Autenticar no Azure usando a CLI do Azure

A CLI do Azure dá suporte a vários métodos de autenticação. Restrinja as permissões de entrada para seu caso de uso para manter seus recursos do Azure seguros.

Entrar no Azure com a CLI do Azure

Há cinco opções de autenticação ao trabalhar com a CLI do Azure:

Método de autenticação Vantagem
Azure Cloud Shell O Azure Cloud Shell inicia sessão automaticamente e é a forma mais fácil de começar.
Iniciar sessão de forma interativa Essa é uma boa opção ao aprender comandos da CLI do Azure e executar a CLI do Azure localmente. Faça login através do seu navegador com o comando az login . O login interativo também oferece um seletor de assinatura para definir automaticamente sua assinatura padrão.
Entrar usando uma entidade de serviço Quando você escreve scripts, usar uma entidade de serviço é a abordagem recomendada. Você concede apenas as permissões apropriadas necessárias para uma entidade de serviço mantendo sua automação segura.
Iniciar sessão com uma identidade gerida Um desafio comum que os programadores enfrentam é a gestão de segredos, credenciais, certificados e chaves utilizados na proteção da comunicação entre serviços. O uso de uma identidade gerenciada elimina a necessidade de gerenciar essas credenciais.

Localizar ou alterar a sua subscrição atual

Depois de entrar, os comandos da CLI são executados em relação à sua assinatura padrão. Se tiver várias subscrições, altere a sua subscrição predefinida utilizando az account set --subscriptiono .

az account set --subscription "<subscription ID or name>"

Para saber mais sobre como gerenciar assinaturas do Azure, consulte Como gerenciar assinaturas do Azure com a CLI do Azure.

Atualizar tokens

Quando você entra com uma conta de usuário, a CLI do Azure gera e armazena um token de atualização de autenticação. Como os tokens de acesso são válidos apenas por um curto período de tempo, um token de atualização é emitido ao mesmo tempo em que o token de acesso é emitido. O aplicativo cliente pode então trocar esse token de atualização por um novo token de acesso quando necessário. Para obter mais informações sobre o tempo de vida e a expiração do token, consulte Atualizar tokens na plataforma de identidade da Microsoft.

Use o comando az account get-access-token para recuperar o token de acesso:

# get access token for the active subscription
az account get-access-token

# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"

Aqui estão algumas informações adicionais sobre as datas de expiração do token de acesso:

  • As datas de expiração são atualizadas em um formato suportado pela CLI do Azure baseada em MSAL.
  • A partir da CLI do Azure 2.54.0, az account get-access-token retorna a expires_on propriedade ao lado da expiresOn propriedade para o tempo de expiração do token.
  • A expires_on propriedade representa um carimbo de data/hora POSIX (Portable Operating System Interface), enquanto a expiresOn propriedade representa um datetime local.
  • A expiresOn propriedade não expressa "dobrar" quando o horário de verão termina. Isso pode causar problemas em países ou regiões onde o horário de verão é adotado. Para obter mais informações sobre "dobrar", consulte PEP 495 – Desambiguação da hora local.
  • Recomendamos que os aplicativos downstream usem a expires_on propriedade, pois ela usa o Código de Tempo Universal (UTC).

Saída de exemplo:

{
  "accessToken": "...",
  "expiresOn": "2023-10-31 21:59:10.000000",
  "expires_on": 1698760750,
  "subscription": "...",
  "tenant": "...",
  "tokenType": "Bearer"
}

Nota

Dependendo do seu método de início de sessão, o seu inquilino poderá ter políticas de Acesso Condicional que restrinjam o seu acesso a determinados recursos.

Consulte também