AI 助理
备案控制台
文档
输入文档关键字查找
首页 访问控制 开发参考 CLI参考 STS CLI参考

使用阿里云CLI调用STS OpenAPI

更新时间:
产品详情
我的收藏

阿里云CLI(Alibaba Cloud Command Line Interface)是基于OpenAPI构建的通用命令行工具,您可以通过阿里云CLI实现自动化管理和维护STS(Security Token Service)。本文以调用AssumeRole接口获取临时身份凭证为例,为您介绍使用阿里云CLI调用STS OpenAPI的操作步骤。

前置概念

阅读本文前,您可能需要了解如下概念:

步骤一:安装阿里云CLI

使用阿里云CLI前,您需要先安装阿里云CLI。阿里云CLI为用户提供了Windows、Linux和macOS三种操作系统下的安装服务,请根据您使用设备的操作系统选择对应的安装服务。

您也可使用阿里云提供的云命令行Cloud Shell调试阿里云CLI命令。关于云命令行的更多信息,请参见什么是云命令行

步骤二:配置阿里云CLI

重要

AssumeRole接口仅支持使用RAM用户或RAM角色调用,不支持使用阿里云账号(主账号)调用。本文以使用RAM用户身份调用接口为例,

使用阿里云CLI之前,您需要在阿里云CLI中配置身份凭证、地域ID等信息。阿里云CLI支持多种身份凭证,详情请参见身份凭证类型。本文操作以AK类型凭证为例,具体操作步骤如下:

  1. 创建一个RAM用户,并创建AccessKey,以便后续配置身份凭证使用。具体操作,请参见创建RAM用户创建AccessKey

  2. 为RAM用户授权。本文示例需授予RAM用户调用STS服务AssumeRole接口的权限AliyunSTSAssumeRoleAccess。具体操作,请参见为RAM用户授权

  3. 获取可用的地域ID,以便后续配置身份凭证使用。阿里云CLI将使用您指定的地域发起OpenAPI调用。STS服务可用的地域请参见服务接入点

    说明

    使用阿里云CLI过程中您可使用--region选项指定地域发起命令调用,该选项在使用时将忽略默认身份凭证配置及环境变量设置中的地域信息。详情请参见API命令可用选项

  4. 使用RAM用户的AccessKey配置AK类型凭证,配置文件命名为AkProfile。具体操作,请参见配置示例

步骤三:创建RAM角色

重要

角色全局资源描述符RoleArn是调用AssumeRole接口的必填参数。要获取该参数,您需要创建一个可信实体为阿里云账号的RAM角色。

本文示例中,您需要使用步骤二:配置阿里云CLI中创建的RAM用户扮演该角色,所以可信云账号需要设置为步骤二:配置阿里云CLI中RAM用户所属的阿里云账号ID。具体操作,请参见创建可信实体为阿里云账号的RAM角色

您可以通过修改RAM角色信任策略的方法,修改允许扮演该RAM角色的RAM用户。具体操作 ,请参见修改RAM角色的信任策略

步骤四:生成CLI命令示例

  1. 在OpenAPI门户中,访问AssumeRole调试地址

  2. 参数配置中输入请求参数,单击CLI示例页签,查看生成的CLI示例。

  3. 在云命令行中运行命令,或复制CLI示例。

    • 单击运行命令image按钮,可唤出云命令行并快速完成命令调试。

    • 单击复制image按钮,将CLI示例复制到剪贴板中,可粘贴至本地Shell工具中运行。

      说明

      • 复制CLI示例到本地Shell工具中进行调试时请注意参数格式。关于阿里云CLI命令参数使用格式的详细信息,请参见参数格式说明

      • OpenAPI门户生成示例中会默认添加--region选项,复制命令到本地调用时阿里云CLI将忽略默认身份凭证配置及环境变量设置中的地域信息,优先使用指定的地域调用命令,您可根据需要对该选项进行删除或保留。

image

步骤五:调用STS OpenAPI

示例一:获取支持阿里云CLI调用的STS OpenAPI

以下代码示例将为您展示如何使用--help选项获取STS支持阿里云CLI调用OpenAPI列表。您也可在API概览中查看支持调用的OpenAPI。

  1. 执行命令。

    aliyun sts --help

  2. 输出结果。

    image

示例二:获取扮演RAM角色的临时身份凭证

以下代码示例将为您展示如何使用阿里云CLI调用STS的AssumeRole命令,获取一个扮演RAM角色的临时身份凭证。

  1. 执行命令。

    说明

    您可通过以下方式获取命令参数帮助信息:

    aliyun sts AssumeRole \
  --DurationSeconds 3600 \
  --Policy '{"Statement": [{"Action": ["*"],"Effect": "Allow","Resource": ["*"]}],"Version":"1"}' \
  --RoleSessionName alice \
  --RoleArn 'acs:ram::123456789012****:role/adminrole' \
  --ExternalId abcd1234

  2. 预期输出,其中SecurityToken即为所需的临时身份凭证。

    {
  "RequestId": "6894B13B-6D71-4EF5-88FA-F32781734A7F",
  "AssumedRoleUser": {
    "AssumedRoleId": "34458433936495****:alice",
    "Arn": "acs:ram::123456789012****:role/adminrole/alice"
  },
  "Credentials": {
    "SecurityToken": "********",
    "Expiration": "2015-04-09T11:52:19Z",
    "AccessKeySecret": "wyLTSmsyPGP1ohvvw8xYgB29dlGI8KMiH2pK****",
    "AccessKeyId": "STS.L4aBSCSJVMuKg5U1****"
  }
}
    说明

    如果调用安全令牌STS OpenAPI后返回错误,您需要根据返回的错误码提示检查传入的请求参数及其取值是否正确。

    您可以记录下调用返回的RequestID或SDK报错信息,通过阿里云OpenAPI诊断平台进行自助诊断。

上一篇:RAM CLI参考下一篇:Terraform集成示例
文档推荐