Použití tajných klíčů ze služby Azure Key Vault v kanálů Azure

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Azure Key Vault umožňuje vývojářům bezpečně ukládat a spravovat citlivé informace, jako jsou klíče rozhraní API, přihlašovací údaje nebo certifikáty. Služba Azure Key Vault podporuje dva typy kontejnerů: trezory a spravované fondy HSM (Hardware Security Module). Trezory můžou ukládat klíče, tajné kódy a certifikáty založené na softwaru i HSM, zatímco spravované fondy HSM podporují výhradně klíče založené na HSM.

V tomto kurzu se naučíte, jak:

• Vytvoření služby Azure Key Vault pomocí Azure CLI
• Přidání tajného kódu a konfigurace přístupu ke službě Azure Key Vault
• Použití tajných kódů v kanálu

Požadavky

• Organizace Azure DevOps a projekt Pokud jste to ještě neudělali, vytvořte organizaci nebo projekt.

• Předplatné Azure. Pokud ho ještě nemáte, vytvořte si bezplatný účet Azure.

Získání ukázkového kódu

Pokud už máte vlastní úložiště, přejděte k dalšímu kroku. Jinak naimportujte do úložiště Azure následující ukázkové úložiště.

1. Přihlaste se ke své organizaci Azure DevOps a přejděte k projektu.

2. Vyberte Úložiště a pak vyberte Importovat. Zadejte následující adresu URL úložiště a pak vyberte Importovat.

   https://github.com/MicrosoftDocs/pipelines-dotnet-core
   

Vytvoření služby Azure Key Vault

1. Přihlaste se k webu Azure Portal a pak vyberte tlačítko Cloud Shell v pravém horním rohu.

2. Pokud máte k vašemu účtu přidružené více než jedno předplatné Azure, zadejte výchozí předplatné pomocí následujícího příkazu. Můžete použít az account list k vygenerování seznamu vašich předplatných.

   az account set --subscription <YOUR_SUBSCRIPTION_NAME_OR_ID>
   

3. Nastavte výchozí oblast Azure. Můžete použít az account list-locations k vygenerování seznamu dostupných oblastí.

   az config set defaults.location=<YOUR_REGION>
   

4. Vytvoříte novou skupinu prostředků.

   az group create --name <YOUR_RESOURCE_GROUP_NAME>
   

5. Vytvořte novou službu Azure Key Vault.

   az keyvault create \
     --name <YOUR_KEY_VAULT_NAME> \
     --resource-group <YOUR_RESOURCE_GROUP_NAME>
   

6. Vytvořte v trezoru klíčů Azure nový tajný klíč.

   az keyvault secret set \
     --name <YOUR_SECRET_NAME> \
     --value <YOUR_ACTUAL_SECRET> \
     --vault-name <YOUR_KEY_VAULT_NAME>
   

Nastavení ověřování

Spravovaná identita

Vytvoření spravované identity přiřazené uživatelem

1. Přihlaste se k webu Azure Portal a pak na panelu hledání vyhledejte službu Spravované identity .

2. Vyberte Vytvořit a vyplňte požadovaná pole následujícím způsobem:

   • Předplatné: V rozevírací nabídce vyberte své předplatné.
   • Skupina prostředků: Vyberte existující skupinu prostředků nebo vytvořte novou.
   • Oblast: V rozevírací nabídce vyberte oblast.
   • Název: Zadejte název spravované identity přiřazené uživatelem.

3. Až budete hotovi, vyberte Zkontrolovat a vytvořit .

4. Po dokončení nasazení vyberte Přejít k prostředku a zkopírujte hodnoty ID předplatného a klienta , které se mají použít v nadcházejících krocích.

5. Přejděte na Vlastnosti nastavení>a zkopírujte hodnotu ID tenanta spravované identity pro pozdější použití.

Nastavení zásad přístupu trezoru klíčů

1. Přejděte na web Azure Portal a pomocí panelu hledání vyhledejte trezor klíčů, který jste vytvořili dříve.

2. Vyberte Zásady přístupu a pak vyberte Vytvořit a přidejte novou zásadu.

3. V části Oprávnění k tajným kódům zaškrtněte políčka Získat a Seznam .

4. Vyberte Další a pak vložte ID klienta spravované identity, kterou jste vytvořili dříve, do panelu hledání. Vyberte spravovanou identitu.

5. Vyberte Další a pak ještě jednou další .

6. Zkontrolujte nové zásady a po dokončení vyberte Vytvořit .

Vytvoření připojení služby

1. Přihlaste se ke své organizaci Azure DevOps a přejděte k projektu.

2. Vyberte připojení Služby nastavení projektu>a pak výběrem možnosti Nové připojení služby vytvořte nové připojení služby.

3. Vyberte Azure Resource Manager a pak vyberte Další.

4. Jako typ identity vyberte spravovanou identitu z rozevírací nabídky.

5. Krok 1: Podrobnosti o spravované identitě vyplňte následující pole:

   • Předplatné pro spravovanou identitu: Vyberte předplatné obsahující vaši spravovanou identitu.

   • Skupina prostředků pro spravovanou identitu: Vyberte skupinu prostředků hostující spravovanou identitu.

   • Spravovaná identita: V rozevírací nabídce vyberte spravovanou identitu.

6. Pro krok 2: Obor Azure vyplňte pole následujícím způsobem:

   • Úroveň rozsahu připojení služby: Vyberte předplatné.

   • Předplatné pro připojení ke službě: Vyberte předplatné, ke které bude vaše spravovaná identita přistupovat.

   • Skupina prostředků pro připojení ke službě: (Volitelné) Zadejte omezení přístupu ke spravované identitě na jednu skupinu prostředků.

7. Krok 3: Podrobnosti o připojení služby:

   • Název připojení služby: Zadejte název připojení služby.

   • Referenční informace ke správě služeb: (volitelné) informace o kontextu z databáze ITSM.

   • Popis: (Volitelné) Přidejte popis.

8. V části Zabezpečení zaškrtněte políčko Udělit oprávnění pro přístup ke všem kanálům a povolte tak, aby všechna kanály používala toto připojení služby. Pokud tuto možnost nevyberete, musíte ručně udělit přístup ke každému kanálu, který používá toto připojení služby.

9. Výběrem možnosti Uložit ověřte a vytvořte připojení služby.

   

Instanční objekt

Nastavení zásad přístupu trezoru klíčů

Pokud chcete získat přístup ke službě Azure Key Vault, musíte nejprve nastavit instanční objekt pro udělení přístupu ke službě Azure Pipelines:

1. Vytvoření instančního objektu služby

2. Přejděte na web Azure Portal a pak pomocí panelu hledání vyhledejte trezor klíčů, který jste vytvořili dříve.

3. Vyberte Zásady přístupu a pak vyberte Vytvořit.

4. V části Oprávnění tajného kódu přidejte oprávnění Získat a Seznam a pak vyberte Další.

5. Jako instanční objekt vložte ID objektu služby, vyberte ho a pak vyberte Další.

6. Ještě jednou vyberte Další , zkontrolujte zásady a pak vyberte Uložit , až budete hotovi.

Přidat přiřazení role

V dalším kroku vytvoříte pro instanční objekt připojení ARM. Před ověřením připojení potřebujete: (1) udělit instančnímu objektu oprávnění ke čtení na úrovni předplatného a (2) vytvořit federované přihlašovací údaje pro instanční objekt.

Následující kroky popisují, jak udělit přístup pro čtení na úrovni předplatného:

1. Přejděte na web Azure Portal, vyberte Předplatná a pak vyhledejte a vyberte své předplatné.

2. Vyberte Řízení přístupu a pak vyberte Přidat>přiřazení role.

3. Na kartě Role vyberte Čtenář a pak vyberte Další.

4. Vyberte Uživatele, skupinu nebo instanční objekt a pak vyberte Vybrat členy.

5. Do panelu hledání vložte ID objektu instančního objektu, vyberte ho a pak vyberte.

6. Vyberte Zkontrolovat a přiřadit, zkontrolujte nastavení a pak znovu vyberte Zkontrolovat a přiřadit , abyste potvrdili své volby a přidali přiřazení role.

Vytvoření připojení služby

1. Přihlaste se ke své organizaci Azure DevOps a přejděte k projektu.

2. Vyberte Nastavení projektu a pak vyberte Připojení služby.

3. Vyberte Nové připojení služby, vyberte Azure Resource Manager a pak vyberte Další.

4. Vyberte instanční objekt (ruční) a pak vyberte Další.

5. Jako typ identity vyberte v rozevírací nabídce registraci aplikace nebo spravovanou identitu (ruční).

6. Jako přihlašovací údaje vyberte Federaci identit úloh.

7. Zadejte název připojení služby a pak vyberte Další.

8. Vyberte Azure Cloud for Environment a předplatné pro obor předplatného.

9. Zadejte ID předplatného Azure a název předplatného.

10. Pro ověřování vložte ID aplikace (klienta) instančního objektu a ID adresáře (tenanta).

11. V části Zabezpečení zaškrtněte políčko Udělit oprávnění k přístupu všem kanálům, abyste umožnili všem kanálům používat toto připojení služby. Pokud tuto možnost nevyberete, musíte ručně udělit přístup ke každému kanálu, který používá toto připojení služby.

12. Toto okno ponechte otevřené a po vytvoření federovaných přihlašovacích údajů v Azure se vrátíte k ověření a uložení připojení služby.

Vytvoření federovaných přihlašovacích údajů instančního objektu

1. Přejděte na web Azure Portal, zadejte ID klienta instančního objektu do vyhledávacího panelu a pak vyberte svou aplikaci.

2. V části Spravovat vyberte Certifikáty a tajné>kódy federovaných přihlašovacích údajů.

3. Vyberte Přidat přihlašovací údaje a pak pro scénář federovaných přihlašovacích údajů vyberte Jiný vystavitel.

4. V případě vystavitele vložte vystavitele , který jste zkopírovali ze svého připojení ke službě dříve.

5. Jako identifikátor předmětu vložte dříve zkopírovaný identifikátor předmětu z vašeho připojení ke službě.

6. Zadejte název federovaných přihlašovacích údajů a po dokončení vyberte Přidat.

7. Vraťte se do okna připojení služby, vyberte Ověřit a Uložit a uložte připojení služby.

Přístup k tajným kódům trezoru klíčů z kanálu

YAML

1. Přihlaste se ke své organizaci Azure DevOps a přejděte k projektu.

2. Vyberte Kanály a pak vyberte Nový kanál.

3. Vyberte Git Azure Repos (YAML) a pak vyberte své úložiště.

4. Vyberte šablonu úvodního kanálu .

5. Výchozí kanál bude obsahovat skript, který spouští příkazy echo. Ty nejsou potřeba, abychom je mohli odstranit.

6. Přidejte úlohu AzureKeyVault a nahraďte zástupné symboly názvem připojení služby, které jste vytvořili dříve, a názvem trezoru klíčů. Soubor YAML by se měl podobat následujícímu fragmentu kódu:

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   

7. Pojďme přidat následující úlohy pro kopírování a publikování tajného kódu. Tento příklad je určený pouze pro demonstrační účely a neměl by být implementován v produkčním prostředí.

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   
   - task: CmdLine@2
     displayName: Create file
     inputs:
       script: 'echo $(SECRET_NAME) > secret.txt'
   
   - task: CopyFiles@2
     displayName: Copy file
     inputs:
       Contents: secret.txt
       targetFolder: '$(Build.ArtifactStagingDirectory)'
   
   - task: PublishBuildArtifacts@1
     displayName: Publish Artifact
     inputs:
       PathtoPublish: '$(Build.ArtifactStagingDirectory)'
       ArtifactName: 'drop'
       publishLocation: 'Container'
   

8. Vyberte Uložit a spusťte a pak ho ještě jednou vyberte, aby se změny potvrďi a aktivovaly kanál. Pokud se zobrazí výzva k povolení přístupu kanálu k prostředkům Azure, může se zobrazit výzva k povolení. Kanál budete muset schválit jenom jednou.

9. Vyberte úlohu CmdLine a zobrazte protokoly.

   

10. Po dokončení spuštění kanálu se vraťte do souhrnu kanálu a vyberte publikovaný artefakt.

    

11. Vyberte rozevírací>secret.txt a stáhněte si ho.

    

12. Otevřete textový soubor, který jste právě stáhli, měl by textový soubor obsahovat tajný kód z trezoru klíčů Azure.

Klasické

1. Přihlaste se ke své organizaci Azure DevOps a přejděte k projektu.

2. Vyberte Kanály a pak vyberte Nový kanál.

3. Vyberte Použít klasický editor k vytvoření klasického kanálu.

4. Vyberte Git Azure Repos, vyberte úložiště a výchozí větev a pak vyberte Pokračovat.

5. Vyberte šablonu kanálu .Net Desktopu.

6. V tomto příkladu budeme potřebovat jenom poslední dva úkoly. Stiskněte klávesu CTRL a pak vyberte prvních pět úkolů, klikněte pravým tlačítkem myši a zvolte Odebrat vybrané úkoly a odstraňte je.

   

7. Vyberte + , pokud chcete přidat nový úkol. Vyhledejte úlohu příkazového řádku , vyberte ji a pak ji vyberte Přidat a přidejte ji do kanálu. Po přidání ho nakonfigurujte následujícím způsobem:

   • Zobrazovaný název: Vytvoření souboru
   • Skript: echo $(SECRET_NAME) > secret.txt

   

8. Vyberte + , pokud chcete přidat nový úkol. Vyhledejte úlohu služby Azure Key Vault , vyberte ji a pak ji výběrem možnosti Přidat* přidejte do kanálu. Po přidání ho nakonfigurujte následujícím způsobem:

   • Zobrazovaný název: Azure Key Vault
   • Předplatné Azure: Vyberte připojení služby, které jste vytvořili dříve.
   • Trezor klíčů: Výběr trezoru klíčů
   • Filtr tajných kódů: Čárkami oddělený seznam názvů tajných kódů nebo nechte * pro stažení všech tajných kódů z vybraného trezoru klíčů.

   

9. Vyberte úlohu Kopírovat soubory a vyplňte požadovaná pole následujícím způsobem:

   • Zobrazovaný název: Kopírovat soubor
   • Obsah: secret.txt
   • Cílová složka: $(build.artifactstagingdirectory)

   

10. Vyberte úlohu Publikovat artefakty a vyplňte požadovaná pole následujícím způsobem:

    • Zobrazovaný název: Publikování artefaktu
    • Cesta k publikování: $(build.artifactstagingdirectory)
    • Název artefaktu: drop
    • Umístění publikování artefaktů: Azure Pipelines

    

11. Vyberte Uložit a frontu a pak vyberte Spustit , aby se spustil kanál.

12. Po dokončení spuštění kanálu se vraťte do souhrnu kanálu a vyberte publikovaný artefakt.

13. Výběrem rozevíracího>seznamu secret.txt stáhněte publikovaný artefakt.

    

14. Otevřete textový soubor, který jste právě stáhli, měl by textový soubor obsahovat tajný kód z trezoru klíčů Azure.

Upozorňující

Tento kurz je určen pouze pro vzdělávací účely. Osvědčené postupy zabezpečení a způsob bezpečné práce s tajnými kódy najdete v tématu Správa tajných kódů v serverových aplikacích pomocí služby Azure Key Vault.

Vyčištění prostředků

Pomocí následujícího postupu odstraňte prostředky, které jste vytvořili:

1. Pokud jste vytvořili novou organizaci pro hostování projektu, podívejte se, jak odstranit organizaci, jinak projekt odstraňte.

2. Všechny prostředky Azure vytvořené během tohoto kurzu jsou hostované v jedné skupině prostředků. Spuštěním následujícího příkazu odstraňte skupinu prostředků a všechny její prostředky.

   az group delete --name <YOUR_RESOURCE_GROUP_NAME>
   

Často kladené dotazy

Otázka: Zobrazuje se mi následující chyba: "Uživatel nebo skupina nemá oprávnění k seznamu tajných kódů", co mám dělat?

A: Pokud dojde k chybě, která značí, že uživatel nebo skupina nemá oprávnění k seznamu tajných kódů pro trezor klíčů, spusťte následující příkazy pro autorizaci aplikace pro přístup ke klíči nebo tajnému kódu ve službě Azure Key Vault:

az account set --subscription <YOUR_SUBSCRIPTION_ID>

az login

$spnObjectId = az ad sp show --id <YOUR_SERVICE_PRINCIPAL_ID>

az keyvault set-policy --name <YOUR_KEY_VAULT_NAME> --object-id $spnObjectId --secret-permissions get list

Související články

• Publikování a stahování artefaktů kanálu
• Uvolnění artefaktů a zdrojů artefaktů
• Řízení nasazení pomocí bran a schválení