Uso de secretos de Azure Key Vault en Azure Pipelines

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

Con Azure Key Vault, puede almacenar y administrar de forma segura la información confidencial, como contraseñas, claves de API, certificados, etc. Con Azure Key Vault, puede crear y administrar fácilmente claves de cifrado para cifrar los datos. Azure Key Vault también se puede usar para administrar certificados de todos los recursos. En este artículo, aprenderá a:

• Cree un almacén de Azure Key Vault.
• Configure los permisos de Key Vault.
• Cree una nueva conexión de servicio.
• Consulte los secretos de la canalización de Azure.

Requisitos previos

• Una organización de Azure DevOps. Si aún no tiene un proyecto, cree uno gratis.
• Su propio proyecto. Si aún no tiene un proyecto, cree uno.
• Su propio repositorio. Si aún no tiene un repositorio de Git, cree uno.
• Suscripción a Azure. Si aún no tiene una cuenta de Azure gratuita, cree una.

Creación de un almacén de claves

Azure Portal

1. Inicie sesión en Azure Portal y seleccione Crear un recurso.

2. En Key Vault, seleccione Crear para crear una instancia de Azure Key Vault.

3. Seleccione la suscripción en el menú desplegable y, a continuación, seleccione un grupo de recursos existente o cree uno nuevo. Escriba un nombre de almacén de claves, seleccione una región, elija un plan de tarifa y seleccione Siguiente si desea configurar propiedades adicionales. De lo contrario, seleccione Revisar y crear para mantener la configuración predeterminada.

4. Una vez finalizada la implementación, seleccione Ir al recurso.

CLI de Azure

1. En primer lugar, establezca la región predeterminada y la suscripción de Azure:

   • Establezca la suscripción predeterminada:

   az account set --subscription <your_subscription_name_or_subscription_ID>
   

   • Establezca la región predeterminada:

   az config set defaults.location=<your_region>
   

2. Cree un nuevo grupo de recursos para hospedar su instancia de Azure Key Vault. Un grupo de recursos es un contenedor que contiene recursos relacionados para una solución de Azure:

   az group create --name <your-resource-group>
   

3. Cree una instancia de Azure Key Vault:

   az keyvault create \
     --name <your-key-vault-name> \
     --resource-group <your-resource-group>
   

Configuración de la autenticación

Identidad administrada

Creación de una identidad administrada asignada por el usuario

1. Inicie sesión en Azure Portal y busque el servicio Identidades administradas en la barra de búsqueda.

2. Seleccione Crear y rellene los campos obligatorios de la siguiente manera:

   • Suscripción: seleccione la suscripción en el menú desplegable.
   • Grupo de recursos: seleccione un grupo de recursos existente o cree uno nuevo.
   • Región: seleccione una región en el menú desplegable.
   • Nombre: Ingrese un nombre para su identidad administrada asignada por el usuario.

3. Seleccione Revisar y crear cuando haya terminado.

4. Una vez completada la implementación, seleccione Ir al recurso y, a continuación, copie los valores de Suscripción e Id. de cliente para usarlos en los próximos pasos.

5. Vaya a Propiedades de configuración>y copie el valor de Id. de inquilino de la identidad administrada para su uso posterior.

Configuración de directivas de acceso al almacén de claves

1. Vaya a Azure Portal y use la barra de búsqueda para buscar el almacén de claves que creó anteriormente.

2. Seleccione Directivas de acceso y, después, Crear para agregar una nueva directiva.

3. En Permisos secretos, active las casillas Obtener y Enumerar .

4. Seleccione Siguiente y pegue el identificador de cliente de la identidad administrada que creó anteriormente en la barra de búsqueda. Seleccione su identidad administrada.

5. Seleccione Siguiente y , una vez más, Siguiente .

6. Revise las nuevas directivas y, a continuación, seleccione Crear cuando haya terminado.

Creación de una conexión de servicio

1. Inicie sesión en su organización de Azure DevOps y vaya a su proyecto.

2. Seleccione Configuración del proyecto>Conexiones de servicio y, a continuación, seleccione Nueva conexión de servicio para crear una nueva conexión de servicio.

3. Seleccione Azure Resource Manager y, después, siguiente.

4. En Tipo de identidad, seleccione Identidad administrada en el menú desplegable.

5. Para el paso 1: Detalles de la identidad administrada, rellene los campos como se indica a continuación:

   • Suscripción para identidad administrada: seleccione la suscripción que contiene la identidad administrada.

   • Grupo de recursos para identidad administrada: seleccione el grupo de recursos que hospeda la identidad administrada.

   • Identidad administrada: seleccione la identidad administrada en el menú desplegable.

6. Para el paso 2: Ámbito de Azure, rellene los campos como se indica a continuación:

   • Nivel de ámbito para la conexión de servicio: seleccione Suscripción.

   • Suscripción para la conexión de servicio: seleccione la suscripción a la que accederá la identidad administrada.

   • Grupo de recursos para conexión de servicio: (opcional) Especifique para limitar el acceso de identidad administrada a un grupo de recursos.

7. Para el paso 3: Detalles de conexión del servicio:

   • Nombre de la conexión de servicio: proporcione un nombre para la conexión de servicio.

   • Referencia de administración de servicios: (opcional) Información de contexto de una base de datos ITSM.

   • Descripción: (opcional) Agregue una descripción.

8. En Seguridad, active la casilla Conceder permiso de acceso a todas las canalizaciones para permitir que todas las canalizaciones usen esta conexión de servicio. Si no selecciona esta opción, debe conceder manualmente acceso a cada canalización que use esta conexión de servicio.

9. Seleccione Guardar para validar y crear la conexión de servicio.

   

Entidad de seguridad de servicio

Creación de una entidad de servicio

En este paso, crearemos una nueva entidad de servicio en Azure, lo que nos permitirá consultar nuestra instancia de Azure Key Vault desde Azure Pipelines.

1. Vaya a Azure Portal y seleccione el> icono _ en la barra de menús para abrir Cloud Shell.

2. Seleccione PowerShell o déjelo como Bash según sus preferencias.

3. Ejecute el comando siguiente para crear una entidad de servicio:

   az ad sp create-for-rbac --name YOUR_SERVICE_PRINCIPAL_NAME
   

4. La salida debe coincidir con el ejemplo siguiente. Asegúrese de copiar la salida del comando, ya que la necesitará para crear la conexión de servicio en el próximo paso.

   {
     "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "displayName": "MyServicePrincipal",
     "password": "***********************************",
     "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
   }
   

Creación de una conexión de servicio

1. Inicie sesión en su organización de Azure DevOps y vaya a su proyecto.

2. Seleccione Configuración del proyecto y, a continuación, Conexiones de servicio.

3. Seleccione Nueva conexión de servicio, luego, seleccione Azure Resource Manager y, por último, Siguiente.

4. Seleccione Entidad de servicio (manual), y a continuación, seleccione Siguiente.

5. En Tipo de identidad, seleccione Registro de aplicaciones o identidad administrada (manual) en el menú desplegable.

6. En Credencial*, seleccione Federación de identidades de carga de trabajo.

7. Proporcione un nombre para la conexión de servicio y, a continuación, seleccione Siguiente.

8. Copie el emisor y el identificador del firmante, ya que lo necesitaremos en el paso siguiente.

9. Seleccione Azure Cloud for Environment (Nube de Azure para entorno) y Subscription (Suscripción) para el ámbito de suscripción.

10. Escriba el identificador de suscripción de Azure y el nombre de la suscripción.

11. En Autenticación, pegue el identificador de aplicación (cliente) de la entidad de servicio y el identificador de directorio (inquilino) de la entidad de servicio.

12. En Seguridad, active la casilla Conceder permiso de acceso a todas las canalizaciones para permitir que todas las canalizaciones usen esta conexión de servicio. Si no selecciona esta opción, debe conceder manualmente acceso a cada canalización que use esta conexión de servicio.

13. Deje esta opción abierta, volverá a comprobar y guardar una vez que haya creado (1) la credencial federada en Azure y (2) conceda acceso de lectura a la entidad de servicio en el nivel de suscripción.

    

Creación de una credencial federada en Azure

1. Vaya a Azure Portal, escriba clientID de la entidad de servicio en la barra de búsqueda y seleccione la aplicación.

2. En Administrar, seleccione Certificados y secretos>Credenciales federadas.

3. Seleccione Agregar credencial y, después, en Escenario de credenciales federadas, seleccione Otro emisor.

4. En Issuer (Emisor), pegue el emisor que copió de la conexión de servicio anteriormente.

5. En Identificador del firmante, pegue el identificador del firmante que copió de la conexión de servicio anteriormente.

6. Proporcione un nombre para las credenciales federadas y, a continuación, seleccione Agregar cuando haya terminado.

   

Agregar asignación de roles a la suscripción

Para poder comprobar la conexión, debe conceder a la entidad de servicio acceso de lectura en el nivel de suscripción:

1. Vaya a Azure Portal.

2. En Servicio de Azure, seleccione Suscripciones y, a continuación, busque y seleccione su suscripción.

3. Seleccione Control de acceso (IAM) y, después, seleccione Agregar> asignación de roles.

4. Seleccione Lector en la pestaña Rol y, a continuación, seleccione Siguiente.

5. Seleccione Usuario, grupo o entidad de servicio y, después, Seleccionar miembros.

6. En la barra de búsqueda, pegue el identificador de objeto de la entidad de servicio, selecciónelo y haga clic en el botón Seleccionar.

7. Seleccione Revisar y asignar, revise la configuración y, a continuación, seleccione Revisar y asignar una vez más para confirmar las opciones y agregar la asignación de roles.

8. Una vez agregada la asignación de roles. vuelva a la conexión de servicio (en Azure DevOps) para finalmente seleccionar Comprobar y guardar para guardar la conexión de servicio.

Configuración de directivas de acceso de Key Vault

1. Vaya a Azure Portal, busque el almacén de claves que creó anteriormente y seleccione Directivas de acceso.

2. Seleccione Crear y, en Permisos secretos, agregue los permisos Obtener y Enumerar y, a continuación, seleccione Siguiente.

3. En Entidad de seguridad, pegue el identificador de objeto de la entidad de servicio, selecciónelo y, a continuación, seleccione Siguiente.

4. Seleccione Siguiente una vez más, revise la configuración y, a continuación, seleccione Guardar cuando haya terminado.

Consulta y uso de secretos en la canalización

Con la tarea Azure Key Vault podemos capturar el valor de nuestro secreto y usarlo en las tareas subsiguientes de nuestra canalización. Algo que hay que tener en cuenta es que los secretos se deben asignar explícitamente a la variable env, como se muestra en el ejemplo siguiente.

pool:
  vmImage: 'ubuntu-latest'

steps:
- task: AzureKeyVault@1
  inputs:
    azureSubscription: 'SERVICE_CONNECTION_NAME'
    KeyVaultName: 'KEY_VAULT_NAME'
    SecretsFilter: '*'

- bash: |
    echo "Secret Found! $MY_MAPPED_ENV_VAR"        
  env:
    MY_MAPPED_ENV_VAR: $(SECRET_NAME)

La salida del último comando Bash debe tener este aspecto:

Secret Found! ***

Nota:

Si quiere consultar varios secretos de su instancia de Azure Key Vault, use el argumento SecretsFilter para pasar una lista separada por comas de nombres de secretos: "secret1, secret2".

Contenido relacionado

• Administrar conexiones de servicio
• Definición de variables
• Publicación de artefactos de canalización