Condividi tramite

Casi speciali di connessione al servizio Azure Resource Manager

  • Articolo

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Anche se l'opzione consigliata per le connessioni al servizio Azure Resource Manager consiste nell'usare la federazione delle identità del carico di lavoro con una registrazione dell'app o un'identità gestita, in alcuni casi potrebbe essere necessario usare un'identità gestita assegnata dall'agente o un profilo di pubblicazione. Questo articolo illustra come creare una connessione al servizio Azure Resource Manager che utilizza una registrazione dell'app con un segreto, una connessione che si collega a un agente ospitato autonomamente su una macchina virtuale Azure, e una connessione al servizio che utilizza un profilo di pubblicazione per connettersi a un'app del Servizio App di Azure.

È anche possibile usare Azure Resource Manager per connettersi a Azure per enti pubblici Cloud e Azure Stack.

Creare una registrazione dell'applicazione con un segreto (automatico)

Con questa selezione, Azure DevOps esegue automaticamente query per la sottoscrizione, il gruppo di gestione o l'area di lavoro di Machine Learning a cui connettersi e crea un segreto per l'autenticazione.

Avvertimento

L'uso di un segreto richiede rotazione e gestione manuali e non è consigliato. La federazione delle identità del carico di lavoro è il tipo di credenziale preferito.

È possibile usare questo approccio se tutti gli elementi seguenti sono veri per lo scenario:

  • Sei collegato come proprietario dell'organizzazione di Azure Pipelines e dell'abbonamento Azure.
  • Non è necessario limitare ulteriormente le autorizzazioni per le risorse di Azure a cui gli utenti accedono tramite la connessione al servizio.
  • Non ci si connette all' di Azure Stack o agli ambienti di Azure US Government .
  • Non ti stai connettendo da Azure DevOps Server 2019 o versioni precedenti di Team Foundation Server.

  1. Nel progetto Azure DevOps passare a Impostazioni progetto>Connessioni del servizio.

    Per altre informazioni, vedere Aprire le impostazioni del progetto.

  2. Selezionare Nuova connessione al servizio, quindi selezionare Azure Resource Manager e Avanti.

    Screenshot che mostra la selezione di Azure Resource Manager.

  3. Selezionare Registrazione app (automatica) con la credenziale segreto.

    Screenshot della selezione del metodo di autenticazione automatica nella registrazione automatica dell'app di federazione dell'identità del carico di lavoro.

  4. Selezionare un livello di ambito . Selezionare Sottoscrizione, Gruppo di gestione o Area di lavoro di Machine Learning. I gruppi di gestione sono contenitori che consentono di gestire l'accesso, i criteri e la conformità tra più sottoscrizioni. Un'area di lavoro di Machine Learning consente di creare artefatti di Machine Learning.

    • Per Ambito sottoscrizione immettere i parametri seguenti:

      Parametro Descrizione
      Abbonamento Obbligatorio. Selezionare la sottoscrizione di Azure.
      gruppo di risorse Obbligatorio. Selezionare il gruppo di risorse di Azure.

    • Per l'ambito gruppo di gestione, selezionare il gruppo di gestione di Azure .

    • Per l'ambito dell'area di lavoro di Machine Learning, immettere i parametri seguenti:

      Parametro Descrizione
      Abbonamento Obbligatorio. Selezionare la sottoscrizione di Azure.
      Gruppo di risorse Obbligatorio. Selezionare il gruppo di risorse contenente l'area di lavoro.
      Area di lavoro di Machine Learning Obbligatorio. Selezionare l'area di lavoro di Azure Machine Learning.

  5. Immettere un nome di connessione del servizio .

  6. Facoltativamente, immettere una descrizione per la connessione al servizio.

  7. Selezionare Concedi l'autorizzazione di accesso a tutte le pipeline per consentire a tutte le pipeline di usare questa connessione al servizio. Se non si seleziona questa opzione, è necessario concedere manualmente l'accesso a ogni pipeline che usa questa connessione al servizio.

  8. Seleziona Salva.

Creare una connessione al servizio Azure Resource Manager a una macchina virtuale che usa un'identità gestita

Nota

Per usare un'identità gestita per l'autenticazione, è necessario usare un agente self-hosted in una macchina virtuale di Azure.

È possibile configurare agenti self-hosted nelle macchine virtuali di Azure per usare un'identità gestita di Azure nell'ID Microsoft Entra. In questo scenario si usa l'identità gestita assegnata dall'agente per concedere agli agenti l'accesso a qualsiasi risorsa di Azure che supporti l'ID Microsoft Entra, ad esempio un'istanza di Azure Key Vault.

  1. Nel progetto Azure DevOps passare a Impostazioni progetto>Connessioni del servizio.

    Per altre informazioni, vedere Aprire le impostazioni del progetto.

  2. Selezionare Nuova connessione al servizio e quindi Selezionare Azure Resource Manager.

    Screenshot che mostra la scelta di un tipo di connessione del servizio.

  3. Selezionare Identità gestita (assegnata dall'agente) per il tipo di identità.

  4. Per Ambiente selezionare il nome dell'ambiente (Cloud di Azure, Azure Stack o opzioni cloud per enti pubblici).

  5. Selezionare il livello ambito. Selezionare Sottoscrizione, Gruppo di gestione o Area di lavoro di Machine Learning. I gruppi di gestione sono contenitori che consentono di gestire l'accesso, i criteri e la conformità tra più sottoscrizioni. Un'area di lavoro di Machine Learning consente di creare artefatti di Machine Learning.

    • Per Ambito sottoscrizione immettere i parametri seguenti:

      Parametro Descrizione
      ID sottoscrizione Obbligatorio. Immettere l'ID sottoscrizione di Azure.
      Nome sottoscrizione Obbligatorio. Immettere il nome della sottoscrizione di Azure.

    • Per l'ambito del gruppo di gestione immettere i parametri seguenti:

      Parametro Descrizione
      ID gruppo di gestione Obbligatorio. Immettere l'ID del gruppo di gestione di Azure.
      Nome gruppo di gestione Obbligatorio. Immettere il nome del gruppo di gestione di Azure.

    • Per l'ambito dell'area di lavoro di Machine Learning, immettere i parametri seguenti:

      Parametro Descrizione
      ID sottoscrizione Obbligatorio. Immettere l'ID sottoscrizione di Azure.
      Nome sottoscrizione Obbligatorio. Immettere il nome della sottoscrizione di Azure.
      Gruppo di risorse Obbligatorio. Selezionare il gruppo di risorse contenente l'area di lavoro.
      Nome area di lavoro ML Obbligatorio. Immettere il nome dell'area di lavoro di Azure Machine Learning esistente.
      Percorso area di lavoro ML Obbligatorio. Immettere il percorso dell'area di lavoro di Azure Machine Learning esistente.

  6. Immettere l'ID tenant.

  7. Immettere il nome della connessione al servizio.

  8. Facoltativamente, immettere una descrizione per la connessione al servizio.

  9. Selezionare Concedi l'autorizzazione di accesso a tutte le pipeline per consentire a tutte le pipeline di usare questa connessione al servizio. Se non si seleziona questa opzione, è necessario concedere manualmente l'accesso a ogni pipeline che usa questa connessione al servizio.

  10. Seleziona Salva.

  11. Dopo aver creato la nuova connessione al servizio:

    • Se si usa la connessione al servizio nell'interfaccia utente, selezionare il nome della connessione assegnato nell'impostazione della sottoscrizione di Azure della pipeline.
    • Se si usa la connessione al servizio in un file YAML, copiare il nome della connessione nel codice come valore per azureSubscription.

  12. Assicurarsi che la macchina virtuale (agente) disponga delle autorizzazioni appropriate.

    Ad esempio, se il codice deve chiamare Azure Resource Manager, assegnare alla macchina virtuale il ruolo appropriato usando il controllo degli accessi in base al ruolo in Microsoft Entra ID.

    Per altre informazioni, vedere Come è possibile usare le identità gestite per le risorse di Azure? e Usare il controllo degli accessi in base al ruolo per gestire l'accesso alle risorse della sottoscrizione di Azure.

Per altre informazioni sul processo, vedere Risolvere i problemi relativi alle connessioni al servizio Azure Resource Manager.

Creare una connessione al servizio Azure Resource Manager usando un profilo di pubblicazione

È possibile creare una connessione al servizio usando un profilo di pubblicazione. È possibile usare un profilo di pubblicazione per creare una connessione al servizio a un servizio app Azure.

  1. Nel progetto Azure DevOps passare a Impostazioni progetto>Connessioni del servizio.

    Per altre informazioni, vedere Aprire le impostazioni del progetto.

  2. Selezionare Nuova connessione al servizio, quindi selezionare Azure Resource Manager e Avanti.

    Screenshot della selezione di Azure Resource Manager.

  3. Selezionare Pubblica profilo per il tipo di identità.

  4. Immettere i parametri seguenti:

    Parametro Descrizione
    Abbonamento Obbligatorio. Selezionare una sottoscrizione di Azure esistente. Se non vengono visualizzate sottoscrizioni o istanze di Azure, vedere Risolvere i problemi relativi alle connessioni al servizio Azure Resource Manager.
    WebApp Obbligatorio. Immettere il nome dell'app del servizio app Azure.
    Nome connessione del servizio Obbligatorio. Nome usato per fare riferimento a questa connessione al servizio nelle proprietà dell'attività. Non il nome della sottoscrizione di Azure.
    Descrizione Facoltativo. Descrizione della connessione al servizio.

  5. Selezionare Concedi l'autorizzazione di accesso a tutte le pipeline per consentire a tutte le pipeline di usare questa connessione al servizio. Se non si seleziona questa opzione, è necessario concedere manualmente l'accesso a ogni pipeline che usa questa connessione al servizio.

  6. Seleziona Salva.

Dopo aver creato la nuova connessione al servizio:

  • Se si usa la connessione al servizio nell'interfaccia utente, selezionare il nome della connessione assegnato nell'impostazione della sottoscrizione di Azure della pipeline.
  • Se si usa la connessione al servizio in un file YAML, copiare il nome della connessione e incollarlo nel codice come valore per azureSubscription.

Connettersi a un cloud Azure per enti pubblici

Per informazioni sulla connessione a un cloud Azure per enti pubblici, vedere Connettersi da Azure Pipelines (Azure per enti pubblici Cloud).

Connettersi ad Azure Stack

Per informazioni sulla connessione ad Azure Stack, vedere gli articoli seguenti:

Per altre informazioni, vedere Risolvere i problemi relativi alle connessioni al servizio Azure Resource Manager.

Assistenza e supporto