从DevOps管道中的服务主体生成SAS令牌(自托管)

时间:2020-07-03 20:05:01

标签: azure powershell azure-devops azure-cli azure-devops-self-hosted-agent

我在自托管的Azure DevOps管道中具有以下脚本,以便将构建工件复制到Azure blob存储(静态网站)。

任务如下,我尝试使用New-AzStorageContainerSASToken,并且构建步骤日志也告诉它获取服务主体。但是,看来我很想从DevOps管道放入任务中的服务主体为容器生成SAS令牌,因此可以在AzCopy中使用它。

- task: AzureCLI@2
  displayName: 'Copy test'
  inputs:
    azureSubscription: 'TestAccount (aaaaaaaa-bbbb-cccc-bbbb-ffffffffffff)'
    addSpnToEnvironment: true
    scriptType: 'pscore'
    scriptLocation: 'inlineScript'
    inlineScript: |
      
      $ctx = New-AzStorageContext -StorageAccountName "some123teststorage" -UseConnectedAccount
      $StartTime = Get-Date
      $EndTime = $startTime.AddDays(1)
      $sasToken = New-AzStorageContainerSASToken -Name "$web" -Permission rwd -StartTime $StartTime -ExpiryTime $EndTime -context $ctx
      azcopy copy "$(System.DefaultWorkingDirectory)\test-app\dist\" "$(destination_blob)" --put-md5 --recursive --overwrite=false --check-length=false --log-level=info

管道中的错误是

New-AzStorageContext : Context cannot be null.  Please log in using Connect-AzAccount.

总而言之,在DevOps管道日志中已记录

C:\WINDOWS\system32\cmd.exe /D /S /C ""C:\Program Files (x86)\Microsoft SDKs\Azure\CLI2\wbin\az.cmd" cloud set -n AzureCloud"
C:\WINDOWS\system32\cmd.exe /D /S /C ""C:\Program Files (x86)\Microsoft SDKs\Azure\CLI2\wbin\az.cmd" login --service-principal -u *** "--password=***" --tenant *** --allow-no-subscriptions"
[
  {
    "cloudName": "AzureCloud",
    "homeTenantId": "***",
    "id": "<snip>",
    "isDefault": true,
    "managedByTenants": [],
    "name": "TestAccount",
    "state": "Enabled",
    "tenantId": "***",
    "user": {
      "name": "***",
      "type": "servicePrincipal"
    }
  }
]
C:\WINDOWS\system32\cmd.exe /D /S /C ""C:\Program Files (x86)\Microsoft SDKs\Azure\CLI2\wbin\az.cmd" account set --subscription <snip>"
"C:\Program Files\PowerShell\7\pwsh.exe" -NoLogo -NoProfile -NonInteractive -ExecutionPolicy Unrestricted -Command ". 'C:\azuredevops\agent\_work\_temp\azureclitaskscript1593799829465.ps1'"
***
New-AzStorageContext : Context cannot be null.  Please log in using Connect-AzAccount.

在发布管道中,值得注意的Azure file copy任务有效。但是,我现在想直接从构建管道中进行此操作。

1 个答案:

答案 0 :(得分:1)

如果要在Azure CLI任务中为容器生成SAS令牌,请使用Azure CLI命令az storage container generate-sas而不是powershell命令。

确保与服务连接相关的服务主体在您的存储帐户或订阅的Access control (IAM)中具有角色,例如Storage Blob Data Contributor,如果没有,请遵循此doc进行添加。

示例: 

az storage container generate-sas \
    --account-name <storage-account> \
    --name <container> \
    --permissions acdlrw \
    --expiry <date-time> \
    --auth-mode login \
    --as-user

有关更多详细信息,请参阅此文档-https://docs.microsoft.com/en-us/azure/storage/blobs/storage-blob-user-delegation-sas-create-cli#create-a-user-delegation-sas-for-a-container

相关问题
最新问题