使用 Azure CLI 向 Azure 進行驗證
Azure CLI 支援數種驗證方法。 限制使用案例的登入許可權,以保護您的 Azure 資源安全。
使用 Azure CLI 登入 Azure
使用 Azure CLI 時有四個驗證選項:
| 驗證方法 | 優勢 |
|---|---|
| Azure Cloud Shell | Azure Cloud Shell 會自動將您登入,而且是最簡單的開始使用方式。 |
| 以互動方式登入 | 這是學習 Azure CLI 命令並在本機執行 Azure CLI 時的絕佳選項。 使用 az login 命令透過瀏覽器登入。 互動式登入也會提供訂用帳戶選取器,以自動設定您的預設訂用帳戶。 |
| 使用受控識別登入 | 受控識別 提供 Azure 受控識別,讓應用程式在連線到支援Microsoft Entra 驗證的資源時使用。 使用受控識別可讓您不需要管理秘密、認證、憑證和密鑰。 |
| 使用服務主體登入 | 當您撰寫文本時,使用 服務主體 是建議的驗證方法。 您只授與服務主體保護自動化所需的適當許可權。 |
多重要素驗證 (MFA)
Microsoft於 2024 年 5 月宣佈,所有 Azure 使用者都需要 MFA。 如需針對此變更進行規劃的資訊,請參閱 規劃 Azure 和其他系統管理入口網站強制多因子驗證。
MFA 只會影響 Microsoft Entra 識別碼 使用者。 這不會影響 服務主體 或 受控識別。
尋找或變更您目前的訂用帳戶
登入之後,CLI 命令會針對您的預設訂用帳戶執行。 如果您有多個訂用帳戶,請使用 az account set --subscription變更預設訂用帳戶。
az account set --subscription "<subscription ID or name>"
若要深入瞭解如何管理 Azure 訂用帳戶,請參閱 如何使用 Azure CLI 管理 Azure 訂用帳戶。
重新整理令牌
當您使用使用者帳戶登入時,Azure CLI 會產生並儲存驗證重新整理令牌。 由於存取令牌在短時間內有效,因此會在發出存取令牌的同時發出重新整理令牌。 接著客戶端應用程式可以視需要使用此重新整理令牌兌換新的存取令牌。 如需令牌存留期和到期的詳細資訊,請參閱 Microsoft 身分識別平臺中的重新整理令牌。
使用 az account get-access-token 命令來擷取存取令牌:
# get access token for the active subscription
az account get-access-token
# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"
以下是有關存取令牌到期日的其他一些資訊:
- 到期日會以 MSAL 型 Azure CLI支援的格式進行更新。
- 從 Azure CLI 2.54.0 開始,
az account get-access-token傳回expires_on屬性以及用於令牌到期時間的expiresOn屬性。 -
expires_on屬性代表可攜式操作系統介面 (POSIX) 時間戳,而expiresOn屬性則代表本機日期時間。 - 當日光節約時間結束時,
expiresOn屬性不會顯示「折疊」狀態。 這可能會導致採用日光節約時間的國家/地區發生問題。 如需有關「折疊」的詳細資訊,請參閱 PEP 495 – 當地時間區分。 - 我們建議下游應用程式使用
expires_on屬性,因為它使用通用時間代碼 (UTC)。
範例輸出:
{
"accessToken": "...",
"expiresOn": "2023-10-31 21:59:10.000000",
"expires_on": 1698760750,
"subscription": "...",
"tenant": "...",
"tokenType": "Bearer"
}
注意
根據您的登入方法,您的租使用者可能會 條件式存取原則, 限制您對特定資源的存取。
另請參閱
- Azure CLI 入門速查表
- 使用 Azure CLI 管理 Azure 訂用帳戶
- 尋找 Azure CLI 範例 和 ,以及已發佈的文章
