使用阿里云CLI管理云防火墙_云防火墙(Cloud Firewall)-阿里云帮助中心

阿里云CLI（Alibaba Cloud Command Line Interface）是基于OpenAPI构建的通用命令行工具，您可以通过阿里云CLI实现自动化管理和维护云防火墙（Cloud Firewall）。本文以调用DescribeNatFirewallList接口查询NAT边界防火墙的详细信息为例，为您介绍使用阿里云CLI调用云防火墙的操作步骤。

前置概念

阅读本文前，若您还不了解阿里云CLI，请参见什么是阿里云CLI。

安装阿里云CLI

使用阿里云CLI前，您需要先安装阿里云CLI。阿里云CLI为用户提供了Windows、Linux和macOS三种操作系统下的安装服务，请根据您使用设备的操作系统选择对应的安装服务。

您也可使用阿里云提供的云命令行Cloud Shell调试阿里云CLI命令。关于云命令行的更多信息，请参见什么是云命令行。

配置阿里云CLI

重要

阿里云主账号拥有所有产品OpenAPI的管理和访问权限，风险很高。强烈建议您创建RAM身份，并依据最小化权限原则授予权限，使用RAM身份访问OpenAPI。云防火墙支持的权限策略，请参见云防火墙系统权限策略参考及云防火墙自定义权限策略参考。

使用阿里云CLI之前，您需要在阿里云CLI中配置身份凭证、地域ID等信息。阿里云CLI支持多种身份凭证，详情请参见身份凭证类型。本文操作以AK类型凭证为例，具体操作步骤如下：

创建一个RAM用户，并创建AccessKey，以便后续配置身份凭证使用。具体操作，请参见创建RAM用户及创建AccessKey。
为RAM用户授权。本文示例需授予RAM用户只读访问云防火墙的权限AliyunYundunCloudFirewallReadOnlyAccess。具体操作，请参见为RAM用户授权。
获取可用的地域ID，以便后续配置身份凭证使用。阿里云CLI将使用您指定的地域发起OpenAPI调用。云防火墙的可用地域详情，请参见服务接入点。
说明
使用阿里云CLI过程中您可使用--region选项指定地域发起命令调用，该选项在使用时将忽略默认身份凭证配置及环境变量设置中的地域信息。详情请参见OpenAPI命令可用选项。
使用RAM用户的AccessKey配置AK类型凭证，配置文件命名为AkProfile。具体操作，请参见配置示例。

生成CLI命令示例

在OpenAPI门户中，访问DescribeNatFirewallList调试地址。
在参数配置中输入请求参数，单击CLI示例页签，查看生成的CLI示例。
复制CLI示例或在云命令行中快速执行：
- 单击运行命令按钮，可唤出云命令行并快速完成命令调试。
- 单击复制按钮，将CLI示例复制到剪贴板中，可粘贴至本地Shell工具中运行。
  说明
  - 复制CLI示例到本地Shell工具中进行调试时请注意参数格式。关于阿里云CLI命令参数使用格式的详细信息，请参见参数格式说明。
  - OpenAPI门户生成示例中会默认添加--region选项，复制命令到本地调用时阿里云CLI将忽略默认身份凭证配置及环境变量设置中的地域信息，优先使用指定的地域调用命令，您可根据需要对该选项进行删除或保留。

调用云防火墙OpenAPI

示例一：获取阿里云CLI中支持调用的云防火墙OpenAPI列表

以下代码示例将为您展示如何使用--help选项获取支持阿里云CLI调用云防火墙OpenAPI列表。您也可在API概览中查看支持调用的API。

执行命令。
```
aliyun cloudfw --help
```
输出结果。

示例二：查询NAT边界防火墙的详细信息

以下代码示例将为您展示如何使用阿里云CLI调用云防火墙中的DescribeNatFirewallList命令，查询NAT边界防火墙的详细信息。

执行命令。

aliyun cloudfw DescribeNatFirewallList \
  --region cn-hangzhou \
  --Lang zh \
  --PageNo 1 \
  --PageSize 10 \
  --ProxyId 'proxy-nat97a******' \
  --RegionNo 'cn-hangzhou'

输出结果。

{
  "TotalCount": 10,
  "RequestId": "15FCCC52-1E23-57AE-B5EF-3E00A3******",
  "NatFirewallList": [
    {
      "MemberUid": 0,
      "AliUid": 0,
      "ProxyId": "proxy-nat97a******",
      "ProxyName": "nat-防火墙测试",
      "ProxyStatus": "normal",
      "RegionId": "cn-hangzhou",
      "NatGatewayId": "ngw-uf6tnblxip4qcxg******",
      "NatGatewayName": "NAT网关测试",
      "VpcId": "vpc-2ze26ya******",
      "VpcName": "vpc-测试实例",
      "ErrorDetail": "防火墙创建失败",
      "StrictMode": 0,
      "NatRouteEntryList": [
        {
          "RouteTableId": "vtb-bp18o0gb******",
          "NextHopId": "ngw-2ze0s284r9atg5******",
          "NextHopType": "NatGateway",
          "DestinationCidr": "0.0.0.0/0"
        }
      ]
    }
  ]
}

说明

如果调用云防火墙OpenAPI后返回错误，您需要根据返回的错误码提示检查传入的请求参数及其取值是否正确。

您也可以记录下调用返回的RequestID或SDK报错信息，通过阿里云OpenAPI诊断平台进行自助诊断。