该 binaryauthorization1 命令行界面（CLI）允许您从终端舒适地使用Google二进制授权服务的大部分功能。

默认情况下，所有输出都打印到标准输出，但可以通过设置标志将其定向到文件，而不依赖于shell的功能。错误将打印到标准错误，并导致程序的退出代码不为零。

如果请求数据结构，这些将以格式化良好的JSON返回，以便作为其他工具的输入使用。

有关二进制授权API的更多信息，请参阅官方文档网站。

安装和源代码

使用cargo安装命令行界面：

cargo install google-binaryauthorization1-cli

在GitHub上找到源代码。

用法

此文档是根据修订版20220225的二进制授权API生成的。CLI版本为3.1.0。

binaryauthorization1 [options]
        projects
                attestors-create <parent> (-r <kv>)... [-p <v>]... [-o <out>]
                attestors-delete <name> [-p <v>]... [-o <out>]
                attestors-get <name> [-p <v>]... [-o <out>]
                attestors-get-iam-policy <resource> [-p <v>]... [-o <out>]
                attestors-list <parent> [-p <v>]... [-o <out>]
                attestors-set-iam-policy <resource> (-r <kv>)... [-p <v>]... [-o <out>]
                attestors-test-iam-permissions <resource> (-r <kv>)... [-p <v>]... [-o <out>]
                attestors-update <name> (-r <kv>)... [-p <v>]... [-o <out>]
                attestors-validate-attestation-occurrence <attestor> (-r <kv>)... [-p <v>]... [-o <out>]
                get-policy <name> [-p <v>]... [-o <out>]
                policy-get-iam-policy <resource> [-p <v>]... [-o <out>]
                policy-set-iam-policy <resource> (-r <kv>)... [-p <v>]... [-o <out>]
                policy-test-iam-permissions <resource> (-r <kv>)... [-p <v>]... [-o <out>]
                update-policy <name> (-r <kv>)... [-p <v>]... [-o <out>]
        systempolicy
                get-policy <name> [-p <v>]... [-o <out>]
  binaryauthorization1 --help

Configuration:
  [--scope <url>]...
            Specify the authentication a method should be executed in. Each scope
            requires the user to grant this application permission to use it.
            If unset, it defaults to the shortest scope url for a particular method.
  --config-dir <folder>
            A directory into which we will store our persistent data. Defaults to
            a user-writable directory that we will create during the first invocation.
            [default: ~/.google-service-cli]

配置

程序将所有持久数据存储在~/.google-service-cli目录中的JSON文件中，文件以binaryauthorization1-为前缀。您可以使用--config-dir标志按调用更改用于存储配置的目录。

有关各种类型持久数据的更多信息将在以下段落中提供。

身份验证

大多数API都需要用户对任何请求进行身份验证。如果是这种情况，则作用域确定授予的权限集。这些的粒度通常不超过只读或完全访问。

如果没有设置，系统将自动选择最小的可行作用域，例如，当调用只读方法时，它只会请求只读作用域。您可以使用--scope标志直接指定作用域。所有适用的作用域均在各自方法的CLI文档中有记录。

首次使用作用域时，会请求用户授权。按照CLI提供的说明授权或拒绝。

如果用户已认证某个作用域，相应的信息将以JSON格式存储在配置目录中，例如：~/.google-service-cli/binaryauthorization1-token-<scope-hash>.json。无需手动管理这些令牌。

要撤销授权，请参阅官方文档。

应用程序密钥

为了允许任何应用程序使用Google服务，它需要使用Google开发者控制台进行注册。然后逐个启用该应用程序可能使用的API。大多数API可以免费使用，并且有每日配额。

为了在不强制用户注册自己的应用程序的情况下更方便地使用CLI，CLI带有默认的应用程序密钥，并据此进行配置。这也意味着全球范围内的重用可能会耗尽每日配额。

您可以通过将您自己的密钥文件放置在此位置来解决这个问题：~/.google-service-cli/binaryauthorization1-secret.json，假设已为它启用了所需的binaryauthorization API。此类密钥文件可以从Google开发者控制台在APIs & auth -> Credentials -> Download JSON处下载并直接使用。

有关如何设置Google项目和启用API的更多信息，请参阅官方文档。

调试

尽管CLI已尽力提供可用的错误消息，但有时可能希望知道导致特定问题确切原因。这是通过允许所有客户端-服务器通信以原始形式输出到标准错误来实现的。

使用--debug标志将错误以Debug表示形式打印到标准错误。

您可以考虑将标准错误重定向到文件以方便使用，例如：binaryauthorization1 --debug <resource> <method> [options] 2>debug.txt。