Cloud Assistant CLI で ID 認証情報を設定する方法 - Alibaba Cloud CLI

Cloud Assistant CLI を使用する前に、認証情報、リージョン、言語を設定する必要があります。この情報は、Alibaba Cloud リソースを呼び出すために必要です。

説明

設定中に認証情報が正確であることを確認してください。これにより、誤操作や API 呼び出しの失敗による不必要な損失を防ぐことができます。

ID 認証情報の設定方法

Cloud Assistant CLI は、対話形式と非対話形式の 2 つの設定方法を提供します。対話形式の方法はガイド付きのプロセスを提供し、学習曲線が低く、Cloud Assistant CLI で ID 認証情報を迅速に設定するのに役立ちます。

対話形式の設定

一般的な構文

対話形式で認証情報を設定するには、aliyun <a baseurl="t395345_v3_0_0.xdita" data-node="395350" data-root="7086" data-tag="xref" href="t395350.xdita#088c4c1fc8x3u" id="a5b02a6e850pt">configure</a> コマンドを呼び出します。コマンドの構文は次のとおりです。

aliyun configure [--profile <PROFILE_NAME>] [--mode <AUTHENTICATE_MODE>]

パラメーター:

PROFILE_NAME: 設定の名前。
- 指定した設定が存在する場合は変更され、存在しない場合は新しい設定が作成されます。
- このオプションを指定しない場合、現在の設定が変更されます。詳細については、「認証情報管理」をご参照ください。
AUTHENTICATE_MODE: ID 認証情報のタイプ。デフォルトは AK タイプです。

以下は、設定が成功した場合の応答のサンプルです。

Configure Done!!!
..............888888888888888888888 ........=8888888888888888888D=..............
...........88888888888888888888888 ..........D8888888888888888888888I...........
.........,8888888888888ZI: ...........................=Z88D8888888888D..........
.........+88888888 ..........................................88888888D..........
.........+88888888 .......Welcome to use Alibaba Cloud.......O8888888D..........
.........+88888888 ............. ************* ..............O8888888D..........
.........+88888888 .... Command Line Interface(Reloaded) ....O8888888D..........
.........+88888888...........................................88888888D..........
..........D888888888888DO+. ..........................?ND888888888888D..........
...........O8888888888888888888888...........D8888888888888888888888=...........
............ .:D8888888888888888888.........78888888888888888888O ..............

非対話形式の設定

一般的な構文

<a baseurl="t395345_v3_0_0.xdita" data-node="395350" data-root="7086" data-tag="xref" href="t395350.xdita#289ac5b8e2cvk" id="14941ad19583u">aliyun configure set</a> コマンドを使用して、非対話モードで認証情報を設定できます。構文:

aliyun configure set [--profile <PROFILE_NAME>] [--mode <AUTHENTICATE_MODE>] [--settingName <SETTING_VALUE>...]

オプション:

PROFILE_NAME: 設定の名前を指定します。指定した名前の設定が存在する場合は変更され、存在しない場合は新しい設定が作成されます。
AUTHENTICATE_MODE: 設定の認証情報タイプを指定します。デフォルトでは AccessKey (AK) タイプが使用されます。サポートされているタイプの詳細については、「ID 認証情報のタイプ」をご参照ください。
SETTING_VALUE: 必要な情報は認証情報タイプによって異なります。詳細については、「ID 認証情報のタイプ」および「非対話モードで設定を作成または変更する」をご参照ください。

非対話モードで認証情報を設定した後、<a baseurl="t395345_v3_0_0.xdita" data-node="395350" data-root="7086" data-tag="xref" href="t395350.xdita#4addcad7ec44w" id="66c35caaa0oap">aliyun configure list</a> または <a baseurl="t395345_v3_0_0.xdita" data-node="395350" data-root="7086" data-tag="xref" href="t395350.xdita#13d374aa41q2t" id="1bd85226b351e">aliyun configure get</a> コマンドを使用して、設定が正常に作成されたことを確認できます。

ID 認証情報のタイプ

Cloud Assistant CLI は、次の認証情報タイプを提供します。必要に応じて設定できます。

認証情報タイプ	認証情報更新ポリシー	キーなしアクセス
AK	手動更新	サポートされていません
StsToken	手動更新	サポートされていません
RamRoleArn	自動更新	サポートされていません
EcsRamRole	自動更新	サポートされています
外部	外部システムによる更新	サポートされています
ChainableRamRoleArn	先行する認証情報の更新ポリシーに従います	サポートされています
CredentialsURI	外部システムによる更新	サポートされています
OIDC	自動更新	サポートされています
CloudSSO	ブラウザでのログインが必要	サポートされています
OAuth	初回権限付与にはブラウザ操作が必要です。後で自動更新できます。	サポートされています

AK

説明

重要

アカウントのセキュリティを確保するために、API アクセス専用の Resource Access Management (RAM) ユーザーを作成し、対応する AccessKey を作成します。詳細については、「認証情報の安全な使用」をご参照ください。

AK 認証情報はデフォルトの認証情報タイプであり、ID 認証情報として AccessKey を使用します。AK 認証情報を設定する場合、--mode オプションは無視できます。

認証情報パラメーター:

パラメーター	説明	例
AccessKey ID	お客様の AccessKey ID。AccessKey ID の取得方法の詳細については、「RAM ユーザーの AccessKey ペアの作成」をご参照ください。	yourAccessKeyID
AccessKey Secret	お客様の AccessKey Secret。AccessKey Secret の取得方法の詳細については、「RAM ユーザーの AccessKey ペアの作成」をご参照ください。	yourAccessKeySecret
リージョン ID	デフォルトのリージョン。一部の Alibaba Cloud サービスは、クロスリージョンアクセスをサポートしていません。購入したリソースが配置されているリージョンにデフォルトのリージョンを設定します。	cn-hangzhou

例

次の例は、AkProfile という名前の AK 認証情報を設定する方法を示しています。

対話形式の設定

コマンド:

aliyun configure --profile AkProfile

対話プロセスの例:

例

Configuring profile 'AkProfile' in 'AK' authenticate mode...
Access Key Id []: <yourAccessKeyID>
Access Key Secret []: <yourAccessKeySecret>
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[AkProfile] ...Done.

非対話形式の設定

コマンド:

Bash

aliyun configure set \
  --profile AkProfile \
  --mode AK \
  --access-key-id <yourAccessKeyID> \
  --access-key-secret <yourAccessKeySecret> \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile AkProfile `
  --mode AK `
  --access-key-id <yourAccessKeyID> `
  --access-key-secret <yourAccessKeySecret> `
  --region "cn-hangzhou"

StsToken

説明

Alibaba Cloud セキュリティトークンサービス (STS) は、一時的なアクセス権限管理を提供するサービスです。詳細については、「STS とは」をご参照ください。

認証情報パラメーター:

説明

詳細については、「RAM ロールの一時的な ID 認証情報を取得する」をご参照ください。

パラメーター	説明	例
AccessKey ID	お客様の一時的な AccessKey ID。	STS.L4aBSCSJVMuKg5U1****
AccessKey Secret	お客様の一時的な AccessKey Secret。	yourAccessKeySecret
STS トークン	お客様のセキュリティトークンサービス (STS) トークン。	yourSecurityToken
リージョン ID	デフォルトのリージョン。一部の Alibaba Cloud サービスは、クロスリージョンアクセスをサポートしていません。購入したリソースが配置されているリージョンにデフォルトのリージョンを設定します。	cn-hangzhou

例

次の例は、StsProfile という名前の StsToken 認証情報を設定する方法を示しています。

対話形式の設定

コマンド:

aliyun configure --profile StsProfile --mode StsToken

対話プロセスの例:

例

Configuring profile 'StsProfile' in 'StsToken' authenticate mode...
Access Key Id []: STS.L4aBSCSJVMuKg5U1****
Access Key Secret []: <yourAccessKeySecret>
Sts Token []: <yourSecurityToken>
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[StsProfile] ...Done.

非対話形式の設定

コマンド:

Bash

aliyun configure set \
  --profile StsProfile \
  --mode StsToken \
  --access-key-id "STS.L4aBSCSJVMuKg5U1****" \
  --access-key-secret <yourAccessKeySecret> \
  --sts-token <yourSecurityToken> \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile StsProfile `
  --mode StsToken `
  --access-key-id "STS.L4aBSCSJVMuKg5U1****" `
  --access-key-secret <yourAccessKeySecret> `
  --sts-token <yourSecurityToken> `
  --region "cn-hangzhou"

RamRoleArn

説明

バージョン v3.0.276 以降、Cloud Assistant CLI は RamRoleArn タイプの認証情報で External Id をサポートします。詳細については、次の表をご参照ください。

RamRoleArn タイプの認証情報を使用すると、RAM ユーザーはセキュリティトークンサービス (STS) の <a baseurl="t395345_v3_3_0.xdita" data-node="3314723" data-root="7086" data-tag="xref" href="t2155837.xdita#" id="f4bd816a9bjt1">AssumeRole</a> API 操作を呼び出して、一時的な ID 認証情報 (STS トークン) を取得できます。

認証情報パラメーター:

パラメーター	説明	例
AccessKey ID	お客様の AccessKey ID。AccessKey ID の取得方法の詳細については、「RAM ユーザーの AccessKey ペアの作成」をご参照ください。	yourAccessKeyID
AccessKey Secret	お客様の AccessKey Secret。AccessKey Secret の取得方法の詳細については、「RAM ユーザーの AccessKey ペアの作成」をご参照ください。	yourAccessKeySecret
STS リージョン	STS トークンを取得するために呼び出しが開始されるリージョン。STS がサポートするリージョンの詳細については、「エンドポイント」をご参照ください。	cn-hangzhou
RAM ロールの ARN	偽装する RAM ロールの Alibaba Cloud リソースネーム (ARN)。このロールは、信頼できるエンティティが Alibaba Cloud アカウントである RAM ロールです。詳細については、「信頼できる Alibaba Cloud アカウントの RAM ロールを作成する」または「CreateRole」をご参照ください。ロールの ARN は、RAM コンソールで表示するか、API を呼び出すことで表示できます。 RAM コンソール: 詳細については、「RAM ロールの ARN を表示するにはどうすればよいですか?」をご参照ください。 API: 詳細については、「ListRoles」または「GetRole」をご参照ください。	acs:ram::012345678910****:role/Alice
ロールセッション名	ロールセッションの名前。これはカスタムパラメーターです。通常、この API を呼び出すユーザーの ID (ユーザー名など) に設定されます。監査ログでは、同じ RAM ロールが操作を実行した場合でも、異なる `RoleSessionName` の値に基づいて実際のオペレーターを区別し、ユーザーレベルのアクセス監査を実装できます。値は 2〜64 文字の長さで、文字、数字、および特殊文字 `.@-_` を含めることができます。	alice
External ID	ロールの外部 ID。このパラメーターは、ロールを表すために外部の当事者によって提供されます。主に「混乱した使節」問題を防止するために使用されます。詳細については、「外部 ID を使用して「混乱した使節」問題を防止する」をご参照ください。値は 2〜1,224 文字の長さで、文字、数字、および特殊文字 `=,.@:/-_` を含めることができます。正規表現は `[\w+=,.@:\/-]*` です。	abcd1234
有効期限 (秒)	認証情報の有効期限 (秒単位)。デフォルト値は `900` です。最大値は、偽装するロールの `MaxSessionDuration` です。	900
リージョン ID	デフォルトのリージョン。一部の Alibaba Cloud サービスは、クロスリージョンアクセスをサポートしていません。購入したリソースが配置されているリージョンにデフォルトのリージョンを設定します。	cn-hangzhou

例

次の例は、RamRoleArnProfile という名前の RamRoleArn 認証情報を設定する方法を示しています。

対話形式の設定

コマンド:

aliyun configure --profile RamRoleArnProfile --mode RamRoleArn

対話プロセスの例:

例

Configuring profile 'RamRoleArnProfile' in 'RamRoleArn' authenticate mode...
Access Key Id []: <yourAccessKeyID>
Access Key Secret []: <yourAccessKeySecret>
Sts Region []: cn-hangzhou
Ram Role Arn []: acs:ram::012345678910****:role/Alice
Role Session Name []: alice
External ID []: abcd1234
Expired Seconds [900]: 900
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[RamRoleArnProfile] ...Done.

非対話形式の設定

コマンド:

Bash

aliyun configure set \
  --profile RamRoleArnProfile \
  --mode RamRoleArn \
  --access-key-id <yourAccessKeyID> \
  --access-key-secret <yourAccessKeySecret> \
  --sts-region "cn-hangzhou"
  --ram-role-arn "acs:ram::012345678910****:role/Alice" \
  --role-session-name "alice" \
  --external-id "abcd1234" \
  --expired-seconds 900 \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile RamRoleArnProfile `
  --mode RamRoleArn `
  --access-key-id <yourAccessKeyID> `
  --access-key-secret <yourAccessKeySecret> `
  --sts-region "cn-hangzhou" `
  --ram-role-arn "acs:ram::012345678910****:role/Alice" `
  --role-session-name "alice" `
  --external-id "abcd1234" `
  --expired-seconds 900 `
  --region "cn-hangzhou"

EcsRamRole

説明

バージョン v3.0.225 以降、Cloud Assistant CLI はデフォルトで強化モード (IMDSv2) でアクセス認証情報を取得します。この認証情報タイプを設定する前に、最新バージョンの Cloud Assistant CLI をインストールすることをお勧めします。
RAM ロールを ECS または ECI インスタンスに付与する方法の詳細については、「RAM ロールを作成して ECS インスタンスに付与する」および「インスタンス RAM ロールを ECI インスタンスに付与する」をご参照ください。

EcsRamRole 認証情報に AccessKey を設定する必要はありません。ECS または ECI インスタンス内で Cloud Assistant CLI を使用する場合、メタデータサービスにアクセスして、RAM ロールの一時的な ID 認証情報 (STS トークン) を取得し、OpenAPI 操作を呼び出すことができます。この方法により、AccessKey の漏洩リスクが軽減されます。
インスタンスメタデータサーバーは、セキュアモードと通常モードをサポートしています。Cloud Assistant CLI は、デフォルトでセキュアモード (IMDSv2) を使用してアクセス認証情報を取得します。セキュアモードで例外が発生した場合は、ALIBABA_CLOUD_IMDSV1_DISABLED 環境変数を設定して例外処理ロジックを指定できます。有効な値は次のとおりです。
- 値が false (デフォルト) の場合、Cloud Assistant CLI は通常モードにフォールバックしてアクセス認証情報を取得します。
- 値が true の場合、Cloud Assistant CLI はセキュアモードのみを使用してアクセス認証情報を取得し、失敗した場合は例外をスローします。
サーバーが IMDSv2 をサポートするかどうかは、サーバーの構成によって異なります。
詳細については、「Linux、macOS、および Windows で環境変数を設定する」をご参照ください。

認証情報パラメーター:

パラメーター

説明

例

ECS RAM ロール

ECS インスタンスに付与された RAM ロールの名前。

このパラメーターを指定しない場合、プログラムは自動的に ECS インスタンスのメタデータサービスにアクセスして RoleName 情報を取得し、RoleName に基づいて認証情報を取得します。このプロセスには 2 つのリクエストが必要です。

ECSAdmin

リージョン ID

デフォルトのリージョン。

一部の Alibaba Cloud サービスは、クロスリージョンアクセスをサポートしていません。購入したリソースが配置されているリージョンにデフォルトのリージョンを設定します。

cn-hangzhou

例

次の例は、EcsProfile という名前の EcsRamRole 認証情報を設定する方法を示しています。

対話形式の設定

コマンド:

aliyun configure --profile EcsProfile --mode EcsRamRole

対話プロセスの例:

例

Configuring profile 'EcsProfile' in 'EcsRamRole' authenticate mode...
Ecs Ram Role []: ECSAdmin
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[EcsProfile] ...Done.

非対話形式の設定

コマンド:

Bash

aliyun configure set \
  --profile EcsProfile \
  --mode EcsRamRole \
  --ram-role-name "ECSAdmin" \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile EcsProfile `
  --mode EcsRamRole `
  --ram-role-name "ECSAdmin" `
  --region "cn-hangzhou"

外部

説明

外部認証情報は、外部プログラムから認証情報データを取得します。Cloud Assistant CLI がこの認証情報を使用する場合、指定されたプログラムコマンドを実行し、その出力を認証情報として使用します。

認証情報パラメーター:

パラメーター

説明

例

プロセスコマンド

外部プログラムコマンド。外部プログラムは、AccessKey と STS トークンの 2 種類の静的認証情報を返すことができます。

acs-sso login --profile sso

リージョン ID

デフォルトのリージョン。

cn-hangzhou

外部プログラムによって返される認証情報のサンプル:

AccessKey

{
  "mode": "AK",
  "access_key_id": "<yourAccessKeyID>",
  "access_key_secret": "<yourAccessKeySecret>"
}

STS トークン

{
  "mode": "StsToken",
  "access_key_id": "<yourAccessKeyID>",
  "access_key_secret": "<yourAccessKeySecret>",
  "sts_token": "<yourSecurityToken>"
}

例

次の例は、ExternalProfile という名前の外部認証情報を設定する方法を示しています。

対話形式の設定

コマンド:

aliyun configure --profile ExternalProfile --mode External

対話プロセスの例:

例

Configuring profile 'ExternalProfile' in 'External' authenticate mode...
Process Command []: acs-sso login --profile sso
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[ExternalProfile] ...Done.

非対話形式の設定

コマンド:

Bash

aliyun configure set \
  --profile ExternalProfile \
  --mode External \
  --process-command "acs-sso login --profile sso" \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile ExternalProfile `
  --mode External `
  --process-command "acs-sso login --profile sso" `
  --region "cn-hangzhou"

ChainableRamRoleArn

説明

バージョン v3.0.276 以降、Cloud Assistant CLI は ChainableRamRoleArn タイプの認証情報で External Id をサポートします。詳細については、次の表の認証情報パラメーターをご参照ください。

ChainableRamRoleArn 認証情報は、ソース ID 認証情報設定を使用して、AccessKey や STS トークンなどの中間認証情報を取得します。その後、Cloud Assistant CLI は中間認証情報を使用してロールを偽装し、最終的な一時 ID 認証情報である STS トークンを取得します。

認証情報パラメーター:

パラメーター	説明	例
ソースプロファイル	ソース設定の名前。 ChainableRamRoleArn 認証情報を設定する前に、先行する認証情報をソース設定として作成する必要があります。詳細については、「例」をご参照ください。	RamRoleArnProfile
STS リージョン	STS トークンを取得するために呼び出しが開始されるリージョン。STS がサポートするリージョンの詳細については、「エンドポイント」をご参照ください。	cn-hangzhou
RAM ロールの ARN	偽装する RAM ロールの ARN。このロールは、信頼できるエンティティが Alibaba Cloud アカウントである RAM ロールです。詳細については、「信頼できる Alibaba Cloud アカウントの RAM ロールを作成する」または「CreateRole」をご参照ください。ロールの ARN は、RAM コンソールで表示するか、API を呼び出すことで表示できます。 RAM コンソール: 詳細については、「RAM ロールの ARN を表示するにはどうすればよいですか?」をご参照ください。 API: 詳細については、「ListRoles」または「GetRole」をご参照ください。	acs:ram::012345678910****:role/Alice
ロールセッション名	ロールセッションの名前。これはカスタムパラメーターです。通常、この API を呼び出すユーザーの ID (ユーザー名など) に設定されます。監査ログでは、同じ RAM ロールが操作を実行した場合でも、異なる `RoleSessionName` の値に基づいて実際のオペレーターを区別し、ユーザーレベルのアクセス監査を実装できます。値は 2〜64 文字の長さで、文字、数字、および特殊文字 `.@-_` を含めることができます。	alice
External ID	ロールの外部 ID。このパラメーターは、ロールを表すために外部の当事者によって提供されます。主に「混乱した使節」問題を防止するために使用されます。詳細については、「外部 ID を使用して「混乱した使節」問題を防止する」をご参照ください。値は 2〜1,224 文字の長さで、文字、数字、および特殊文字 `=,.@:/-_` を含めることができます。正規表現は `[\w+=,.@:\/-]*` です。	abcd1234
有効期限 (秒)	認証情報の有効期限 (秒単位)。デフォルト値は `900` です。最大値は、偽装するロールの `MaxSessionDuration` です。	900
リージョン ID	デフォルトのリージョン。一部の Alibaba Cloud サービスは、クロスリージョンアクセスをサポートしていません。購入したリソースが配置されているリージョンにデフォルトのリージョンを設定します。	cn-hangzhou

例

説明

ChainableRamRoleArn 認証情報を設定する前に、AliyunSTSAssumeRoleAccess システムポリシーを、ソース ID 認証情報に対応する RAM ID に付与する必要があります。

次の例は、RamRoleArnProfile という名前の RamRoleArn 認証情報をソース ID 認証情報として使用する、ChainableProfile という名前の ChainableRamRoleArn 認証情報を設定する方法を示しています。

対話形式の設定

ソース ID 認証情報 RamRoleArnProfile を設定します。設定プロセスの詳細については、RamRoleArn セクションの例をご参照ください。

次のコマンドを実行して、ChainableRamRoleArn 認証情報 ChainableProfile を設定します。

aliyun configure --profile ChainableProfile --mode ChainableRamRoleArn

次の対話例では、Source Profile オプションの設定名として RamRoleArnProfile を入力し、以前に設定した認証情報を使用します。

例

Configuring profile 'ChainableProfile' in 'ChainableRamRoleArn' authenticate mode...
Source Profile []: RamRoleArnProfile
Sts Region []: cn-hangzhou
Ram Role Arn []: acs:ram::012345678910****:role/Alice
Role Session Name []: alice
External ID []: abcd1234
Expired Seconds [900]: 900
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[ChainableProfile] ...Done.

非対話形式の設定

Alibaba Cloud CLI バージョン v3.0.298 以降では、aliyun configure set コマンドを実行して、ChainableRamRoleArn タイプの認証情報を非対話形式で設定できます。以下はサンプルコマンドです。

Bash

aliyun configure set \
  --profile ChainableProfile \
  --mode ChainableRamRoleArn \
  --source-profile RamRoleArnProfile \
  --sts-region "cn-hangzhou" \
  --ram-role-arn "acs:ram::012345678910****:role/Alice" \
  --role-session-name "alice" \
  --external-id "abcd1234" \
  --expired-seconds 900 \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile ChainableProfile `
  --mode ChainableRamRoleArn `
  --source-profile RamRoleArnProfile `
  --sts-region "cn-hangzhou" `
  --ram-role-arn "acs:ram::012345678910****:role/Alice" `
  --role-session-name "alice" `
  --external-id "abcd1234" `
  --expired-seconds 900 `
  --region "cn-hangzhou"

CredentialsURI

説明

CredentialsURI 認証情報は、提供された URI にアクセスして、OpenAPI 操作を呼び出すための一時的な ID 認証情報 (STS トークン) を取得します。

認証情報パラメーター:

パラメーター

説明

例

CredentialsURI

ローカルまたはリモートの URI。

指定された URI が HTTP 200 ステータスコードを返さない場合、またはその応答内容が期待される形式と一致しない場合、Cloud Assistant CLI はリクエストを失敗として扱います。

http://credentials.uri/

リージョン ID

デフォルトのリージョン。

cn-hangzhou

URI 応答構造のサンプル:

{
  "Code": "Success",
  "AccessKeyId": "<yourAccessKeyID>",
  "AccessKeySecret": "<yourAccessKeySecret>",
  "SecurityToken": "<yourSecurityToken>",
  "Expiration": "2006-01-02T15:04:05Z" // utc time
}

例

次の例は、URIProfile という名前の CredentialsURI 認証情報を設定する方法を示しています。

対話形式の設定

コマンド:

aliyun configure --profile URIProfile --mode CredentialsURI

対話プロセスの例:

例

Configuring profile 'URIProfile' in 'CredentialsURI' authenticate mode...
Credentials URI []: http://credentials.uri/
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[URIProfile] ...Done.

CredentialsURI を非対話形式で設定することはできません。

OIDC

説明

OIDC 認証情報は、STS の AssumeRoleWithOIDC API 操作を呼び出すことで、アタッチされたロールの一時的な ID 認証情報 (STS トークン) を取得します。詳細については、「RRSA を使用してサービスアカウントの RAM 権限を設定し、Pod レベルの権限隔離を実装する」をご参照ください。

認証情報パラメーター:

パラメーター	説明	例
OIDCProviderARN	OIDC IdP の ARN。 OIDC IdP の ARN は、RAM コンソールで表示するか、API を呼び出すことで表示できます。 RAM コンソール: 詳細については、「OIDC IdP の管理」をご参照ください。 API: 詳細については、「GetOIDCProvider」または「ListOICProviders」をご参照ください。	acs:ram::012345678910****:oidc-provider/TestOidcIdp
OIDCTokenFile	OIDC トークンファイルへのパス。OIDC トークンは、外部 IdP によって発行された OIDC トークンです。	/path/to/oidctoken
RAM ロールの ARN	偽装する RAM ロールの ARN。ロールの ARN は、RAM コンソールで表示するか、API を呼び出すことで表示できます。 RAM コンソール: 詳細については、「RAM ロールの ARN を表示するにはどうすればよいですか?」をご参照ください。 API: 詳細については、「ListRoles」または「GetRole」をご参照ください。	acs:ram::012345678910****:role/Alice
ロールセッション名	ロールセッションの名前。これはカスタムパラメーターです。通常、この API を呼び出すユーザーの ID (ユーザー名など) に設定されます。監査ログでは、同じ RAM ロールが操作を実行した場合でも、異なる `RoleSessionName` の値に基づいて実際のオペレーターを区別し、ユーザーレベルのアクセス監査を実装できます。値は 2〜64 文字の長さで、文字、数字、および特殊文字 `.@-_` を含めることができます。	alice
リージョン ID	デフォルトのリージョン。一部の Alibaba Cloud サービスは、クロスリージョンアクセスをサポートしていません。購入したリソースが配置されているリージョンにデフォルトのリージョンを設定します。	cn-hangzhou

例

次の例は、OIDC_Profile という名前の OIDC 認証情報を設定する方法を示しています。

対話形式の設定

コマンド:

aliyun configure --profile OIDC_Profile --mode OIDC

対話プロセスの例:

例

Configuring profile 'OIDC_Profile' in 'OIDC' authenticate mode...
OIDC Provider ARN []: acs:ram::012345678910****:oidc-provider/TestOidcIdp
OIDC Token File []: /path/to/oidctoken
RAM Role ARN \ acs:ram::012345678910****:role/Alice
Role Session Name []: alice
Default Region Id []: cn-hangzhou
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en: en
Saving profile[OIDC_Profile] ...Done.

非対話形式の設定

コマンド:

Bash

aliyun configure set \
  --profile OIDC_Profile \
  --mode OIDC \
  --oidc-provider-arn "acs:ram::012345678910****:oidc-provider/TestOidcIdp" \
  --oidc-token-file "/path/to/oidctoken" \
  --ram-role-arn "acs:ram::012345678910****:role/Alice" \
  --role-session-name "alice" \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile OIDC_Profile `
  --mode OIDC `
  --oidc-provider-arn "acs:ram::012345678910****:oidc-provider/TestOidcIdp" `
  --oidc-token-file "/path/to/oidctoken" `
  --ram-role-arn "acs:ram::012345678910****:role/Alice" `
  --role-session-name "alice" `
  --region "cn-hangzhou"

CloudSSO

説明

v3.0.271 以降、Cloud Assistant CLI は CloudSSO 認証情報タイプを導入し、CloudSSO のログインプロセスを簡素化します。以前のバージョンの方法も引き続き利用できます。

CloudSSO は、Alibaba Cloud リソースディレクトリに基づいて、統一された ID 管理とアクセスの制御を提供します。リソースディレクトリ内のアカウントのアクセス設定を CloudSSO ユーザーまたはグループに付与すると、RAM ロールがそのアカウントにデプロイされます。CloudSSO はこの RAM ロールを偽装して、一時的な ID 認証情報 (STS トークン) を取得し、OpenAPI 操作を呼び出します。この方法により、AccessKey の漏洩リスクが軽減されます。
CloudSSO 認証情報には、ID 認証のためのブラウザベースのログインとユーザー操作が必要です。

認証情報パラメーター:

パラメーター	説明	例
SignIn Url	ユーザーログイン URL。 URL を取得するには、CloudSSO コンソールにログインします。[概要] ページで、右側にあるユーザーログイン URL を見つけます。	https://signin-******.alibabacloudsso.com/device/login
アカウント	リソースディレクトリのアカウント。対話形式の設定では、アカウント名の前にある序数を入力してアカウントを選択します。非対話形式の設定では、ID を渡してアカウントを指定します。 ID を取得するには、CloudSSO コンソールにログインします。[複数アカウントの権限管理] ページで、右側にあるアカウントの UID を見つけます。	012345678910****
Access Configuration	アクセス設定。対話形式の設定では、設定名の前にある序数を入力して設定を選択します。非対話形式の設定では、ID を渡して設定を指定します。 ID を取得するには、CloudSSO コンソールにログインします。[アクセス設定] ページで、アクセス設定 ID を見つけます。	ac-012345678910abcde****
Region Id	デフォルトのリージョン。一部の Alibaba Cloud サービスは、クロスリージョンアクセスをサポートしていません。購入したリソースが配置されているリージョンにデフォルトのリージョンを設定します。	cn-hangzhou

例

次の例は、SSOProfile という名前の CloudSSO 認証情報を設定する方法を示しています。

対話形式の設定

次のコマンドを実行して、CloudSSO ログイン情報の設定を開始します。複数のプロファイルを設定し、プロファイルを指定することでログインアカウントとアクセス設定をすばやく切り替えることができます。
```
aliyun configure --profile SSOProfile --mode CloudSSO
```

プロンプトに従って、ユーザーログイン URL SignIn Url を入力します。

aliyun configure --profile SSOProfile --mode CloudSSO
CloudSSO Sign In Url []: https://signin-******.alibabacloudsso.com/device/login

表示されるブラウザウィンドウで、画面の指示に従って CloudSSO ユーザーのログインを完了します。ログイン後、ブラウザウィンドウを閉じます。
説明
ブラウザウィンドウが表示されない場合は、CLI プロンプトからログイン URL (SignIn url) とユーザーコード (User code) を手動でコピーしてログインを完了できます。
プロンプトのサンプル:
```
If the browser does not open automatically, use the following URL to complete the login process:

SignIn url: https://signin-****.alibabacloudsso.com/device/code
User code: *********
```
CLI は成功メッセージを返し、アクセス可能なリソースディレクトリ内のアカウントを一覧表示します。アクセスしたいアカウントに対応する番号を入力します。
```
Now you can login to your account with SSO configuration in the browser.
You have successfully logged in.
Please choose an account:
1. <RD Management Account>
2. AccountName
Please input the account number: 1
```
CLI は使用可能なアクセス設定を一覧表示します。使用したいアクセス設定に対応する番号を入力します。
```
Please choose an access configuration:
1. AccessConfiguration1
2. AccessConfiguration2
Please input the access configuration number: 2
```
デフォルトのリージョンを指定します。
```
Default Region Id []: cn-hangzhou
```
設定が成功すると、「Configure Done」とウェルカムメッセージが表示されます。

非対話形式の設定

説明

非対話モードで CloudSSO 認証情報を設定した後、初めて認証情報を使用するときに aliyun configure --profile <PROFILE_NAME> コマンドを実行してログインする必要があります。

aliyun configure set コマンドを使用して、非対話形式の設定を実行できます。以下はコマンドです。

Bash

aliyun configure set \
  --profile SSOProfile \
  --mode CloudSSO \
  --cloud-sso-sign-in-url "https://signin-******.alibabacloudsso.com/device/login" \
  --cloud-sso-access-config "ac-012345678910abcde****" \
  --cloud-sso-account-id "012345678910****" \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile SSOProfile `
  --mode CloudSSO `
  --cloud-sso-sign-in-url "https://signin-******.alibabacloudsso.com/device/login" `
  --cloud-sso-access-config "ac-012345678910abcde****" `
  --cloud-sso-account-id "012345678910****" `
  --region "cn-hangzhou"

OAuth

説明

Alibaba Cloud CLI は、バージョン v3.0.299 以降で OAuth 認証情報タイプをサポートしています。この認証情報タイプを設定する前に、最新バージョンの Alibaba Cloud CLI ツールをインストールすることをお勧めします。

初めて OAuth 認証情報を設定すると、Cloud Assistant CLI は Resource Access Management にサードパーティの OAuth アプリケーションを作成します。権限付与後、Cloud Assistant CLI はこのアプリケーションを使用して、ユーザー ID を表すトークンを取得し、クラウドリソースにアクセスできます。
OAuth 認証情報には、権限付与フローを完了するためにブラウザが必要です。対話に使用するブラウザと Cloud Assistant CLI は、同じデバイスで実行する必要があります。

認証情報パラメーター:

パラメーター

説明

例

OAuth Site Type

ログインサイト。デフォルト値: CN。

中国サイト (aliyun.com): 0 または CN。
国際サイト (alibabacloud.com): 1 または INTL。

Region Id

デフォルトのリージョン。

cn-hangzhou

OAuth スコープ:

OAuth スコープ	OAuth スコープの説明
openid	RAM ユーザーの OpenID を取得します。OpenID はユーザーを一意に表す文字列ですが、Alibaba Cloud UID やユーザー名などの情報は含まれません。
/internal/ram/usersts	Alibaba Cloud サービス API を呼び出すための STS 認証情報を取得するために使用されます。

例

次の例は、OAuthProfile という名前の OAuth 認証情報を設定する方法を示しています。

対話形式の設定

次のコマンドを実行して、OAuth ログイン情報の設定を開始します。
```
aliyun configure --profile OAuthProfile --mode OAuth
```
プロンプトに従って、ログインサイト OAuth Site Type を入力します。
```
aliyun configure --profile OAuthProfile --mode OAuth
Configuring profile 'OAuthProfile' in 'OAuth' authenticate mode...
OAuth Site Type (CN: 0 or INTL: 1, default: CN): 
```
- 0 または CN を入力して、ログインサイトを Alibaba Cloud 中国サイト (aliyun.com) に設定します。
- 1 または INTL を入力して、ログインサイトを Alibaba Cloud 国際サイト (alibabacloud.com) に設定します。
- Enter キーを押して、デフォルトで中国サイト (aliyun.com) (CN) を選択します。
表示されるブラウザウィンドウで、権限付与を実行します。
説明
この権限付与は、AliyunRAMFullAccess 権限を持つ管理者が実行する必要があります。権限がない場合は、管理者に連絡してください。
ブラウザウィンドウが表示されない場合は、[SignIn Url] をブラウザに手動でコピーして、ログインと権限付与を完了できます。
プロンプトのサンプル:
```
If the browser does not open automatically, use the following URL to complete the login process:

SignIn url: https://signin.aliyun.com/oauth2/v1/auth?response_type=code&client_id=403818195455774****&redirect_uri=http%3A%2F%2F127.0.0.1%3A12345%2Fcli%2Fcallback&state=EKumS4qOPm11yRx7&code_challenge=BxR9DHWIdKBypPb089N0ekP-C-SAYwLj_jbLU-N****&code_challenge_method=S256
```
1. 初めて OAuth 認証情報を設定する場合、[サードパーティアプリケーションの権限付与] ページで、[承認] をクリックします。Cloud Assistant CLI は、Resource Access Management にサードパーティの OAuth アプリケーションを作成します。
2. 権限付与が完了したら、このアプリケーションに RAM ユーザーを割り当てる必要があります。[割り当てに移動] をクリックして、[Resource Access Management コンソール] > [OAuth アプリケーション] ページに移動します。
3. [OAuth アプリケーション] > [サードパーティアプリケーション] タブで、official-cli アプリケーションの名前をクリックします。
4. [割り当て] タブで、[割り当ての作成] をクリックし、ログインする RAM ユーザーを選択します。[OK] をクリックして割り当てを完了します。
割り当てが完了したら、権限付与プロセスを再度開始する必要があります。SignIn URL に再度アクセスし、[承認] をクリックします。
権限付与が成功したら、Cloud Assistant CLI のデフォルトのリージョンを指定します。
```
Default Region Id []: cn-hangzhou
```
設定が成功すると、「Configure Done」とウェルカムメッセージが表示されます。

非対話形式の設定

説明

非対話モードで OAuth 認証情報を設定した後、初めて認証情報を使用するときに aliyun configure --profile <PROFILE_NAME> コマンドを実行して権限付与操作を実行する必要があります。
非対話モードで認証情報を設定する場合、ログインサイトタイプには CN (中国サイト (aliyun.com)) または INTL (国際サイト (alibabacloud.com)) のみが有効な値です。

aliyun configure set コマンドを使用して、非対話形式の設定を実行できます。以下はコマンドです。

Bash

aliyun configure set \
  --profile OAuthProfile \
  --mode OAuth \
  --oauth-site-type "CN" \
  --region "cn-hangzhou"

PowerShell

aliyun configure set `
  --profile OAuthProfile `
  --mode OAuth `
  --oauth-site-type "CN" `
  --region "cn-hangzhou"

認証情報管理

Cloud Assistant CLI を使用すると、複数の ID 認証情報を設定および管理できます。必要に応じて、認証情報設定を切り替えたり指定したりできます。

現在の設定を設定する

次のコマンドを実行して、指定した設定を現在の設定として設定します。

aliyun configure switch --profile <PROFILE_NAME>

切り替えが成功すると、Cloud Assistant CLI は、別の変更を行うまで、デフォルトでこの設定のセッティングと認証情報を使用します。

さらに、<a baseurl="t395345_v3_2_0.xdita" data-node="395350" data-root="39083" data-tag="xref" href="t395350.xdita#289ac5b8e2cvk" id="d7e8857d3e65g">aliyun configure set</a> コマンドが正常に実行されると、変更された設定が自動的に現在の設定になります。

コマンドラインで設定を指定する

コマンドラインインターフェイス (CLI) でコマンドを実行するときに、--profile オプションを使用して、使用する設定を明示的に指定できます。このオプションは最も高い優先度を持ち、他のデフォルト設定を上書きします。

例: 指定した設定 exampleProfile を使用して、Elastic Compute Service の DescribeInstances 操作を呼び出し、Elastic Compute Service インスタンス情報を取得します。

aliyun ecs DescribeInstances --profile exampleProfile

その他の認証情報管理コマンド

Cloud Assistant CLI は、複数の ID 認証情報を管理するための configure コマンドとそのサブコマンドを提供します。これらのコマンドを使用して、認証情報の追加、削除、変更、表示ができます。詳細については、「複数の認証情報を管理する」をご参照ください。

認証情報設定の保存場所

プロファイルとも呼ばれる認証情報プロファイルは、名前付きの設定セットです。すべての認証情報と設定は、JSON 形式で config.json ファイルに保存されます。このファイルは、ホームディレクトリの .aliyun フォルダにあります。ホームディレクトリの場所は、オペレーティングシステムによって異なります。

Windows: C:\Users\<USER_NAME>\.aliyun
Linux/macOS: /home/<USER_NAME>/.aliyun

ID 認証情報の設定方法

対話形式の設定

一般的な構文

非対話形式の設定

一般的な構文

ID 認証情報のタイプ

AK

説明

例

StsToken

説明

例

RamRoleArn

説明

例

EcsRamRole

説明

例

外部

説明

AccessKey

STS トークン

例

ChainableRamRoleArn

説明

例

CredentialsURI

説明

例

OIDC

説明

例

CloudSSO

説明

例

OAuth

説明

例

認証情報管理

現在の設定を設定する

コマンドラインで設定を指定する

その他の認証情報管理コマンド

認証情報設定の保存場所

関連ドキュメント