Casos especiais de conexão de serviço do Azure Resource Manager

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Embora a opção recomendada para conexões de serviço do Azure Resource Manager seja usar a federação de identidade de carga de trabalho com um registro de aplicativo ou identidade gerenciada, há momentos em que talvez seja necessário usar uma identidade gerenciada atribuída pelo agente ou um perfil de publicação. Neste artigo, você aprenderá a criar uma conexão de serviço do Azure Resource Manager que se conecta a um agente auto-hospedado em uma máquina virtual do Azure e como usar um perfil de publicação para criar uma conexão de serviço com um aplicativo do Serviço de Aplicativo do Azure.

Você também pode usar o Azure Resource Manager para se conectar à Nuvem do Azure Governamental e ao Azure Stack.

Criar uma conexão de serviço do Azure Resource Manager para uma VM que usa uma identidade gerenciada

Observação

Para usar uma identidade gerenciada para autenticar, use um agente auto-hospedado em uma máquina virtual (VM) do Azure.

Você pode configurar agentes auto-hospedados em VMs do Azure para usar uma Identidade gerenciada do Azure no Microsoft Entra ID. Nesse cenário, você usa a identidade gerenciada atribuída ao agente para conceder aos agentes acesso a qualquer recurso do Azure que ofereça suporte ao Microsoft Entra ID, como uma instância do Azure Key Vault.

1. No projeto do Azure DevOps, acesse Configurações do projeto>Conexões de serviço.

   Para saber mais, confira Abra as configurações do projeto.

2. Selecione Nova conexão de serviço e Azure Resource Manager.

   

3. Selecione Identidade gerenciada (agente atribuído) para o tipo de identidade.

4. Para o Ambiente, selecione o nome do ambiente (Azure Cloud, Azure Stack ou opções de nuvem governamental).

5. Selecione o Nível de escopo. Selecione Assinatura, Grupo de Gerenciamento ou Workspace do Machine Learning. Grupos de gerenciamento são contêineres que ajudarão você a gerenciar o acesso, a política e a conformidade entre várias assinaturas. O workspace do Machine Learning é um local para criar artefatos de Machine Learning.

   • Para o escopo da Assinatura, insira os seguintes parâmetros:

     Parâmetro	Descrição
     ID da assinatura	Obrigatória. Insira a ID da assinatura do Azure.
     Nome da assinatura	Obrigatória. Insira o nome da assinatura do Azure.

   • Para o escopo do Grupo de Gerenciamento, insira os seguintes parâmetros:

     Parâmetro	Descrição
     ID do Grupo de Gerenciamento	Obrigatória. Insira a ID do grupo de gerenciamento do Azure.
     Nome do Grupo de Gerenciamento	Obrigatória. Insira o nome do grupo de gerenciamento do Azure.

   • Para o escopo do Workspace do Machine Learning, insira os seguintes parâmetros:

     Parâmetro	Descrição
     ID da assinatura	Obrigatória. Insira a ID da assinatura do Azure.
     Nome da assinatura	Obrigatória. Insira o nome da assinatura do Azure.
     Grupo de Recursos	Obrigatória. Selecione o grupo de recursos que contém o workspace.
     Nome do Workspace do ML	Obrigatória. Insira o nome do workspace existente do Azure Machine Learning.
     Localização do Workspace do ML	Obrigatória. Insira a localização do workspace existente do Azure Machine Learning.

6. Insira a ID do locatário.

7. Digite o Nome da conexão de serviço.

8. Você também pode inserir uma descrição para a conexão de serviço.

9. Selecione Conceder permissão de acesso a todos os pipelines para permitir que todos os pipelines usem essa conexão de serviço. Se você não selecionar essa opção, deverá conceder acesso manualmente a cada pipeline que usa essa conexão de serviço.

10. Selecione Salvar.

11. Depois que a nova conexão de serviço for criada:

    • Se você usar a conexão de serviço na IU, selecione o nome da conexão que você atribuiu na caixa configuração Assinatura do Azure do pipeline.
    • Se você usar a conexão de serviço em um arquivo YAML, copie o nome da conexão no código como o valor para azureSubscription.

12. Verifique se a VM (agente) tem as permissões apropriadas.

    Por exemplo, se o código precisar chamar o Azure Resource Manager, atribua a função apropriada à VM usando o RBAC (controle de acesso baseado em função) no Microsoft Entra ID.

    Para obter mais informações, consulte Como posso usar identidades gerenciadas para recursos do Azure? e Usar controle de acesso baseado em função para gerenciar o acesso aos recursos de assinatura do Azure.

Para obter mais informações sobre o processo, consulte Solucionar problemas de conexões de serviço do Azure Resource Manager.

Criar uma conexão de serviço do Azure Resource Manager usando um perfil de publicação

Você pode criar uma conexão de serviço usando um perfil de publicação. Você pode usar um perfil de publicação para criar uma conexão de serviço com um Serviço de Aplicativo do Azure.

1. No projeto do Azure DevOps, acesse Configurações do projeto>Conexões de serviço.

   Para saber mais, confira Abra as configurações do projeto.

2. Selecione Nova conexão de serviço, Azure Resource Manager e Avançar.

   

3. Selecione Perfil de publicação para o tipo de identidade.

4. Insira os parâmetros s seguir:

   Parâmetro	Descrição
   Assinatura	Obrigatória. Selecione uma assinatura existente do Azure. Se não aparecer nenhuma assinatura ou instância do Azure, consulte Solucionar problemas de conexões de serviço do Azure Resource Manager.
   WebApp	Obrigatória. Insira o nome do aplicativo do Serviço de Aplicativo do Azure.
   Nome da conexão de serviço	Obrigatório. O nome que você irá usar para se referir a essa conexão de serviço nas propriedades da tarefa. Não nome da sua assinatura do Azure.
   Descrição	Opcional. A descrição da conexão de serviço.

5. Selecione Conceder permissão de acesso a todos os pipelines para permitir que todos os pipelines usem essa conexão de serviço. Se você não selecionar essa opção, deverá conceder acesso manualmente a cada pipeline que usa essa conexão de serviço.

6. Selecione Salvar.

Depois que a nova conexão de serviço for criada:

• Se você usar a conexão de serviço na IU, selecione o nome da conexão que você atribuiu na caixa configuração Assinatura do Azure do pipeline.
• Se você usar a conexão de serviço em um arquivo YAML, copie o nome da conexão e cole-o no código como o valor para azureSubscription.

Conectar-se a uma Nuvem do Azure Government

Para obter informações sobre como se conectar a uma Nuvem Governamental do Azure, consulte Conectar-se a partir de pipelines do Azure (Nuvem Governamental do Azure).

Conectar-se ao Azure Stack

Para obter mais informações sobre como se conectar ao Azure Stack, confira estes artigos:

• Conectar-se ao Azure Stack
• Conectar o Azure Stack ao Azure usando uma VPN
• Conectar o Azure Stack ao Azure com o Azure ExpressRoute

Para mais informações, consulte Solucionar problemas de conexões de serviço do Azure Resource Manager.

Ajuda e suporte

• Explore dicas de solução de problemas.
• Obtenha conselhos sobre o Stack Overflow.
• Publique suas perguntas, pesquise respostas ou sugira um recurso na Comunidade de Desenvolvedores de Azure DevOps.
• Obtenha suporte para o Azure DevOps.