配置托管 DevOps 池标识
用户分配的托管标识使 Azure 资源能够向云服务(如 Azure 密钥库)进行身份验证,而无需在代码中存储凭据。 这些类型的托管标识作为独立的 Azure 资源创建,并具有其自己的生命周期。 单个资源(例如虚拟机)可以利用多个用户分配的托管标识。 同样,单个用户分配的托管标识可以跨多个资源共享。
创建标识并将其注册到托管 DevOps 池
托管标识必须与 Azure DevOps 组织位于同一Microsoft Entra 目录中。
- 在Azure 门户中查看当前目录
- 查看 Azure DevOps 组织的目录。 可以在此处直接转到 Azure DevOps 门户中的此页面:
https://dev.azure.com/<your-organization>/_settings/organizationAad
如果两个目录不匹配,或者 Azure DevOps 组织未连接到 Microsoft Entra,请按照“连接组织”中的 步骤Microsoft Entra ID 并连接到与 Azure 订阅相同的目录。
转到Azure 门户,搜索托管标识,从可用选项中选择它,然后选择“创建”。 确保已登录到上一部分中指定的租户。 否则,必须切换到有权访问该租户的 Azure 帐户,或切换 Azure DevOps 组织的租户。 可以通过在搜索栏中搜索Microsoft Entra ID,或使用Azure 门户左上角的门户菜单导航Microsoft Entra ID 选项来查看当前租户 ID。
选择所需的 订阅、 资源组、 区域和 名称,然后选择“ 查看 + 创建”。
在确认窗口中,选择“ 创建” 以创建标识。
转到Azure 门户中的托管 DevOps 池,然后选择“设置>标识”,“添加”。
选择订阅,从列表中选择托管标识,然后选择“ 添加”。
Azure 密钥保管库集成
托管 DevOps 池提供在代理预配期间从 Azure 密钥库提取证书的功能,这意味着在运行 Azure DevOps 管道时,该证书已存在于计算机上。 若要使用此功能,请将标识添加到池,如前面的示例所示,并将密钥库机密用户角色分配给该标识。
密钥库集成是在设置>安全性。 有关详细信息,请参阅配置安全性 - 密钥库集成。
