azure - 从 Azure 管道任务访问 Microsoft.Azure.WebSites 资源提供程序（Microsoft Azure 应用服务）的服务主体

问题描述

我想创建一个存储 TLS 证书的密钥库。此密钥保管库需要可从 Azure 管道任务访问，这将检索所述证书并将其绑定到他们的应用程序。微软提到：

默认情况下，“Microsoft.Azure.WebSites”资源提供程序 (RP) 无权访问模板中指定的 Key Vault，因此您需要在部署模板之前通过执行以下 PowerShell 命令对其进行授权：

Login-AzureRmAccount
Set-AzureRmContext -SubscriptionId AZURE_SUBSCRIPTION_ID
Set-AzureRmKeyVaultAccessPolicy -VaultName KEY_VAULT_NAME -ServicePrincipalName abfa0a7c-a6b6-4736-8310-5855508787cd -PermissionsToSecrets get

当我手动执行此操作时，这适用于我的密钥保管库。但是，我想将此作为我的主管道的一部分自动化。我试过定义这个任务：

- task: AzurePowerShell@5
  displayName: 'Set key vault policy'
  inputs:
    azureSubscription: …
    azurePowerShellVersion: 'LatestVersion'
    ScriptType: 'InlineScript'
    Inline: |
      Set-AzKeyVaultAccessPolicy -VaultName … -ServicePrincipalName abfa0a7c-a6b6-4736-8310-5855508787cd -PermissionsToSecrets get

但它失败了：

##[error]Operation returned an invalid status code 'Forbidden'

我还注意到“Microsoft Azure App Service”的这个服务主体甚至不适用于我的任务；以下打印一个空白：

 $azureAppServicePrincipal = Get-AzADServicePrincipal -ServicePrincipalName abfa0a7c-a6b6-4736-8310-5855508787cd
 Write-Output "azureAppServicePrincipalId = $($azureAppServicePrincipal.Id)"

有没有办法让我的管道可以访问这个服务主体？

标签： azureazure-devopsazure-pipelinesazure-keyvaultazure-service-principal