az ad sp

Управление субъектами-службами Microsoft Entra.

Команды

Имя	Описание	Тип	Состояние
az ad sp create	Создание субъекта-службы.	Основные сведения	Общедоступная версия
az ad sp create-for-rbac	Создайте субъект-службу и настройте для него доступ к ресурсам Azure.	Основные сведения	Общедоступная версия
az ad sp credential	Управление паролем или учетными данными сертификата субъекта-службы.	Основные сведения	Общедоступная версия
az ad sp credential delete	Удалите пароль или учетные данные сертификата субъекта-службы.	Основные сведения	Общедоступная версия
az ad sp credential list	Вывод списка метаданных учетных данных субъекта-службы или пароля субъекта-службы. (Содержимое пароля или учетных данных сертификата не может быть извлечено.)	Основные сведения	Общедоступная версия
az ad sp credential reset	Сброс пароля или учетных данных сертификата субъекта-службы.	Основные сведения	Общедоступная версия
az ad sp delete	Удаление субъекта-службы.	Основные сведения	Общедоступная версия
az ad sp list	Вывод списка субъектов-служб.	Основные сведения	Общедоступная версия
az ad sp owner	Управление владельцами субъектов-служб.	Основные сведения	Общедоступная версия
az ad sp owner list	Вывод списка владельцев субъекта-службы.	Основные сведения	Общедоступная версия
az ad sp show	Получение сведений о субъекте-службе.	Основные сведения	Общедоступная версия
az ad sp update	Обновите субъект-службу.	Основные сведения	Общедоступная версия

az ad sp create

Создание субъекта-службы.

az ad sp create --id

Примеры

Создание субъекта-службы. (автоматическое создание)

az ad sp create --id 00000000-0000-0000-0000-000000000000

Обязательные параметры

--id

URI идентификатора, идентификатор приложения или идентификатор объекта связанного приложения.

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc

значение по умолчанию: json

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az ad sp create-for-rbac

Создайте субъект-службу и настройте для него доступ к ресурсам Azure.

Выходные данные включают учетные данные, которые необходимо защитить. Убедитесь, что эти учетные данные не включены в код, или проверьте учетные данные в системе управления версиями. В качестве альтернативы можно использовать управляемые удостоверения (если они доступны), чтобы не работать с учетными данными.

По умолчанию эта команда не назначает никакой роли субъекту-службе. Вы можете использовать функции --role и --область, чтобы назначить определенную роль и сузить область в ресурс или группу ресурсов. Вы также можете использовать az role assignment create для создания назначений ролей для этого субъекта-службы позже. Дополнительные сведения см . в шагах по добавлению назначения ролей.

az ad sp create-for-rbac [--cert]
                         [--create-cert]
                         [--display-name]
                         [--json-auth {false, true}]
                         [--keyvault]
                         [--role]
                         [--scopes]
                         [--years]

Примеры

Создание без назначения ролей.

az ad sp create-for-rbac

Создание с помощью пользовательского отображаемого имени.

az ad sp create-for-rbac -n MyApp

Создайте назначения ролей участника в указанных область. Чтобы получить текущий идентификатор подписки, выполните команду az account show --query id --output tsv.

az ad sp create-for-rbac -n MyApp --role Contributor --scopes /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroup1 /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroup2

Создайте самозаверяющий сертификат.

az ad sp create-for-rbac --create-cert

Создайте самозаверяющий сертификат и сохраните его в KeyVault.

az ad sp create-for-rbac --keyvault MyVault --cert CertName --create-cert

Создайте существующий сертификат в KeyVault.

az ad sp create-for-rbac --keyvault MyVault --cert CertName

Необязательные параметры

--cert

Сертификат, используемый для учетных данных. При использовании с --keyvault,параметром указывает имя сертификата для использования или создания. В противном случае укажите строку открытого сертификата в формате PEM или DER. Используется @{path} для загрузки из файла. Не включать сведения о закрытом ключе.

--create-cert

Создайте самозаверяющий сертификат, используемый для учетных данных. Только текущий пользователь ОС имеет разрешение на чтение и запись для этого сертификата. Используйте для --keyvault создания сертификата в Key Vault. В противном случае сертификат будет создан локально.

значение по умолчанию: False

--display-name --name -n

Отображаемое имя субъекта-службы. Если нет, по умолчанию используется azure-cli-%Y-%m-%d-%H-%M-%S, где суффикс является временем создания.

--json-auth --sdk-auth

Не рекомендуется

Параметр "--sdk-auth" устарел и будет удален в будущем выпуске.

Выходные учетные данные субъекта-службы вместе с облачными конечными точками в формате JSON.

допустимые значения: false, true

--keyvault

Имя или идентификатор keyVault для создания или получения сертификатов.

--role

Роль субъекта-службы.

--scopes

Разделенный пробелами список область назначения роли субъекта-службы применяется к, например, подпискам/0b1f6471-1bf0-4dda-aec3-11122223333/resourceGroups/myGroup, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--years

Количество лет, в течение которых учетные данные будут действительными. Значение по умолчанию: 1 год.

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc

значение по умолчанию: json

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az ad sp delete

Удаление субъекта-службы.

az ad sp delete --id

Примеры

Удаление субъекта-службы.

az ad sp delete --id 00000000-0000-0000-0000-000000000000

Обязательные параметры

--id

Имя субъекта-службы или идентификатор объекта.

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc

значение по умолчанию: json

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az ad sp list

Вывод списка субъектов-служб.

Для низкой задержки по умолчанию возвращается только первый 100, если только не указать аргументы фильтра или использовать "-all".

az ad sp list [--all]
              [--display-name]
              [--filter]
              [--show-mine]
              [--spn]

Необязательные параметры

--all

Вывод списка всех сущностей, ожидайте долгой задержки, если в большой организации.

--display-name

Отображаемое имя объекта или его префикс.

--filter

Фильтр OData, например --filter "displayname eq 'test" и servicePrincipalType eq 'Application'.

--show-mine

Вывод списка сущностей, принадлежащих текущему пользователю.

--spn

Имя субъекта-службы.

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc

значение по умолчанию: json

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az ad sp show

Получение сведений о субъекте-службе.

az ad sp show --id

Примеры

Получение сведений о субъекте-службе с помощью appId.

az ad sp show --id 00000000-0000-0000-0000-000000000000

Получение сведений о субъекте-службе с идентификатором.

az ad sp show --id 00000000-0000-0000-0000-000000000000

Получение сведений о субъекте-службе с URI идентификатора.

az ad sp show --id api://myapp

Обязательные параметры

--id

Имя субъекта-службы или идентификатор объекта.

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc

значение по умолчанию: json

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az ad sp update

Обновите субъект-службу.

az ad sp update --id
                [--add]
                [--force-string]
                [--remove]
                [--set]

Примеры

обновление субъекта-службы (автоматическое создание)

az ad sp update --id 00000000-0000-0000-0000-000000000000 --set groupMembershipClaims=All

Обязательные параметры

--id

Имя субъекта-службы или идентификатор объекта.

Необязательные параметры

--add

Добавьте объект в список объектов, указав пары пути и значения ключа. Пример: --add property.listProperty <key=value, string or JSON string>.

значение по умолчанию: []

--force-string

При использовании "set" или "add" сохраняйте строковые литералы вместо попытки преобразовать в JSON.

значение по умолчанию: False

--remove

Удалите свойство или элемент из списка. Пример: --remove property.list <indexToRemove> OR --remove propertyToRemove.

значение по умолчанию: []

--set

Обновите объект, указав путь к свойству и значение для задания. Пример: --set property1.property2=<value>.

значение по умолчанию: []

Глобальные параметры

--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc

значение по умолчанию: json

--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.