Casos especiais de conexão de serviço do Azure Resource Manager

Serviços de DevOps do Azure | Azure DevOps Server 2022 - Azure DevOps Server 2019

Embora a opção recomendada para conexões de serviço do Azure Resource Manager seja usar a federação de identidade de carga de trabalho com um registro de aplicativo ou identidade gerenciada, há momentos em que você pode precisar usar uma identidade gerenciada atribuída por agente ou um perfil de publicação. Neste artigo, você aprenderá como criar uma conexão de serviço do Azure Resource Manager que se conecta a um agente auto-hospedado em uma máquina virtual do Azure e como usar um perfil de publicação para criar uma conexão de serviço com um aplicativo do Serviço de Aplicativo do Azure.

Você também pode usar o Azure Resource Manager para se conectar ao Azure Government Cloud e ao Azure Stack.

Criar uma conexão de serviço do Azure Resource Manager com uma VM que usa uma identidade gerenciada

Nota

Para usar uma identidade gerenciada para autenticar, você deve usar um agente auto-hospedado em uma máquina virtual (VM) do Azure.

Você pode configurar agentes autohospedados em VMs do Azure para usar uma identidade gerenciada do Azure na ID do Microsoft Entra. Nesse cenário, você usa a identidade gerenciada atribuída pelo agente para conceder aos agentes acesso a qualquer recurso do Azure que ofereça suporte à ID do Microsoft Entra, como uma instância do Cofre da Chave do Azure.

1. No projeto do Azure DevOps, vá para Configurações>do projeto Conexões de serviço.

   Para obter mais informações, consulte Abrir configurações do projeto.

2. Selecione Nova conexão de serviço e, em seguida, selecione Azure Resource Manager.

   

3. Selecione Identidade gerenciada (agente atribuído) para o tipo de identidade.

4. Em Ambiente, selecione o nome do ambiente (opções de nuvem do Azure, Azure Stack ou Governo).

5. Selecione o nível Escopo. Selecione Assinatura, Grupo de Gerenciamento ou Espaço de Trabalho de Aprendizado de Máquina. Os grupos de gerenciamento são contêineres que ajudam a gerenciar o acesso, a política e a conformidade em várias assinaturas. Um Espaço de Trabalho de Aprendizado de Máquina é o local para criar artefatos de aprendizado de máquina.

   • Para o escopo Assinatura, insira os seguintes parâmetros:

     Parâmetro	Description
     ID da subscrição	Obrigatório. Insira a ID de assinatura do Azure.
     Nome da subscrição	Obrigatório. Insira o nome da assinatura do Azure.

   • Para o escopo do Grupo de Gerenciamento, insira os seguintes parâmetros:

     Parâmetro	Description
     ID do Grupo de Gestão	Obrigatório. Insira a ID do grupo de gerenciamento do Azure.
     Nome do Grupo de Gerenciamento	Obrigatório. Insira o nome do grupo de gerenciamento do Azure.

   • Para o escopo do Espaço de Trabalho de Aprendizado de Máquina , insira os seguintes parâmetros:

     Parâmetro	Description
     ID da subscrição	Obrigatório. Insira a ID de assinatura do Azure.
     Nome da subscrição	Obrigatório. Insira o nome da assinatura do Azure.
     Grupo de Recursos	Obrigatório. Selecione o grupo de recursos que contém o espaço de trabalho.
     Nome do espaço de trabalho de ML	Obrigatório. Insira o nome do espaço de trabalho existente do Azure Machine Learning.
     Localização do espaço de trabalho de ML	Obrigatório. Insira o local do espaço de trabalho existente do Azure Machine Learning.

6. Insira o ID do locatário.

7. Digite o nome da conexão de serviço.

8. Opcionalmente, insira uma descrição para a conexão de serviço.

9. Selecione Conceder permissão de acesso a todos os pipelines para permitir que todos os pipelines usem essa conexão de serviço. Se você não selecionar essa opção, deverá conceder manualmente acesso a cada pipeline que usa essa conexão de serviço.

10. Selecione Guardar.

11. Depois que a nova conexão de serviço for criada:

    • Se você usar a conexão de serviço na interface do usuário, selecione o nome da conexão que você atribuiu na configuração de assinatura do Azure do seu pipeline.
    • Se você usar a conexão de serviço em um arquivo YAML, copie o nome da conexão em seu código como o valor para azureSubscription.

12. Verifique se a VM (agente) tem as permissões apropriadas.

    Por exemplo, se seu código precisar chamar o Gerenciador de Recursos do Azure, atribua à VM a função apropriada usando o controle de acesso baseado em função (RBAC) na ID do Microsoft Entra.

    Para obter mais informações, consulte Como posso usar identidades gerenciadas para recursos do Azure? e Usar controle de acesso baseado em função para gerenciar o acesso aos recursos de assinatura do Azure.

Para obter mais informações sobre o processo, consulte Solucionar problemas de conexões de serviço do Azure Resource Manager.

Criar uma conexão de serviço do Azure Resource Manager usando um perfil de publicação

Você pode criar uma conexão de serviço usando um perfil de publicação. Você pode usar um perfil de publicação para criar uma conexão de serviço com um Serviço de Aplicativo do Azure.

1. No projeto do Azure DevOps, vá para Configurações>do projeto Conexões de serviço.

   Para obter mais informações, consulte Abrir configurações do projeto.

2. Selecione Nova conexão de serviço e, em seguida, selecione Azure Resource Manager e Avançar.

   

3. Selecione Publicar perfil para o tipo de identidade.

4. Insira os seguintes parâmetros:

   Parâmetro	Description
   Subscrição	Obrigatório. Selecione uma assinatura existente do Azure. Se não aparecerem subscrições ou instâncias do Azure, consulte Resolução de problemas de ligações de serviço do Azure Resource Manager.
   WebApp	Obrigatório. Insira o nome do aplicativo do Serviço de Aplicativo do Azure.
   Nome da conexão de serviço	Obrigatório. O nome que você usa para se referir a essa conexão de serviço nas propriedades da tarefa. Não é o nome da sua assinatura do Azure.
   Descrição	Opcional. A descrição da conexão de serviço.

5. Selecione Conceder permissão de acesso a todos os pipelines para permitir que todos os pipelines usem essa conexão de serviço. Se você não selecionar essa opção, deverá conceder manualmente acesso a cada pipeline que usa essa conexão de serviço.

6. Selecione Guardar.

Depois que a nova conexão de serviço for criada:

• Se você usar a conexão de serviço na interface do usuário, selecione o nome da conexão que você atribuiu na configuração de assinatura do Azure do seu pipeline.
• Se você usar a conexão de serviço em um arquivo YAML, copie o nome da conexão e cole-o em seu código como o valor para azureSubscription.

Conectar-se a uma nuvem do Azure Government

Para obter informações sobre como se conectar a uma Nuvem Governamental do Azure, consulte Conectar-se a partir de Pipelines do Azure (Azure Government Cloud).

Ligar ao Azure Stack

Para obter informações sobre como se conectar ao Azure Stack, consulte estes artigos:

• Ligar ao Azure Stack
• Conectar o Azure Stack ao Azure usando uma VPN
• Conectar o Azure Stack ao Azure usando o Azure ExpressRoute

Para obter mais informações, consulte Solucionar problemas de conexões de serviço do Azure Resource Manager.

Ajuda e suporte

• Explore as dicas de solução de problemas.
• Obtenha conselhos sobre Stack Overflow.
• Publique suas perguntas, procure respostas ou sugira um recurso na Comunidade de Desenvolvedores do Azure DevOps.
• Obtenha suporte para o Azure DevOps.