無法使用系統分配的托管標識 ID 登錄到 Azure

Question

我正在編寫一個登錄到 Azure 的腳本，但我不想明確使用我的密碼。 因此，我打開了系統分配的托管身份：

現在在 shell 腳本中我這樣做：

az login --identity --username xxx

'xxx' 是 Object（主體）ID，在屏幕截圖上

當我執行命令時，我得到了這個（用“xxx”替換了 ip 和 ID）：

Failed to connect to MSI. Please make sure MSI is configured correctly and check the network connection.

Error detail: HTTPConnectionPool(host='XXX.XXX.XXX.XXX', port=XX): Max retries exceeded with url: /metadata/identity/oauth2/token?resource=https%3A%2F%2Fmanagement.core.windows.net%2F&api-version=2018-02-01&client_id=xxx (Caused by NewConnectionError('<urllib3.connection.HTTPConnection object at 0x04B7DB08>: 

Failed to establish a new connection: [WinError 10060] A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond'))

編輯：很好，當我在 Azure 門戶上的 Cloud-Shell 中運行此命令時。

為什么我不能登錄？ 我錯過了什么嗎？

Answer 1

系統分配的托管標識不能用於登錄。 它與您為其創建它的服務明確相關，並不意味着可以重復使用。

系統分配的。 某些 Azure 服務允許您直接在服務實例上啟用托管標識。 啟用系統分配的托管標識時，將在 Azure AD 中創建一個標識。 身份與該服務實例的生命周期相關聯。 刪除資源時，Azure自動為您刪除身份。 按照設計，只有 Azure 資源可以使用此身份從 Azure AD 請求令牌。

這句話最重要的部分是最后一句話：

按照設計，只有 Azure 資源可以使用此身份從 Azure AD 請求令牌。

更多信息： Azure 資源的托管標識是什么？ .

還：

無法共享。
它只能與單個 Azure 資源相關聯。

編輯：
根據您的問題和下面的評論，您可能正在尋找Service Principal 。 系統分配或用戶分配的托管標識用於 Azure 資源。

托管身份為應用程序提供身份，以便在連接到支持 Azure AD 身份驗證的資源時使用。

Azure 服務主體是為與應用程序、托管服務和自動化工具一起使用而創建的身份，用於訪問 Azure 資源。

有關服務主體的更多信息，請參閱使用 Azure CLI 創建 Azure 服務主體。