Come gestire le sottoscrizioni di Azure con l'interfaccia della riga di comando di Azure

L'interfaccia della riga di comando di Azure consente di gestire la sottoscrizione di Azure, creare gruppi di gestione e bloccare le sottoscrizioni. È possibile che in Azure siano presenti più sottoscrizioni. È possibile far parte di più di un'organizzazione o l'organizzazione potrebbe dividere l'accesso a determinate risorse tra gruppi. L'interfaccia della riga di comando di Azure supporta la selezione di una sottoscrizione sia a livello globale che a ogni comando.

Per informazioni dettagliate su sottoscrizioni, fatturazione e gestione dei cosi, vedere la documentazione su fatturazione e gestione dei costi.

Tenant, utenti e sottoscrizioni

Un tenant è l'entità di Azure Active Directory che include un'intera organizzazione. Un tenant ha una o più sottoscrizioni e utenti. Gli utenti sono gli account che accedono ad Azure per creare, gestire e usare le risorse. Un utente può avere accesso a più sottoscrizioni, ma un utente è associato solo a un singolo tenant. Le sottoscrizioni sono i contratti con Microsoft per l'uso dei servizi cloud, tra cui Azure. Ogni risorsa è associata a una sottoscrizione.

Per altre informazioni sulle differenze tra tenant, utenti e sottoscrizioni, vedere il dizionario della terminologia cloud di Azure.

Ottenere il tenant attivo

Usare az account tenant list o az account show per ottenere l'ID tenant attivo.

az account tenant list

az account show

Modificare il tenant attivo

Per cambiare tenant, è necessario accedere come utente all'interno del tenant desiderato. Usare az login per modificare il tenant attivo e aggiornare l'elenco di sottoscrizioni a cui appartiene.

# sign in as a different user
az login --user <myAlias@myCompany.com> -password <myPassword>

# sign in with a different tenant
az login --tenant <myTenantID>

Se l'organizzazione richiede l'autenticazione a più fattori, è possibile che venga visualizzato questo errore quando si usa az login --user:

Due to a configuration change made by your administrator, or because you moved to a new location, you must use multi-factor authentication to access...

L'uso del comando alternativo az login --tenant richiederà di aprire una pagina HTTPS e immettere il codice specificato. È quindi possibile usare l'autenticazione a più fattori e accedere correttamente. Per altre informazioni sulle opzioni di accesso con l'interfaccia della riga di comando di Azure, vedere Accedere con l'interfaccia della riga di comando di Azure.

Ottenere la sottoscrizione attiva

La maggior parte dei comandi dell'interfaccia della riga di comando di Azure agisce all'interno di una sottoscrizione. Per la sicurezza ottimale, i comandi dell'interfaccia della riga di comando di Azure non hanno più l'ID sottoscrizione corrente e attiva. È ora necessario specificare la sottoscrizione da usare usando il --subscription parametro o --scope nel comando.

Per visualizzare la sottoscrizione in uso o per ottenere un elenco di sottoscrizioni disponibili, eseguire il comando az account show o az account list . Per altre informazioni sull'uso di Bash con l'interfaccia della riga di comando di Azure , vedere altri esempi di modi per usare az account show.

# get the current default subscription using show
az account show --output table

# get the current default subscription using list
az account list --query "[?isDefault]"

# store the default subscription  in a variable
subscriptionId="$(az account list --query "[?isDefault].id" -o tsv)"
echo $subscriptionId

Suggerimento

Il --output parametro è un parametro globale, disponibile per tutti i comandi. Il valore della tabella presenta l'output in un formato descrittivo. Per altre informazioni, vedere Formati di output per i comandi dell'interfaccia della riga di comando di Azure.

Le sottoscrizioni contengono gruppi di risorse. Un gruppo di risorse di Azure è un contenitore con risorse correlate per una soluzione di Azure. Per informazioni su come gestire i gruppi di risorse all'interno della sottoscrizione, vedere Come gestire i gruppi di risorse di Azure con l'interfaccia della riga di comando di Azure

Cambiare la sottoscrizione attiva

Le sottoscrizioni di Azure hanno sia un nome che un ID. È possibile passare a una sottoscrizione diversa usando az account set che specifica l'ID sottoscrizione o il nome desiderati.

# change the active subscription using the subscription name
az account set --subscription "My Demos"

# change the active subscription using the subscription ID
az account set --subscription "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

# change the active subscription using a variable
subscriptionId="$(az account list --query "[?isDefault].id" -o tsv)"
az account set --subscription $subscriptionId

Non è possibile modificare la sottoscrizione attiva in una sottoscrizione all'interno di un tenant diverso usando il az account set comando . È prima necessario accedere come utente all'interno del tenant del desiderio. Se si prova e si imposta la sottoscrizione su una sottoscrizione all'interno di un tenant diverso, verrà visualizzato questo errore:

The subscription of 'xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx' doesn't exist in cloud 'AzureCloud'.

Per informazioni su come aggiungere una sottoscrizione al tenant di Azure Active Directory, vedere Associare o aggiungere una sottoscrizione di Azure al tenant di Azure Active Directory.

Creare gruppi di gestione di Azure

I gruppi di gestione di Azure contengono sottoscrizioni. I gruppi di gestione offrono un modo per gestire l'accesso, i criteri e la conformità per tali sottoscrizioni. Per altre informazioni, vedere Informazioni sui gruppi di gestione di Azure.

Usare i comandi az account management-group per creare e gestire i gruppi di gestione di Azure.

È possibile creare un gruppo di gestione per diverse sottoscrizioni usando il comando az account management-group create :

az account management-group create --name Contoso01

Per visualizzare tutti i gruppi di gestione, usare il comando az account management-group list :

az account management-group list

Aggiungere sottoscrizioni al nuovo gruppo usando il comando az account management-group subscription add :

az account management-group subscription add --name Contoso01 --subscription "My Demos"
az account management-group subscription add --name Contoso01 --subscription "My Second Demos"

Per rimuovere una sottoscrizione, usare il comando az account management-group subscription remove :

az account management-group subscription remove --name Contoso01 --subscription "My Demos"

Per rimuovere un gruppo di gestione, eseguire il comando az account management-group delete :

az account management-group delete --name Contoso01

La rimozione di una sottoscrizione o l'eliminazione di un gruppo di gestione non elimina o disattiva una sottoscrizione.

Impostare un blocco di sottoscrizione di Azure

In qualità di amministratore, potrebbe essere necessario bloccare una sottoscrizione per impedire agli utenti di eliminarlo o modificarlo. Per altre informazioni, vedere Bloccare le risorse per impedire modifiche impreviste.

Nell'interfaccia della riga di comando di Azure usare i comandi az account lock . Ad esempio, il comando az account lock create può impedire agli utenti di eliminare una sottoscrizione:

az account lock create --name "Cannot delete subscription" --lock-type CanNotDelete

Nota

È necessario disporre delle autorizzazioni appropriate per creare o modificare i blocchi.

Per visualizzare i blocchi correnti nella sottoscrizione, usare il comando az account lock list :

az account lock list --output table

Se si crea un account di sola lettura, il risultato è simile all'assegnazione delle autorizzazioni del ruolo Lettore a tutti gli utenti. Per informazioni sull'impostazione delle autorizzazioni per singoli utenti e ruoli, vedere Aggiungere o rimuovere assegnazioni di ruolo di Azure tramite l'interfaccia della riga di comando di Azure.

Per visualizzare i dettagli per un blocco, usare il comando az account lock show :

az account lock show --name "Cannot delete subscription"

È possibile rimuovere un blocco usando il comando az account lock delete :

az account lock delete --name "Cannot delete subscription"

Vedi anche