Alibaba Cloud CLI を使用する前に、Alibaba Cloud リソースの呼び出しに必要な認証情報を構成する必要があります。認証情報には、認証情報、リージョン、言語が含まれます。
認証情報を構成する際は、認証情報が正しいことを確認してください。そうしないと、ユーザーエラーまたは API 呼び出しの失敗によってビジネス損失が発生する可能性があります。
認証情報の構成方法
Alibaba Cloud CLI では、インタラクティブモードと非インタラクティブモードで認証情報を構成できます。インタラクティブモードでは、構成プロセスがガイドされます。この方法では、学習コストを抑えて Alibaba Cloud CLI でプロファイルを構成できます。
インタラクティブモード
共通構文
aliyun configure コマンドを実行して、インタラクティブモードで認証情報を構成できます。構文:
aliyun configure [--profile <profileName>] [--mode <AuthenticateMode>]コマンドオプション:
--profile <profileName>: プロファイル名。指定されたプロファイルが存在する場合は上書きされます。指定されたプロファイルが存在しない場合は、指定された名前のプロファイルが作成されます。プロファイルを指定しない場合は、現在のプロファイルが変更されます。現在のプロファイルの変更方法については、このトピックの「現在のプロファイルを設定する」セクションをご参照ください。
--mode <AuthenticateMode>: 認証情報タイプ。デフォルト値は AK です。
成功応答の例:
Configure Done!!! ..............888888888888888888888 ........=8888888888888888888D=.............. ...........88888888888888888888888 ..........D8888888888888888888888I........... .........,8888888888888ZI: ...........................=Z88D8888888888D.......... .........+88888888 ..........................................88888888D.......... .........+88888888 .......Welcome to use Alibaba Cloud.......O8888888D.......... .........+88888888 ............. ************* ..............O8888888D.......... .........+88888888 .... Command Line Interface(Reloaded) ....O8888888D.......... .........+88888888...........................................88888888D.......... ..........D888888888888DO+. ..........................?ND888888888888D.......... ...........O8888888888888888888888...........D8888888888888888888888=........... ............ .:D8888888888888888888.........78888888888888888888O ..............
非インタラクティブモード
共通構文
aliyun configure set コマンドを実行して、非インタラクティブモードで認証情報を構成できます。構文:
aliyun configure set [--profile <profileName>] [--mode <AuthenticateMode>] [--settingName <settingValue>...]コマンドオプション:
--profile <profileName>: プロファイル名。指定されたプロファイルが存在する場合は上書きされます。指定されたプロファイルが存在しない場合は、指定された名前のプロファイルが作成されます。--mode <AuthenticateMode>: 認証情報タイプ。デフォルト値は AK です。Alibaba Cloud CLI でサポートされている認証情報タイプの詳細については、このトピックの 認証情報タイプ セクションをご参照ください。--settingName <settingValue>: 指定する必要がある情報は、認証情報タイプによって異なります。詳細については、このトピックの「認証情報タイプ」セクション、および プロファイル関連コマンド の「非インタラクティブモード」セクションをご参照ください。
非インタラクティブモードで認証情報を構成した後、
aliyun configure listコマンドまたはaliyun configure getコマンドを実行して、認証情報が想定どおりに構成されているかどうかを確認できます。
認証情報タイプ
AK
Alibaba Cloud アカウントのセキュリティを確保するために、API 操作を呼び出すための Resource Access Management (RAM) ユーザーを作成し、その RAM ユーザーの AccessKey ペアを作成することをお勧めします。AccessKey ペアを安全に使用する方法の詳細については、「認証情報のセキュリティソリューション」をご参照ください。
Alibaba Cloud CLI では、AK がデフォルトの認証情報タイプであり、AccessKey ペアを認証情報として使用します。したがって、AK 認証情報タイプの認証情報を構成する場合は、
--modeオプションを省略できます。オプション:
オプション
説明
例
AccessKey ID
カスタムイメージの作成に使用する AccessKey ID。詳細については、「RAM ユーザーの AccessKey ペアを作成する」をご参照ください。
yourAccessKeyID
AccessKey Secret
カスタムイメージの作成に使用する AccessKey シークレット。詳細については、「RAM ユーザーの AccessKey ペアを作成する」をご参照ください。
yourAccessKeySecret
リージョン ID
デフォルトの リージョン。
一部のクラウドサービスはリージョン間のアクセスをサポートしていません。リソースのリージョンを指定することをお勧めします。
cn-hangzhou
構成例
次の例は、AK タイプの AkProfile という名前の認証情報を構成する方法を示しています。AK
インタラクティブモード
構成コマンド:
aliyun configure --profile AkProfile次のサンプル応答は、インタラクションプロセスを示しています。
非インタラクティブモード
構成コマンド:
aliyun configure set \ --profile AkProfile \ --mode AK \ --access-key-id <yourAccessKeyID> \ --access-key-secret <yourAccessKeySecret> \ --region cn-hangzhoualiyun configure set ` --profile AkProfile ` --mode AK ` --access-key-id <yourAccessKeyID> ` --access-key-secret <yourAccessKeySecret> ` --region cn-hangzhou
StsToken
セキュリティトークンサービス (STS) トークンは、サービスへの一時的なアクセスと管理のために Alibaba Cloud によって提供されます。STS トークンの詳細については、「STS とは」をご参照ください。
STS トークンは特定の期間有効です。STS トークンの有効期限が切れたら、別の STS トークンを取得する必要があります。Alibaba Cloud CLI では、StsToken タイプの認証情報は自動的に更新されません。次のタイプの認証情報を使用することをお勧めします。
次のタイプの認証情報は自動的に更新できます。
RamRoleArn
EcsRamRole
OIDC
ChainableRamRoleArn
CloudSSO
次のタイプの認証情報は、開発者または外部プログラムによって更新できます。
CredentialsURI
External
オプション:
オプション
説明
例
AccessKey ID
カスタムイメージの作成に使用する AccessKey ID。詳細については、「RAM ユーザーの AccessKey ペアを作成する」をご参照ください。
yourAccessKeyID
AccessKey Secret
カスタムイメージの作成に使用する AccessKey シークレット。詳細については、「RAM ユーザーの AccessKey ペアを作成する」をご参照ください。
yourAccessKeySecret
STS トークン
STS トークン。詳細については、「AssumeRole」をご参照ください。
yourSTSToken
リージョン ID
デフォルトの リージョン。
一部のクラウドサービスはリージョン間のアクセスをサポートしていません。リソースのリージョンを指定することをお勧めします。
cn-hangzhou
構成例
次の例は、StsProfile という名前の StsToken タイプの資格情報を構成する方法を示しています。
インタラクティブモード
構成コマンド:
aliyun configure --profile StsProfile --mode StsToken次のサンプル応答は、インタラクションプロセスを示しています。
非インタラクティブモード
構成コマンド:
aliyun configure set \ --profile StsProfile \ --mode StsToken \ --access-key-id <yourAccessKeyID> \ --access-key-secret <yourAccessKeySecret> \ --sts-token <yourSTSToken> \ --region cn-hangzhoualiyun configure set ` --profile StsProfile ` --mode StsToken ` --access-key-id <yourAccessKeyID> ` --access-key-secret <yourAccessKeySecret> ` --sts-token <yourSTSToken> ` --region cn-hangzhou
RamRoleArn
Alibaba Cloud CLI 3.0.276 以降では、RamRoleArn 認証情報の External Id オプションがサポートされています。詳細については、次の表をご参照ください。
RamRoleArn タイプの認証情報を構成するには、STS の
AssumeRole操作を呼び出して STS トークンを取得します。モデルのウォームアップについては、次のトピックをご参照ください。RamRoleArn タイプの一時認証情報は自動的に更新できます。
オプション:
オプション
説明
例
AccessKey ID
カスタムイメージの作成に使用する AccessKey ID。詳細については、「RAM ユーザーの AccessKey ペアを作成する」をご参照ください。
yourAccessKeyID
AccessKey Secret
カスタムイメージの作成に使用する AccessKey シークレット。詳細については、「RAM ユーザーの AccessKey ペアを作成する」をご参照ください。
yourAccessKeySecret
STS リージョン
STS トークンのリクエストが開始されるリージョン。STS がサポートされているリージョンの詳細については、「エンドポイント」をご参照ください。
cn-hangzhou
RAM ロールの ARN
引き受ける RAM ロールの ARN。
RAM ロールの信頼できるエンティティは Alibaba Cloud アカウントです。詳細については、「信頼できる Alibaba Cloud アカウントの RAM ロールを作成する」または「CreateRole」をご参照ください。
RAM コンソールを使用するか、API 操作を呼び出すことによって、RAM ロールの ARN を表示できます。次のコードは、異なるバージョンの Short Video SDK を登録する方法を示しています。
RAM コンソールで ARN を表示する方法の詳細については、「RAM ロールの ARN を見つける方法」をご参照ください。
操作を呼び出して ARN を表示する方法の詳細については、「ListRoles」または「GetRole」をご参照ください。
acs:ram::012345678910****:role/Alice
ロールセッション名
ロールセッションのカスタム名。
ビジネス要件に基づいてこのパラメータを設定します。ほとんどの場合、このパラメータは操作を呼び出すユーザーの ID に設定できます。たとえば、ユーザー名を指定します。ActionTrail ログで同じ RAM ロールを引き受ける API 呼び出し元を識別するために、
RoleSessionNameを指定できます。これにより、操作を実行するユーザーを追跡できます。名前は 2~ 64 文字で、文字、数字、および次の特殊文字を含めることができます:
. @ - _。alice
External ID
RAM ロールの外部 ID。
このパラメータの値は外部関係者によって提供され、なりすまし副官問題を防ぐために使用されます。詳細については、「外部 ID を使用してなりすまし副官問題を防ぐ」をご参照ください。
ID は 2 ~ 1,224 文字で、文字、数字、および次の特殊文字を含めることができます:
= , . @ : / - _。このパラメータの正規表現は[\w+=,.@:\/-]*です。abcd1234
有効期限 (秒)
認証情報の有効期間。単位: 秒。
デフォルト値は
900です。最大値はMaxSessionDurationの値です。900
リージョン ID
デフォルトの リージョン。
一部のクラウドサービスはリージョン間のアクセスをサポートしていません。リソースのリージョンを指定することをお勧めします。
cn-hangzhou
構成例
次の例は、RamRoleArn タイプの RamRoleArnProfile という名前の認証情報を構成する方法を示しています。RamRoleArn
インタラクティブモード
構成コマンド:
aliyun configure --profile RamRoleArnProfile --mode RamRoleArn次のサンプル応答は、インタラクションプロセスを示しています。
非インタラクティブモード
構成コマンド:
aliyun configure set \ --profile RamRoleArnProfile \ --mode RamRoleArn \ --access-key-id <yourAccessKeyID> \ --access-key-secret <yourAccessKeySecret> \ --sts-region cn-hangzhou --ram-role-arn acs:ram::012345678910****:role/Alice \ --role-session-name alice \ --external-id abcd1234 \ --expired-seconds 900 \ --region cn-hangzhoualiyun configure set ` --profile RamRoleArnProfile ` --mode RamRoleArn ` --access-key-id <yourAccessKeyID> ` --access-key-secret <yourAccessKeySecret> ` --sts-region cn-hangzhou ` --ram-role-arn acs:ram::012345678910****:role/Alice ` --role-session-name alice ` --external-id abcd1234 ` --expired-seconds 900 ` --region cn-hangzhou
EcsRamRole
Alibaba Cloud CLI では、セキュリティ強化モード (IMDSv2) で認証情報を取得できます。 EcsRamRole タイプの認証情報を構成する前に、最新バージョンの Alibaba Cloud CLI をインストールすることをお勧めします。詳細については、インストールガイド をご参照ください。
ECS インスタンスに RAM ロールをアタッチする方法の詳細については、「インスタンス RAM ロール」トピックの「インスタンス RAM ロールを作成し、ECS インスタンスにアタッチする」セクションをご参照ください。エラスティックコンテナインスタンスに RAM ロールをアタッチする方法の詳細については、「API 操作を呼び出してインスタンス RAM ロールを使用する」トピックの「エラスティックコンテナインスタンスにインスタンス RAM ロールを割り当てる」セクションをご参照ください。
EcsRamRole タイプの認証情報には、AccessKey ペアは必要ありません。Alibaba Cloud CLI を使用して ECS インスタンスまたは ECI で API 操作を実行する場合、インスタンスの メタデータサービス にアクセスして STS トークンを取得できます。これにより、AccessKey の漏洩のリスクが最小限に抑えられます。
EcsRamRole タイプの一時認証情報は自動的に更新できます。
メタデータサーバーは、通常モード (IMDSv1) とセキュリティ強化モード (IMDSv2) でのアクセスをサポートしています。デフォルトでは、Alibaba Cloud CLI はセキュリティ強化モードでメタデータサーバーからアクセス認証情報を取得します。セキュリティ強化モードで例外が発生した場合は、
ALIBABA_CLOUD_IMDSV1_DISABLED環境変数を構成して、例外処理ロジックを指定できます。構成例:false(デフォルト): Credentials ツールは、通常モードでアクセス認証情報の取得を続けます。true: 例外がスローされ、Alibaba Cloud CLI はセキュリティ強化モードでアクセス認証情報の取得を続けます。
メタデータサーバーの構成によって、サーバーがセキュリティ強化モード (IMDSv2) をサポートするかどうかが決まります。
環境変数の構成方法の詳細については、「Linux、macOS、および Windows で環境変数を構成する」をご参照ください。
オプション:
オプション
説明
例
ECS RAM ロール
ECS インスタンスにアタッチする RAM ロールの名前。
RAM ロールを指定しない場合、プログラムは ECS インスタンスのメタデータサービスに自動的にアクセスして
RoleName情報を取得し、それを使用して認証情報を取得します。このプロセス中は 2 つのリクエストを送信する必要があります。ECSAdmin
リージョン ID
デフォルトの リージョン。
一部のクラウドサービスはリージョン間のアクセスをサポートしていません。リソースのリージョンを指定することをお勧めします。
cn-hangzhou
構成例
次の例は、EcsRamRole タイプの EcsRamRole という名前の認証情報を構成する方法を示しています。EcsRamRole
インタラクティブモード
構成コマンド:
aliyun configure --profile EcsProfile --mode EcsRamRole次のサンプル応答は、インタラクションプロセスを示しています。
非インタラクティブモード
構成コマンド:
aliyun configure set \ --profile EcsProfile \ --mode EcsRamRole \ --ram-role-name ECSAdmin \ --region cn-hangzhoualiyun configure set ` --profile EcsProfile ` --mode EcsRamRole ` --ram-role-name ECSAdmin ` --region cn-hangzhou
External
Alibaba Cloud CLI は、外部プログラムのコマンドを実行することで、外部認証情報を取得できます。
外部認証情報は手動で更新できます。
オプション:
オプション
説明
例
プロセスコマンド
外部プログラムを実行するためのコマンド。外部プログラムを構成して、AccessKey ペアまたは STS トークン (どちらも静的認証情報) を返すことができます。
acs-sso login --profile sso
リージョン ID
デフォルトの リージョン。
一部のクラウドサービスはリージョン間のアクセスをサポートしていません。リソースのリージョンを指定することをお勧めします。
cn-hangzhou
外部プログラムから返されるサンプル認証情報:
AccessKey
{ "mode": "AK", "access_key_id": "<yourAccessKeyID>", "access_key_secret": "<yourAccessKeySecret>" }STS トークン
{ "mode": "StsToken", "access_key_id": "<yourAccessKeyID>", "access_key_secret": "<yourAccessKeySecret>", "sts_token": "<yourSTSToken>" }
構成例
次の例は、External タイプの ExternalProfile という名前の認証情報を構成する方法を示しています。外部
インタラクティブモード
構成コマンド:
aliyun configure --profile ExternalProfile --mode External次のサンプル応答は、インタラクションプロセスを示しています。
非インタラクティブモード
構成コマンド:
aliyun configure set \ --profile ExternalProfile \ --mode External \ --process-command acs-sso login --profile sso \ --region cn-hangzhoualiyun configure set ` --profile ExternalProfile ` --mode External ` --process-command acs-sso login --profile sso ` --region cn-hangzhou
ChainableRamRoleArn
Alibaba Cloud CLI 3.0.276 以降では、ChainableRamRoleArn 認証情報の External Id オプションがサポートされています。詳細については、次の表をご参照ください。
ChainableRamRoleArn 認証情報タイプでは、連鎖ロールの引き受けを使用して認証情報を取得できます。このタイプの認証情報を使用するために、Alibaba Cloud CLI はソース認証情報から中間認証情報 (AccessKey ペアまたは STS トークンなど) を取得し、中間認証情報を使用してロールを引き受け、最終認証情報 (STS トークン) を取得します。
ChainableRamRoleArn タイプの認証情報は自動的に更新できます。
オプション:
オプション
説明
例
ソースプロファイル
ソースプロファイルの名前。
ChainableRamRoleArn タイプの認証情報を構成する前に、ソースプロファイルを構成する必要があります。詳細については、次の 構成例 をご参照ください。
RamRoleArnProfile
STS リージョン
STS トークンのリクエストが開始されるリージョン。STS がサポートされているリージョンの詳細については、「エンドポイント」をご参照ください。
cn-hangzhou
RAM ロールの ARN
引き受ける RAM ロールの ARN。
RAM ロールの信頼できるエンティティは Apsara Stack テナントアカウントです。詳細については、「信頼できる Alibaba Cloud アカウントの RAM ロールを作成する」または「CreateRole」をご参照ください。
RAM コンソールを使用するか、API 操作を呼び出すことによって、RAM ロールの ARN を表示できます。次のコードは、異なるバージョンの Short Video SDK を登録する方法を示しています。
RAM コンソールで ARN を表示する方法の詳細については、「RAM ロールの ARN を見つける方法」をご参照ください。
操作を呼び出して ARN を表示する方法の詳細については、「ListRoles」または「GetRole」をご参照ください。
acs:ram::012345678910****:role/Alice
ロールセッション名
ロールセッションのカスタム名。
ビジネス要件に基づいてこのパラメータを設定します。ほとんどの場合、このパラメータは操作を呼び出すユーザーの ID に設定できます。たとえば、ユーザー名を指定します。ActionTrail ログで同じ RAM ロールを引き受ける API 呼び出し元を識別するために、
RoleSessionNameを指定できます。これにより、操作を実行するユーザーを追跡できます。名前は 2 ~ 64 文字で、文字、数字、および次の特殊文字を含めることができます:
. @ - _。alice
External ID
RAM ロールの外部 ID。
このパラメータの値は外部関係者によって提供され、なりすまし副官問題を防ぐために使用されます。詳細については、「外部 ID を使用してなりすまし副官問題を防ぐ」をご参照ください。
ID は 2 ~ 1,224 文字で、文字、数字、および次の特殊文字を含めることができます:
= , . @ : / - _。このパラメータの正規表現は[\w+=,.@:\/-]*です。abcd1234
有効期限 (秒)
アクセストークンの有効期間。単位: 秒。
デフォルト値は
900です。最大値はMaxSessionDurationの値です。900
リージョン ID
デフォルトの リージョン。
一部のクラウドサービスはリージョン間のアクセスをサポートしていません。リソースのリージョンを指定することをお勧めします。
cn-hangzhou
構成例
ChainableRamRoleArn タイプの認証情報を構成する前に、ソース認証情報に関連付けられた RAM ユーザーに AliyunSTSAssumeRoleAcces システムポリシーをアタッチする必要があります。
次の例は、ChainableRamRoleArn タイプの ChainableProfile という名前の認証情報を構成する方法を示しています。この例では、ソースプロファイルの名前は 前提条件RamRoleArnProfile で、RamRoleArn 認証情報タイプです。
インタラクティブモード
ソースプロファイル
RamRoleArnProfileを構成します。詳細については、このトピックの「RamRoleArn」セクションの構成例をご参照ください。次のコマンドを実行して、ChainableRamRoleArn タイプの
ChainableProfile認証情報を構成します。CDN エンドポイント (オプション):aliyun configure --profile ChainableProfile --mode ChainableRamRoleArn次のサンプル応答は、インタラクションプロセスを示しています。
Source ProfileパラメータをRamRoleArnProfileに設定して、ソースプロファイルを指定します。
非インタラクティブモードでは、ChainableRamRoleArn タイプの認証情報を構成できません。
CredentialsURI
CredentialsURI タイプの認証情報は、指定された URI を使用して API 呼び出し用のセキュリティトークンサービス (STS) トークンを取得します。
CredentialsURI タイプの認証情報は手動で更新することもできます。
オプション:
オプション
説明
例
CredentialsURI
ローカルまたはリモート URI。
指定されたアドレスから HTTP 200 ステータスコードを返すことができない場合、または応答構造体が予期された形式でない場合、Alibaba Cloud CLI はリクエストが失敗したと判断します。
http://credentials.uri/
リージョン ID
デフォルトの リージョン。
一部のクラウドサービスはリージョン間のアクセスをサポートしていません。リソースのリージョンを指定することをお勧めします。
cn-hangzhou
URI からのサンプル応答構造体:
{ "Code": "Success", "AccessKeyId": "<yourAccessKeyID>", "AccessKeySecret": "<yourAccessKeySecret>", "SecurityToken": "<yourSTSToken>", "Expiration": "2006-01-02T15:04:05Z" // utc time }
構成例
次の例は、CredentialsURI タイプの URIProfile という名前の認証情報を構成する方法を示しています。資格情報 URI
インタラクティブモード
構成コマンド:
aliyun configure --profile URIProfile --mode CredentialsURI次のサンプル応答は、インタラクションプロセスを示しています。
非インタラクティブモードでは、CredentialsURI タイプの認証情報を構成できません。
OIDC
OIDC タイプの認証情報を構成するには、STS の AssumeRoleWithOIDC 操作を呼び出して STS トークンを取得します。RRSA 機能の詳細については、「RRSA を使用して異なるポッドに異なるクラウドサービスへのアクセスを承認する」をご参照ください。
OIDC タイプの認証情報は自動的に更新できます。
オプション:
オプション
説明
例
OIDCProviderARN
OIDC IdP の ARN。
RAM コンソールで、または API 操作を呼び出すことによって、OIDC IdP の ARN を表示できます。
RAM コンソールで OIDC IdP の ARN を表示する方法の詳細については、「OIDC IdP を管理する」をご参照ください。
操作を呼び出して ARN を表示する方法の詳細については、「GetOIDCProvider」または「ListOICProviders」をご参照ください。
acs:ram::012345678910****:oidc-provider/TestOidcIdp
OIDCTokenFile
OIDC トークンのファイルパス。OIDC トークンは外部 IdP によって発行されます。
/path/to/oidctoken
RAM ロールの ARN
引き受ける RAM ロールの ARN。
RAM コンソールを使用するか、API 操作を呼び出すことによって、RAM ロールの ARN を表示できます。次のコードは、異なるバージョンの Short Video SDK を登録する方法を示しています。
RAM コンソールで ARN を表示する方法の詳細については、「RAM ロールの ARN を見つける方法」をご参照ください。
操作を呼び出して ARN を表示する方法の詳細については、「ListRoles」または「GetRole」をご参照ください。
acs:ram::012345678910****:role/Alice
ロールセッション名
ロールセッションのカスタム名。
ビジネス要件に基づいてこのパラメータを設定します。ほとんどの場合、このパラメータは操作を呼び出すユーザーの ID に設定できます。たとえば、ユーザー名を指定します。ActionTrail ログで同じ RAM ロールを引き受ける API 呼び出し元を識別するために、
RoleSessionNameを指定できます。これにより、操作を実行するユーザーを追跡できます。名前は 2 ~ 64 文字で、文字、数字、および次の特殊文字を含めることができます:
. @ - _。alice
リージョン ID
デフォルトの リージョン。
一部のクラウドサービスはリージョン間のアクセスをサポートしていません。リソースのリージョンを指定することをお勧めします。
cn-hangzhou
構成例
次の例は、OIDC タイプの OIDC_Profile という名前の認証情報を構成する方法を示しています。OIDC
インタラクティブモード
構成コマンド:
aliyun configure --profile OIDC_Profile --mode OIDC次のサンプル応答は、インタラクションプロセスを示しています。
非インタラクティブモード
構成コマンド:
aliyun configure set \ --profile OIDC_Profile \ --mode OIDC \ --oidc-provider-arn acs:ram::012345678910****:oidc-provider/TestOidcIdp \ --oidc-token-file /path/to/oidctoken \ --ram-role-arn acs:ram::012345678910****:role/Alice \ --role-session-name alice \ --region cn-hangzhoualiyun configure set ` --profile OIDC_Profile ` --mode OIDC ` --oidc-provider-arn acs:ram::012345678910****:oidc-provider/TestOidcIdp ` --oidc-token-file /path/to/oidctoken ` --ram-role-arn acs:ram::012345678910****:role/Alice ` --role-session-name alice ` --region cn-hangzhou
CloudSSO
Alibaba Cloud CLI 3.0.271 以降では、CloudSSO へのログオンを簡素化するために、CloudSSO 認証情報タイプがサポートされています。Alibaba Cloud CLI 3.0.271 以前 を使用して CloudSSO にログオンする手順も引き続き有効です。
CloudSSO は Alibaba Cloud リソースディレクトリと統合されており、集中型の複数アカウント ID 管理とアクセス制御を提供します。アクセス構成を使用して、リソースディレクトリのアカウントに対するアクセス権限を Cloud SSO ユーザーまたはユーザーグループに割り当てると、アクセス構成がアカウントにプロビジョニングされ、アカウントの RAM ロールとして機能します。CloudSSO は RAM ロールを引き受けて、API 操作を呼び出すための STS トークンを取得します。これにより、AccessKey ペアの漏洩のリスクが軽減されます。
CloudSSO タイプの一時認証情報は自動的に更新できます。
オプション:
オプション
説明
例
signinUrl
ログオン URL。
URL を取得するには、CloudSSO コンソール にログオンし、概要ページに移動して、右側のユーザーログオン URL セクションを見つけます。
https://signin-******.alibabacloudsso.com/device/login
リージョン ID
デフォルトの リージョン。
一部のクラウドサービスはリージョン間のアクセスをサポートしていません。リソースのリージョンを指定することをお勧めします。
cn-hangzhou
手順
次のコマンドを実行して、CloudSSO へのアクセスに関する情報を構成します。複数プロファイルを指定し、特定のプロファイルを指定して、アカウントとアクセス構成をすばやく切り替えることができます。
aliyun configure --profile sso --mode CloudSSOsigninUrlオプションの URL を指定して、CloudSSO ユーザーポータルへのログオンに使用する URL を構成します。aliyun configure --profile sso --mode CloudSSO CloudSSO Sign In Url []: https://signin-******.alibabacloudsso.com/device/login表示されるブラウザで、ユーザーポータルにログオンします。ユーザーポータルにログオンしたら、ブラウザを閉じます。
ブラウザが表示されない場合は、CLI で提供されているログオン URL とユーザーコードをコピーして、ユーザーポータルにログオンします。
例:
If the browser does not open automatically, use the following URL to complete the login process: SignIn url: https://signin-****.alibabacloudsso.com/device/code User code: *********CLI はログオンが成功したことを示すメッセージを表示し、アクセスできるリソースディレクトリアカウントのユーザー名を出力します。アクセスするアカウントの番号を入力します。
Now you can login to your account with SSO configuration in the browser. You have successfully logged in. Please choose an account: 1. <RD Management Account> 2. AccountName Please input the account number: 1CLI は使用可能なアクセス構成を出力します。使用するアクセス構成の番号を入力します。
Please choose an access configuration: 1. AccessConfiguration1 2. AccessConfiguration2 Please input the access configuration number: 2デフォルトのリージョンを指定します。
Default Region Id []: cn-hangzhou構成が成功すると、「Configure Done」メッセージとウェルカムメッセージが表示されます。
プロファイルを使用する
次の方法で指定されたプロファイルを使用できます。
現在のプロファイルを使用する
現在のプロファイルを使用するには、
aliyun configure switch --profile ProfileNameコマンドを実行します。aliyun configure setコマンドを実行して構成を変更します。変更された構成が使用されます。
コマンドラインオプションを使用する
CLI で --profile オプションを構成して、特定のプロファイルを指定できます。この方法は最優先され、他の方法の構成を上書きします。
例: exampleProfile という名前の認証情報を使用して Elastic Compute Service の DescribeInstancesexampleProfile 操作を呼び出し、Elastic Compute Service インスタンスに関する情報をクエリします。
aliyun ecs DescribeInstances --profile exampleProfile認証情報の保存場所
認証情報 プロファイル は一連の構成項目を指定し、カスタム名を持ちます。すべてのプロファイルは、個人ユーザーディレクトリの .aliyun フォルダにある config.json ファイルに JSON 形式で保存されます。フォルダのパスは、オペレーティングシステムによって異なります。
Windows:
C:\Users\<USERNAME>\.aliyunLinux または macOS:
~/.aliyun