Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Ресурсы Azure могут проходить проверку подлинности в облачных службах с помощью управляемых удостоверений, назначаемых пользователем. Этот процесс аналогичен использованию Azure Key Vault, но вам не нужно хранить учетные данные в коде. Эти типы управляемых удостоверений можно создать как отдельные ресурсы Azure, и у них есть собственный жизненный цикл. Один ресурс, например виртуальная машина (VM), может использовать несколько управляемых удостоверений, назначенных пользователем. Аналогичным образом несколько ресурсов могут совместно использовать одно назначаемое пользователем управляемое удостоверение.
Создание удостоверения и его регистрация в управляемых пулах DevOps
Управляемое удостоверение должно находиться в том же каталоге Microsoft Entra, что и ваша организация Azure DevOps.
- Просмотрите текущий каталог на портале Azure.
-
Просмотрите каталог для организации Azure DevOps. Вы можете перейти непосредственно на эту страницу на портале Azure DevOps, изменив этот пример URL-адреса с собственными сведениями:
https://dev.azure.com/<your-organization>/_settings/organizationAad
Если два каталога не соответствуют или ваша организация Azure DevOps не подключена к Microsoft Entra, выполните действия, описанные в разделе "Подключение организации к идентификатору Microsoft Entra". Подключитесь к тому же каталогу, который использует ваша подписка Azure.
Найдите управляемые удостоверения на портале Azure. Выберите Управляемые удостоверения из доступных параметров, затем нажмите Создать. Убедитесь, что вы вошли в клиент, указанный в предыдущем разделе. В противном случае необходимо переключиться на учетную запись Azure с доступом к такому клиенту или переключить клиент вашей организации Azure DevOps. Текущий идентификатор клиента можно просмотреть, выполнив поиск идентификатора Microsoft Entra в строке поиска. Вы также можете перейти к разделу Microsoft Entra ID через меню в верхнем левом углу портала Azure.
Выберите нужные параметры для подписки, группы ресурсов, региона и имени, а затем нажмите кнопку "Проверить и создать".
В окне подтверждения создайте удостоверение, нажав кнопку "Создать".
Перейдите в пул на портале Azure и выберите Параметры>удостоверений>Добавить.
Выберите подписку. Выберите управляемое удостоверение из списка и нажмите кнопку "Добавить".
Интеграция с Azure Key Vault
Управляемые пуловые ресурсы DevOps можно использовать для извлечения сертификатов из экземпляра хранилища ключей Azure во время подготовки агента. Сертификат уже существует на компьютере к тому времени, когда он запускает конвейеры Azure DevOps. Чтобы использовать эту функцию, добавьте удостоверение в пул, как это было показано в предыдущем примере, а затем назначьте удостоверению роль пользователь секретов Key Vault.
Интеграция Azure Key Vault настроена в разделе "Параметры>безопасности". Дополнительные сведения см. в статье "Настройка безопасности: интеграция Azure Key Vault".
