Verwenden von Geheimnissen aus Azure Key Vault in Azure Pipelines

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

Mit Azure Key Vault können Entwickler sensible Informationen wie API-Schlüssel, Anmeldedaten oder Zertifikate sicher speichern und verwalten. Der Azure Key Vault-Dienst unterstützt zwei Arten von Containern: Tresore und verwaltete HSM-Pools (Hardware Security Module). Tresore können sowohl software- als auch HSM-gestützte Schlüssel, Geheimnisse und Zertifikate speichern, während verwaltete HSM-Pools ausschließlich HSM-gestützte Schlüssel unterstützen.

In diesem Tutorial lernen Sie Folgendes:

• Erstellen einer Azure Key Vault-Instanz mithilfe der Azure CLI
• Hinzufügen eines Geheimnisses und Konfigurieren des Zugriffs auf Azure Key Vault
• Verwenden von Geheimnissen in Ihrer Pipeline

Voraussetzungen

• Ein Azure DevOps-organization und ein Projekt. Erstellen Sie ein organization oder ein Projekt, falls noch nicht geschehen.

• Ein Azure-Abonnement. Erstellen Sie kostenlos ein Azure-Konto, wenn Sie noch keines besitzen.

Beispielcode herunterladen

Wenn Sie bereits ein eigenes Repository haben, fahren Sie mit dem nächsten Schritt fort. Importieren Sie andernfalls das folgende Beispiel-Repository in Ihr Azure Repo.

1. Melden Sie sich bei Ihrer Azure DevOps-Organisation an, und navigieren Sie dann zu Ihrem Projekt.

2. Wählen Sie "Neu verfassen" und dann "Importieren" aus. Geben Sie die folgende Repository-URL ein, und wählen Sie dann "Importieren" aus.

   https://github.com/MicrosoftDocs/pipelines-dotnet-core
   

Erstellen einer Azure Key Vault-Instanz

1. Melden Sie sich beim Azure-Portal an, und wählen Sie dann in der oberen rechten Ecke die Schaltfläche Cloud Shell aus.

2. Wenn Ihrem Konto mehrere Azure-Abonnements zugeordnet sind, verwenden Sie den folgenden Befehl, um ein Standardabonnement anzugeben. Sie können az account list verwenden, um eine Liste Ihrer Abonnements zu generieren.

   az account set --subscription <YOUR_SUBSCRIPTION_NAME_OR_ID>
   

3. Legen Sie Ihre Azure-Standardregion fest. Sie können az account list-locations verwenden, um eine Liste Ihrer verfügbaren Regionen zu generieren.

   az config set defaults.location=<YOUR_REGION>
   

4. Eine neue Ressourcengruppe erstellen.

   az group create --name <YOUR_RESOURCE_GROUP_NAME>
   

5. Erstellen eines neuen Azure Key Vault-Schlüsseltresors

   az keyvault create \
     --name <YOUR_KEY_VAULT_NAME> \
     --resource-group <YOUR_RESOURCE_GROUP_NAME>
   

6. Erstellen Sie einen neuen Geheimnisses in Ihrer Azure Key Vault-Instanz.

   az keyvault secret set \
     --name <YOUR_SECRET_NAME> \
     --value <YOUR_ACTUAL_SECRET> \
     --vault-name <YOUR_KEY_VAULT_NAME>
   

Authentifizierung einrichten

Verwaltete Identität

Erstellen einer benutzerseitig zugewiesenen verwalteten Identität

1. Melden Sie sich bei der Azure-Portal an, und suchen Sie dann in der Suchleiste nach dem Dienst für verwaltete Identitäten.

2. Wählen Sie "Erstellen" aus, und füllen Sie die erforderlichen Felder wie folgt aus:

   • Abonnement: Wählen Sie Ihr Abonnement im Dropdownmenü aus.
   • Ressourcengruppe: Wählen Sie eine vorhandene Ressourcengruppe aus, oder erstellen Sie eine neue.
   • Region: Wählen Sie im Dropdownmenü eine Region aus.
   • Name: Geben Sie einen Namen für Ihre vom Benutzer zugewiesene verwaltete Identität ein.

3. Wenn Sie fertig sind, wählen Sie Überprüfen + Erstellen aus.

4. Nachdem die Bereitstellung abgeschlossen ist, wählen Sie "Zur Ressource wechseln" aus, und kopieren Sie dann die Werte für Abonnement - und Client-ID , die in anstehenden Schritten verwendet werden sollen.

5. Navigieren Sie zu "Einstellungseigenschaften>", und kopieren Sie den Mandanten-ID-Wert Ihrer verwalteten Identität zur späteren Verwendung.

Zugriffsrichtlinien für den Schlüsseltresor einrichten

1. Navigieren Sie zu Azure-Portal, und verwenden Sie die Suchleiste, um den zuvor erstellten Schlüsseltresor zu finden.

2. Wählen Sie Access-Richtlinien und dann " Erstellen" aus, um eine neue Richtlinie hinzuzufügen.

3. Aktivieren Sie unter "Geheime Berechtigungen" die Kontrollkästchen "Abrufen" und "Auflisten".

4. Wählen Sie "Weiter" aus, und fügen Sie dann die Client-ID der zuvor erstellten verwalteten Identität in die Suchleiste ein. Wählen Sie Verwaltete Identität aus.

5. Wählen Sie "Weiter" und dann "Weiter" aus.

6. Überprüfen Sie Ihre neuen Richtlinien, und wählen Sie dann " Erstellen" aus, wenn Sie fertig sind.

Erstellen einer Dienstverbindung

1. Melden Sie sich bei Ihrer Azure DevOps-Organisation an, und navigieren Sie dann zu Ihrem Projekt.

2. Wählen Sie Projekteinstellungen>Serviceverbindungen, und wählen Sie dann Neue Serviceverbindung, um eine neue Serviceverbindung zu erstellen.

3. Wählen Sie Azure Resource Manager und dann "Weiter" aus.

4. Wählen Sie für den Identitätstyp im Dropdownmenü verwaltete Identität aus.

5. Füllen Sie für Schritt 1: Details zur verwalteten Identität die Felder wie folgt aus:

   • Abonnement für verwaltete Identität: Wählen Sie das Abonnement aus, das Ihre verwaltete Identität enthält.

   • Ressourcengruppe für verwaltete Identität: Wählen Sie die Ressourcengruppe aus, die Ihre verwaltete Identität hosten soll.

   • Verwaltete Identität: Wählen Sie Ihre verwaltete Identität aus dem Dropdownmenü aus.

6. Füllen Sie für Schritt 2: Azure Scope die Felder wie folgt aus:

   • Bereichsebene für die Dienstverbindung: Abonnement auswählen.

   • Abonnement für Dienstverbindung: Wählen Sie das Abonnement aus, auf das Ihre verwaltete Identität zugreift.

   • Ressourcengruppe für Dienstverbindung: (Optional) Geben Sie an, dass der Zugriff auf verwaltete Identitäten auf eine Ressourcengruppe beschränkt werden soll.

7. Für Schritt 3: Dienstverbindungsdetails:

   • Dienstverbindungsname: Geben Sie einen Namen für Ihre Dienstverbindung an.

   • Dienstverwaltungsreferenz: (Optional) Kontextinformationen aus einer ITSM-Datenbank.

   • Beschreibung: (Optional) Fügen Sie eine Beschreibung hinzu.

8. Aktivieren Sie in "Sicherheit" das Kontrollkästchen "Zugriffsberechtigung für alle Pipelines erteilen", damit alle Pipelines diese Dienstverbindung verwenden können. Wenn Sie diese Option nicht auswählen, müssen Sie manuell Zugriff auf jede Pipeline gewähren, die diese Dienstverbindung verwendet.

9. Wählen Sie Speichern aus, um die Dienstverbindung zu überprüfen und zu erstellen.

   

Dienstprinzipal

Zugriffsrichtlinien für den Schlüsseltresor einrichten

Um auf Ihren Azure Key Vault zuzugreifen, müssen Sie zuerst einen Dienstprinzipal einrichten, um Zugriff auf Azure-Pipelines zu gewähren:

1. Erstellen eines Dienstprinzipals

2. Navigieren Sie zu Azure-Portal, und verwenden Sie dann die Suchleiste, um den zuvor erstellten Schlüsseltresor zu finden.

3. Wählen Sie Access-Richtlinien und dann "Erstellen" aus.

4. Fügen Sie unter "Geheime Berechtigungen" die Berechtigungen "Abrufen" und "Liste" hinzu, und wählen Sie dann "Weiter" aus.

5. Fügen Sie für "Prinzipal" die Objekt-ID des Dienstprinzipals ein, wählen Sie sie aus, und wählen Sie dann "Weiter" aus.

6. Wählen Sie "Weiter" aus, überprüfen Sie Ihre Richtlinien, und wählen Sie dann "Speichern" aus, wenn Sie fertig sind.

Rollenzuweisung hinzufügen

Im nächsten Schritt erstellen Sie eine ARM-Dienstverbindung für Ihren Dienstprinzipal. Bevor Sie die Verbindung überprüfen, müssen Sie: (1) dem Dienstprinzipal Lesezugriff auf Abonnementebene gewähren und (2) eine Verbundanmeldeinformationen für Ihren Dienstprinzipal erstellen.

In den folgenden Schritten wird beschrieben, wie Lesezugriff auf Abonnementebene gewährt wird:

1. Navigieren Sie zu Azure-Portal, wählen Sie "Abonnements" aus, und suchen Sie dann Ihr Abonnement, und wählen Sie es aus.

2. Wählen Sie Zugriffskontrolle, und wählen Sie dann Hinzufügen>Rollenzuweisung hinzufügen.

3. Wählen Sie Reader unter der Registerkarte Role und dann Next.

4. Wählen Sie Benutzer-, Gruppen- oder Dienstprinzipal, und wählen Sie dann Mitglieder auswählen.

5. Fügen Sie die Objekt-ID des Dienstprinzipals in die Suchleiste ein, wählen Sie sie aus, und wählen Sie dann "Auswählen" aus.

6. Wählen Sie Überprüfen + Zuweisen, überprüfen Sie Ihre Einstellungen und wählen Sie dann erneut Überprüfen + Zuweisen, um Ihre Auswahl zu bestätigen und die Rollenzuweisung hinzuzufügen.

Erstellen einer Dienstverbindung

1. Melden Sie sich bei Ihrer Azure DevOps-Organisation an, und navigieren Sie dann zu Ihrem Projekt.

2. Wählen Sie Projekteinstellungen (Project settings) und dann Dienstverbindungen (Service Connections) aus.

3. Wählen Sie Neue Dienstverbindung, Azure Resource Manager und anschließend Weiter aus.

4. Wählen Sie Dienstprinzipal (manuell) und dann Weiter aus.

5. Wählen Sie für den Identitätstyp die App-Registrierung oder verwaltete Identität (manuell) im Dropdownmenü aus.

6. Wählen Sie für Anmeldeinformationen den Workload-Identitätsverbund aus.

7. Geben Sie einen Namen für Ihre Dienstverbindung an, und wählen Sie dann "Weiter" aus.

8. Wählen Sie Azure Cloud for Environment und Abonnement für den Abonnementbereich aus.

9. Geben Sie Ihre Azure-Abonnement-ID und Ihren Abonnementnamen ein.

10. Fügen Sie für die Authentifizierung die Anwendungs-ID (Client-ID) des Dienstprinzipals und die Verzeichnis-ID (Mandant) ihres Dienstprinzipals ein.

11. Aktivieren Sie unter "Sicherheit" das Kontrollkästchen "Zugriffsberechtigung für alle Pipelines erteilen", damit alle Pipelines diese Dienstverbindung verwenden können. Wenn Sie diese Option nicht auswählen, müssen Sie manuell Zugriff auf jede Pipeline gewähren, die diese Dienstverbindung verwendet.

12. Lassen Sie dieses Fenster geöffnet, und Sie kehren zurück, um Ihre Dienstverbindung zu überprüfen und zu speichern, nachdem Sie die Verbundanmeldeinformationen in Azure erstellt haben.

Erstellen einer Dienstprinzipal-Verbundanmeldeinformationen

1. Navigieren Sie zu Azure-Portal, geben Sie dann die ClientID Ihres Dienstprinzipals in die Suchleiste ein, und wählen Sie dann Ihre Anwendung aus.

2. Wählen Sie unter "Verwalten" die Option "Zertifikate und geheime>Partneranmeldeinformationen" aus.

3. Wählen Sie "Anmeldeinformationen hinzufügen" und dann für das Verbundanmeldeinformationsszenario "Andere Aussteller" aus.

4. Fügen Sie für Aussteller den Aussteller ein, den Sie zuvor aus Ihrer Dienstverbindung kopiert haben.

5. Fügen Sie für den Antragstellerbezeichner den Betreffbezeichner ein, den Sie zuvor aus Ihrer Dienstverbindung kopiert haben.

6. Geben Sie einen Namen für Ihre Verbundanmeldeinformationen ein, und wählen Sie dann "Hinzufügen" aus, wenn Sie fertig sind.

7. Kehren Sie zu Ihrem Dienstverbindungsfenster zurück, wählen Sie " Überprüfen" und "Speichern " aus, um Ihre Dienstverbindung zu speichern.

Zugreifen auf Schlüsseltresorschlüssel aus Ihrer Pipeline

YAML

1. Melden Sie sich bei Ihrer Azure DevOps-Organisation an, und navigieren Sie dann zu Ihrem Projekt.

2. Wählen Sie Pipelines und dann Neue Pipeline aus.

3. Wählen Sie Azure Repos Git (YAML), und wählen Sie dann Ihr Repository.

4. Wählen Sie die Vorlage Startpipeline aus.

5. Die Standardpipeline enthält ein Skript, das Echo-Befehle ausführt. Diese werden nicht benötigt, sie können also gelöscht werden.

6. Fügen Sie die Aufgabe AzureKeyVault hinzu und ersetzen Sie die Platzhalter durch den Namen der zuvor erstellten Dienstverbindung und den Namen Ihres Schlüsseltresors. Ihre YAML-Datei sollte etwa so aussehen wie der folgende Ausschnitt:

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   

7. Fügen wir die folgenden Aufgaben hinzu, um unser Geheimnis zu kopieren und zu veröffentlichen. Dieses Beispiel dient nur zu Demonstrationszwecken und sollte nicht in einer Produktionsumgebung eingesetzt werden.

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   
   - task: CmdLine@2
     displayName: Create file
     inputs:
       script: 'echo $(SECRET_NAME) > secret.txt'
   
   - task: CopyFiles@2
     displayName: Copy file
     inputs:
       Contents: secret.txt
       targetFolder: '$(Build.ArtifactStagingDirectory)'
   
   - task: PublishBuildArtifacts@1
     displayName: Publish Artifact
     inputs:
       PathtoPublish: '$(Build.ArtifactStagingDirectory)'
       ArtifactName: 'drop'
       publishLocation: 'Container'
   

8. Wählen Sie Speichern und ausführen, und wählen Sie es dann noch einmal, um Ihre Änderungen zu bestätigen und die Pipeline zu starten. Möglicherweise werden Sie aufgefordert, der Pipeline den Zugriff auf Azure-Ressourcen zu gewähren. Wählen Sie bei entsprechender Aufforderung Zulassen aus. Sie müssen Ihre Pipeline nur einmal genehmigen.

9. Wählen Sie die CmdLine-Aufgabe aus, um die Protokolle anzuzeigen.

   

10. Wenn die Pipelineausführung abgeschlossen ist, kehren Sie zur Pipelinezusammenfassung zurück und wählen das veröffentlichte Artefakt aus.

    

11. Wählen Sie drop>secret.txt, um sie herunterzuladen.

    

12. Öffnen Sie die Textdatei, die Sie gerade heruntergeladen haben. Die Textdatei sollte das Geheimnis aus Ihrem Azure-Schlüsseltresor enthalten.

Klassisch

1. Melden Sie sich bei Ihrer Azure DevOps-Organisation an, und navigieren Sie dann zu Ihrem Projekt.

2. Wählen Sie Pipelines und dann Neue Pipeline aus.

3. Wählen Sie Klassischen Editor verwenden, um eine klassische Pipeline zu erstellen.

4. Wählen Sie Azure Repos Git, wählen Sie Ihr Repository und Ihren Standardzweig und wählen Sie dann Weiter.

5. Wählen Sie die .NET Desktop-Pipelinevorlage aus.

6. Für dieses Beispiel benötigen wir nur die letzten beiden Aufgaben. Drücken Sie STRG, und wählen Sie dann die ersten fünf Aufgaben aus, klicken Sie mit der rechten Maustaste, und wählen Sie Ausgewählte Aufgabe(n) entfernen aus, um sie zu löschen.

   

7. Wählen Sie + aus, um eine neue Aufgabe hinzuzufügen. Suchen Sie nach der Aufgabe Command line, wählen Sie sie aus, und wählen Sie dann Add, um sie Ihrer Pipeline hinzuzufügen. Nach dem Hinzufügen konfigurieren Sie ihn wie folgt:

   • Name anzeigen: Datei erstellen
   • Skript: echo $(SECRET_NAME) > secret.txt

   

8. Wählen Sie + aus, um eine neue Aufgabe hinzuzufügen. Suchen Sie nach der Aufgabe Azure Key Vault, wählen Sie sie aus und wählen Sie dann Add*, um sie zu Ihrer Pipeline hinzuzufügen. Nach dem Hinzufügen konfigurieren Sie ihn wie folgt:

   • Name anzeigen: Azure Key Vault
   • Azure-Abonnement: Wählen Sie die Dienstverbindung aus, die Sie zuvor erstellt haben.
   • Schlüsseltresor: Wählen Sie Ihren Schlüsseltresor
   • Geheimnisfilter: Eine durch Kommata getrennte Liste von Geheimnamen oder lassen Sie * stehen, um alle Geheimnisse aus dem ausgewählten Schlüsseltresor herunterzuladen

   

9. Wählen Sie die Aufgabe Dateien kopieren und füllen Sie die erforderlichen Felder wie folgt aus:

   • Name anzeigen: Datei kopieren
   • Inhalt: secret.txt
   • Zielordner: $(build.artifactstagingdirectory)

   

10. Wählen Sie die Aufgabe Publish Artifacts und füllen Sie die erforderlichen Felder wie folgt aus:

    • Name anzeigen: Artefakt veröffentlichen
    • Pfad zur Veröffentlichung: $(build.artifactstagingdirectory)
    • Artefaktname: Drop
    • Artefaktveröffentlichungsort: Azure-Pipelines

    

11. Wählen Sie Speichern und in die Warteschlange stellen, und wählen Sie dann Ausführen, um Ihre Pipeline auszuführen.

12. Wenn die Pipelineausführung abgeschlossen ist, kehren Sie zur Pipelinezusammenfassung zurück und wählen das veröffentlichte Artefakt aus.

13. Wählen Sie drop>secret.txt zum Herunterladen des veröffentlichten Artefakts.

    

14. Öffnen Sie die Textdatei, die Sie gerade heruntergeladen haben. Die Textdatei sollte das Geheimnis aus Ihrem Azure-Schlüsseltresor enthalten.

Warnung

Dieses Tutorial dient nur zu Lernzwecken. Informationen zu bewährten Sicherheitsmethoden und zum sicheren Arbeiten mit Geheimnissen finden Sie unter Verwalten von Geheimnissen in Ihren Server-Apps mit Azure Key Vault.

Bereinigen von Ressourcen

Führen Sie die folgenden Schritte aus, um die von Ihnen erstellten Ressourcen zu löschen:

1. Wenn Sie eine neue Organisation für Ihr Projekt erstellt haben, lesen Sie , wie Sie Ihre Organisation löschen, andernfalls löschen Sie Ihr Projekt.

2. Alle Azure-Ressourcen, die in diesem Tutorial erstellt werden, werden unter einer einzigen Ressourcengruppe gehostet. Führen Sie den folgenden Befehl aus, um Ihre Ressourcengruppe und alle darin enthaltenen Ressourcen zu löschen.

   az group delete --name <YOUR_RESOURCE_GROUP_NAME>
   

Häufig gestellte Fragen

F: Ich erhalte die folgende Fehlermeldung: „Der Benutzer oder die Gruppe verfügt nicht über die Berechtigung für die Geheimnisliste.“ Was soll ich tun?

A: Wenn ein Fehler auftritt, der angibt, dass der Benutzer oder die Gruppe nicht über die Berechtigung für die Geheimnisliste für einen Schlüsseltresor verfügt, führen Sie die folgenden Befehle aus, um Ihre Anwendung für den Zugriff auf den Schlüssel oder das Geheimnis im Azure Key Vault zu autorisieren.

az account set --subscription <YOUR_SUBSCRIPTION_ID>

az login

$spnObjectId = az ad sp show --id <YOUR_SERVICE_PRINCIPAL_ID>

az keyvault set-policy --name <YOUR_KEY_VAULT_NAME> --object-id $spnObjectId --secret-permissions get list

Verwandte Artikel

• Veröffentlichen und Herunterladen von Pipelineartefakten
• Releaseartefakte und Artefaktquellen
• Verwendung von Gates und Genehmigungen zur Kontrolle des Einsatzes