Masuk dengan Azure CLI

Ada beberapa jenis autentikasi untuk Azure Command-Line Interface (CLI), jadi bagaimana cara Anda masuk? Cara termudah untuk memulai adalah dengan Azure Cloud Shell, yang secara otomatis memasukkan Anda. Secara lokal, Anda dapat masuk secara interaktif melalui browser dengan perintah az login. Saat menulis skrip, pendekatan yang disarankan adalah menggunakan perwakilan layanan. Dengan hanya memberikan izin yang sesuai yang diperlukan untuk prinsip layanan, Anda dapat menjaga otomatisasi tetap aman.

Tak satu pun dari informasi masuk Anda disimpan oleh Azure CLI. Sebagai gantinya, token refresh autentikasi dihasilkan oleh Azure dan disimpan. Mulai Agustus 2018, token ini dicabut setelah 90 hari tidak aktif, tetapi nilai ini dapat diubah oleh Microsoft atau administrator penyewa Anda. Setelah token dicabut, Anda mendapatkan pesan dari CLI yang meminta Anda untuk masuk lagi.

Setelah masuk, perintah CLI dijalankan terhadap langganan default Anda. Jika memiliki beberapa langganan, Anda dapat mengubah langganan default.

Catatan

Bergantung pada metode masuk Anda, penyewa Anda mungkin memiliki kebijakan Akses Bersyarat yang membatasi akses Anda ke sumber daya tertentu.

Masuk secara interaktif

Metode autentikasi default di Azure CLI untuk aktivitas masuk menggunakan browser web dan mengakses token untuk masuk.

  1. Jalankan perintah login.

    az login
    

    Jika dapat membuka browser default Anda, CLI akan memulai alur kode otorisasi dan membuka browser default untuk memuat halaman masuk Azure.

    Jika tidak, CLI akan memulai alur kode perangkat dan memberi tahu Anda untuk membuka halaman browser di https://aka.ms/devicelogin dan memasukkan kode yang ditampilkan di terminal Anda.

    Jika tidak ada browser atau browser web tidak dapat dibuka, gunakan secara paksa alur kode perangkat dengan az login --use-device-code.

  2. Masuk menggunakan info masuk akun Anda di browser.

Masuk dengan info masuk di baris perintah

Masukkan info masuk pengguna Azure Anda di baris perintah.

Catatan

Pendekatan ini tidak berfungsi dengan akun Microsoft atau akun yang mengaktifkan autentikasi dua faktor.

az login -u <username> -p <password>

Penting

Jika Anda tidak ingin menampilkan kata sandi di konsol dan menggunakan az login secara interaktif, gunakan perintah read -s di bagian bash.

read -sp "Azure password: " AZ_PASS && echo && az login -u <username> -p $AZ_PASS

Di PowerShell, gunakan Cmdlet Get-Credential.

$AzCred = Get-Credential -UserName <username>
az login -u $AzCred.UserName -p $AzCred.GetNetworkCredential().Password

Masuk dengan perwakilan layanan

Perwakilan layanan adalah akun yang tidak terikat pada pengguna tertentu, yang dapat memiliki izin pada mereka yang ditetapkan melalui peran yang ditentukan sebelumnya. Autentikasi dengan perwakilan layanan adalah cara terbaik untuk menulis skrip atau program yang aman, sehingga Anda dapat menerapkan pembatasan izin dan informasi info masuk statik yang disimpan secara lokal. Untuk informasi selengkapnya tentang perwakilan layanan, lihat Membuat perwakilan layanan Azure dengan Azure CLI.

Untuk masuk dengan perwakilan layanan, Anda memerlukan:

  • URL atau nama yang terkait dengan perwakilan layanan
  • Kata sandi perwakilan layanan, atau sertifikat X509 yang digunakan untuk membuat perwakilan layanan dalam format PEM
  • Penyewa yang terkait dengan perwakilan layanan, baik sebagai domain .onmicrosoft.com atau ID objek Azure

Catatan

CERTIFICATE harus ditambahkan ke PRIVATE KEY dalam file PEM. Untuk contoh format file PEM, lihat Autentikasi berbasis sertifikat.

Penting

Jika perwakilan layanan Anda menggunakan sertifikat yang disimpan di Key Vault, kunci privat sertifikat tersebut harus tersedia tanpa masuk ke Azure. Untuk mengambil sertifikat untuk az login, lihat Mengambil sertifikat dari Key Vault.

az login --service-principal -u <app-id> -p <password-or-cert> --tenant <tenant>

Penting

Jika Anda tidak ingin menampilkan kata sandi di konsol dan menggunakan az login secara interaktif, gunakan perintah read -s di bagian bash.

read -sp "Azure password: " AZ_PASS && echo && az login --service-principal -u <app-id> -p $AZ_PASS --tenant <tenant>

Di PowerShell, gunakan Cmdlet Get-Credential.

$AzCred = Get-Credential -UserName <app-id>
az login --service-principal -u $AzCred.UserName -p $AzCred.GetNetworkCredential().Password --tenant <tenant>

Masuk dengan penyewa yang berbeda

Anda dapat memilih penyewa untuk masuk di bawah dengan argumen --tenant. Nilai argumen ini bisa berupa domain .onmicrosoft.com atau ID objek Azure untuk penyewa. Metode masuk interaktif dan baris perintah berfungsi dengan --tenant.

az login --tenant <tenant>

Masuk dengan identitas terkelola

Di sumber daya yang dikonfigurasi untuk identitas terkelola untuk sumber daya Azure, Anda dapat masuk menggunakan identitas terkelola. Masuk dengan identitas sumber daya dilakukan melalui bendera --identity.

az login --identity

Jika sumber daya memiliki beberapa identitas terkelola yang ditetapkan pengguna dan tidak ada identitas yang ditetapkan sistem, Anda harus menentukan ID klien atau ID objek atau ID sumber daya identitas terkelola yang ditetapkan pengguna dengan --username untuk aktivitas masuk.

az login --identity --username <client_id|object_id|resource_id>

Untuk mempelajari lebih lanjut identitas terkelola untuk sumber daya Azure, lihat Mengonfigurasi identitas terkelola untuk sumber daya Azure dan Menggunakan identitas terkelola untuk sumber daya Azure untuk aktivitas masuk.

Lihat juga