CLI集成示例_配置审计(CloudConfig)-阿里云帮助中心

阿里云CLI（Alibaba Cloud Command Line Interface）是基于OpenAPI构建的通用命令行工具，您可以通过阿里云CLI实现自动化管理和维护配置审计。本文将为您介绍使用阿里云CLI调用配置审计的操作步骤和示例。

前置概念

阅读本文前，若您还不了解阿里云CLI，请参见什么是阿里云CLI。

前提条件

使用阿里云CLI之前，如果您还没有账号，请访问阿里云官网注册阿里云账号（主账号），同时建议您创建专用于API访问的RAM用户。具体操作可参见创建RAM用户。
在您使用配置审计之前，必须先开通配置审计服务，才能获取跨地域的资源清单，并对资源进行合规审计。详细操作步骤，请参见开通配置审计服务。

安装阿里云CLI

使用阿里云CLI前，您需要先安装阿里云CLI。阿里云CLI为用户提供了Windows、Linux和macOS三种操作系统下的安装服务，请根据您使用设备的操作系统选择对应的安装服务。

您也可使用阿里云提供的云命令行Cloud Shell调试阿里云CLI命令。关于云命令行的更多信息，请参阅什么是云命令行。

配置阿里云CLI

重要

阿里云账号（主账号）拥有所有产品API的管理和访问权限，风险很高。强烈建议您创建并使用RAM用户进行API访问或日常运维。RAM用户需授予管理配置审计的权限AliyunConfigFullAccess。

使用阿里云CLI之前，您需要在阿里云CLI中配置身份凭证、地域ID等信息。阿里云CLI支持多种身份凭证，详情请参见身份凭证类型。本文操作以AK类型凭证为例，具体操作步骤如下：

您需要创建一个RAM用户并根据需要授予管理对应产品的权限。具体操作，请参见创建RAM用户及为RAM用户授权。
创建RAM用户并授权后，您需要创建RAM用户对应的AccessKey，并记录AccessKey ID和AccessKey Secret，以便后续配置身份凭证使用。具体操作，请参见创建AccessKey。
配置凭证需要设置地域ID，阿里云CLI将使用您指定的地域发起API调用。可用地域请参见服务接入点。
说明
使用阿里云CLI过程中您可使用--region选项指定地域发起命令调用，该选项在使用时将忽略默认身份凭证配置及环境变量设置中的地域信息。详情请参见API命令可用选项。
使用RAM用户的AccessKey配置AK类型凭证，配置文件命名为AkProfile。具体操作，请参见配置示例。

生成CLI命令示例

登录配置审计API调试列表。
在API调试界面左侧搜索框中可搜索您需要使用的API。在参数配置中根据API文档信息填写参数，单击参数配置右侧的CLI示例页签即可生成携带参数的命令示例。
- 单击运行命令按钮，可唤出云命令行Cloud Shell并在其中快速完成命令调试。
- 单击复制按钮，将CLI示例复制到剪贴板中，可粘贴至本地Shell工具中运行。
  - 复制CLI示例到本地Shell工具中进行调试时请注意参数格式。关于阿里云CLI命令参数使用格式的详细信息，请参见参数格式说明。
  - OpenAPI门户生成示例中会默认添加--region选项，复制命令到本地调用时阿里云CLI将忽略默认身份凭证配置及环境变量设置中的地域信息，优先使用指定的地域调用命令，您可根据需要对该选项进行删除或保留。

调用API

命令结构

阿里云CLI的通用命令行结构如下。更多详情，请参见命令结构。

aliyun <command> <subcommand> [options and parameters]

常用命令选项

在阿里云CLI中，您可根据需要使用命令行选项，用来修改命令的默认行为或为命令提供额外功能。常用命令行选项如下：

--profile <profileName>：使用--profile选项并指定有效配置名称profileName后，阿里云CLI将忽略默认身份凭证配置及环境变量设置，优先使用指定的配置进行命令调用。
--help：在需要获取帮助的命令层级处键入--help选项，即可获取该命令的帮助信息。更多详情，请参见获取帮助信息。

更多详细信息，请参见API命令可用选项。

调用示例

说明

阿里云CLI集成配置审计API版本较早，建议您优先调用配置审计2020-09-07版本API。调用该版本API需要使用--force选项和--version选项，使用方法请参见强制调用接口。
OpenAPI门户在生成2020-09-07版本API命令示例时会自动添加相关选项，无需手动更改。
更多可用API信息，请参见API概览。

示例：以下代码示例将为您展示如何使用阿里云CLI调用配置审计中的ListDiscoveredResources命令，查询当前账号资源列表。

执行命令。

aliyun config ListDiscoveredResources
  --ResourceTypes "ACS::CloudSSO::User"
  --Regions "cn-shanghai"
  --MaxResults 10
  --version 2020-09-07
  --force

输出结果。

{
    "DiscoveredResourceProfiles": {
        "TotalCount": 1,
        "NextToken": "0uo*****************",
        "MaxResults": 10,
        "DiscoveredResourceProfileList": [
            {
                "ResourceCreationTime": 1720**********,
                "AccountId": 1512************,
                "ResourceId": "d-00*******************",
                "Version": 1720**********,
                "ResourceName": "",
                "Region": "cn-shanghai",
                "ResourceStatus": "Enabled",
                "AvailabilityZone": "",
                "ResourceType": "ACS::CloudSSO::User",
                "Tags": "{}",
                "ResourceDeleted": 1
            }
        ]
    },
    "RequestId": "E992A55B-7BA2-5220-BAAE-8ABD35966932"
}

说明

如果调用配置审计API后返回错误，您需要根据返回的错误码提示检查传入的请求参数及其取值是否正确。

您也可以记录下调用返回的RequestID或SDK报错信息，通过阿里云OpenAPI诊断平台进行自助诊断。