AADSTS7000222 - BadRequest または InvalidClientSecret エラー

この記事では、Microsoft Azure Kubernetes Service (BadRequestAKS) クラスターを作成またはアップグレードしようとしたときに発生するエラー (またはInvalidClientSecret) を特定して解決AADSTS7000222する方法について説明します。

前提条件

• Azure CLI

現象

AKS クラスターを作成またはアップグレードしようとすると、次のいずれかのエラー メッセージが表示されます。

原因

このサービス プリンシパル アラートを生成する問題は、通常、次のいずれかの理由で発生します。

• クライアント シークレットの有効期限が切れています。

• 正しくない資格情報が提供されました。

• サービス プリンシパルは、サブスクリプションのMicrosoft Entra ID テナント内に存在しません。

原因を確認する

次の Azure CLI コードを実行して、AKS クラスターのサービス プリンシパル プロファイルを取得し、サービス プリンシパルの有効期限をチェックします。

SP_ID=$(az aks show --resource-group <rg-name> \
    --name <aks-cluster-name> \
    --query servicePrincipalProfile.clientId \
    --output tsv)
az ad app credential list --id "$SP_ID"

または、サービス プリンシパルの名前とシークレットが正しく、有効期限が切れていないことを確認することもできます。 これを行うには、次の手順を実行します。

1. Azure portalで、[Microsoft Entra ID] を検索して選択します。

2. Microsoft Entra IDのナビゲーション ウィンドウで、[アプリの登録] を選択します。

3. [ 所有アプリケーション ] タブで、影響を受けるアプリケーションを選択します。

4. サービス プリンシパル名とシークレット情報を見つけて、情報が正しく、最新であることを確認します。

ソリューション

1. 「 AKS クラスターの資格情報を更新またはローテーションする 」の記事で、必要に応じて、次のいずれかの記事セクションの手順に従います。

   • 既存のサービス プリンシパルの資格情報をリセットする
   • 新しいサービス プリンシパルを作成する

2. 新しいサービス プリンシパル資格情報を使用して、その記事の「 サービス プリンシパル資格情報を使用して AKS クラスターを更新する」 セクションの手順に従います。

詳細

• Azure Kubernetes Service (AKS) でサービス プリンシパルを使用する (特に[トラブルシューティング] セクション)

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。