Ověřování v Azure pomocí Azure CLI
Azure CLI podporuje několik metod ověřování. Omezte oprávnění pro přihlášení pro případ použití, aby vaše prostředky Azure zůstaly zabezpečené.
Přihlášení k Azure pomocí Azure CLI
Při práci s Azure CLI existuje pět možností ověřování:
| Metoda ověřování | Výhoda |
|---|---|
| Azure Cloud Shell | Azure Cloud Shell vás automaticky přihlásí a je nejjednodušší způsob, jak začít. |
| Interaktivní přihlášení | Tato možnost je vhodná, když se naučíte příkazy Azure CLI a spustíte Azure CLI místně. Přihlaste se přes prohlížeč pomocí příkazu az login . Interaktivní přihlášení také poskytuje selektor předplatného, který automaticky nastaví výchozí předplatné. |
| Přihlášení pomocí instančního objektu | Při psaní skriptů se doporučuje použít instanční objekt. Udělíte pouze příslušná oprávnění potřebná pro instanční objekt, který zajišťuje zabezpečení vaší automatizace. |
| Přihlášení pomocí spravované identity | Běžnou výzvou pro vývojáře je správa tajných kódů, přihlašovacích údajů, certifikátů a klíčů používaných pro zabezpečení komunikace mezi službami. Použití spravované identity eliminuje potřebu správy těchto přihlašovacích údajů. |
Vyhledání nebo změna aktuálního předplatného
Po přihlášení se příkazy rozhraní příkazového řádku spustí ve vašem výchozím předplatném. Pokud máte více předplatných, změňte výchozí předplatné pomocí az account set --subscription.
az account set --subscription "<subscription ID or name>"
Další informace o správě předplatných Azure najdete v tématu Správa předplatných Azure pomocí Azure CLI.
Obnovovací tokeny
Když se přihlásíte pomocí uživatelského účtu, Azure CLI vygeneruje a ukládá ověřovací obnovovací token. Vzhledem k tomu, že přístupové tokeny jsou platné pouze na krátkou dobu, vydává se obnovovací token současně s přístupovým tokenem. Klientská aplikace pak může tento obnovovací token v případě potřeby vyměnit za nový přístupový token. Další informace o životnosti a vypršení platnosti tokenů najdete v tématu Aktualizace tokenů na platformě Microsoft Identity Platform.
Pomocí příkazu az account get-access-token načtěte přístupový token:
# get access token for the active subscription
az account get-access-token
# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"
Tady je několik dalších informací o datech vypršení platnosti přístupového tokenu:
- Data vypršení platnosti se aktualizují ve formátu, který podporuje Rozhraní příkazového řádku Azure založené na MSAL.
- Počínaje Azure CLI 2.54.0
az account get-access-tokenvrátíexpires_onvlastnost společněexpiresOns vlastností pro čas vypršení platnosti tokenu. - Vlastnost
expires_onpředstavuje časové razítko POSIX (Portable Operating System Interface), zatímcoexpiresOnvlastnost představuje místní datum a čas. - Vlastnost
expiresOnse při ukončení letního času nevyjádří "přeložením". To může způsobit problémy v zemích nebo oblastech, kde je přijat letní čas. Další informace o "přeložení", viz PEP 495 – Místní čas Nejednoznačnost. - Doporučujeme, aby podřízené aplikace používaly
expires_onvlastnost, protože používá kód UTC (Universal Time Code).
Příklad výstupu:
{
"accessToken": "...",
"expiresOn": "2023-10-31 21:59:10.000000",
"expires_on": 1698760750,
"subscription": "...",
"tenant": "...",
"tokenType": "Bearer"
}
Poznámka:
V závislosti na způsobu přihlášení může mít váš tenant zásady podmíněného přístupu, které omezují přístup k určitým prostředkům.
Viz také
- Stručná nápověda k onboardingu Azure CLI
- Správa předplatných Azure pomocí Azure CLI
- Vyhledání ukázek Azure CLI a publikovaných článků
