介绍
部署管道需要与 Azure 通信,以便他们可以创建和配置 Azure 资源。 在本模块中,你将了解服务主体的工作原理、如何创建和管理服务主体,以及如何授权他们代表你使用 Azure。
示例方案
假设你负责在一家玩具公司部署和配置 Azure 基础结构。 你已创建一个 Bicep 模板来部署公司的网站。 到目前为止,你一直在使用命令行工具从自己的计算机部署它。 你已决定将部署移动到管道中。
其中一位同事告诉你,你需要为部署管道设置服务主体。 你需要了解这是什么,然后对其进行设置,以便你可以部署公司的网站。
我们会做些什么?
在本模块中,你将创建一个包含密钥的服务主体,可供管道使用。 你将在 Azure 中创建一个资源组来包含公司的网站,并授权服务主体部署和配置网站的资源。
注释
本 Microsoft Learn 模块中的信息是针对 Azure Pipelines 的。 如果使用 GitHub Actions,则部署工作流的身份验证方式不同。 若要详细了解 GitHub Actions 和部署授权,请参阅 使用工作负荷标识对 Azure 部署工作流进行身份验证。
主要目标是什么?
在本模块结束时,你将了解服务主体及其与其他 Azure 和 Microsoft Entra 安全概念的关系。 你将能够创建服务主体并管理其密钥。 还可以确定用于管道服务主体的最佳授权策略,并在 Azure 中配置相应的角色分配。
先决条件
你应该熟悉以下内容:
- 创建并部署基本 Bicep 模板,包括模块。
- Azure,包括 Azure 门户、订阅、资源组和资源定义。
若要按照本模块中的练习逐步操作,你需要:
- 一个 Azure 帐户,能够创建资源组,并创建Microsoft Entra 应用程序和服务主体。
小窍门
如果无法使用当前 Azure 帐户满足这些要求,可以免费 试用版 并创建新的 Azure 订阅和租户。
- 本地安装的 Visual Studio Code。
- 已在本地安装适用于 Visual Studio Code 的 Bicep 扩展。
- 可以是:
- 本地安装的最新 Azure CLI 工具。
- 本地安装的最新版本的 Azure PowerShell。