azure - 我可以将托管身份添加到我的 ADO 管道吗？

Question

有什么办法可以添加 Azure Managed Identity到运行我的 Azure DevOps 管道的 VM 代理？我希望能够在 bash 任务中运行 curl 命令并获取访问 token 。

我想在管道内运行的命令与此类似，如 Microsoft Docs page 所示。

curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F&client_id=$( IDENTITY)' -H 元数据:true -s

我知道我可以使用各种内置任务进行 Azure 身份验证，但它们(据我所知)都无法查询元数据服务。

我的想法是有一些 ADO 任务，它将托管身份添加到运行该任务的 VM。一旦管道(实际上是代理)完成我的所有任务，托管身份将被删除。例如，可以通过服务主体指定托管身份。这是存在的还是可能的？

目前，我正在使用这两种方法，但是对于这样一个小任务来说，这两种方法看起来都有点过大了:

• 我有私有(private) ADO 代理池，并且这些计算机已预先配置了我可以使用的托管身份(我稍后无法在管道中配置它)
• 我使用两个管道的组合
  • 用于配置和清理自定义虚拟机的辅助管道
  • 配置这些自定义虚拟机(通过服务连接访问)然后在其上运行我的 bash 代码的主管道

Answer 1

My idea would be to have some ADO task which will add managed identity to a VM where the task is running. Once a pipeline (actually an agent) finishes all my tasks, then managed identity will be removed. Managed identity can be for example specified via service principal. Is this existing or is it possible at all?

抱歉，恐怕这不受支持。 Azure Devops 中没有这样的开箱即用任务(即使在 VS marketplace 中)来实现此要求(在 VM 中添加/删除托管标识)。

此外，无法通过服务主体指定托管身份，因为这两个功能是不同的技术。更多详情可以引用this blog 。因此不可能通过服务主体指定托管身份。

作为一个建议，您可以在我们的 UserVoice site 上请求您想要的功能(在一个虚拟机中控制托管身份的官方任务)。 ，这是我们提供产品建议的主要论坛。提出建议后，您可以投票并添加您的评论。如果产品团队查看，他们将提供更新。感谢您帮助我们构建更好的 Azure DevOps。