비밀로 Azure Resource Manager 서비스 연결을 수동으로 설정

Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022

이 문서에서는 Azure DevOps의 비밀을 사용하여 서비스 주체 인증을 위한 ARM(Azure Resource Manager) 서비스 연결을 수동으로 만드는 방법에 대해 설명합니다. 조직의 제한 사항으로 인해 Microsoft Entra ID를 사용할 수 없는 경우 이 방법을 사용합니다. 예를 들어 Microsoft Entra ID 테넌트에 대해 워크로드 ID 페더레이션이 지원되지 않거나 다중 테넌트 앱 등록이 있는 경우 비밀을 사용합니다.

다른 시나리오의 경우 앱 등록 또는 관리 ID와 함께 워크로드 ID 페더레이션 을 사용합니다. 워크로드 ID 페더레이션을 사용하면 비밀 및 비밀 관리가 필요하지 않습니다. 자세한 내용은 ARM 서비스 연결을 사용하여 Azure에 연결을 참조하세요.

앱 등록 인증을 위한 필수 구성 요소

• 서비스 연결을 만들려면 Azure 계정에 앱 등록을 만들 수 있는 권한이 필요합니다.
  • 테넌트에서 앱 등록을 만들 수 없는 경우 애플리케이션 등록을 만들려면 애플리케이션 개발자 역할이 있어야 합니다.

Azure Portal에서 앱 등록 만들기

1. Azure Portal에서 앱 등록을 검색합니다.

2. 새 등록선택합니다.

   

3. 이름에 앱 등록의 이름을 입력한 다음, 이 애플리케이션을 사용하거나 이 API에 액세스할 수 있는 사용자를 선택합니다.

4. 등록을 선택합니다.

5. 새 앱 등록이 로드되면 나중에 사용할 애플리케이션(클라이언트) ID 및 디렉터리(테넌트) ID의 값을 복사합니다.

6. 앱 등록 내에서 인증서 및 비밀을 선택합니다.

7. 클라이언트 암호를 선택한 다음, 새 클라이언트 암호를 선택합니다. 클라이언트 암호에 대한 설명과 기간을 제공합니다. 클라이언트 암호를 저장하면 클라이언트 암호의 값이 표시됩니다. 이 값은 한 번만 표시되므로 복사하여 저장합니다. ARM 연결에서 비밀 값을 사용합니다.

8. 추가를 선택합니다.

Azure Portal에서 앱 등록에 사용 권한 부여

1. Azure Portal에서 권한을 부여하려는 Azure 구독, 관리 그룹 또는 기계 학습 작업 영역으로 이동합니다.

2. 액세스 제어(IAM)를 선택합니다.

3. 역할 할당 추가를 선택합니다. 앱 등록에 읽기 권한자 역할을 할당합니다.

4. 검토 및 할당을 선택합니다.

Azure DevOps에서 앱 등록 인증을 위한 서비스 연결 만들기

1. Azure DevOps에서 프로젝트를 열고 >Pipelines>서비스 연결페이지로 이동합니다.

2. 새 서비스 연결을 선택합니다.

3. Azure Resource Manager를 선택합니다.

4. ID 유형 앱 등록 또는 관리 ID(수동) 및 비밀 자격 증명을 선택합니다.

5. 구독에 대해 다음 매개 변수를 입력하거나 선택합니다.

   1. 범위 수준을 선택합니다. 구독, 관리 그룹 또는 Machine Learning 작업 영역을 선택합니다. 관리 그룹은 여러 구독에서 액세스, 정책 및 규정 준수를 관리하는 데 도움이 되는 컨테이너입니다. Machine Learning 작업 영역은 기계 학습 아티팩트를 만드는 위치입니다.

      • 구독 범위에 대해 다음 매개 변수를 입력합니다.

        매개 변수	Description
        구독 ID	필수 사항입니다. Azure 구독 ID를 입력합니다.
        구독 이름	필수 사항입니다. Azure 구독 이름을 입력합니다.

      • 관리 그룹 범위의 경우 다음 매개 변수를 입력합니다.

        매개 변수	Description
        관리 그룹 ID	필수 사항입니다. Azure 관리 그룹 ID를 입력합니다.
        관리 그룹 이름	필수 사항입니다. Azure 관리 그룹 이름을 입력합니다.

      • Machine Learning 작업 영역 범위의 경우 다음 매개 변수를 입력합니다.

        매개 변수	Description
        구독 ID	필수 사항입니다. Azure 구독 ID를 입력합니다.
        구독 이름	필수 사항입니다. Azure 구독 이름을 입력합니다.
        리소스 그룹	필수 사항입니다. 작업 영역이 포함된 리소스 그룹을 선택합니다.
        ML 작업 영역 이름	필수 사항입니다. 기존 Azure Machine Learning 작업 영역의 이름을 입력합니다.
        ML 작업 영역 위치	필수 사항입니다. 기존 Azure Machine Learning 작업 영역의 위치를 입력합니다.

   2. 인증 섹션에서 다음 매개 변수를 입력하거나 선택합니다.

      매개 변수	Description
      애플리케이션(클라이언트) ID	필수 사항입니다. 앱 등록에 대한 애플리케이션(클라이언트) ID를 입력합니다.
      디렉터리(테넌트) ID	필수 사항입니다. 앱 등록에 대한 디렉터리(테넌트) ID를 입력합니다.

6. 자격 증명의 경우 서비스 주체 키를 선택합니다. 클라이언트 비밀 필드에 비밀 값을 입력합니다.

7. 보안 섹션에서 모든 파이프라인에 대한 액세스 권한 부여를 선택하면 모든 파이프라인에서 이 연결을 사용할 수 있습니다. 이 옵션은 권장되지 않습니다. 대신 서비스 연결을 사용하도록 각 파이프라인에 개별적으로 권한을 부여합니다.

8. 확인 및 저장을 선택합니다. 이 단계가 성공적으로 완료되면 Azure Resource Manager 서비스 연결이 완전히 구성됩니다.