我的CI服务器中有一些powershell脚本来检查某些WebJobs的状态。
但我没有什么问题。
我使用的是发布设置文件,但它已过期,我的构建开始失败。
我不想使用会公开所有管理功能的管理证书。
我不想将我的用户凭据放在CI服务器上,这也将公开所有管理功能。
有什么方法可以创建具有受限权限的CI用户或凭据吗?
谢谢!
答案 0 :(得分:0)
Azure Functions为此问题提供了一个很好的解决方案。您可以使用证书登录创建服务原则帐户,然后将该帐户限制为您需要允许的任何操作(通过RBAC)
然后,您可以在函数中运行Azure PowerShell脚本,该脚本是从CI引擎的webhook调用的。这样,存储在CI上的唯一凭据就是webhook秘密,如果您的CI引擎具有静态IP,您可以验证命令只来自该地址,并丢弃其他任何内容。