マネージド DevOps プール ID の構成
ユーザー割り当てマネージド ID を使用すると、Azure リソースは、コードに資格情報を格納することなく、Azure Key Vault などのクラウド サービスに対して認証を行うことができます。 これらの種類のマネージド ID は、スタンドアロンの Azure リソースとして作成され、独自のライフサイクルを持ちます。 1 つのリソース (仮想マシンなど) は、複数のユーザー割り当てマネージド ID を利用できます。 同様に、1 人のユーザー割り当てマネージド ID を複数のリソース間で共有できます。
ID を作成し、マネージド DevOps プールに登録する
マネージド ID は、Azure DevOps 組織と同じ Microsoft Entra ディレクトリに存在する必要があります。
- Azure portal で現在のディレクトリを表示する
- Azure DevOps 組織のディレクトリを表示します。 Azure DevOps ポータルで直接このページに移動できます:
https://dev.azure.com/<your-organization>/_settings/organizationAad
。
2 つのディレクトリが一致しない場合、または Azure DevOps 組織が Microsoft Entra に接続されていない場合は、「 組織を Microsoft Entra ID に接続し Azure サブスクリプションと同じディレクトリに接続する」の手順に従います。
Azure ポータルに移動、管理 ID を検索し使用可能なオプションから選択して、Createを選択します。 前のセクションで指定したテナントにログインしていることを確認します。 そうでない場合は、そのテナントにアクセスできる Azure アカウントに切り替えるか、Azure DevOps 組織のテナントを切り替える必要があります。 現在のテナント ID を表示するには、検索バーで Microsoft Entra Id を検索するか、Azure portal の左上にあるポータル メニューを使用して Microsoft Entra ID オプションに移動します。
目的の Subscription、 Resource グループ、 Region、および Name を選択し、 Review + Create を選択します。
確認ウィンドウで Create を選択して ID を作成します。
Azure portal でマネージド DevOps プールに移動し、 Settings > Identity、 Add を選択します。
サブスクリプションを選択し、一覧からマネージド ID を選択し、 追加を選択します。
Azure Key Vault の統合
マネージド DevOps プールは、エージェントのプロビジョニング中に Azure Key Vault から証明書をフェッチする機能を提供します。つまり、証明書は、Azure DevOps パイプラインを実行する時点までにマシン上に既に存在します。 この機能を使用するには、前の例に示すように ID をプールに追加し、id に Key Vault シークレット ユーザー ロールを割り当てます。
Key Vault の統合は、 Settings > Security で構成されます。 詳細については、「 セキュリティの構成 - Key Vault の統合」を参照してください。