获取云SSO用户的程序访问临时凭证_云SSO(CloudSSO)-阿里云帮助中心

云SSO用户登录云SSO用户门户后，可以以RAM角色方式访问RD账号。云SSO用户既可以通过云SSO用户门户扮演RAM角色访问RD账号中的资源，也可以使用程序访问临时凭证（STS Token）通过阿里云CLI或SDK访问RD账号中的资源。本文为您介绍云SSO用户如何获取STS Token。

使用说明

当您给云SSO用户或用户组授予RD账号的访问配置后，访问配置将在RD账号内部署一个RAM角色。该RAM角色仅可被指定的云SSO用户扮演，并且RAM角色的信任策略不可修改。

STS Token的权限与该RAM角色的权限相同，也就是访问配置中定义的权限。

关于访问配置的更多信息，请参见访问配置概述。

云SSO角色访问方式获取的STS Token是短期的临时访问凭证，可以自定义有效期，到期后将自动失效。STS Token的有效期取决于访问配置中定义的会话持续时间。更多信息，请参见创建访问配置和修改访问配置基本信息。

云SSO用户可以登录用户门户后获取对应的STS Token，也可以使用CLI的acs-sso命令登录后获取对应的STS Token。两种方式获取的是同一类型的STS Token。关于CLI登录方法，请参见使用CLI登录云SSO并访问阿里云资源。

以下为您介绍登录用户门户获取STS Token的方法。

云SSO用户登录云SSO用户门户。
1. 云SSO用户从云SSO管理员处获取用户门户登录地址。
  具体操作，请参见步骤一：获取用户门户访问地址。
2. 云SSO用户通过用户名密码或SSO登录的方式登录用户门户。
  具体操作，请参见步骤二：登录云SSO用户门户。
在以RAM角色登录页签，单击目标RD账号权限列的显示详情。
单击目标权限操作列的访问凭证。
说明
每单击一次访问凭证，都会生成一个新的STS Token。STS Token无论新旧，只要在有效期内都可以正常使用。
按照界面提示完成安全验证。
查看和复制STS Token。

使用STS Token通过阿里云CLI、SDK访问阿里云资源。