获取云SSO用户的程序访问临时凭证
云SSO用户登录云SSO用户门户后,可以以RAM角色方式访问RD账号。云SSO用户既可以通过云SSO用户门户扮演RAM角色访问RD账号中的资源,也可以使用程序访问临时凭证(STS Token)通过阿里云CLI或SDK访问RD账号中的资源。本文为您介绍云SSO用户如何获取STS Token。
使用说明
STS Token权限
当您给云SSO用户或用户组授予RD账号的访问配置后,访问配置将在RD账号内部署一个RAM角色。该RAM角色仅可被指定的云SSO用户扮演,并且RAM角色的信任策略不可修改。
STS Token的权限与该RAM角色的权限相同,也就是访问配置中定义的权限。
关于访问配置的更多信息,请参见访问配置概述。
STS Token有效期
云SSO角色访问方式获取的STS Token是短期的临时访问凭证,可以自定义有效期,到期后将自动失效。STS Token的有效期取决于访问配置中定义的会话持续时间。更多信息,请参见创建访问配置和修改访问配置基本信息。
获取STS Token
云SSO用户可以登录用户门户后获取对应的STS Token,也可以使用CLI的acs-sso命令登录后获取对应的STS Token。两种方式获取的是同一类型的STS Token。关于CLI登录方法,请参见使用CLI登录云SSO并访问阿里云资源。
以下为您介绍登录用户门户获取STS Token的方法。
云SSO用户登录云SSO用户门户。
云SSO用户从云SSO管理员处获取用户门户登录地址。
具体操作,请参见步骤一:获取用户门户访问地址。
云SSO用户通过用户名密码或SSO登录的方式登录用户门户。
具体操作,请参见步骤二:登录云SSO用户门户。
在以RAM角色登录页签,单击目标RD账号权限列的显示详情。
单击目标权限操作列的访问凭证。
说明每单击一次访问凭证,都会生成一个新的STS Token。STS Token无论新旧,只要在有效期内都可以正常使用。
按照界面提示完成安全验证。
查看和复制STS Token。
后续步骤
使用STS Token通过阿里云CLI、SDK访问阿里云资源。
关于STS Token的配置,请参见在阿里云CLI中配置STS Token、在Credentials工具中配置STS Token。