Alibaba Cloud CLIを使用したKMSのAPI操作の呼び出し - Key Management Service

Alibaba Cloud CLIは、APIに基づいて開発された汎用のコマンドラインツールです。 Alibaba Cloud CLIを使用して、Key Management Service リソースの自動管理とメンテナンスを実装できます。このトピックでは、ListKmsInstances操作を例として使用し、Alibaba Cloud CLIを使用してKMSのAPI操作を呼び出す方法について説明します。 ListKmsInstances操作は、KMSインスタンスのリストを照会します。

あなたが始める前に

Alibaba Cloud CLIに慣れてください。詳細については、「Alibaba Cloud CLI の概要」をご参照ください。

Alibaba Cloud CLIのインストール

Alibaba Cloud CLIを使用する前に、Alibaba Cloud CLIをインストールする必要があります。 Alibaba Cloud CLIは、Windows、Linux、およびmacOSオペレーティングシステムにインストールできます。デバイスのオペレーティングシステムに基づいて、Alibaba Cloud CLIのインストールパッケージを選択する必要があります。詳細については、以下のトピックをご参照ください。

Windowsオペレーティングシステム: Windows
Linuxオペレーティングシステム: Linux
macOSオペレーティングシステム: macOS

Alibaba Cloudが提供するCloud Shellを使用して、Alibaba Cloud CLIで実行するコマンドをデバッグすることもできます。 Cloud Shellの詳細については、「Cloud Shellとは」をご参照ください。

Alibaba Cloud CLIの設定

重要

Alibaba Cloudアカウントには、すべてのAlibaba CloudサービスのAPIを管理およびアクセスする権限があります。 Alibaba Cloudアカウントを使用してAPI操作を呼び出すと、セキュリティリスクが発生する可能性があります。 RAM (Resource Access Management) IDを作成し、最小権限の原則に基づいてRAM IDに必要な権限を付与し、RAM IDを使用してAPI操作を呼び出すことをお勧めします。 KMSでサポートされているポリシーの詳細については、「システムポリシー」および「カスタムポリシー」をご参照ください。

Alibaba Cloud CLIを使用する前に、Alibaba Cloud CLIでID資格情報やリージョンIDなどの情報を設定する必要があります。 Alibaba Cloud CLIは、さまざまなタイプのID資格情報をサポートしています。詳細については、「資格情報の種類」をご参照ください。この例では、AccessKeyペアがID資格情報として使用されます。

RAMユーザーを作成し、RAMユーザーがID資格情報を設定するためのAccessKeyペアを作成します。詳細については、「RAM ユーザーの作成」および「AccessKeyペアの作成」をご参照ください。
RAM ユーザーに必要な権限を付与します。この例では、KMSの読み取り専用権限をRAMユーザーに付与するAliyunKMSReadOnlyAccessポリシーをアタッチします。権限を付与する方法の詳細については、「RAMユーザーへの権限付与」をご参照ください。
使用するリージョンのIDを取得します。 Alibaba Cloud CLIは、指定したリージョンIDを使用してAPI呼び出しを開始します。 KMSでサポートされているリージョンの詳細については、「エンドポイント」をご参照ください。
説明
Alibaba Cloud CLIを使用する場合、-- regionオプションを使用して、呼び出しを開始するリージョンを指定できます。このオプションを使用してリージョンを指定すると、Alibaba Cloud CLIはデフォルトの資格情報設定と環境変数のリージョン情報を無視します。詳細については、「API呼び出しのコマンドラインオプション」をご参照ください。
RAMユーザーのAccessKeyペアを使用して、AkProfile設定ファイルでID資格情報を設定します。詳細については、「構成例」をご参照ください。

サンプルCLIコマンドの生成

ListKmsInstancesをクリックしてOpenAPI Explorerにアクセスします。
[パラメーター] タブで、パラメーターを設定します。次に、[CLIの例] タブをクリックして、生成されたサンプルCLIコマンドを表示します。
CLIコマンドをコピーするか、Cloud ShellでCLIコマンドをデバッグします。
- アイコンをクリックしてCloud Shellを起動し、Cloud ShellでCLIコマンドをデバッグします。
- アイコンをクリックして、CLIコマンドをクリップボードにコピーします。 CLIコマンドをオンプレミスシェルに貼り付けて、コマンドを実行することもできます。
  説明
  - CLIコマンドをオンプレミスのシェルに貼り付けてデバッグするときは、パラメーターの形式に注意してください。 Alibaba Cloud CLIで必要なパラメーター形式の詳細については、「パラメーター形式」をご参照ください。
  - デフォルトでは、OpenAPI Explorerは、生成されたCLIコマンドに -- regionオプションを追加します。コマンドをオンプレミスシェルにコピーすると、Alibaba Cloud CLIはデフォルトのID資格情報設定と環境変数のリージョン情報を無視し、オプションで指定されたリージョンでコマンドを実行します。ビジネス要件に基づいてオプションを削除または保持できます。

クラウドサービスのAPI操作の呼び出し

例1: Alibaba Cloud CLIを使用したKMSのサポートされているAPI操作の照会

次のコードは、-- helpオプションを使用してKMSのサポートされているAPI操作を照会する方法の例を示しています。サポートされているAPI操作を表示できます。詳細については、「関数別の操作の一覧」をご参照ください。

以下のコマンドを実行します。
```
aliyun kms --help
```
出力を表示します。

例2: KMSインスタンスのリストの照会

次のコードは、Alibaba Cloud CLIを使用してKMSのListKmsInstances操作を呼び出す方法の例を示しています。この操作は、KMSインスタンスのリストを照会します。

以下のコマンドを実行します。

aliyun kms ListKmsInstances --region cn-hangzhou --PageNumber 1 --PageSize 10

出力を表示します。
```
{
  "KmsInstances": {
    "KmsInstance": [
      {
        "KmsInstanceArn": "acs:kms:cn-hangzhou:141339776561****:keystore/kst-hzz66c5811c4c1wpv****",
        "KmsInstanceId": "kst-hzz66c5811c4c1wpv****"
      }
    ]
  },
  "TotalCount": 1,
  "PageNumber": 1,
  "PageSize": 10,
  "RequestId": "8b640712-ab78-47ca-b648-55b665ee51bf"
}
```
説明
KMSのAPI操作を呼び出した後にエラーが返された場合は、エラーコードに基づいて入力パラメーターと値が有効かどうかを確認してください。
Alibaba Cloud OpenAPI Diagnosticsを使用して返されたリクエストIDまたはSDKエラー情報に基づいてセルフサービス診断を実行します。