Проверка подлинности в Azure с помощью Azure CLI

Azure CLI поддерживает несколько методов проверки подлинности. Ограничьте разрешения на вход для вашего варианта использования, чтобы обеспечить безопасность ресурсов Azure.

Вход в Azure с помощью Azure CLI

Существует пять вариантов проверки подлинности при работе с Azure CLI:

Authentication method Преимущество
Azure Cloud Shell Azure Cloud Shell автоматически регистрирует вас и проще всего приступить к работе.
Войдите в интерактивное режиме Это хороший вариант при обучении команд Azure CLI и локальном запуске Azure CLI. Войдите через браузер с помощью команды az login . Интерактивный вход также предоставляет селектор подписки для автоматического задания подписки по умолчанию.
Вход с помощью субъекта-службы При написании скриптов рекомендуется использовать субъект-службу. Вы предоставляете только соответствующие разрешения, необходимые субъекту-службе, обеспечивая безопасность автоматизации.
Вход с помощью управляемого удостоверения Управление секретами, учетными данными, сертификатами и ключами, используемыми для защиты обмена данными между различными службами, зачастую представляет трудности для разработчиков. Использование управляемого удостоверения устраняет необходимость управления этими учетными данными.

Поиск или изменение текущей подписки

После входа команды CLI выполняются в подписке по умолчанию. Если у вас несколько подписок, измените подписку по умолчанию с помощью az account set --subscription.

az account set --subscription "<subscription ID or name>"

Дополнительные сведения об управлении подписками Azure см. в статье "Управление подписками Azure с помощью Azure CLI".

маркеры обновления.

При входе с помощью учетной записи пользователя Azure CLI создает и сохраняет маркер обновления проверки подлинности. Так как маркеры доступа действительны только в течение короткого периода времени, маркер обновления выдается одновременно с маркером доступа. После этого клиентское приложение может при необходимости обмениваться этим маркером обновления для получения нового маркера доступа. Дополнительные сведения о времени существования и истечении срока действия маркеров см. в платформа удостоверений Майкрософт.

Используйте команду az account get-access-token для получения маркера доступа:

# get access token for the active subscription
az account get-access-token

# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"

Ниже приведены дополнительные сведения о датах окончания срока действия маркера доступа:

  • Даты окончания срока действия обновляются в формате, поддерживаемом Azure CLI на основе MSAL.
  • Начиная с Azure CLI 2.54.0, az account get-access-token возвращает expires_on свойство вместе со свойством expiresOn для срока действия маркера.
  • Свойство expires_on представляет метку времени переносимого интерфейса операционной системы (POSIX), а expiresOn свойство представляет локальное время даты и времени.
  • Свойство expiresOn не выражает "свертывания", когда заканчивается летнее время. Это может привести к проблемам в странах или регионах, где используется летнее время. Дополнительные сведения о "свертывание" см. в разделе PEP 495 — диамбигуация местного времени.
  • Для подчиненных приложений рекомендуется использовать expires_on свойство, так как он использует универсальный код времени (UTC).

Пример результата:

{
  "accessToken": "...",
  "expiresOn": "2023-10-31 21:59:10.000000",
  "expires_on": 1698760750,
  "subscription": "...",
  "tenant": "...",
  "tokenType": "Bearer"
}

Примечание.

В зависимости от метода входа клиент может иметь политики условного доступа, которые ограничивают доступ к определенным ресурсам.

См. также