Použití tajných kódů služby Azure Key Vault v kanálu

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Pomocí služby Azure Key Vault můžete bezpečně ukládat a spravovat citlivé informace, jako jsou hesla, klíče rozhraní API, certifikáty atd. Pomocí služby Azure Key Vault můžete snadno vytvářet a spravovat šifrovací klíče pro šifrování dat. Azure Key Vault se dá použít také ke správě certifikátů pro všechny vaše prostředky. V tomto článku se naučíte:

• Vytvoření služby Azure Key Vault
• Nakonfigurujte oprávnění služby Key Vault.
• Vytvořte nové připojení služby.
• Zadejte dotaz na tajné kódy z kanálu Azure.

Požadavky

• Organizace Azure DevOps. Pokud ho ještě nemáte, vytvořte si ho zdarma .
• Vlastní projekt. Pokud ho ještě nemáte, vytvořte projekt .
• Vlastní úložiště. Pokud ho ještě nemáte, vytvořte nové úložiště Git.
• Předplatné Azure. Pokud ho ještě nemáte, vytvořte si bezplatný účet Azure.

Vytvoření trezoru klíčů

Azure Portal

1. Přihlaste se k webu Azure Portal a pak vyberte Vytvořit prostředek.

2. V části Key Vault vyberte Vytvořit a vytvořte novou službu Azure Key Vault.

3. V rozevírací nabídce vyberte své předplatné a pak vyberte existující skupinu prostředků nebo vytvořte novou. Zadejte název trezoru klíčů, vyberte oblast, zvolte cenovou úroveň a pokud chcete nakonfigurovat další vlastnosti, vyberte Další. Pokud chcete zachovat výchozí nastavení, vyberte Zkontrolovat a vytvořit .

4. Po dokončení nasazení vyberte Přejít k prostředku.

Azure CLI

1. Nejprve nastavte výchozí oblast a předplatné Azure:

   • Nastavení výchozího předplatného:

   az account set --subscription <your_subscription_name_or_subscription_ID>
   

   • Nastavit výchozí oblast:

   az config set defaults.location=<your_region>
   

2. Vytvořte novou skupinu prostředků pro hostování služby Azure Key Vault. Skupina prostředků je kontejner, který obsahuje související prostředky pro řešení Azure:

   az group create --name <your-resource-group>
   

3. Vytvořte novou službu Azure Key Vault:

   az keyvault create \
     --name <your-key-vault-name> \
     --resource-group <your-resource-group>
   

Nastavení ověřování

Spravovaná identita

Vytvoření spravované identity přiřazené uživatelem

1. Přihlaste se k webu Azure Portal a pak na panelu hledání vyhledejte službu Spravované identity .

2. Vyberte Vytvořit a vyplňte požadovaná pole následujícím způsobem:

   • Předplatné: V rozevírací nabídce vyberte své předplatné.
   • Skupina prostředků: Vyberte existující skupinu prostředků nebo vytvořte novou.
   • Oblast: V rozevírací nabídce vyberte oblast.
   • Název: Zadejte název spravované identity přiřazené uživatelem.

3. Až budete hotovi, vyberte Zkontrolovat a vytvořit .

4. Po dokončení nasazení vyberte Přejít k prostředku a zkopírujte hodnoty ID předplatného a klienta , které se mají použít v nadcházejících krocích.

5. Přejděte na Vlastnosti nastavení>a zkopírujte hodnotu ID tenanta spravované identity pro pozdější použití.

Nastavení zásad přístupu trezoru klíčů

1. Přejděte na web Azure Portal a pomocí panelu hledání vyhledejte trezor klíčů, který jste vytvořili dříve.

2. Vyberte Zásady přístupu a pak vyberte Vytvořit a přidejte novou zásadu.

3. V části Oprávnění k tajným kódům zaškrtněte políčka Získat a Seznam .

4. Vyberte Další a pak vložte ID klienta spravované identity, kterou jste vytvořili dříve, do panelu hledání. Vyberte spravovanou identitu.

5. Vyberte Další a pak ještě jednou další .

6. Zkontrolujte nové zásady a po dokončení vyberte Vytvořit .

Vytvoření připojení služby

1. Přihlaste se ke své organizaci Azure DevOps a přejděte k projektu.

2. Vyberte připojení Služby nastavení projektu>a pak výběrem možnosti Nové připojení služby vytvořte nové připojení služby.

3. Vyberte Azure Resource Manager a pak vyberte Další.

4. Jako typ identity vyberte spravovanou identitu z rozevírací nabídky.

5. Krok 1: Podrobnosti o spravované identitě vyplňte následující pole:

   • Předplatné pro spravovanou identitu: Vyberte předplatné obsahující vaši spravovanou identitu.

   • Skupina prostředků pro spravovanou identitu: Vyberte skupinu prostředků hostující spravovanou identitu.

   • Spravovaná identita: V rozevírací nabídce vyberte spravovanou identitu.

6. Pro krok 2: Obor Azure vyplňte pole následujícím způsobem:

   • Úroveň rozsahu připojení služby: Vyberte předplatné.

   • Předplatné pro připojení ke službě: Vyberte předplatné, ke které bude vaše spravovaná identita přistupovat.

   • Skupina prostředků pro připojení ke službě: (Volitelné) Zadejte omezení přístupu ke spravované identitě na jednu skupinu prostředků.

7. Krok 3: Podrobnosti o připojení služby:

   • Název připojení služby: Zadejte název připojení služby.

   • Referenční informace ke správě služeb: (volitelné) informace o kontextu z databáze ITSM.

   • Popis: (Volitelné) Přidejte popis.

8. V části Zabezpečení zaškrtněte políčko Udělit oprávnění pro přístup ke všem kanálům a povolte tak, aby všechna kanály používala toto připojení služby. Pokud tuto možnost nevyberete, musíte ručně udělit přístup ke každému kanálu, který používá toto připojení služby.

9. Výběrem možnosti Uložit ověřte a vytvořte připojení služby.

   

Instanční objekt

Vytvoření instančního objektu služby

V tomto kroku vytvoříme v Azure nový instanční objekt , který nám umožní dotazovat službu Azure Key Vault ze služby Azure Pipelines.

1. Přejděte na web Azure Portal a pak v řádku nabídek vyberte> ikonu _ a otevřete Cloud Shell.

2. Vyberte PowerShell nebo ho ponechte jako Bash podle vašich preferencí.

3. Spuštěním následujícího příkazu vytvořte nový instanční objekt:

   az ad sp create-for-rbac --name YOUR_SERVICE_PRINCIPAL_NAME
   

4. Výstup by měl odpovídat následujícímu příkladu. Nezapomeňte zkopírovat výstup příkazu, protože ho budete potřebovat k vytvoření připojení služby v nadcházejícím kroku.

   {
     "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "displayName": "MyServicePrincipal",
     "password": "***********************************",
     "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
   }
   

Vytvoření připojení služby

1. Přihlaste se ke své organizaci Azure DevOps a přejděte k projektu.

2. Vyberte Nastavení projektu a pak vyberte Připojení služby.

3. Vyberte Nové připojení služby, vyberte Azure Resource Manager a pak vyberte Další.

4. Vyberte instanční objekt (ruční) a pak vyberte Další.

5. Jako typ identity vyberte v rozevírací nabídce registraci aplikace nebo spravovanou identitu (ruční).

6. V poli Credential*vyberte federaci identit úloh.

7. Zadejte název připojení služby a pak vyberte Další.

8. Zkopírujte vystavitele a identifikátor předmětu, protože ho budeme potřebovat v dalším kroku.

9. Vyberte Azure Cloud for Environment a předplatné pro obor předplatného.

10. Zadejte ID předplatného Azure a název předplatného.

11. Pro ověřování vložte ID aplikace (klienta) instančního objektu a ID adresáře (tenanta).

12. V části Zabezpečení zaškrtněte políčko Udělit oprávnění k přístupu všem kanálům, abyste umožnili všem kanálům používat toto připojení služby. Pokud tuto možnost nevyberete, musíte ručně udělit přístup ke každému kanálu, který používá toto připojení služby.

13. Nechte toto otevřené, vrátíte se k ověření a uložení po vytvoření federovaných přihlašovacích údajů v Azure a (2) udělený přístup ke čtení instančního objektu na úrovni předplatného.

    

Vytvoření federovaných přihlašovacích údajů v Azure

1. Přejděte na web Azure Portal, zadejte ID klienta instančního objektu do vyhledávacího panelu a pak vyberte svou aplikaci.

2. V části Spravovat vyberte Certifikáty a tajné>kódy federovaných přihlašovacích údajů.

3. Vyberte Přidat přihlašovací údaje a pak pro scénář federovaných přihlašovacích údajů vyberte Jiný vystavitel.

4. V případě vystavitele vložte vystavitele , který jste zkopírovali ze svého připojení ke službě dříve.

5. Jako identifikátor předmětu vložte dříve zkopírovaný identifikátor předmětu z vašeho připojení ke službě.

6. Zadejte název federovaných přihlašovacích údajů a po dokončení vyberte Přidat.

   

Přidání přiřazení role k předplatnému

Než budete moct připojení ověřit, musíte instančnímu objektu udělit přístup ke čtení na úrovni předplatného:

1. Přechod na web Azure Portal

2. V části Služba Azure vyberte Předplatná a pak vyhledejte a vyberte své předplatné.

3. Vyberte Řízení přístupu (IAM) a pak vyberte Přidat>přiřazení role.

4. Na kartě Role vyberte Čtenář a pak vyberte Další.

5. Vyberte Uživatele, skupinu nebo instanční objekt a pak vyberte Vybrat členy.

6. Na panelu hledání vložte ID objektu instančního objektu, vyberte ho a klikněte na tlačítko Vybrat.

7. Vyberte Zkontrolovat a přiřadit, zkontrolujte nastavení a pak znovu vyberte Zkontrolovat a přiřadit , abyste potvrdili své volby a přidali přiřazení role.

8. Po přidání přiřazení role vraťte se k připojení ke službě (v Azure DevOps) a nakonec vyberte Ověřit a uložit připojení ke službě.

Konfigurace zásad přístupu ke službě Key Vault

1. Přejděte na web Azure Portal, vyhledejte trezor klíčů, který jste vytvořili dříve, a pak vyberte Zásady přístupu.

2. Vyberte Vytvořit a potom v části Oprávnění tajného kódu přidejte oprávnění Získat a Vypsat a pak vyberte Další.

3. V části Instanční objekt vložte ID objektu instančního objektu, vyberte ho a pak vyberte Další.

4. Vyberte Další ještě jednou, zkontrolujte nastavení a pak po dokončení vyberte Uložit.

Dotazování a používání tajných kódů v kanálu

Pomocí úlohy Služby Azure Key Vault můžeme načíst hodnotu tajného kódu a použít ji v dalších úlohách v kanálu. Je potřeba mít na paměti, že tajné kódy musí být explicitně namapované na proměnnou env, jak je znázorněno v následujícím příkladu.

pool:
  vmImage: 'ubuntu-latest'

steps:
- task: AzureKeyVault@1
  inputs:
    azureSubscription: 'SERVICE_CONNECTION_NAME'
    KeyVaultName: 'KEY_VAULT_NAME'
    SecretsFilter: '*'

- bash: |
    echo "Secret Found! $MY_MAPPED_ENV_VAR"        
  env:
    MY_MAPPED_ENV_VAR: $(SECRET_NAME)

Výstup z posledního příkazu Bash by měl vypadat takto:

Secret Found! ***

Poznámka:

Pokud chcete ze služby Azure Key Vault zadat dotaz na více tajných kódů, použijte SecretsFilter tento argument k předání seznamu názvů tajných kódů oddělených čárkami: secret1, secret2.

Související obsah

• Správa připojení služeb
• Definování proměnných
• Publikování artefaktů kanálu