Verwenden von Geheimnissen aus Azure Key Vault in Ihrer Pipeline

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

Mit Azure Key Vault können Sie Ihre vertraulichen Informationen wie Kennwörter, API-Schlüssel, Zertifikate usw. sicher speichern und verwalten. Mit Azure Key Vault können Sie ganz einfach Verschlüsselungsschlüssel erstellen und verwalten, um Ihre Daten zu verschlüsseln. Azure Key Vault kann auch zum Verwalten von Zertifikaten für alle Ihre Ressourcen verwendet werden. In diesem Artikel lernen Sie Folgendes:

• Erstellen Sie eine Azure Key Vault-Instanz.
• Konfigurieren Sie Ihre Key Vault-Berechtigungen.
• Erstellen Sie eine neue Dienstverbindung.
• Fragen Sie geheime Schlüssel aus Ihrer Azure-Pipeline ab.

Voraussetzungen

• Eine Azure DevOps-Organisation. Wenn Sie noch nicht über ein Projekt verfügen, erstellen Sie es kostenlos.
• Ihr Projekt. Erstellen Sie ein Projekt, wenn Sie noch keines haben.
• Ihr eigenes Repository. Erstellen Sie ein neues Git Repo , falls Sie noch keinen besitzen.
• Ein Azure-Abonnement. Erstellen Sie ein kostenloses Azure-Konto, wenn Sie noch keines besitzen.

Erstellen eines Schlüsseltresors

Azure portal

1. Melden Sie sich beim Azure-Portal an, und wählen Sie dann "Ressource erstellen" aus.

2. Wählen Sie unter "Key Vault" die Option "Erstellen" aus, um einen neuen Azure Key Vault zu erstellen.

3. Wählen Sie Im Dropdownmenü Ihr Abonnement aus, und wählen Sie dann eine vorhandene Ressourcengruppe aus, oder erstellen Sie eine neue. Geben Sie einen Schlüsseltresornamen ein, wählen Sie eine Region aus, wählen Sie eine Preisstufe und dann "Weiter" aus, wenn Sie zusätzliche Eigenschaften konfigurieren möchten. Wählen Sie andernfalls " Überprüfen+ erstellen " aus, um die Standardeinstellungen beizubehalten.

4. Klicken Sie nach Abschluss der Bereitstellung auf Zu Ressource wechseln.

Azure-Befehlszeilenschnittstelle

1. Legen Sie zunächst Ihre Standardregion und Ihr Azure-Abonnement fest:

   • Standardabonnement einrichten:

   az account set --subscription <your_subscription_name_or_subscription_ID>
   

   • Standardregion einstellen:

   az config set defaults.location=<your_region>
   

2. Hiermit erstellen Sie eine neue Ressourcengruppe zum Hosten Ihres Schlüsseltresors. Eine Ressourcengruppe ist ein Container, der verwandte Ressourcen für eine Azure-Lösung enthält:

   az group create --name <your-resource-group>
   

3. Erstellen eines neuen Azure Key Vault:

   az keyvault create \
     --name <your-key-vault-name> \
     --resource-group <your-resource-group>
   

Authentifizierung einrichten

Verwaltete Identität

Erstellen einer benutzerseitig zugewiesenen verwalteten Identität

1. Melden Sie sich bei der Azure-Portal an, und suchen Sie dann in der Suchleiste nach dem Dienst für verwaltete Identitäten.

2. Wählen Sie "Erstellen" aus, und füllen Sie die erforderlichen Felder wie folgt aus:

   • Abonnement: Wählen Sie Ihr Abonnement im Dropdownmenü aus.
   • Ressourcengruppe: Wählen Sie eine vorhandene Ressourcengruppe aus, oder erstellen Sie eine neue.
   • Region: Wählen Sie im Dropdownmenü eine Region aus.
   • Name: Geben Sie einen Namen für Ihre vom Benutzer zugewiesene verwaltete Identität ein.

3. Wenn Sie fertig sind, wählen Sie Überprüfen + Erstellen aus.

4. Nachdem die Bereitstellung abgeschlossen ist, wählen Sie "Zur Ressource wechseln" aus, und kopieren Sie dann die Werte für Abonnement - und Client-ID , die in anstehenden Schritten verwendet werden sollen.

5. Navigieren Sie zu "Einstellungseigenschaften>", und kopieren Sie den Mandanten-ID-Wert Ihrer verwalteten Identität zur späteren Verwendung.

Zugriffsrichtlinien für den Schlüsseltresor einrichten

1. Navigieren Sie zu Azure-Portal, und verwenden Sie die Suchleiste, um den zuvor erstellten Schlüsseltresor zu finden.

2. Wählen Sie Access-Richtlinien und dann " Erstellen" aus, um eine neue Richtlinie hinzuzufügen.

3. Aktivieren Sie unter "Geheime Berechtigungen" die Kontrollkästchen "Abrufen" und "Auflisten".

4. Wählen Sie "Weiter" aus, und fügen Sie dann die Client-ID der zuvor erstellten verwalteten Identität in die Suchleiste ein. Wählen Sie Verwaltete Identität aus.

5. Wählen Sie "Weiter" und dann "Weiter" aus.

6. Überprüfen Sie Ihre neuen Richtlinien, und wählen Sie dann " Erstellen" aus, wenn Sie fertig sind.

Erstellen einer Dienstverbindung

1. Melden Sie sich bei Ihrer Azure DevOps-Organisation an, und navigieren Sie dann zu Ihrem Projekt.

2. Wählen Sie Projekteinstellungen>Serviceverbindungen, und wählen Sie dann Neue Serviceverbindung, um eine neue Serviceverbindung zu erstellen.

3. Wählen Sie Azure Resource Manager und dann "Weiter" aus.

4. Wählen Sie für den Identitätstyp im Dropdownmenü verwaltete Identität aus.

5. Füllen Sie für Schritt 1: Details zur verwalteten Identität die Felder wie folgt aus:

   • Abonnement für verwaltete Identität: Wählen Sie das Abonnement aus, das Ihre verwaltete Identität enthält.

   • Ressourcengruppe für verwaltete Identität: Wählen Sie die Ressourcengruppe aus, die Ihre verwaltete Identität hosten soll.

   • Verwaltete Identität: Wählen Sie Ihre verwaltete Identität aus dem Dropdownmenü aus.

6. Füllen Sie für Schritt 2: Azure Scope die Felder wie folgt aus:

   • Bereichsebene für die Dienstverbindung: Abonnement auswählen.

   • Abonnement für Dienstverbindung: Wählen Sie das Abonnement aus, auf das Ihre verwaltete Identität zugreift.

   • Ressourcengruppe für Dienstverbindung: (Optional) Geben Sie an, dass der Zugriff auf verwaltete Identitäten auf eine Ressourcengruppe beschränkt werden soll.

7. Für Schritt 3: Dienstverbindungsdetails:

   • Dienstverbindungsname: Geben Sie einen Namen für Ihre Dienstverbindung an.

   • Dienstverwaltungsreferenz: (Optional) Kontextinformationen aus einer ITSM-Datenbank.

   • Beschreibung: (Optional) Fügen Sie eine Beschreibung hinzu.

8. Aktivieren Sie in "Sicherheit" das Kontrollkästchen "Zugriffsberechtigung für alle Pipelines erteilen", damit alle Pipelines diese Dienstverbindung verwenden können. Wenn Sie diese Option nicht auswählen, müssen Sie manuell Zugriff auf jede Pipeline gewähren, die diese Dienstverbindung verwendet.

9. Wählen Sie Speichern aus, um die Dienstverbindung zu überprüfen und zu erstellen.

   

Dienstprinzipal

Erstellen eines Dienstprinzipals

In diesem Schritt erstellen wir einen neuen Dienstprinzipal in Azure, sodass wir unseren Azure Key Vault aus Azure-Pipelines abfragen können.

1. Navigieren Sie zu Azure-Portal, und wählen Sie dann das >_-Symbol in der Menüleiste aus, um die Cloud Shell zu öffnen.

2. Wählen Sie PowerShell aus, oder belassen Sie es bei Bash, je nachdem, was Sie bevorzugen.

3. Führen Sie den folgenden Befehl aus, um einen neuen Dienstprinzipal zu erstellen:

   az ad sp create-for-rbac --name YOUR_SERVICE_PRINCIPAL_NAME
   

4. Die Ausgabe sollte mit dem folgenden Beispiel übereinstimmen. Kopieren Sie unbedingt die Ausgabe des Befehls, da sie zum Erstellen der Dienstverbindung im nächsten Schritt erforderlich ist.

   {
     "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "displayName": "MyServicePrincipal",
     "password": "***********************************",
     "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
   }
   

Erstellen einer Dienstverbindung

1. Melden Sie sich bei Ihrer Azure DevOps-Organisation an, und navigieren Sie dann zu Ihrem Projekt.

2. Wählen Sie Projekteinstellungen (Project settings) und dann Dienstverbindungen (Service Connections) aus.

3. Wählen Sie Neue Dienstverbindung, Azure Resource Manager und anschließend Weiter aus.

4. Wählen Sie Dienstprinzipal (manuell) und dann Weiter aus.

5. Wählen Sie für den Identitätstyp die App-Registrierung oder verwaltete Identität (manuell) im Dropdownmenü aus.

6. Wählen Sie für Anmeldeinformationen* die Option "Workload-Identitätsverbund" aus.

7. Geben Sie einen Namen für Ihre Dienstverbindung an, und wählen Sie dann "Weiter" aus.

8. Kopieren Sie den Aussteller und den Antragstellerbezeichner , da wir ihn im nächsten Schritt benötigen.

9. Wählen Sie Azure Cloud for Environment und Abonnement für den Abonnementbereich aus.

10. Geben Sie Ihre Azure-Abonnement-ID und Ihren Abonnementnamen ein.

11. Fügen Sie für die Authentifizierung die Anwendungs-ID (Client-ID) des Dienstprinzipals und die Verzeichnis-ID (Mandant) ihres Dienstprinzipals ein.

12. Aktivieren Sie unter "Sicherheit" das Kontrollkästchen "Zugriffsberechtigung für alle Pipelines erteilen", damit alle Pipelines diese Dienstverbindung verwenden können. Wenn Sie diese Option nicht auswählen, müssen Sie manuell Zugriff auf jede Pipeline gewähren, die diese Dienstverbindung verwendet.

13. Lassen Sie diesen Vorgang geöffnet, und Sie kehren zurück, um zu überprüfen und zu speichern, nachdem Sie (1) die Verbundanmeldeinformationen in Azure erstellt haben und (2) Ihrem Dienstprinzipal Lesezugriff auf Abonnementebene gewährt haben.

    

Erstellen von Verbundanmeldeinformationen in Azure

1. Navigieren Sie zu Azure-Portal, geben Sie dann die ClientID Ihres Dienstprinzipals in die Suchleiste ein, und wählen Sie dann Ihre Anwendung aus.

2. Wählen Sie unter "Verwalten" die Option "Zertifikate und geheime>Partneranmeldeinformationen" aus.

3. Wählen Sie "Anmeldeinformationen hinzufügen" und dann für das Verbundanmeldeinformationsszenario "Andere Aussteller" aus.

4. Fügen Sie für Aussteller den Aussteller ein, den Sie zuvor aus Ihrer Dienstverbindung kopiert haben.

5. Fügen Sie für den Antragstellerbezeichner den Betreffbezeichner ein, den Sie zuvor aus Ihrer Dienstverbindung kopiert haben.

6. Geben Sie einen Namen für Ihre Verbundanmeldeinformationen ein, und wählen Sie dann "Hinzufügen" aus, wenn Sie fertig sind.

   

Hinzufügen von Rollenzuweisungen zu Ihrem Abonnement

Bevor Sie die Verbindung überprüfen können, müssen Sie dem Dienstprinzipal Lesezugriff auf Abonnementebene gewähren:

1. Navigieren Sie zu Azure-Portal

2. Wählen Sie unter Azure-Dienst "Abonnements" und dann Ihr Abonnement aus, und wählen Sie es aus.

3. Wählen Sie Zugriffssteuerung (IAM) und anschließend Hinzufügen>Rollenzuweisung hinzufügen aus.

4. Wählen Sie Reader unter der Registerkarte Role und dann Next.

5. Wählen Sie Benutzer-, Gruppen- oder Dienstprinzipal, und wählen Sie dann Mitglieder auswählen.

6. Fügen Sie in der Suchleiste die Objekt-ID des Dienstprinzipals ein, wählen Sie sie aus, und klicken Sie dann auf die Schaltfläche "Auswählen".

7. Wählen Sie Überprüfen + Zuweisen, überprüfen Sie Ihre Einstellungen und wählen Sie dann erneut Überprüfen + Zuweisen, um Ihre Auswahl zu bestätigen und die Rollenzuweisung hinzuzufügen.

8. Sobald die Rollenzuweisung hinzugefügt wurde. wechseln Sie zurück zu Ihrer Dienstverbindung (in Azure DevOps), um schließlich "Überprüfen" und "Speichern" auszuwählen, um Ihre Dienstverbindung zu speichern.

Konfigurieren von Zugriffsrichtlinien für den Schlüsseltresor

1. Navigieren Sie zu Azure-Portal, suchen Sie den zuvor erstellten Schlüsseltresor, und wählen Sie dann Access-Richtlinien aus.

2. Wählen Sie "Erstellen" aus, und fügen Sie dann unter "Geheime Berechtigungen" die Berechtigungen "Abrufen" und "Liste" hinzu, und wählen Sie dann "Weiter" aus.

3. Fügen Sie unter "Prinzipal" die Objekt-ID des Dienstprinzipals ein, wählen Sie sie aus, und wählen Sie dann "Weiter" aus.

4. Wählen Sie "Weiter" aus, überprüfen Sie Ihre Einstellungen, und wählen Sie dann "Speichern" aus, wenn Sie fertig sind.

Abfragen und Verwenden von Geheimnissen in Ihrer Pipeline

Mithilfe der Azure Key Vault-Aufgabe können wir den Wert unseres Geheimnisses abrufen und in nachfolgenden Aufgaben in unserer Pipeline verwenden. Beachten Sie unter anderem, dass Geheimnisse explizit der env-Variablen zugeordnet werden müssen, wie im folgenden Beispiel gezeigt.

pool:
  vmImage: 'ubuntu-latest'

steps:
- task: AzureKeyVault@1
  inputs:
    azureSubscription: 'SERVICE_CONNECTION_NAME'
    KeyVaultName: 'KEY_VAULT_NAME'
    SecretsFilter: '*'

- bash: |
    echo "Secret Found! $MY_MAPPED_ENV_VAR"        
  env:
    MY_MAPPED_ENV_VAR: $(SECRET_NAME)

Die Ausgabe dieses Befehls sollte wie folgt aussehen:

Secret Found! ***

Hinweis

Wenn Sie mehrere Geheimnisse aus Ihrem Azure-Key Vault abfragen möchten, verwenden Sie das SecretsFilter Argument, um eine durch Trennzeichen getrennte Liste von Geheimnisnamen zu übergeben: "secret1, secret2".

Zugehöriger Inhalt

• Verwalten von Dienstverbindungen
• Definieren von Variablen
• Veröffentlichen von Pipelineartefakten