Partager via

Accéder à un coffre de clés privé depuis votre pipeline

  • Article

Azure Key Vault offre une solution sécurisée pour gérer les informations d’identification telles que les clés, secrets et certificats avec une sécurité fluide. En utilisant Azure Pipelines, vous pouvez simplifier le processus d’accès et d’utilisation des coffres de clés, rendant facile le stockage et la récupération des informations d’identification.

Dans certains scénarios, les organisations privilégient la sécurité en limitant l’accès aux coffres de clés exclusivement aux réseaux virtuels Azure désignés pour assurer le plus haut niveau de sécurité pour les applications critiques.

Dans ce didacticiel, vous apprendrez à :

  • Créer un principal du service
  • Créer une connexion de service
  • Configurer vos points d’accès entrants
  • Interroger un coffre de clés privé Azure depuis votre pipeline

Prérequis

Accéder à un coffre de clés privé

Azure Pipelines permet aux développeurs de lier un Azure Key Vault à un groupe de variables et d’y mapper des secrets de coffre spécifiques. Un coffre de clés utilisé comme groupe de variables peut être accessible :

  1. Depuis Azure DevOps, lors de la configuration du groupe de variables.

  2. Depuis un agent auto-hébergé, lors de l’exécution du travail du pipeline.

Un diagramme montrant les deux chemins différents pour accéder à un coffre de clés privé.

Créer un principal du service

Commencez par créer un principal de service, ce qui vous permettra d’accéder aux ressources Azure. Ensuite, vous devez créer une connexion de service ARM dans Azure DevOps, puis configurer des informations d’identification fédérées pour votre principal de service dans Azure avant de vérifier et d’enregistrer votre connexion de service dans Azure DevOps.

  1. Accédez au portail Azure.

  2. Ouvrez Cloud Shell à partir de la barre de menus, puis sélectionnez Bash.

  3. Exécutez la commande suivante pour créer un principal de service :

    az ad sp create-for-rbac --name YOUR_SERVICE_PRINCIPAL_NAME

  4. Assurez-vous de copier la sortie, car nous l’utiliserons pour créer la connexion de service dans l’étape suivante.

Créer une connexion de service

  1. Connectez-vous à votre organisation Azure DevOps puis accédez à votre projet.

  2. Sélectionnez Paramètres de projet>Connexions de service>Nouvelle connexion de service.

  3. Sélectionnez Azure Resource Manager, puis sélectionnez Suivant.

  4. Pour Le type d’identité, sélectionnez Inscription d’application (automatique) dans le menu déroulant.

  5. Pour les informations d’identification, conservez la valeur recommandée par défaut : fédération des identités de charge de travail.

  6. Pour le niveau d’étendue, sélectionnez **Abonnement, puis sélectionnez votre abonnement dans le menu déroulant.

  7. Sélectionnez un groupe de ressources si vous souhaitez limiter l’accès au groupe de ressources spécifié uniquement.

  8. Indiquez un nom pour votre connexion de service, puis cochez la case Accorder l’autorisation d’accès à tous les pipelines pour autoriser tous les pipelines à utiliser cette connexion de service.

  9. Lorsque vous avez terminé, sélectionnez Enregistrer.

    Capture d’écran montrant comment configurer une connexion de service ARM pour un principal de service.

Créer des informations d’identification fédérées

  1. Accédez à Portail Azure, entrez l’ID client de votre principal de service dans la barre de recherche, puis sélectionnez votre application.

  2. Sous Gérer, sélectionnez Certificats et informations d’identification fédérées des secrets>.

  3. Sélectionnez Ajouter des informations d’identification, puis, pour le scénario d’informations d’identification fédérées, sélectionnez Autre émetteur.

  4. Pour l’émetteur, collez l’URL suivante en remplaçant l’espace réservé par le GUID de votre organisation. Vous pouvez trouver votre ID d’organisation en accédant aux paramètres>de l’organisation Microsoft Entra> Télécharger la liste des organisations Azure DevOps connectées à votre annuaire.

    https://vstoken.dev.azure.com/<ORGANIZATION_ID>

  5. Pour l’identificateur de l’objet, collez l’URL suivante en remplaçant l’espace réservé par le nom de votre organisation, le nom du projet et le nom de connexion de service.

    sc://ORGANIZATION_NAME/PROJECT_NAME/SERVICE_CONNECTION_NAME

  6. Fournissez un nom pour vos informations d’identification fédérées, puis sélectionnez Ajouter une fois que vous avez terminé.

Créer une connexion de service

  1. Connectez-vous à votre organisation Azure DevOps puis accédez à votre projet.

  2. Sélectionnez Paramètres de projet>Connexions de service>Nouvelle connexion de service.

  3. Sélectionnez Azure Resource Manager, >Suivant, puis sélectionnez Principal de service (manuel)>Suivant.

  4. Sélectionnez Azure Cloud pour Environnement et Abonnement pour le Niveau de portée, puis saisissez votre ID d’abonnement et votre Nom d’abonnement.

  5. Entrez les informations de votre principal de service, puis sélectionnez Vérifier.

  6. Après une vérification réussie, nommez votre connexion de service, ajoutez une description, puis cochez la case Accorder la permission d’accès à tous les pipelines. Sélectionnez Vérifier et enregistrez lorsque vous avez terminé.

Conseil

Si vous ne parvenez pas à vérifier la connexion de votre principal de service, accordez au principal de service un accès Lecteur à votre abonnement.

Créer une connexion de service

  1. Connectez-vous à votre collection Azure DevOps puis accédez à votre projet.

  2. Sélectionnez Paramètres de projet>Connexions de service>Nouvelle connexion de service.

  3. Sélectionnez Azure Resource Manager, nommez votre connexion de service, puis sélectionnez Azure Cloud pour Environnement et Abonnement pour le Niveau d’étendue.

  4. Saisissez votre ID d’abonnement et votre Nom d’abonnement.

  5. Entrez les informations de votre principal de service, puis sélectionnez Vérifier la connexion.

  6. Cochez la case Autoriser tous les pipelines à utiliser cette connexion , puis sélectionnez Ok lorsque vous avez terminé.

Conseil

Si vous ne parvenez pas à vérifier la connexion de votre principal de service, accordez au principal de service un accès Lecteur à votre abonnement.

Accéder à un coffre de clés privé depuis Azure DevOps

Dans cette section, nous explorerons deux méthodes pour accéder à un coffre de clés privé depuis Azure DevOps. Tout d’abord, nous utiliserons les Groupes de Variables pour lier et mapper les secrets de notre coffre de clés, suivi de la configuration de l’accès entrant en autorisant des plages d’IP statiques. Nous établissons l’accès entrant car Azure Pipelines utilise l’IP publique Azure DevOps affichée lors de l’interrogation du Azure Key Vault depuis un Groupe de Variables. Ainsi, en ajoutant des connexions entrantes au pare-feu d’Azure Key Vault, nous pouvons nous connecter avec succès à notre Azure Key Vault.

Pour notre deuxième approche, nous démontrerons l’ajout dynamique de l’adresse IP de l’agent hébergé par Microsoft à la liste autorisée du pare-feu de notre coffre de clés, l’interrogation du coffre de clés, puis la suppression de l’IP après l’achèvement. Cette deuxième approche est à des fins de démonstration et n’est pas l’approche recommandée par Azure Pipelines.

1 - Mapper les secrets du coffre de clés avec un groupe de variables

  1. Connectez-vous à votre organisation Azure DevOps puis accédez à votre projet.

  2. Sélectionnez Pipelines>Bibliothèque, puis sélectionnez + Groupe de variables.

  3. Nommez votre groupe de variables, puis activez le bouton bascule pour activer le bouton Lier les secrets d’un Azure Key Vault en tant que variable.

  4. Sélectionnez la connexion de service que vous avez créée précédemment, sélectionnez votre coffre de clés, puis sélectionnez Autoriser.

  5. Sous Variables, sélectionnez Ajouter pour ajouter votre secret, puis sélectionnez Enregistrer lorsque vous avez terminé.

Remarque

Vérifiez que votre connexion de service dispose des autorisations Get et list , et que votre principal de service est affecté au rôle Utilisateur des secrets Key Vault dans votre coffre de clés privé.

1.1 Configurer les autorisations de connexion de service

  1. Accédez à votre coffre de clés Azure, puis sélectionnez Stratégies d’accès.

  2. Sélectionnez Créer, puis, sous Autorisations secrètes, ajoutez les autorisations Obtenir et Répertorier , puis sélectionnez Suivant.

  3. Ajoutez votre connexion de service dans la barre de recherche, sélectionnez-la, puis sélectionnez Suivant.

  4. Sélectionnez Suivant une fois de plus, passez en revue vos paramètres, puis sélectionnez Vérifier + créer lorsque vous avez terminé.

1.2 Configurer les autorisations du principal de service

  1. Accédez à votre coffre de clés Azure, puis sélectionnez Contrôle d’accès (IAM).

  2. Sélectionnez Ajouter une>attribution> de rôle, puis sélectionnez l’onglet Rôle.

  3. Sélectionnez le rôle Utilisateur des secrets Key Vault, puis sélectionnez Suivant.

  4. Sélectionnez Sélectionner des membres> pour ajouter votre principal >de service Select.

  5. Sélectionnez Vérifier + affecter lorsque vous avez terminé.

  1. Connectez-vous à votre organisation Azure DevOps puis accédez à votre projet.

  2. Sélectionnez Pipelines>Bibliothèque, puis sélectionnez + Groupe de variables.

  3. Nommez votre groupe de variables, puis activez le bouton bascule pour activer le bouton Lier les secrets d’un Azure Key Vault en tant que variable.

  4. Sélectionnez votre connexion de service Azure que vous avez créée plus tôt dans le menu déroulant, puis sélectionnez votre coffre de clés.

    Une capture d’écran montrant comment lier un groupe de variables à un Azure Key Vault avec une erreur indiquant des autorisations manquantes pour obtenir et lister.

  5. Si vous rencontrez le message d’erreur : La connexion de service Azure spécifiée doit avoir les permissions de gestion de secrets « Obtenir, Lister » sur le coffre de clés sélectionné. comme indiqué ci-dessus. Accédez à votre coffre de clés dans le portail Azure, sélectionnez Contrôle d’accès (IAM)>Ajouter une attribution de rôle>Utilisateur de secrets du coffre de clés>Suivant, puis ajoutez votre principal de service, puis sélectionnez Passer en revue + assigner une fois terminé.

    Une capture d’écran montrant comment ajouter un principal de service en tant qu’utilisateur de secrets pour un Azure Key Vault.

  6. Ajoutez vos secrets, puis sélectionnez Enregistrer une fois terminé.

2 - Configurer l’accès entrant depuis Azure DevOps

Pour permettre l’accès à votre coffre de clés depuis Azure DevOps, vous devez accorder l’accès depuis des plages d’IP statiques spécifiques. Ces plages sont déterminées par la localisation géographique de votre organisation Azure DevOps.

  1. Connectez-vous à votre organisation Azure DevOps.

  2. Sélectionnez Paramètres de l’organisation.

  3. Accédez à Vue d’ensemble, où vous trouverez la localisation géographique répertoriée vers le bas de la page.

    Une capture d’écran montrant comment trouver la localisation géographique de votre organisation Azure DevOps.

  4. Trouvez vos plages IP V4 géographiques.

  5. Configurez votre coffre de clés pour autoriser l’accès depuis des plages d’IP statiques.

3 - Interroger un coffre de clés privé avec un groupe de variables

Dans cet exemple, nous utilisons le groupe de variables, configuré plus tôt et autorisé avec un principal de service, pour interroger et copier notre secret depuis notre Azure Key Vault privé simplement en utilisant le groupe de variables lié. Azure Pipelines utilise l’IP publique affichée lors de l’interrogation du Azure Key Vault depuis un Groupe de Variables, alors assurez-vous d’avoir configuré l’accès entrant pour que cela fonctionne correctement :

variables:
-  group: mySecret-VG

steps:
- task: CmdLine@2
  inputs:
    script: 'echo $(mySecret) > secret.txt'

- task: CopyFiles@2
  inputs:
    Contents: secret.txt
    targetFolder: '$(Build.ArtifactStagingDirectory)'

- task: PublishBuildArtifacts@1
  inputs:
    PathtoPublish: '$(Build.ArtifactStagingDirectory)'
    ArtifactName: 'drop'
    publishLocation: 'Container'

Méthode alternative - Autoriser dynamiquement l’IP de l’agent hébergé par Microsoft

Dans cette deuxième approche, nous commencerons par interroger l’IP de l’agent hébergé par Microsoft au début de notre pipeline. Ensuite, nous l’ajouterons à la liste autorisée du pare-feu du coffre de clés, poursuivrons avec les tâches restantes, puis supprimerons l’IP de la liste autorisée du pare-feu du coffre de clés.

Remarque

Cette approche est à des fins de démonstration uniquement et n’est pas l’approche recommandée par Azure Pipelines.

- task: AzurePowerShell@5
  displayName: 'Allow agent IP'
  inputs:
    azureSubscription: 'YOUR_SERVICE_CONNECTION_NAME'
    azurePowerShellVersion: LatestVersion
    ScriptType: InlineScript
    Inline: |
     $ip = (Invoke-WebRequest -uri "http://ifconfig.me/ip").Content
     Add-AzKeyVaultNetworkRule -VaultName "YOUR_KEY_VAULT_NAME" -ResourceGroupName "YOUR_RESOURCE_GROUP_NAME" -IpAddressRange $ip
     echo "##vso[task.setvariable variable=agentIP]ip"

- task: AzureKeyVault@2
  inputs:
    azureSubscription: 'YOUR_SERVICE_CONNECTION_NAME'
    KeyVaultName: 'YOUR_KEY_VAULT_NAME'
    SecretsFilter: '*'
    RunAsPreJob: false

- task: AzurePowerShell@5
  displayName: 'Remove agent IP'
  inputs:
    azureSubscription: 'YOUR_SERVICE_CONNECTION_NAME'
    azurePowerShellVersion: LatestVersion
    ScriptType: InlineScript
    Inline: |
     $ipRange = $env:agentIP + "/32"
     Remove-AzKeyVaultNetworkRule -VaultName "YOUR_KEY_VAULT_NAME" -IpAddressRange $ipRange
  condition: succeededOrFailed()

Important

Assurez-vous que le principal de service que vous utilisez pour accéder à votre coffre de clés depuis votre pipeline détient le rôle de Contributeur de coffre de clés dans le contrôle d’accès (IAM) de votre coffre de clés.

Accéder à un coffre de clés privé depuis un agent auto-hébergé

Pour avoir la possibilité d’accéder à un coffre de clés privé depuis un agent Azure Pipelines, vous devrez utiliser soit un agent auto-hébergé (Windows, Linux, Mac) ou des agents Scale Set. C’est parce que les agents hébergés par Microsoft, comme d’autres services de calcul génériques, ne sont pas inclus dans la liste des services de confiance du coffre de clés.

Pour établir la connectivité avec votre coffre de clés privé, vous devez fournir une connectivité de ligne de mire en configurant un point de terminaison privé pour votre coffre de clés. Ce point de terminaison doit être routable et avoir son nom DNS privé résoluble depuis l’agent de pipeline auto-hébergé.

1 - Configurer l’accès entrant depuis un agent auto-hébergé

  1. Suivez les instructions fournies pour Créer un réseau virtuel.

  2. Dans le portail Azure, utilisez la barre de recherche en haut de la page pour trouver votre Azure Key Vault.

  3. Une fois que vous avez localisé votre coffre de clés dans les résultats de recherche, sélectionnez-le, puis accédez à Paramètres>Mise en réseau.

  4. Sélectionnez Connexions de point de terminaison privé, puis sélectionnez Créer pour créer un nouveau point de terminaison privé.

    Une capture d’écran montrant comment créer une nouvelle connexion de point de terminaison privé pour un Azure Key Vault.

  5. Sélectionnez le Groupe de ressources qui héberge le réseau virtuel que vous avez créé plus tôt. Fournissez un Nom et un Nom d’interface réseau pour votre instance, et assurez-vous de sélectionner la même Région que le réseau virtuel que vous avez créé plus tôt. Sélectionnez Suivant lorsque vous avez terminé.

    Une capture d’écran montrant comment configurer l’onglet de base lors de la création d’une nouvelle instance de point de terminaison privé pour votre Azure Key Vault.

  6. Sélectionnez Se connecter à une ressource Azure dans mon répertoire pour la Méthode de connexion, puis choisissez Microsoft.KeyVault/vaults dans le menu déroulant pour le Type de ressource. Sélectionnez votre Ressource dans le menu déroulant. La sous-ressource Target sera renseignée automatiquement avec la valeur : vault. Sélectionnez Suivant lorsque vous avez terminé.

    Une capture d’écran montrant comment configurer l’onglet des ressources lors de la création d’une nouvelle instance de Private Endpoint pour votre Azure Key Vault.

  7. Dans l’onglet Réseau virtuel, sélectionnez le réseau virtuel et le sous-réseau que vous avez créés précédemment et laissez les autres champs par défaut. Sélectionnez Suivant lorsque vous avez terminé.

  8. Continuez avec les onglets DNS et Étiquettes, en acceptant les paramètres par défaut. Dans l’onglet Revoir + Créer, sélectionnez Créer lorsque vous avez terminé.

  9. Une fois que votre ressource est déployée, accédez à votre key vault >Paramètres>Réseaux>Connexions Private Endpoint, votre Private Endpoint doit être listé avec un État de connexion approuvé. Si vous liez à une ressource Azure dans un autre répertoire, vous devrez attendre que le propriétaire de la ressource approuve votre demande de connexion.

    Une capture d’écran montrant une connexion Private Endpoint approuvée.

2 - Autoriser votre réseau virtuel

  1. Accédez à Azure portal, puis trouvez votre Azure Key Vault.

  2. Sélectionnez Paramètres>Réseaux, et assurez-vous d’être sous l’onglet Pare-feu et réseaux virtuels.

  3. Sélectionnez Ajouter un réseau virtuel>Ajouter des réseaux virtuels existants.

  4. Sélectionnez votre abonnement dans le menu déroulant, puis sélectionnez le réseau virtuel que vous avez créé précédemment, et ensuite sélectionnez vos sous-réseaux.

  5. Sélectionnez Ajouter lorsque vous avez terminé, puis faites défiler vers le bas de la page et sélectionnez Appliquer pour enregistrer vos modifications.

    Une capture d’écran montrant comment ajouter un réseau virtuel existant au pare-feu d’Azure Key Vault.

3 - Interroger un Key Vault privé depuis un agent auto-hébergé

L’exemple suivant utilise un agent configuré sur la machine virtuelle du réseau virtuel pour interroger le Key Vault privé via le groupe de variables :

pool: Self-hosted-pool

variables:
  group: mySecret-VG

steps:
- task: CmdLine@2
  inputs:
    script: 'echo $(mySecret) > secret.txt'

- task: CopyFiles@2
  inputs:
    Contents: secret.txt
    targetFolder: '$(Build.ArtifactStagingDirectory)'

- task: PublishBuildArtifacts@1
  inputs:
    PathtoPublish: '$(Build.ArtifactStagingDirectory)'
    ArtifactName: 'drop'
    publishLocation: 'Container'

Si vous préférez ne pas accorder à Azure DevOps un accès entrant à votre Key Vault privé, vous pouvez utiliser la tâche AzureKeyVault pour interroger votre key vault. Cependant, vous devez vous assurer que vous autorisez le réseau virtuel hébergeant votre agent dans les paramètres du pare-feu de votre key vault.

pool: Self-hosted-pool

steps:
- task: AzureKeyVault@2
  inputs:
    azureSubscription: '$(SERVICE_CONNECTION_NAME)'
    keyVaultName: $(KEY_VAULT_NAME)
    SecretsFilter: '*'

- task: CmdLine@2
  inputs:
    script: 'echo $(mySecret) > secret.txt'

- task: CopyFiles@2
  inputs:
    Contents: secret.txt
    targetFolder: '$(Build.ArtifactStagingDirectory)'

- task: PublishBuildArtifacts@1
  inputs:
    PathtoPublish: '$(Build.ArtifactStagingDirectory)'
    ArtifactName: 'drop'
    publishLocation: 'Container'

Résolution des problèmes

Si vous rencontrez les erreurs suivantes, suivez les étapes de cette section pour résoudre le problème :

  • Public network access is disabled and request is not from a trusted service nor via an approved private link.

Cela indique que l’accès public a été désactivé et qu’aucune connexion Private Endpoint ni exception de pare-feu n’a été configurée. Suivez les étapes sous [#configure-inbound-access-from-a-self--hosted-agent] et Configurer l’accès entrant depuis Azure DevOps pour configurer l’accès à votre key vault privé.

  • Request was not allowed by NSP rules and the client address is not authorized and caller was ignored because bypass is set to None Client address: <x.x.x.x>

Ce message d’erreur indique que l’accès public au key vault a été désactivé et que l’option Autoriser les services Microsoft de confiance à contourner ce pare-feu n’est pas cochée, mais l’adresse IP du client n’a pas été ajoutée au pare-feu du key vault. Rendez-vous votre key vault dans Azure portal, puis Paramètres>Réseaux et ajoutez l’IP de votre client à la liste d’autorisation du pare-feu.

  • Error: Client address is not authorized and caller is not a trusted service.

Assurez-vous d’ajouter les plages IPV4 de votre région géographique à la liste d’autorisation de votre key vault. Veuillez consulter la section Configurer l’accès entrant depuis Azure DevOps pour plus de détails. Alternativement, vous pouvez passer à Autoriser dynamiquement l’IP de l’agent hébergé par Microsoft pour apprendre comment ajouter l’IP de votre client au pare-feu du key vault pendant l’exécution.

Contenu connexe