Verknüpfen einer variablen Gruppe mit geheimen Schlüsseln in Azure Key Vault

In diesem Artikel wird erläutert, wie Sie eine variable Gruppe erstellen, die mit geheimen Schlüsseln verknüpft ist, die in einem Azure Key Vault gespeichert sind. Indem Sie die Variablengruppe mit dem Schlüsseltresor verknüpfen, können Sie sicherstellen, dass Ihre geheimen Schlüssel sicher gespeichert werden, und Ihre Pipelines haben immer Zugriff auf die neuesten geheimen Werte zur Laufzeit.

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

Sie können eine variable Gruppe erstellen, die mit vorhandenen Azure-Schlüsseltresorn verknüpft ist und ausgewählte Schlüsseltresorschlüssel der Variablengruppe zuordnet. Der Variablengruppe werden nur die Geheimnisnamen zugeordnet, nicht die Geheimniswerte. Wenn Pipelines ausgeführt werden, verknüpfen sie mit der Variablengruppe, um die neuesten geheimen Werte aus dem Tresor zur Laufzeit abzurufen.

Alle Änderungen für vorhandene Geheimnissen im Schlüsseltresor sind automatisch für alle Pipelines verfügbar, die diese Variablengruppe verwenden. Wenn dem Schlüsseltresor jedoch Geheimnisse hinzugefügt werden oder wenn Geheimnisse aus dem Schlüsseltresor gelöscht werden, werden die zugeordneten Variablengruppen nicht automatisch aktualisiert. Sie müssen die Geheimnisse explizit aktualisieren, damit sie in die Variablengruppe aufgenommen werden.

Auch wenn Key Vault das Speichern und Verwalten kryptografischer Schlüssel und Zertifikate auf Azure unterstützt, unterstützt die Azure Pipelines-Variablengruppenintegration nur die Zuordnung von Schlüsseltresorgeheimnissen. Kryptografische Schlüssel und Zertifikate werden nicht unterstützt.

Hinweis

Schlüsseltresore, die die rollenbasierte Azure-Zugriffssteuerung (Azure RBAC) verwenden, werden nicht unterstützt.

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.
• Eine Azure DevOps-Organisation. Registrieren Sie sich kostenlos oder einen Azure DevOps Server.
• Ein DevOps-Projekt. Erstellen Sie ein Projekt, wenn Sie noch keines haben.
• Eine Azure Resource Manager-Dienstverbindung für Ihr Projekt.

Erstellen eines Schlüsseltresors

Erstellen Sie einen Azure-Schlüsseltresor.

1. Klicken Sie im Azure-Portal auf Ressource erstellen.
2. Suchen Und wählen Sie "Key Vault" aus, und wählen Sie dann "Erstellen" aus.
3. Wählen Sie Ihr Abonnement aus.
4. Wählen Sie eine vorhandene Ressourcengruppe aus, oder erstellen Sie eine neue.
5. Geben Sie einen Namen für den Schlüsseltresor ein.
6. Wählen Sie eine Region aus.
7. Wählen Sie die Registerkarte "Access" und "Konfiguration " aus.
8. Wählen Sie Tresorzugriffsrichtlinie aus.
9. Wählen Sie Ihr Konto als Prinzipal aus.
10. Wählen Sie Überprüfen + erstellen und danach Erstellen aus.

Erstellen der variablen Gruppe, die mit dem Schlüsseltresor verknüpft ist

1. Wählen Sie im Azure DevOps-Projekt Pipelines>Bibliothek>+ Variablengruppe aus.
2. Geben Sie auf der Seite Variablengruppen einen Namen und optional eine Beschreibung für die Variablengruppe ein.
3. Aktivieren Sie die Umschaltfläche Geheimnisse von einem Azure Key Vault als Variablen verknüpfen.
4. Wählen Sie Ihre Dienstverbindung aus, und wählen Sie "Autorisieren" aus.
5. Wählen Sie Ihren Schlüsseltresornamen aus, und aktivieren Sie Azure DevOps, um auf den Schlüsseltresor zuzugreifen, indem Sie "Autorisieren" neben dem Tresornamen auswählen.
6. Wählen Sie +Hinzufügen aus, und wählen Sie auf dem Bildschirm "Geheime Schlüssel auswählen" die geheimen Schlüssel aus Ihrem Tresor aus, um dieser Variablengruppe zuzuordnen, und wählen Sie dann "OK" aus.
7. Wählen Sie Speichern aus, um die geheime Variablengruppe zu speichern.

Hinweis

Ihre Dienstverbindung muss mindestens über die Berechtigungen "Abrufen " und "Liste " für den Schlüsseltresor verfügen, die Sie in den vorherigen Schritten autorisieren können. Sie können diese Berechtigungen auch über das Azure-Portal gewähren, indem Sie die folgenden Schritte ausführen:

1. Öffnen Sie Einstellungen für den Schlüsseltresor, und wählen Sie dann Zugriffskonfiguration>Zu den Zugriffsrichtlinien aus.
2. Wenn Ihr Azure Pipelines-Projekt auf der Seite Zugriffsrichtlinien nicht unter Anwendungen mit mindestens den Berechtigungen für Abrufen und Auflisten aufgeführt wird, wählen Sie Erstellen aus.
3. Wählen Sie unter Geheimnisberechtigungen die Optionen Abrufen und Auflisten und dann Weiter aus.
4. Wählen Sie Ihren Prinzipal und dann "Weiter" aus.
5. Wählen Sie erneut Weiter aus, überprüfen Sie die Einstellungen, und wählen Sie dann Erstellen aus.

Weitere Informationen finden Sie unter Verwenden von Azure Key Vault-Geheimnissen.

Verwandte Artikel

• Verwalten von Variablengruppen
• Festlegen geheimer Variablen