Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Conexión de Azure DevOps
DevOps La integración con Azure permite a AWS DevOps Agent acceder a los repositorios y al historial de ejecución de las canalizaciones de su DevOps organización de Azure. El agente puede correlacionar los cambios de código y las implementaciones con los incidentes operativos para ayudar a identificar las posibles causas fundamentales.
**Nota:** DevOps Las canalizaciones de Azure pueden usar código fuente de Azure Repos o Bitbucket. GitHub La DevOps integración de Azure proporciona acceso al historial de ejecución de la canalización, independientemente del proveedor de origen. Sin embargo, para acceder al código fuente real durante las investigaciones, el repositorio debe estar conectado por separado mediante una integración compatible, por ejemplo[Conectando GitHub](connecting-to-cicd-pipelines-connecting-github.md). No se puede acceder directamente al código fuente de Bitbucket a través de esta integración.
Esta integración sigue un proceso de dos pasos: registra Azure DevOps a nivel de AWS cuenta y, a continuación, asocia proyectos específicos a espacios de agente individuales.
## Requisitos previos
Antes de conectar Azure DevOps, asegúrese de tener:
+ Acceso a la consola del AWS DevOps agente
+ Una DevOps organización de Azure con al menos un proyecto que contenga un repositorio y un historial de canalizaciones
+ Permisos para agregar usuarios a su DevOps organización de Azure
+ Para el método de consentimiento del administrador: una cuenta con permiso para otorgar el consentimiento del administrador en Microsoft Entra ID
+ Para el método de registro de aplicaciones: una aplicación Entra con permisos para configurar las credenciales de identidad federadas y una [federación de identidades salientes](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-federation.html) habilitada en su cuenta AWS
**Nota:** También puede iniciar el registro desde un espacio de agente. Ve a la sección **Pipelines**, haz clic en **Agregar** y selecciona **Azure DevOps**. Si Azure aún no DevOps está registrado, la consola le guiará primero por el proceso de registro.
## Registrar Azure con DevOps el consentimiento del administrador
El método de consentimiento del administrador utiliza un flujo basado en el consentimiento con la aplicación administrada por el AWS DevOps agente.
### Paso 1: iniciar el registro
1. Inicie sesión en la consola AWS de administración y navegue hasta la consola del AWS DevOps agente
1. Vaya a la página **de proveedores de capacidades**
1. Busque la DevOps sección de **Azure** y haga clic en **Registrar**
1. Introduzca el **nombre de su DevOps organización de Azure** cuando se le solicite
### Paso 2: Completar el consentimiento del administrador
1. Haga clic para continuar: se le redirigirá a la página de consentimiento del administrador de Microsoft Entra
1. Inicia sesión con una cuenta principal de usuario que tenga permiso para otorgar el consentimiento de administrador
1. Revisa la solicitud de AWS DevOps agente y otorga tu consentimiento
### Paso 3: Completar la autorización del usuario
1. Tras el consentimiento del administrador, se le solicitará la autorización de usuario para verificar su identidad como miembro del arrendatario autorizado
1. Inicie sesión con una cuenta que pertenezca al mismo inquilino de Azure
1. Tras la autorización, se le redirigirá de nuevo a la consola del AWS DevOps agente con un estado correcto
### Paso 4: Conceder el acceso en Azure DevOps
Consulte [Otorgar acceso en Azure DevOps](#granting-access-in-azure-devops) a continuación. Busque **AWS DevOps Agent** al agregar usuarios.
## Registrar Azure DevOps mediante el registro de aplicaciones
El registro de aplicaciones se comparte entre Azure Resources y Azure DevOps. Si ya ha completado el registro de aplicaciones para los recursos de Azure, puede pasar a [Conceder acceso a Azure DevOps](#granting-access-in-azure-devops).
### Paso 1: Inicie el registro de la aplicación ADO
1. En la consola del AWS DevOps agente, vaya a la página **de proveedores de capacidades**
1. Busque la sección **Azure Cloud** y haga clic en **Registrar**
1. Seleccione el método de **registro de la aplicación**
### Paso 2: Crea y configura tu aplicación Entra
Siga las instrucciones que aparecen en la consola para:
1. Habilite la federación de identidades salientes en su AWS cuenta (en la consola de IAM, vaya a **Configuración de la cuenta** → Federación de identidades **salientes**)
1. Cree una aplicación Entra en su ID de Microsoft Entra o utilice una existente
1. Configure las credenciales de identidad federadas en la aplicación
### Paso 3: Proporcione los detalles de registro
Rellene el formulario de registro con:
+ **ID de inquilino**: su identificador de inquilino de Azure
+ **Nombre del inquilino**: nombre visible del inquilino
+ **ID de cliente**: el ID de aplicación (cliente) de la aplicación Entra
+ **Audiencia**: el identificador de audiencia de la credencial federada
### Paso 4: Crear el rol de IAM
Al enviar el registro a través de la consola, se creará automáticamente un rol de IAM. Permite al AWS DevOps agente asumir las credenciales e `sts:GetWebIdentityToken` invocarlas.
### Paso 5: Complete el registro
1. Confirme la configuración en la consola del AWS DevOps agente
1. Haga clic en **Enviar** para completar el registro
### Paso 6: Conceder el acceso en Azure DevOps
Consulte [Otorgar acceso en Azure DevOps](#granting-access-in-azure-devops) a continuación. Busque la aplicación Entra que creó durante el registro de la aplicación al agregar usuarios.
## Otorgar acceso en Azure DevOps
Tras el registro, conceda acceso a la aplicación a su DevOps organización de Azure. Este paso es el mismo para los métodos de consentimiento del administrador y registro de la aplicación.
1. En Azure DevOps, vaya a **Configuración de la organización** > **Usuarios** > **Agregar usuarios**
1. Busque la aplicación (ya sea **AWS DevOps un agente** para obtener el consentimiento del administrador o su propia aplicación Entra para el registro de la aplicación)
1. Establece el nivel de acceso en **Básico**
1. En **Añadir a proyectos**, seleccione los proyectos a los que desee que acceda el agente
1. En ** DevOps Grupos de Azure**, seleccione **Project Readers**
1. Haga clic en **Agregar** para completar
**Requisito de seguridad:** asigne solo el grupo de **lectores del proyecto**. El acceso de solo lectura sirve como límite de seguridad que restringe al agente a operaciones de solo lectura y limita el impacto de los ataques indirectos de inyección inmediata. La asignación de permisos de escritura o acción a grupos aumenta considerablemente el radio de acción de las inyecciones rápidas y puede comprometer los recursos de Azure. DevOps
## Asociar un proyecto a un espacio de agente
Tras registrar Azure DevOps a nivel de cuenta, asocie proyectos específicos a sus Agent Spaces:
1. En la consola de AWS DevOps Agent, selecciona tu Agent Space
1. Ve a la pestaña **Capacidades**
1. **En la sección **Canalizaciones**, haga clic en Añadir**
1. Seleccione **Azure DevOps** de la lista de proveedores disponibles
1. Seleccione el proyecto en el menú desplegable de proyectos disponibles
1. Haga clic en **Añadir** para completar la asociación
## Administrar DevOps las conexiones de Azure
+ **Visualización de los proyectos conectados**: en la pestaña **Capacidades**, la sección **Pipelines** muestra todos los DevOps proyectos de Azure conectados.
+ **Eliminar un proyecto****: para desconectar un proyecto de un Agent Space, selecciónelo en la sección **Pipelines** y haga clic en Eliminar.**
+ **Eliminar el registro**: para eliminar el DevOps registro de Azure por completo, vaya a la página **de proveedores de capacidades** y elimine el registro. Primero se deben eliminar todas las asociaciones de Agent Space.