Проверка подлинности в Azure с помощью Azure CLI
Azure CLI поддерживает несколько методов проверки подлинности. Ограничьте разрешения на вход для вашего варианта использования, чтобы обеспечить безопасность ресурсов Azure.
Вход в Azure с помощью Azure CLI
Существует пять вариантов проверки подлинности при работе с Azure CLI:
| Authentication method | Преимущество |
|---|---|
| Azure Cloud Shell | Azure Cloud Shell автоматически регистрирует вас и проще всего приступить к работе. |
| Войдите в интерактивное режиме | Это хороший вариант при обучении команд Azure CLI и локальном запуске Azure CLI. Войдите через браузер с помощью команды az login . Интерактивный вход также предоставляет селектор подписки для автоматического задания подписки по умолчанию. |
| Вход с помощью субъекта-службы | При написании скриптов рекомендуется использовать субъект-службу. Вы предоставляете только соответствующие разрешения, необходимые субъекту-службе, обеспечивая безопасность автоматизации. |
| Вход с помощью управляемого удостоверения | Управление секретами, учетными данными, сертификатами и ключами, используемыми для защиты обмена данными между различными службами, зачастую представляет трудности для разработчиков. Использование управляемого удостоверения устраняет необходимость управления этими учетными данными. |
Поиск или изменение текущей подписки
После входа команды CLI выполняются в подписке по умолчанию. Если у вас несколько подписок, измените подписку по умолчанию с помощью az account set --subscription.
az account set --subscription "<subscription ID or name>"
Дополнительные сведения об управлении подписками Azure см. в статье "Управление подписками Azure с помощью Azure CLI".
маркеры обновления.
При входе с помощью учетной записи пользователя Azure CLI создает и сохраняет маркер обновления проверки подлинности. Так как маркеры доступа действительны только в течение короткого периода времени, маркер обновления выдается одновременно с маркером доступа. После этого клиентское приложение может при необходимости обмениваться этим маркером обновления для получения нового маркера доступа. Дополнительные сведения о времени существования и истечении срока действия маркеров см. в платформа удостоверений Майкрософт.
Используйте команду az account get-access-token для получения маркера доступа:
# get access token for the active subscription
az account get-access-token
# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"
Ниже приведены дополнительные сведения о датах окончания срока действия маркера доступа:
- Даты окончания срока действия обновляются в формате, поддерживаемом Azure CLI на основе MSAL.
- Начиная с Azure CLI 2.54.0,
az account get-access-tokenвозвращаетexpires_onсвойство вместе со свойствомexpiresOnдля срока действия маркера. - Свойство
expires_onпредставляет метку времени переносимого интерфейса операционной системы (POSIX), аexpiresOnсвойство представляет локальное время даты и времени. - Свойство
expiresOnне выражает "свертывания", когда заканчивается летнее время. Это может привести к проблемам в странах или регионах, где используется летнее время. Дополнительные сведения о "свертывание" см. в разделе PEP 495 — диамбигуация местного времени. - Для подчиненных приложений рекомендуется использовать
expires_onсвойство, так как он использует универсальный код времени (UTC).
Пример результата:
{
"accessToken": "...",
"expiresOn": "2023-10-31 21:59:10.000000",
"expires_on": 1698760750,
"subscription": "...",
"tenant": "...",
"tokenType": "Bearer"
}
Примечание.
В зависимости от метода входа клиент может иметь политики условного доступа, которые ограничивают доступ к определенным ресурсам.
