cyberark/conjur-cli

Conjur CLI Docker镜像文档

快速参考

• 获取帮助：CyberArk开发者社区
• 提交问题：https://github.com/cyberark/conjur-cli-go/issues
• 维护者：https://github.com/orgs/cyberark/teams/developers

Conjur CLI 是什么？

Conjur CLI 是管理Conjur服务器的最完整界面。您可以通过它加载安全策略、检查权限、存储和获取密钥、轮换API密钥等更多功能。

注意：通常直接使用CLI二进制文件比使用此Docker镜像更简单。详情请参见官方文档。如果确定要使用Docker镜像，请继续阅读。

核心功能与特性

• 管理Conjur服务器的完整命令行界面
• 支持安全策略加载、权限检查、密钥存储与获取、API密钥轮换等核心操作
• 可通过Docker容器快速部署和使用

使用场景

适用于需要通过命令行管理Conjur服务器的场景，尤其是在容器化环境中临时执行管理操作或需要隔离CLI环境的情况。

使用方法

基本使用

Conjur CLI二进制文件包含在独立的cyberark/conjur-cli:8 Docker镜像中。Docker容器设计为临时性的，容器退出后不会保留状态。

您可以通过以下命令运行Conjur CLI：

sh
$ docker run --rm -it cyberark/conjur-cli:8

在此会话中进行的任何初始化或创建的文件，在退出shell后都会被丢弃（永久丢失）。但对Conjur服务器所做的更改将保留。

持久化数据

您可以使用本地文件系统中的文件夹来持久化Conjur CLI用于连接的 data。例如：

sh
$ mkdir mydata
$ chmod 700 mydata
$ docker run --rm -it -v $(PWD)/mydata:/root cyberark/conjur-cli:8 init -u https://my-conjur-server -a myAccount
$ ls -A mydata
.conjurrc conjur-server.pem
$ docker run --rm -it -v $(PWD)/mydata:/root cyberark/conjur-cli:8 login -i admin
Please enter admin's password (it will not be echoed): 
Logged in
$ ls -A mydata
.conjurrc .netrc conjur-server.pem

使用别名简化操作

您可以创建shell别名来简化命令：

sh
$ alias conjur='docker run --rm -it -v $(PWD)/mydata:/root cyberark/conjur-cli:8'
# 现在可以这样使用Conjur CLI：
$ conjur whoami

安全注意：conjur login创建或更新的.netrc文件包含可用于访问Conjur API的用户身份凭证。使用后应删除该文件，或像保护其他netrc文件一样对其进行安全处理。

限制

在Docker中使用Conjur CLI时，凭证只能存储在文件中，不能存储在原生操作系统密钥链中。此外，Docker环境不支持OIDC认证。

许可证

Conjur CLI是CyberArk的财产，作为自由软件根据APLv2许可证提供（参见https://github.com/cyberark/conjur-cli-go/blob/master/LICENSE%EF%BC%89%E3%80%82

此Docker镜像与许多其他镜像一样，包含各种具有各自许可证的其他软件包（如Bash、Ruby等）。对于任何预构建镜像的使用，镜像用户有责任确保对该镜像的任何使用都符合其中包含的所有软件的相关许可证要求。