Kenniscontrole

Voltooid

Uw collega gebruikt workloadidentiteiten met een GitHub-implementatiewerkstroom. De volgende code is het werkstroomdefinitiebestand:

on:
  push:
    branches:
      - main
    paths:
      - 'deploy/**'

name: AzureBicepSample

jobs:
  deploy:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v3
    - uses: azure/login@v1
      with:
        client-id: '44445555-eeee-6666-ffff-7777aaaa8888'
        tenant-id: 'aaaabbbb-0000-cccc-1111-dddd2222eeee'
        subscription-id: 'ffff5f5f-aa6a-bb7b-cc8c-dddddd9d9d9d'
    - uses: azure/arm-deploy@v1
      with:
        resourceGroupName: MyResourceGroup
        template: ./deploy/main.bicep

De werkstroom retourneert het volgende foutbericht:

Error:  Unable to get ACTIONS_ID_TOKEN_REQUEST_URL env variable. Please make sure to give write permissions to id-token in the workflow.

1.

Wat moet uw collega doen om deze fout op te lossen?

Voeg de permissions eigenschap toe aan de werkstroomdefinitie.

Verplaats de invoer van de client-id, tenant-id en abonnements-id naar GitHub-geheimen.

Gebruik een service-principal en een sleutel.

2.

Welke van deze beweringen over workloadidentiteiten is waar?

Wanneer u workloadidentiteiten gebruikt, moet u hun geheimen zorgvuldig beheren.

Workloadidentiteiten kunnen federatieve referenties gebruiken om te verifiëren.

Workloadidentiteiten moeten worden gemaakt via Azure Portal.

3.

U moet een implementatiewerkstroom maken waarmee uw infrastructuur wordt geïmplementeerd in drie omgevingen: ontwikkeling, testen en productie. Elke omgeving bevindt zich in een toegewezen resourcegroep in drie abonnementen. Wat moet u doen?

Maak één workloadidentiteit en verdeel deze toegang tot de hoofdbeheergroep van de tenant.

Maak één workloadidentiteit en ververleent deze toegang tot elk van de resourcegroepen in de drie abonnementen.

Maak drie workloadidentiteiten, één per omgeving en verdeel elke identiteit toegang tot één resourcegroep in het relevante abonnement.

4.

U maakt een workloadidentiteit om een implementatiewerkstroom uit te voeren. De werkstroom implementeert een Bicep-bestand dat één opslagaccount maakt. Welke van de volgende opties heeft de minst bevoegde toegang die u nodig hebt voor uw werkstroom?

Roldefinitie: Inzender
Bereik: Abonnement

Roldefinitie: Inzender
Bereik: resourcegroep

Roldefinitie: Eigenaar
Bereik: resourcegroep

U moet alle vragen beantwoorden voordat uw werk kan worden gecontroleerd.