Usar uma identidade de carga de trabalho de um fluxo de trabalho de Ações do GitHub
Depois de criar uma identidade de carga de trabalho e atribuir-lhe acesso ao seu ambiente do Azure, é hora de usá-la em seu fluxo de trabalho de Ações do GitHub. Nesta unidade, você aprenderá sobre as duas alterações que precisa fazer na definição do fluxo de trabalho.
Permitir que o fluxo de trabalho solicite tokens
Você precisa permitir que seu fluxo de trabalho de implantação solicite tokens. No seu fluxo de trabalho, adicione a permissions
propriedade:
permissions:
id-token: write
contents: read
Iniciar sessão no Azure
Seu fluxo de trabalho de implantação usa a azure/login
ação para entrar no Azure. Ao usar uma identidade de carga de trabalho, você precisa especificar três entradas:
Entrada | Description |
---|---|
client-id |
O ID do aplicativo para o registro do aplicativo. Certifique-se de usar a ID do aplicativo e não a ID do objeto. |
tenant-id |
O identificador exclusivo para seu locatário do Microsoft Entra (diretório). |
subscription-id |
A ID de assinatura do Azure na qual você implantará. |
Cada um desses valores é um GUID.
Ao definir os valores, você pode optar por especificá-los diretamente no arquivo de definição do fluxo de trabalho:
- uses: azure/login@v1
with:
client-id: 'A123b4567c-1234-1a2b-2b1a-1234abc12345'
tenant-id: 'aaaabbbb-0000-cccc-1111-dddd2222eeee'
subscription-id: 'B123a4567c-1234-2b1a-1b2b-11a2b01b2b3c0'
No entanto, algumas organizações tratam esses identificadores como dados secretos ou não permitem que os identificadores sejam comprometidos com repositórios Git. Você também pode usar segredos do GitHub para especificar os valores:
- uses: azure/login@v1
with:
client-id: ${{ secrets.AZURE_CLIENT_ID }}
tenant-id: ${{ secrets.AZURE_TENANT_ID }}
subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
Ao longo dos caminhos de aprendizagem do Bicep, usamos segredos para armazenar e gerenciar esses identificadores. Você pode decidir qual abordagem funciona melhor para sua organização.
Implementar no Azure
Depois que seu fluxo de trabalho entrar no Azure, você poderá implantar um arquivo Bicep usando a azure/arm-deploy
ação. A definição de fluxo de trabalho a seguir mostra um fluxo de trabalho completo de implantação do Bicep que usa identidades de fluxo de trabalho:
name: MyWorkflow
on: [workflow_dispatch]
permissions:
id-token: write
contents: read
jobs:
deploy:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v3
with:
path: repo
- uses: azure/login@v1
with:
client-id: ${{ secrets.AZURE_CLIENT_ID }}
tenant-id: ${{ secrets.AZURE_TENANT_ID }}
subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
- uses: azure/arm-deploy@v1
with:
resourceGroupName: ToyWebsite
template: ./deploy/main.bicep