Autenticar no Azure usando a CLI do Azure

A CLI do Azure dá suporte a vários métodos de autenticação. Restringir as permissões de logon para seu caso de uso para manter seus recursos do Azure seguros.

Entrar no Azure com a CLI do Azure

Há cinco opções de autenticação ao trabalhar com a CLI do Azure:

Método de autenticação Vantagem
Azure Cloud Shell O Azure Cloud Shell efetua logon automaticamente e é a maneira mais fácil de começar.
Fazer logon de forma interativa Essa é uma boa opção para aprender os comandos da CLI do Azure e executar a CLI do Azure localmente. Faça login através do seu navegador com o comando az login . O login interativo também oferece um seletor de assinatura para definir automaticamente sua assinatura padrão.
Fazer logon usando uma entidade de serviço Quando você escreve scripts, a abordagem recomendada é usar uma entidade de serviço. Você concede apenas as permissões apropriadas necessárias a uma entidade de serviço, mantendo sua automação segura.
Fazer logon com uma identidade gerenciada Um desafio comum para desenvolvedores é o gerenciamento de segredos, credenciais, certificados e chaves usados para proteger a comunicação entre serviços. O uso de uma identidade gerenciada elimina a necessidade de você gerenciar essas credenciais.

Encontra ou altere sua assinatura atual

Após a conexão, os comandos da CLI são executados em sua assinatura padrão. Se você tiver várias assinaturas, altere sua assinatura padrão usando az account set --subscriptiono .

az account set --subscription "<subscription ID or name>"

Para saber mais sobre o gerenciamento de assinaturas do Azure, consulte Como gerenciar assinaturas do Azure com a CLI do Azure.

Tokens de atualização

Quando você entra com uma conta de usuário, a CLI do Azure gera e armazena um token de atualização de autenticação. Como os tokens de acesso são válidos apenas por um curto período de tempo, um token de atualização é emitido ao mesmo tempo em que o token de acesso é emitido. O aplicativo cliente pode trocar esse token de atualização por um novo token de acesso quando necessário. Para obter mais informações sobre o tempo de vida e a expiração do token, consulte Atualizar tokens no plataforma de identidade da Microsoft.

Use o comando az account get-access-token para recuperar o token de acesso:

# get access token for the active subscription
az account get-access-token

# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"

Aqui estão algumas informações adicionais sobre datas de expiração do token de acesso:

  • As datas de expiração são atualizadas em um formato que é suportado pela CLI do Azure baseada em MSAL.
  • A partir da CLI 2.54.0 do Azure, az account get-access-token retorna a expires_on propriedade ao lado da expiresOn propriedade para o tempo de expiração do token.
  • A expires_on propriedade representa um carimbo de data/hora POSIX (Portable Operating System Interface), enquanto a expiresOn propriedade representa uma data/hora local.
  • A expiresOn propriedade não expressa "dobrar" quando o horário de verão termina. Isso pode causar problemas em países ou regiões onde o horário de verão é adotado. Para obter mais informações sobre "dobra", consulte PEP 495 – Desambiguação de hora local.
  • Recomendamos que os aplicativos downstream usem a expires_on propriedade, pois ela usa o Universal Time Code (UTC).

Saída de exemplo:

{
  "accessToken": "...",
  "expiresOn": "2023-10-31 21:59:10.000000",
  "expires_on": 1698760750,
  "subscription": "...",
  "tenant": "...",
  "tokenType": "Bearer"
}

Observação

Dependendo do método de logon, seu locatário pode ter políticas de Acesso Condicional que restringem seu acesso a determinados recursos.

Confira também