Поделиться через

az ad sp

  • Ссылка

Управление субъектами-службами Microsoft Entra.

Команды

Имя Описание Тип Состояние
az ad sp create

Создание субъекта-службы.

 Ядро ГА
az ad sp create-for-rbac

Создайте субъект-службу и настройте доступ к ресурсам Azure.

 Ядро ГА
az ad sp credential

Управление паролем или учетными данными сертификата субъекта-службы.

 Ядро ГА
az ad sp credential delete

Удалите пароль или учетные данные сертификата субъекта-службы.

 Ядро ГА
az ad sp credential list

Вывод списка метаданных учетных данных субъекта-службы или пароля субъекта-службы. (Содержимое пароля или учетных данных сертификата не может быть извлечено.)

 Ядро ГА
az ad sp credential reset

Сброс пароля или учетных данных сертификата субъекта-службы.

 Ядро ГА
az ad sp delete

Удаление субъекта-службы.

 Ядро ГА
az ad sp list

Вывод списка субъектов-служб.

 Ядро ГА
az ad sp owner

Управление владельцами субъектов-служб.

 Ядро ГА
az ad sp owner list

Вывод списка владельцев субъекта-службы.

 Ядро ГА
az ad sp show

Получение сведений о субъекте-службе.

 Ядро ГА
az ad sp update

Обновите субъект-службу.

 Ядро ГА

az ad sp create

Изменить

Создание субъекта-службы.

az ad sp create --id

Примеры

Создание субъекта-службы. (автоматическое создание)

az ad sp create --id 00000000-0000-0000-0000-000000000000

Обязательные параметры

--id

URI идентификатора, идентификатор приложения или идентификатор объекта связанного приложения.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az ad sp create-for-rbac

Изменить

Создайте субъект-службу и настройте доступ к ресурсам Azure.

Выходные данные включают учетные данные, которые необходимо защитить. Убедитесь, что эти учетные данные не включены в код или проверьте учетные данные в систему управления версиями. В качестве альтернативы рекомендуется использовать управляемые удостоверения, если они доступны, чтобы избежать необходимости использования учетных данных.

По умолчанию эта команда не назначает никакой роли субъекту-службе. Вы можете использовать --role и --scopes, чтобы назначить определенную роль и сузить область для ресурса или группы ресурсов. Вы также можете использовать az role assignment create для создания назначений ролей для этого субъекта-службы позже. Дополнительные сведения см. в шагах по добавлению назначения ролей.

az ad sp create-for-rbac [--cert]
                         [--create-cert]
                         [--display-name]
                         [--json-auth {false, true}]
                         [--keyvault]
                         [--role]
                         [--scopes]
                         [--years]

Примеры

Создание без назначения ролей.

az ad sp create-for-rbac

Создание с помощью пользовательского отображаемого имени.

az ad sp create-for-rbac -n MyApp

Создайте назначения ролей участника в указанных областях. Чтобы получить текущий идентификатор подписки, выполните команду az account show --query id --output tsv.

az ad sp create-for-rbac -n MyApp --role Contributor --scopes /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroup1 /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroup2

Создайте самозаверяющий сертификат.

az ad sp create-for-rbac --create-cert

Создание с помощью существующей строки сертификата.

az ad sp create-for-rbac --cert "MIICoT..."

Создайте существующий файл сертификата.

az ad sp create-for-rbac --cert "@~/cert.pem"
`cert.pem` contains the following content
-----BEGIN CERTIFICATE-----  <<< this line is optional
MIICoT...
-----END CERTIFICATE-----    <<< this line is optional

Создайте самозаверяющий сертификат и сохраните его в Azure Key Vault.

az ad sp create-for-rbac --keyvault MyVault --cert CertName --create-cert

Создайте существующий сертификат в Azure Key Vault.

az ad sp create-for-rbac --keyvault MyVault --cert CertName

Необязательные параметры

--cert

Сертификат, используемый для учетных данных. При использовании с --keyvault,указывает имя сертификата для использования или создания. В противном случае укажите строку открытого сертификата в формате PEM или DER. Используйте @{path} для загрузки из файла. Не включать закрытый ключ.

--create-cert

Создайте самозаверяющий сертификат, используемый для учетных данных. Только текущий пользователь ОС имеет разрешение на чтение и запись для этого сертификата. Используйте --keyvault для создания сертификата в Key Vault. В противном случае сертификат будет создан локально.

Default value: False
--display-name --name -n

Отображаемое имя субъекта-службы. Если нет, по умолчанию azure-cli-%Y-%m-%d%S -%H-%M-%S, где суффикс является временем создания.

--json-auth --sdk-auth
Не рекомендуется

Параметр "--sdk-auth" устарел и будет удален в будущем выпуске.

Выходные учетные данные субъекта-службы вместе с облачными конечными точками в формате JSON.

Допустимые значения: false, true
--keyvault

Имя или идентификатор keyVault для создания или получения сертификатов.

--role

Роль субъекта-службы.

--scopes

Разделенный пробелами список областей назначения роли субъекта-службы применяется к. например, подписки/0b1f6471-1bf0-4dda-aec3-11112223333/resourceGroups/myGroup, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--years

Количество лет, в течение которых учетные данные будут действительными. Значение по умолчанию: 1 год.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az ad sp delete

Изменить

Удаление субъекта-службы.

az ad sp delete --id

Примеры

Удаление субъекта-службы.

az ad sp delete --id 00000000-0000-0000-0000-000000000000

Обязательные параметры

--id

Имя субъекта-службы или идентификатор объекта.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az ad sp list

Изменить

Вывод списка субъектов-служб.

Для низкой задержки по умолчанию возвращается только первый 100, если только не указать аргументы фильтра или использовать "-all".

az ad sp list [--all]
              [--display-name]
              [--filter]
              [--show-mine]
              [--spn]

Необязательные параметры

--all

Вывод списка всех сущностей, ожидайте долгой задержки, если в большой организации.

--display-name

Отображаемое имя объекта или его префикс.

--filter

Фильтр OData, например --filter "displayname eq 'test" и servicePrincipalType eq 'Application'.

--show-mine

Вывод списка сущностей, принадлежащих текущему пользователю.

--spn

Имя субъекта-службы.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az ad sp show

Изменить

Получение сведений о субъекте-службе.

az ad sp show --id

Примеры

Получение сведений о субъекте-службе с помощью appId.

az ad sp show --id 00000000-0000-0000-0000-000000000000

Получение сведений о субъекте-службе с идентификатором.

az ad sp show --id 00000000-0000-0000-0000-000000000000

Получение сведений о субъекте-службе с URI идентификатора.

az ad sp show --id api://myapp

Обязательные параметры

--id

Имя субъекта-службы или идентификатор объекта.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az ad sp update

Изменить

Обновите субъект-службу.

az ad sp update --id
                [--add]
                [--force-string]
                [--remove]
                [--set]

Примеры

обновление субъекта-службы (автоматическое создание)

az ad sp update --id 00000000-0000-0000-0000-000000000000 --set groupMembershipClaims=All

Обязательные параметры

--id

Имя субъекта-службы или идентификатор объекта.

Необязательные параметры

--add

Добавьте объект в список объектов, указав пары пути и значения ключа. Пример: --add property.listProperty <key=value, string or JSON string>.

Default value: []
--force-string

При использовании "set" или "add" сохраняйте строковые литералы вместо попытки преобразовать в JSON.

Default value: False
--remove

Удалите свойство или элемент из списка. Пример: --remove property.list <indexToRemove> OR --remove propertyToRemove.

Default value: []
--set

Обновите объект, указав путь к свойству и значение для задания. Пример: --set property1.property2=<value>.

Default value: []
Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Показать это сообщение справки и выйти.

--only-show-errors

Отображать только ошибки, не показывая предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Увеличьте уровень детализации ведения журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.