Проверка подлинности в Azure с помощью Azure CLI

  • Статья

Azure CLI поддерживает несколько методов проверки подлинности. Ограничьте разрешения на вход для вашего варианта использования, чтобы обеспечить безопасность ресурсов Azure.

Вход в Azure с помощью Azure CLI

Существует пять вариантов проверки подлинности при работе с Azure CLI:

Authentication method Преимущество
Azure Cloud Shell Azure Cloud Shell автоматически регистрирует вас и проще всего приступить к работе.
Войдите в интерактивное режиме Это хороший вариант при обучении команд Azure CLI и локальном запуске Azure CLI. Войдите через браузер с помощью команды az login .
Войдите в интерактивный режим (предварительная версия) Этот параметр предлагает выбрать подписку при использовании команды az login .
Вход с помощью субъекта-службы При написании скриптов рекомендуется использовать субъект-службу. Вы предоставляете только соответствующие разрешения, необходимые субъекту-службе, обеспечивая безопасность автоматизации.
Вход с помощью управляемого удостоверения Управление секретами, учетными данными, сертификатами и ключами, используемыми для защиты обмена данными между различными службами, зачастую представляет трудности для разработчиков. Использование управляемого удостоверения устраняет необходимость управления этими учетными данными.
Вход с помощью диспетчера веб-учетных записей (WAM) WAM — это компонент Windows 10+, который выступает в качестве брокера проверки подлинности. WAM обеспечивает улучшенную безопасность и улучшения в Windows.

Поиск или изменение текущей подписки

После входа команды CLI выполняются в подписке по умолчанию. Если у вас несколько подписок, измените подписку по умолчанию с помощью az account set --subscription.

az account set --subscription "<subscription ID or name>"

Другой вариант — использовать предварительную версию проверки подлинности Azure CLI 2.59.0. Предварительная версия проверки подлинности предоставляет список клиентов и подписок во время входа, и вам будет предложено выбрать подписку по умолчанию.

Дополнительные сведения об управлении подписками Azure см. в статье "Управление подписками Azure с помощью Azure CLI".

маркеры обновления.

При входе с помощью учетной записи пользователя Azure CLI создает и сохраняет маркер обновления проверки подлинности. Так как маркеры доступа действительны только в течение короткого периода времени, маркер обновления выдается одновременно с маркером доступа. После этого клиентское приложение может при необходимости обмениваться этим маркером обновления для получения нового маркера доступа. Дополнительные сведения о времени существования и истечении срока действия маркеров см. в платформа удостоверений Майкрософт.

Используйте команду az account get-access-token для получения маркера доступа:

# get access token for the active subscription
az account get-access-token

# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"

Ниже приведены дополнительные сведения о датах окончания срока действия маркера доступа:

  • Даты окончания срока действия обновляются в формате, поддерживаемом Azure CLI на основе MSAL.
  • Начиная с Azure CLI 2.54.0, az account get-access-token возвращает expires_on свойство вместе со свойством expiresOn для срока действия маркера.
  • Свойство expires_on представляет метку времени переносимого интерфейса операционной системы (POSIX), а expiresOn свойство представляет локальное время даты и времени.
  • Свойство expiresOn не выражает "свертывания", когда заканчивается летнее время. Это может привести к проблемам в странах или регионах, где используется летнее время. Дополнительные сведения о "свертывание" см. в разделе PEP 495 — диамбигуация местного времени.
  • Для подчиненных приложений рекомендуется использовать expires_on свойство, так как он использует универсальный код времени (UTC).

Пример результата:

{
  "accessToken": "...",
  "expiresOn": "2023-10-31 21:59:10.000000",
  "expires_on": 1698760750,
  "subscription": "...",
  "tenant": "...",
  "tokenType": "Bearer"
}

Примечание.

В зависимости от метода входа клиент может иметь политики условного доступа, которые ограничивают доступ к определенным ресурсам.

См. также