出站凭证类型选择与授权管理-智能体身份 Agent Identity-阿里云

Agent Identity的功能按工作流的方向，可以分为入站和出站两部分。其中，出站指的是Agent完成入站认证和授权后，使用Workload Access Token调用Agent Identity服务接口，为Agent获取访问下游云服务或第三方资源凭证的过程。

如何选择出站凭证

Agent Identity 支持获取三种类型的出站凭证：STS Token、OAuth Access Token 和 API Key。您可以根据要访问的下游资源类型和认证方式，选择最合适的凭证。

使用场景	出站凭证	获取方法
访问阿里云服务	OAuth Access Token	注册OAuth凭证提供商，调用`GetResourceOauth2Token`接口获取OAuth Access Token，再通过OAuth Access Token调用阿里云OpenAPI MCP服务。
访问阿里云服务	STS Token	Agent调用 `AssumeRoleForWorkloadIdentity`接口扮演RAM角色，获取上下文感知的STS Token，再通过STS Token调用阿里云OpenAPI。
访问LLM或三方资源	API Key	注册API Key凭证提供商，调用`GetResourceAPIKey`接口获取API Key，再通过API Key访问LLM或三方资源。
访问LLM或三方资源	OAuth Access Token	注册OAuth凭证提供商，调用`GetResourceOauth2Token`接口获取OAuth Access Token，再通过OAuth Access Token调用三方资源的API或MCP服务。

关于具体如何获取凭证，请参见获取凭证。

出站授权

调用Agent Identity的出站凭证获取接口（如GetReourceOAuth2Token）时，需要完成出站授权。

您可以为要用来获取出站凭证的工作负载身份关联角色创建一个自定义权限策略，并授予相应权限。

策略示例：

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "agentidentitydata:GetResourceOAuth2Token",
        "agentidentitydata:GetResourceAPIKey",
      ],
      "Resource": "*"
    }
  ],
  "Version": "1"
}

凭证提供商管理

Agent Identity支持配置OAuth和API Key两种类型的凭证提供商。配置和管理方法请参见：

Agent Identity针对常见OAuth凭证提供商（如阿里云）做了预配置，以帮助您简化凭证提供商的配置。具体请参见：典型OAuth凭证提供商设置教程。