Alibaba Cloud CLI：配置阿里雲CLI OAuth 憑證

環境要求

• 阿里雲 CLI 版本 ≥ 3.3.0。運行 aliyun version 命令查看目前的版本。版本低於 3.3.0 時，請參考安裝/更新 CLI升級後再使用 OAuth 憑證。

• 需要擁有能夠登入控制台的帳號，可以是：阿里雲帳號（主帳號）、RAM 使用者或通過 SSO 登入的企業使用者。如果使用 RAM 使用者，需確認已啟用控制台登入，詳見啟用控制台登入。

• 本地環境需要能開啟瀏覽器。純終端環境不支援配置OAuth憑證方式。

安裝阿里雲CLI應用並分配身份

首次使用 OAuth 前，需由 RAM 管理員完成以下操作。完成後，後續新增使用者只需執行步驟 2 即可。

1. 安裝 CLI 應用（一次性）：登入 RAM 控制台，在左側導覽列選擇集成管理 > OAuth 應用（公測）。切換到第三方應用頁簽。如果列表中沒有 official-cli 應用，單擊安裝官方應用，選擇 OfficialCLITool 完成安裝。

2. 分配身份：進入 official-cli 應用詳情頁，切換到分配頁簽。單擊建立分配將需要使用阿里雲CLI 的 RAM 使用者或角色添加到授權列表。

   

完整操作步驟，請參見步驟一：管理員建立CLI應用、步驟二：管理員分配身份。

1. 運行以下命令開始配置。將 <ProfileName> 替換為自訂的配置名稱（如 OAuthProfile）：

   aliyun configure --mode OAuth --profile <ProfileName>

2. 選擇登入網站OAuth Site Type：

   aliyun configure --profile OAuthProfile --mode OAuth
   Configuring profile 'OAuthProfile' in 'OAuth' authenticate mode...
   OAuth Site Type (CN: 0 or INTL: 1, default: CN): 

   • 輸入0或CN：設定登入網站為阿里雲中國站。

   • 輸入1或INTL：設定登入網站為阿里雲國際站。

   • 直接斷行符號：預設選擇中國站（CN）。

3. 使用者登入。在自動彈出的瀏覽器視窗中，使用您的RAM使用者身份登入。如果瀏覽器視窗未彈出，可以根據CLI的提示資訊，手動複製登入URL（SignIn url）至瀏覽器中，完成登入和授權操作。

   Please open the following URL in your browser to authorize:
   https://signin.aliyun.com/oauth2/v1/auth?...

4. 執行使用者授權操作。在瀏覽器開啟的使用者授權頁面，單擊授權。授權成功後，瀏覽器頁面顯示Authorization successful. You can close this window.，此時可關閉瀏覽器視窗。

5. 設定預設地區及語言，如：

   Default Region Id []: cn-shanghai
   Default Language [zh|en] en: en

   具體地區請參見地區和可用性區域。部分雲產品不支援跨地區訪問，建議您優先將預設地區設定為已購資源所在地區。

6. 終端顯示 Configure Done 及歡迎資訊，表示配置成功。

授權時瀏覽器未自動彈出怎麼辦？

CLI 會在終端列印登入 URL，手動複製到瀏覽器開啟即可。若頁面無法載入，請檢查：

• 本地連接埠 12345–12349 是否被佔用（CLI 需要監聽其中一個連接埠接收授權回調）

• 與阿里雲登入端點 signin.aliyun.com（中國站）或 signin.alibabacloud.com（國際站）的網路連通狀況

使用者授權時報錯調用未被授權/ You are not allowed to do this action.

管理員未在使用者所在的阿里雲帳號下安裝CLI應用，請參考安裝阿里雲CLI應用並分配身份中的步驟進行安裝並將使用者添加到official-cli OAuth 應用的授權列表。

已有 AK 配置，想切換到 OAuth，需要先刪除 AK 配置嗎？

不需要。建立一個新的 OAuth profile 後，原有配置仍然保留，可以使用命令aliyun configure switch --profile <profile-name>命令進行切換。