知识检查

已完成

你的同事正在将工作负载标识用于一个 GitHub 部署工作流。 以下代码是工作流定义文件：

on:
  push:
    branches:
      - main
    paths:
      - 'deploy/**'

name: AzureBicepSample

jobs:
  deploy:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v3
    - uses: azure/login@v1
      with:
        client-id: '44445555-eeee-6666-ffff-7777aaaa8888'
        tenant-id: 'aaaabbbb-0000-cccc-1111-dddd2222eeee'
        subscription-id: 'ffff5f5f-aa6a-bb7b-cc8c-dddddd9d9d9d'
    - uses: azure/arm-deploy@v1
      with:
        resourceGroupName: MyResourceGroup
        template: ./deploy/main.bicep

工作流返回以下错误消息：

Error:  Unable to get ACTIONS_ID_TOKEN_REQUEST_URL env variable. Please make sure to give write permissions to id-token in the workflow.

1.

你的同事应该如何解决此错误？

将 permissions 属性添加到工作流定义。

将客户端 ID、租户 ID 和订阅 ID 输入移到 GitHub 机密中。

使用服务主体和密钥。

2.

以下哪一项关于工作负载标识的陈述是正确的？

使用工作负载标识时，必须仔细管理其机密。

工作负载标识可以使用联合凭据进行身份验证。

必须通过 Azure 门户创建工作负载标识。

3.

你需要创建一个将基础结构部署到 3 个环境（开发、测试和生产）的部署工作流。 每个环境位于 3 个订阅中的专用资源组中。 该怎么办？

创建单个工作负载标识，并向其授予访问租户根管理组的权限。

创建单个工作负载标识，并向其授予访问 3 个订阅中每个资源组的权限。

创建 3 个工作负载标识（每个环境一个），并向每个标识授予访问相关订阅中单个资源组的权限。

4.

你要创建一个工作负载标识来运行部署工作流。 该工作流将部署一个 Bicep 文件，用于创建单个存储帐户。 下面哪一个选项拥有工作流所需的最小特权访问权限？

角色定义：参与者
范围：订阅

角色定义：参与者
范围：资源组

角色定义：所有者
范围：资源组

在检查工作前，必须回答所有问题。