah berikut:

      aliyun sts --help

    2. Lihat keluaran perintah.

      image

    Contoh 2: Dapatkan kredensial identitas sementara dari Peran RAM yang ingin Anda asumsikan

    Kode berikut memberikan contoh tentang cara menggunakan Alibaba Cloud CLI untuk memanggil operasi AssumeRole dari STS. Operasi ini dipanggil untuk mendapatkan kredensial identitas sementara dari Peran RAM yang ingin Anda asumsikan.

    1. Jalankan perintah berikut:

      Catatan

      Anda dapat menggunakan salah satu metode berikut untuk mendapatkan informasi bantuan tentang parameter perintah:

      • Jalankan perintah aliyun sts AssumeRole --help untuk mendapatkan saran tentang parameter perintah.

      • Baca topik AssumeRole untuk melihat detail parameter.

      aliyun sts AssumeRole \
  --DurationSeconds 3600 \
  --Policy '{"Statement": [{"Action": ["*"],"Effect": "Allow","Resource": ["*"]}],"Version":"1"}' \
  --RoleSessionName alice \
  --RoleArn 'acs:ram::123456789012****:role/adminrole' \
  --ExternalId abcd1234

    2. Lihat keluaran perintah yang diharapkan. Parameter SecurityToken dalam keluaran menunjukkan kredensial identitas sementara yang Anda tanyakan.

      {
  "RequestId": "6894B13B-6D71-4EF5-88FA-F32781734A7F",
  "AssumedRoleUser": {
    "AssumedRoleId": "34458433936495****:alice",
    "Arn": "acs:ram::123456789012****:role/adminrole/alice"
  },
  "Credentials": {
    "SecurityToken": "********",
    "Expiration": "2015-04-09T11:52:19Z",
    "AccessKeySecret": "wyLTSmsyPGP1ohvvw8xYgB29dlGI8KMiH2pK****",
    "AccessKeyId": "STS.L4aBSCSJVMuKg5U1****"
  }
}
      Catatan

      Jika pesan kesalahan dikembalikan setelah Anda memanggil operasi API dari STS, Anda perlu memeriksa apakah parameter permintaan dan nilai parameter permintaan valid berdasarkan kode kesalahan yang dikembalikan.

      Anda juga dapat melakukan diagnosis berdasarkan ID permintaan yang dikembalikan atau informasi kesalahan SDK pada halaman Diagnosis Masalah OpenAPI.