Partilhar via


Casos especiais de conexão de serviço do Azure Resource Manager

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Embora a opção recomendada para conexões de serviço do Azure Resource Manager seja usar a federação de identidade de carga de trabalho com um registro de aplicativo ou identidade gerenciada, há momentos em que você pode precisar usar uma identidade gerenciada atribuída por agente ou um perfil de publicação. Neste artigo, você aprenderá a criar uma conexão de serviço do Azure Resource Manager que usa um registro de aplicativo com um segredo, uma conexão que se conecta a um agente autohospedado em uma máquina virtual do Azure e uma conexão de serviço que usa um perfil de publicação para se conectar a um aplicativo do Serviço de Aplicativo do Azure.

Você também pode usar o Azure Resource Manager para se conectar ao Azure Government Cloud e ao Azure Stack.

Criar um registo de aplicação com um segredo (automático)

Com essa seleção, o Azure DevOps consulta automaticamente a assinatura, o grupo de gerenciamento ou o espaço de trabalho de Aprendizado de Máquina ao qual você deseja se conectar e cria um segredo para autenticação.

Advertência

Usar um segredo requer rotação e gerenciamento manual e não é recomendado. A federação de identidades de carga de trabalho é o tipo de credencial preferencial.

Você pode usar essa abordagem se todos os seguintes itens forem verdadeiros para o seu cenário:

  • Você está conectado como proprietário da organização do Azure Pipelines e da assinatura do Azure.
  • Você não precisa limitar ainda mais as permissões para recursos do Azure que os usuários acessam por meio da conexão de serviço.
  • Você não está se conectando ao do Azure Stack ou aos ambientes Azure US Government.
  • Você não está se conectando do Azure DevOps Server 2019 ou de versões anteriores do Team Foundation Server.
  1. No projeto do Azure DevOps, vá para Configurações>do projeto Conexões de serviço.

    Para obter mais informações, consulte Abrir configurações do projeto.

  2. Selecione Nova conexão de serviço e, em seguida, selecione Azure Resource Manager e Avançar.

    Captura de ecrã que mostra a escolha da seleção do Azure Resource Manager.

  3. Selecione o registo de aplicação automático com a credencial Secret.

    Captura de ecrã da seleção do método de autenticação (automática) do registo da aplicação de federação de identidade de carga de trabalho.

  4. Selecione um Nível de escopo. Selecione Assinatura, Grupo de Gerenciamento ou Espaço de Trabalho de Aprendizado de Máquina. Os grupos de gerenciamento são contêineres que ajudam a gerenciar o acesso, a política e a conformidade em várias assinaturas. Um Espaço de Trabalho de Aprendizado de Máquina é o local para criar artefatos de aprendizado de máquina.

    • Para o escopo Assinatura, insira os seguintes parâmetros:

      Parâmetro Description
      Subscrição Obrigatório. Selecione a assinatura do Azure.
      Grupo de recursos Obrigatório. Selecione o grupo de recursos do Azure.
    • Para o escopo do Grupo de Gerenciamento, selecione o grupo de gerenciamento Azure.

    • Para o escopo do Espaço de Trabalho de Aprendizado de Máquina , insira os seguintes parâmetros:

      Parâmetro Description
      Subscrição Obrigatório. Selecione a assinatura do Azure.
      Grupo de Recursos Obrigatório. Selecione o grupo de recursos que contém o espaço de trabalho.
      Espaço de Trabalho de Aprendizagem Automática Obrigatório. Selecione o espaço de trabalho do Azure Machine Learning.
  5. Insira um nome de conexão de serviço .

  6. Opcionalmente, insira uma descrição para a conexão de serviço.

  7. Selecione Conceder permissão de acesso a todos os pipelines para permitir que todos os pipelines usem essa conexão de serviço. Se você não selecionar essa opção, deverá conceder manualmente acesso a cada pipeline que usa essa conexão de serviço.

  8. Selecione Guardar.

Criar uma conexão de serviço do Azure Resource Manager com uma VM que usa uma identidade gerenciada

Nota

Para usar uma identidade gerenciada para autenticar, você deve usar um agente auto-hospedado em uma máquina virtual (VM) do Azure.

Você pode configurar agentes autohospedados em VMs do Azure para usar uma identidade gerenciada do Azure na ID do Microsoft Entra. Nesse cenário, você usa a identidade gerenciada atribuída pelo agente para conceder aos agentes acesso a qualquer recurso do Azure que ofereça suporte à ID do Microsoft Entra, como uma instância do Cofre da Chave do Azure.

  1. No projeto do Azure DevOps, vá para Configurações>do projeto Conexões de serviço.

    Para obter mais informações, consulte Abrir configurações do projeto.

  2. Selecione Nova conexão de serviço e, em seguida, selecione Azure Resource Manager.

    Captura de tela que mostra a escolha de um tipo de conexão de serviço.

  3. Selecione Identidade gerenciada (agente atribuído) para o tipo de identidade.

  4. Em Ambiente, selecione o nome do ambiente (opções de nuvem do Azure, Azure Stack ou Governo).

  5. Selecione o nível Escopo. Selecione Assinatura, Grupo de Gerenciamento ou Espaço de Trabalho de Aprendizado de Máquina. Os grupos de gerenciamento são contêineres que ajudam a gerenciar o acesso, a política e a conformidade em várias assinaturas. Um Espaço de Trabalho de Aprendizado de Máquina é o local para criar artefatos de aprendizado de máquina.

    • Para o escopo Assinatura, insira os seguintes parâmetros:

      Parâmetro Description
      ID da subscrição Obrigatório. Insira a ID de assinatura do Azure.
      Nome da subscrição Obrigatório. Insira o nome da assinatura do Azure.
    • Para o escopo do Grupo de Gerenciamento, insira os seguintes parâmetros:

      Parâmetro Description
      ID do Grupo de Gestão Obrigatório. Insira a ID do grupo de gerenciamento do Azure.
      Nome do Grupo de Gerenciamento Obrigatório. Insira o nome do grupo de gerenciamento do Azure.
    • Para o escopo do Espaço de Trabalho de Aprendizado de Máquina , insira os seguintes parâmetros:

      Parâmetro Description
      ID da subscrição Obrigatório. Insira a ID de assinatura do Azure.
      Nome da subscrição Obrigatório. Insira o nome da assinatura do Azure.
      Grupo de Recursos Obrigatório. Selecione o grupo de recursos que contém o espaço de trabalho.
      Nome do espaço de trabalho de ML Obrigatório. Insira o nome do espaço de trabalho existente do Azure Machine Learning.
      Localização do espaço de trabalho de ML Obrigatório. Insira o local do espaço de trabalho existente do Azure Machine Learning.
  6. Insira o ID do locatário.

  7. Digite o nome da conexão de serviço.

  8. Opcionalmente, insira uma descrição para a conexão de serviço.

  9. Selecione Conceder permissão de acesso a todos os pipelines para permitir que todos os pipelines usem essa conexão de serviço. Se você não selecionar essa opção, deverá conceder manualmente acesso a cada pipeline que usa essa conexão de serviço.

  10. Selecione Guardar.

  11. Depois que a nova conexão de serviço for criada:

    • Se você usar a conexão de serviço na interface do usuário, selecione o nome da conexão que você atribuiu na configuração de assinatura do Azure do seu pipeline.
    • Se você usar a conexão de serviço em um arquivo YAML, copie o nome da conexão em seu código como o valor para azureSubscription.
  12. Verifique se a VM (agente) tem as permissões apropriadas.

    Por exemplo, se seu código precisar chamar o Gerenciador de Recursos do Azure, atribua à VM a função apropriada usando o controle de acesso baseado em função (RBAC) na ID do Microsoft Entra.

    Para obter mais informações, consulte Como posso usar identidades gerenciadas para recursos do Azure? e Usar controle de acesso baseado em função para gerenciar o acesso aos recursos de assinatura do Azure.

Para obter mais informações sobre o processo, consulte Solucionar problemas de conexões de serviço do Azure Resource Manager.

Criar uma conexão de serviço do Azure Resource Manager usando um perfil de publicação

Você pode criar uma conexão de serviço usando um perfil de publicação. Você pode usar um perfil de publicação para criar uma conexão de serviço com um Serviço de Aplicativo do Azure.

  1. No projeto do Azure DevOps, vá para Configurações>do projeto Conexões de serviço.

    Para obter mais informações, consulte Abrir configurações do projeto.

  2. Selecione Nova conexão de serviço e, em seguida, selecione Azure Resource Manager e Avançar.

    Captura de ecrã da seleção do Azure Resource Manager.

  3. Selecione Publicar perfil para o tipo de identidade.

  4. Insira os seguintes parâmetros:

    Parâmetro Description
    Subscrição Obrigatório. Selecione uma assinatura existente do Azure. Se não aparecerem subscrições ou instâncias do Azure, consulte Resolução de problemas de ligações de serviço do Azure Resource Manager.
    WebApp Obrigatório. Insira o nome do aplicativo do Serviço de Aplicativo do Azure.
    Nome da conexão de serviço Obrigatório. O nome que você usa para se referir a essa conexão de serviço nas propriedades da tarefa. Não é o nome da sua assinatura do Azure.
    Descrição Opcional. A descrição da conexão de serviço.
  5. Selecione Conceder permissão de acesso a todos os pipelines para permitir que todos os pipelines usem essa conexão de serviço. Se você não selecionar essa opção, deverá conceder manualmente acesso a cada pipeline que usa essa conexão de serviço.

  6. Selecione Guardar.

Depois que a nova conexão de serviço for criada:

  • Se você usar a conexão de serviço na interface do usuário, selecione o nome da conexão que você atribuiu na configuração de assinatura do Azure do seu pipeline.
  • Se você usar a conexão de serviço em um arquivo YAML, copie o nome da conexão e cole-o em seu código como o valor para azureSubscription.

Conectar-se a uma nuvem do Azure Government

Para obter informações sobre como se conectar a uma Nuvem Governamental do Azure, consulte Conectar-se a partir de Pipelines do Azure (Azure Government Cloud).

Ligar ao Azure Stack

Para obter informações sobre como se conectar ao Azure Stack, consulte estes artigos:

Para obter mais informações, consulte Solucionar problemas de conexões de serviço do Azure Resource Manager.

Ajuda e suporte