Partilhar via


Autenticar no Azure usando a CLI do Azure

A CLI do Azure dá suporte a vários métodos de autenticação. Para manter seus recursos do Azure seguros, restrinja as permissões de entrada para seu caso de uso.

Entrar no Azure com a CLI do Azure

Há quatro opções de autenticação ao trabalhar com a CLI do Azure:

Método de autenticação Vantagem
Azure Cloud Shell O Azure Cloud Shell inicia sessão automaticamente e é a forma mais fácil de começar.
Iniciar sessão de forma interativa Essa opção é boa ao aprender comandos da CLI do Azure e executar a CLI do Azure localmente. Com o comando az login, você faz login através do seu navegador. O login interativo também oferece um seletor de assinatura para definir automaticamente sua assinatura padrão.
Iniciar sessão com uma identidade gerida As identidades gerenciadas fornecem uma identidade gerenciada pelo Azure para os aplicativos usarem ao se conectarem a recursos que dão suporte à autenticação do Microsoft Entra. O uso de uma identidade gerenciada elimina a necessidade de gerenciar segredos, credenciais, certificados e chaves.
Entrar usando um principal de serviço Quando você escreve scripts, usar uma entidade de serviço é a abordagem de autenticação recomendada. Você concede apenas as permissões apropriadas necessárias a um principal de serviço, mantendo a sua automação segura.

Multi-factor authentication (MFA) (NIST – Noções básicas: autenticação multifator [MFA])

A partir de 2025, a Microsoft aplicará MFA obrigatória para a CLI do Azure e outras ferramentas de linha de comando. Para obter mais informações sobre esse requisito, consulte nossa postagem no blog .

O MFA afetará apenas o Microsoft Entra ID identidades de usuário. Isso não afetará as identidades de trabalho, como principais de serviço e identidades geridas.

Se você estiver usando az login com um ID do Entra e senha para autenticar um script ou processo automatizado, planeje agora migrar para uma identidade de carga de trabalho. Aqui estão alguns links úteis para ajudá-lo a fazer essa alteração:

Localizar ou alterar a sua subscrição atual

Depois de entrar, os comandos da CLI são executados na sua assinatura padrão. Se tiver várias subscrições, altere a sua subscrição predefinida utilizando az account set --subscriptiono .

az account set --subscription "<subscription ID or name>"

Para saber mais sobre como gerenciar assinaturas do Azure, consulte Como gerenciar assinaturas do Azure com a CLI do Azure.

Atualizar tokens

Quando você entra com uma conta de usuário, a CLI do Azure gera e armazena um token de atualização de autenticação. Como os tokens de acesso são válidos apenas por um curto período de tempo, um token de atualização é emitido ao mesmo tempo em que o token de acesso é emitido. O aplicativo cliente pode então trocar esse token de atualização por um novo token de acesso quando necessário. Para obter mais informações sobre o tempo de vida e a expiração do token, consulte Atualizar tokens na plataforma de identidade da Microsoft.

Use o comando az account get-access-token para recuperar o token de acesso:

# get access token for the active subscription
az account get-access-token

# get access token for a specific subscription
az account get-access-token --subscription "<subscription ID or name>"

Aqui estão algumas informações adicionais sobre as datas de expiração do token de acesso:

  • As datas de expiração são atualizadas em um formato suportado pela CLI do Azure baseada em MSAL.
  • A partir da CLI do Azure 2.54.0, az account get-access-token retorna a expires_on propriedade ao lado da expiresOn propriedade para o tempo de expiração do token.
  • A expires_on propriedade representa um carimbo de data/hora POSIX (Portable Operating System Interface), enquanto a expiresOn propriedade representa um datetime local.
  • A expiresOn propriedade não expressa "dobrar" quando o horário de verão termina. Isso pode causar problemas em países ou regiões onde o horário de verão é adotado. Para obter mais informações sobre "dobrar", consulte PEP 495 – Desambiguação da hora local.
  • Recomendamos que os aplicativos downstream usem a expires_on propriedade, pois ela usa o Código de Tempo Universal (UTC).

Saída de exemplo:

{
  "accessToken": "...",
  "expiresOn": "2023-10-31 21:59:10.000000",
  "expires_on": 1698760750,
  "subscription": "...",
  "tenant": "...",
  "tokenType": "Bearer"
}

Nota

Dependendo do seu método de início de sessão, o seu inquilino poderá ter políticas de Acesso Condicional que restrinjam o seu acesso a determinados recursos.

Consulte também