Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo identificar y resolver el AADSTS7000222 error (BadRequest o InvalidClientSecret) que se produce al intentar crear o actualizar un clúster de Microsoft Azure Kubernetes Service (AKS).
Requisitos previos
Síntomas
Al intentar crear o actualizar un clúster de AKS, recibirá uno de los siguientes mensajes de error.
| Código de error | Mensaje |
|---|---|
BadRequest |
Las credenciales de ServicePrincipalProfile no eran válidas. Consulte https://aka.ms/aks-sp-help para más información. (Detalles: adal: error en la solicitud de actualización. Código de estado = '401'. Cuerpo de la respuesta: {"error": "invalid_client", "error_description": "AADSTS7000222: las claves secretas de cliente proporcionadas para la aplicación "<application-id>" han expirado. Visite Azure Portal para crear nuevas claves para la aplicación: https://aka.ms/NewClientSecreto considere la posibilidad de usar credenciales de certificado para mayor seguridad: https://aka.ms/certCreds". |
InvalidClientSecret |
<: >adal: error en la solicitud de actualización. Código de estado = '401'. Cuerpo de la respuesta: {"error": "invalid_client", "error_description": "AADSTS7000222: las claves secretas de cliente proporcionadas para la aplicación "<application-id>" han expirado. Visite Azure Portal para crear nuevas claves para la aplicación: https://aka.ms/NewClientSecreto considere la posibilidad de usar credenciales de certificado para mayor seguridad: https://aka.ms/certCreds". |
Causa
El problema que genera esta alerta de entidad de servicio suele producirse por uno de los siguientes motivos:
El secreto de cliente expiró.
Se proporcionaron credenciales incorrectas.
La entidad de servicio no existe dentro del inquilino de Id. de Microsoft Entra de la suscripción.
Comprobación de la causa
Use los siguientes comandos para recuperar el perfil de entidad de servicio del clúster de AKS y comprobar la fecha de expiración de la entidad de servicio. Asegúrese de establecer las variables adecuadas para el grupo de recursos de AKS y el nombre del clúster.
SP_ID=$(az aks show --resource-group $RESOURCE_GROUP_NAME \
--name $AKS_CLUSTER_NAME \
--query servicePrincipalProfile.clientId \
--output tsv)
az ad app credential list --id "$SP_ID"
Como alternativa, puede comprobar que el nombre y el secreto de la entidad de seguridad de servicio son correctos y no han expirado. Para ello, siga estos pasos:
En Azure Portal, busque y seleccione Microsoft Entra ID.
En el panel de navegación de Microsoft Entra ID, seleccione Registros de aplicaciones.
En la pestaña Aplicaciones propiedad , seleccione la aplicación afectada.
Busque el nombre de la entidad de seguridad de servicio y la información secreta y compruebe que la información es correcta y actual.
Solución
En el artículo Actualización o rotación de las credenciales de un clúster de AKS, siga las instrucciones de una de las secciones de artículo siguientes, según corresponda:
Con las nuevas credenciales de la entidad de servicio, siga las instrucciones de la sección Actualización del clúster de AKS con credenciales de entidad de servicio de ese artículo.
Más información
- Uso de una entidad de servicio con Azure Kubernetes Service (AKS) (especialmente la sección Solución de problemas )
Ponte en contacto con nosotros para obtener ayuda
Si tiene preguntas, puede preguntar al soporte de la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.