管理访问凭据
本文为您介绍如何配置访问凭据,以确保安全有效地使用SDK进行开发。
AccessKey方式
由于主账号AccessKey有资源完全的权限,一旦泄露风险巨大。建议您使用RAM用户的AccessKey,并设置定期轮换,创建RAM用户AccessKey的方法请参见创建AccessKey。
示例代码:创建一个使用AccessKey方式认证的客户端,并将其命名为default,以将其设置为默认客户端。
<?php
use AlibabaCloud\Client\AlibabaCloud;
AlibabaCloud::accessKeyClient(getenv('ALIBABA_CLOUD_ACCESS_KEY_ID'), getenv('ALIBABA_CLOUD_ACCESS_KEY_SECRET'))->asDefaultClient();
AlibabaCloud::accessKeyClient(getenv('ALIBABA_CLOUD_ACCESS_KEY_ID'), getenv('ALIBABA_CLOUD_ACCESS_KEY_SECRET'))->name('default');STS Token方式
通过安全令牌服务(Security Token Service,简称STS),申请临时安全凭证(Temporary Security Credentials,简称TSC),创建临时安全客户端。
<?php
use AlibabaCloud\Client\AlibabaCloud;
AlibabaCloud::stsClient(getenv('ALIBABA_CLOUD_ACCESS_KEY_ID'), getenv('ALIBABA_CLOUD_ACCESS_KEY_SECRET'), getenv('ALIBABA_CLOUD_SECURITY_TOKEN'))->name('sts');RamRoleArn方式
通过指定RAM角色的ARN(Alibabacloud Resource Name),让客户端在发起请求前自动申请维护STS Token,自动转变为一个有时限性的STS客户端。您也可以自行申请维护 STS Token,再创建 STS客户端。
示例代码:创建一个RamRoleArn方式认证的客户端,命名ramRoleArnClient。
<?php
use AlibabaCloud\Client\AlibabaCloud;
AlibabaCloud::ramRoleArnClient(getenv('ALIBABA_CLOUD_ACCESS_KEY_ID'), getenv('ALIBABA_CLOUD_ACCESS_KEY_SECRET'), 'roleArn', 'roleSessionName')
->name('ramRoleArnClient');EcsRamRole方式
通过使用ECS实例绑定的RAM角色名称,调用ECS的元数据服务(Metadata Server)获取STS Token,完成客户端初始化。
示例代码:创建一个EcsRamRole方式认证的客户端,命名ecsRamRoleClient。
<?php
use AlibabaCloud\Client\AlibabaCloud;
AlibabaCloud::ecsRamRoleClient('roleName')->name('ecsRamRoleClient');Bearer Token方式
目前只有呼叫中心(CCC)支持此类认证方式的客户端,请自行申请维护Bearer Token。
示例代码:创建一个Bearer Token方式认证的客户端,命名bearerTokenClient。
<?php
use AlibabaCloud\Client\AlibabaCloud;
AlibabaCloud::bearerTokenClient('bearerToken')->name('bearerTokenClient');默认凭证提供程序链
默认凭证提供程序链查找可用的客户端,寻找顺序如下:
1. 环境凭证
程序首先会在环境变量里寻找环境凭证,如果定义了ALIBABA_CLOUD_ACCESS_KEY_ID和ALIBABA_CLOUD_ACCESS_KEY_SECRET环境变量且不为空,程序将使用他们创建默认客户端。如果请求指定的客户端不是默认客户端,程序会在配置文件中加载和寻找客户端。
2. 配置文件
如果用户主目录存在默认文件~/.alibabacloud/credentials(Windows 为C:\Users\USER_NAME\.alibabacloud\credentials),程序会自动创建指定类型和名称的客户端。默认文件可以不存在,但解析错误会抛出异常。 客户端名称不分大小写,若客户端同名,后者会覆盖前者。也可以手动加载指定文件:AlibabaCloud::load('/data/credentials', 'vfs://AlibabaCloud/credentials', ...);不同的项目、工具之间可以共用这个配置文件,因为超出项目之外,也不会被意外提交到版本控制。Windows上可以使用环境变量引用到主目录 %UserProfile%。类Unix的系统可以使用环境变量 $HOME 或 ~ (tilde)。 可以通过定义ALIBABA_CLOUD_CREDENTIALS_FILE环境变量修改默认文件的路径。
[default] # 默认客户端
enable = true # 启用,没有该选项默认启用
type = access_key # 认证方式为 access_key
access_key_id = foo # Key
access_key_secret = bar # Secret
region_id = cn-hangzhou # 非必填,区域
debug = true # 非必填,Debug模式会在CLI下输出详细信息
timeout = 0.2 # 非必填,超时时间,>1为单位为秒, <1自动乘1000转为毫秒
connect_Timeout = 0.03 # 非必填,连接超时时间,同超时时间
cert_file = /path/server.pem # 非必填,证书文件
cert_password = password # 非必填,证书密码,没有密码可不填
proxy = tcp://localhost:8125 # 非必填,总代理
proxy_http = tcp://localhost:8125 # 非必填,HTTP代理
proxy_https = tcp://localhost:9124 # 非必填,HTTPS代理
proxy_no = example.com # 非必填,代理忽略的域名
[client1] # 命名为 `client1` 的客户端
type = ecs_ram_role # 认证方式为 ecs_ram_role
role_name = EcsRamRoleTest # Role Name
#..................................# 其他配置忽略同上
[client2] # 命名为 `client2` 的客户端
enable = false # 不启用
type = ram_role_arn # 认证方式为 ram_role_arn
access_key_id = foo
access_key_secret = bar
role_arn = role_arn
role_session_name = session_name
#..................................# 其他配置忽略同上
[client3] # 命名为 `client3` 的客户端
type = rsa_key_pair # 认证方式为 rsa_key_pair
public_key_id = publicKeyId # Public Key ID
private_key_file = /your/pk.pem # Private Key 文件
#..................................# 其他配置忽略同上3. 实例RAM角色
如果定义了环境变量ALIBABA_CLOUD_ECS_METADATA且不为空,程序会将该环境变量的值作为角色名称,请求http://100.100.100.200/latest/meta-data/ram/security-credentials/获取临时安全凭证,再创建一个默认客户端。
自定义凭证提供程序链
可通过自定义程序链代替默认程序链的寻找顺序,也可以自行编写闭包传入提供者。
<?php
use AlibabaCloud\Client\Credentials\Providers\CredentialsProvider;
CredentialsProvider::chain(
CredentialsProvider::ini(),
CredentialsProvider::env(),
CredentialsProvider::instance()
);