在阿里云客户端中配置身份凭证后可在客户端快速查看和管理云服务器ECS、弹性容器实例ECI、轻量应用服务器等资源。客户端支持添加多个身份凭证,避免频繁切换,提升运维效率。
操作步骤
在本地下载并安装阿里云客户端后,可选择以下任一方式配置身份凭证。
方式一:使用RAM用户AccessKey(推荐)
阿里云主账号的AccessKey拥有账户下所有资源的完全控制权限,其一旦泄露将构成极高的安全风险。为保障账户安全,建议遵循最小权限原则,创建权限受限的RAM用户并使用其AccessKey进行日常管理。
在客户端首页右上角,单击图标
,打开账号配置界面,单击账号列表栏的
图标。添加账号:
模式:AccessKey。
AccessKey ID和AccessKey Secret:填入已创建RAM用户的AccessKey。
默认地域:设置后,资源列表将默认展示该地域的资源。
资源组(可选):指定资源组ID后,客户端将仅展示该资源组内的资源。若留空,则默认显示所有资源。
验证并保存:单击验证检查凭证的有效性。验证通过后,单击保存。
方式二:配置其他身份凭证
客户端还支持以下身份凭证配置:
角色扮演(Assume RamRole):适用于跨账号访问。
安全令牌(STS Token):适用于RAM角色临时登录。
控制台账号(Console Account):使用账号密码(包括主账号和RAM账号)方式快速登录客户端。
认证URI(CredentialsURI)/外部命令(Credentials Command):适用于企业内员工,每次从企业内部提供的接口,获取临时分配 Token 的场景。
角色扮演(Assume RamRole)
配置此身份凭证需提前为RAM用户授予角色扮演的权限。
参数配置:
AccessKey ID和AccessKey Secret:角色的可信实体(RAM用户)的AccessKey。
RamRoleArn:要扮演的RAM角色的ARN,查看RAM角色ARN。
安全令牌(STS Token)
配置此身份凭证需提前为RAM用户授予角色扮演的权限。
参数配置:
AccessKey ID和AccessKey Secret:角色的可信实体(RAM用户)的AccessKey。
安全令牌(STS Token):通过调用AssumeRole接口,可获取一个扮演RAM角色的临时身份凭证(STS Token)。获取方式,请参见如何获取STS Token。
控制台账号(Console Account)
操作流程:
添加账号。
模式:选择控制台账号。
账号类型:选择主账号-中国站或子账号-中国站。
建议使用RAM用户(子账号)登录客户端,并谨慎对该RAM用户进行授权,避免因RAM用户管理或授权不当导致越权操作。
单击登录。在阿里云登录页面,按照界面提示,使用阿里云账号和密码登录阿里云。
登录成功后,自动返回到账号配置信息页面。此时,在页面下方显示为已登录,则表示账号添加成功。
认证URI(CredentialsURI)/外部命令(Credentials Command)
参数配置:
CredentialsURI/Credentials Command:从本地或远程URI中获取的身份凭证,更多信息参见aliyun/aliyun-cli: Alibaba Cloud CLI。该方式必须响应http(s) GET请求、返回状态码200、以及如下的JSON结构:
{
"Code": "Success",
"AccessKeyId": "<ak id>",
"AccessKeySecret": "<ak secret>",
"SecurityToken": "<security token>",
"Expiration": "2006-01-02T15:04:05Z"
}后续步骤
在阿里云客户端添加账号后,可直接在客户端上查看和管理资源(云服务器ECS、弹性容器实例ECI、轻量应用服务器和阿里云托管实例等),具体如下:
常见问题
首次安装阿里云客户端,为何已有账号登录?
若首次安装客户端时已有账号登录,是因为在使用阿里云CLI过程中配置了阿里云账号信息,阿里云客户端会自动导入该配置。
如何在多个已添加的账号之间切换?
在阿里云客户端的首页,单击当前账号右侧的图标,然后单击待查看账号,然后单击切换到此账号。
为什么添加了RAM用户账号后,看不到自己创建的资源?
需要为RAM用户赋予管理对应资源的权限,详见为RAM用户授权。