我想创建一个存储 TLS 证书的密钥库。此密钥保管库需要可从 Azure 管道任务访问,这将检索所述证书并将其绑定到他们的应用程序。微软提到:
默认情况下,“Microsoft.Azure.WebSites”资源提供程序 (RP) 无权访问模板中指定的 Key Vault,因此您需要在部署模板之前通过执行以下 PowerShell 命令对其进行授权:
Login-AzureRmAccount Set-AzureRmContext -SubscriptionId AZURE_SUBSCRIPTION_ID Set-AzureRmKeyVaultAccessPolicy -VaultName KEY_VAULT_NAME -ServicePrincipalName abfa0a7c-a6b6-4736-8310-5855508787cd -PermissionsToSecrets get
当我手动执行此操作时,这适用于我的密钥保管库。但是,我想将此作为我的主管道的一部分自动化。我试过定义这个任务:
- task: AzurePowerShell@5
displayName: 'Set key vault policy'
inputs:
azureSubscription: …
azurePowerShellVersion: 'LatestVersion'
ScriptType: 'InlineScript'
Inline: |
Set-AzKeyVaultAccessPolicy -VaultName … -ServicePrincipalName abfa0a7c-a6b6-4736-8310-5855508787cd -PermissionsToSecrets get
但它失败了:
##[error]Operation returned an invalid status code 'Forbidden'
我还注意到“Microsoft Azure App Service”的这个服务主体甚至不适用于我的任务;以下打印一个空白:
$azureAppServicePrincipal = Get-AzADServicePrincipal -ServicePrincipalName abfa0a7c-a6b6-4736-8310-5855508787cd
Write-Output "azureAppServicePrincipalId = $($azureAppServicePrincipal.Id)"
有没有办法让我的管道可以访问这个服务主体?