Utilisez des secrets Azure Key Vault dans votre pipeline

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

Avec Azure Key Vault, vous pouvez stocker et gérer en toute sécurité vos informations sensibles telles que les mots de passe, les clés API, les certificats, etc. à l’aide d’Azure Key Vault, vous pouvez facilement créer et gérer des clés de chiffrement pour chiffrer vos données. Azure Key Vault peut également être utilisé pour gérer des certificats pour toutes vos ressources. Dans cet article, vous allez apprendre à :

• Créez un coffre de clés Azure.
• Configurez vos autorisations Key Vault.
• Créez une nouvelle connexion de service.
• Recherchez les secrets de votre pipeline Azure.

Prérequis

• Une organisation Azure DevOps. Créez-en un gratuitement si vous n’en avez pas encore un.
• Votre propre projet. Créer un projet si vous n’en avez pas encore un.
• Votre propre référentiel. Créer un nouveau dépôt Git si vous n’en avez toujours pas un.
• Un abonnement Azure. Créer un compte Azure gratuit si vous n’en avez pas déjà.

Créer un coffre de clés

Azure portal

1. Connectez-vous au Portail Azure, puis sélectionnez Créer une ressource.

2. Sous Key Vault, sélectionnez Créer pour créer un coffre de clés Azure.

3. Sélectionnez votre abonnement dans le menu déroulant, puis sélectionnez un groupe de ressources existant ou créez-en un. Entrez un nom de coffre de clés, sélectionnez une région, choisissez un niveau tarifaire, puis sélectionnez Suivant si vous souhaitez configurer des propriétés supplémentaires. Sinon, sélectionnez Vérifier + créer pour conserver les paramètres par défaut.

4. Une fois le déploiement effectué, sélectionnez Accéder à la ressource.

Azure CLI

1. Tout d’abord, définissez votre région par défaut et votre abonnement Azure :

   • Définir l’abonnement par défaut :

   az account set --subscription <your_subscription_name_or_subscription_ID>
   

   • Définir la région par défaut :

   az config set defaults.location=<your_region>
   

2. Créez un groupe de ressources pour héberger votre Azure Key Vault. Un groupe de ressources est un conteneur qui contient des ressources associées pour une solution Azure :

   az group create --name <your-resource-group>
   

3. Créez un coffre de clés Azure :

   az keyvault create \
     --name <your-key-vault-name> \
     --resource-group <your-resource-group>
   

Configurer l’authentification

Identité gérée

Créer une identité managée attribuée par l’utilisateur

1. Connectez-vous au Portail Azure, puis recherchez le service Identités managées dans la barre de recherche.

2. Sélectionnez Créer, puis renseignez les champs obligatoires comme suit :

   • Abonnement : sélectionnez votre abonnement dans le menu déroulant.
   • Groupe de ressources : sélectionnez un groupe de ressources existant ou créez-en un.
   • Région : sélectionnez une région dans le menu déroulant.
   • Nom : entrez un nom pour votre identité managée affectée par l’utilisateur.

3. Sélectionnez Réviser + créer lorsque vous avez terminé.

4. Une fois le déploiement terminé, sélectionnez Accéder à la ressource, puis copiez les valeurs d’abonnement et d’ID client à utiliser dans les étapes à venir.

5. Accédez aux propriétés des paramètres> et copiez la valeur d’ID de locataire de votre identité managée pour une utilisation ultérieure.

Définir des stratégies d’accès Key Vault

1. Accédez à Portail Azure et utilisez la barre de recherche pour rechercher le coffre de clés que vous avez créé précédemment.

2. Sélectionnez Stratégies d’accès, puis sélectionnez Créer pour ajouter une nouvelle stratégie.

3. Sous Autorisations secrètes, activez les cases à cocher Obtenir et Lister .

4. Sélectionnez Suivant, puis collez l’ID client de l’identité managée que vous avez créée précédemment dans la barre de recherche. Sélectionnez votre identité managée.

5. Sélectionnez Suivant, puis Suivant une fois de plus.

6. Passez en revue vos nouvelles stratégies, puis sélectionnez Créer lorsque vous avez terminé.

Créer une connexion de service

1. Connectez-vous à votre organisation Azure DevOps puis accédez à votre projet.

2. Sélectionnez Paramètres du projet>Connexions de service, puis Nouvelle connexion de service pour créer une nouvelle connexion de service.

3. Sélectionnez Azure Resource Manager, puis sélectionnez Suivant.

4. Pour Le type d’identité, sélectionnez Identité managée dans le menu déroulant.

5. Pour l’étape 1 : Détails de l’identité managée, renseignez les champs comme suit :

   • Abonnement pour l’identité managée : sélectionnez l’abonnement contenant votre identité managée.

   • Groupe de ressources pour l’identité managée : sélectionnez le groupe de ressources hébergeant votre identité managée.

   • Identité managée : sélectionnez votre identité managée dans le menu déroulant.

6. Pour l’étape 2 : Étendue Azure, renseignez les champs comme suit :

   • Niveau d’étendue pour la connexion de service : sélectionnez Abonnement.

   • Abonnement pour la connexion de service : sélectionnez l’abonnement auquel votre identité managée accède.

   • Groupe de ressources pour la connexion de service : (facultatif) Spécifiez pour limiter l’accès d’identité managée à un groupe de ressources.

7. Pour l’étape 3 : Détails de la connexion de service :

   • Nom de la connexion de service : indiquez un nom pour votre connexion de service.

   • Référence de gestion des services : (facultatif) informations de contexte d’une base de données ITSM.

   • Description : (facultatif) Ajoutez une description.

8. Dans Sécurité, cochez la case Accorder l’autorisation d’accès à tous les pipelines pour autoriser tous les pipelines à utiliser cette connexion de service. Si vous ne sélectionnez pas cette option, vous devez accorder manuellement l’accès à chaque pipeline qui utilise cette connexion de service.

9. Sélectionnez Enregistrer pour valider et créer la connexion de service.

   

Principal du service

Créer un principal du service

Au cours de cette étape, nous allons créer un nouveau principal de service dans Azure, nous permettant d'interroger notre Azure Key Vault à partir d'Azure Pipelines.

1. Accédez à Portail Azure, puis sélectionnez l’icône >_ dans la barre de menus pour ouvrir Cloud Shell.

2. Sélectionnez PowerShell ou laissez-le comme Bash en fonction de vos préférences.

3. Exécutez la commande suivante pour créer un principal de service :

   az ad sp create-for-rbac --name YOUR_SERVICE_PRINCIPAL_NAME
   

4. Votre résultat doit correspondre à l’exemple ci-dessous. Assurez-vous de copier le résultat de votre commande, car vous en aurez besoin pour créer la connexion au service à l'étape suivante.

   {
     "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "displayName": "MyServicePrincipal",
     "password": "***********************************",
     "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
   }
   

Créer une connexion de service

1. Connectez-vous à votre organisation Azure DevOps puis accédez à votre projet.

2. Sélectionnez Paramètres du projet, puis Connexions de service.

3. Sélectionnez Nouvelle connexion de service, Azure Resource Manager, puis Suivant.

4. Sélectionnez Principal du service (manuel), puis sélectionnez Suivant.

5. Pour Le type d’identité, sélectionnez Inscription d’application ou identité managée (manuelle) dans le menu déroulant.

6. Pour Informations d’identification*, sélectionnez Fédération des identités de charge de travail.

7. Indiquez un nom pour votre connexion de service, puis sélectionnez Suivant.

8. Copiez l’émetteur et l’identificateur de l’objet, car nous en aurons besoin à l’étape suivante.

9. Sélectionnez Le cloud Azure pour l’environnement et l’abonnement pour l’étendue de l’abonnement.

10. Entrez votre ID d’abonnement Azure et le nom de l’abonnement.

11. Pour l’authentification, collez l’ID d’application (client) de votre principal de service et l’ID d’annuaire (locataire)

12. Sous Sécurité, cochez la case Accorder l’autorisation d’accès à tous les pipelines pour autoriser tous les pipelines à utiliser cette connexion de service. Si vous ne sélectionnez pas cette option, vous devez accorder manuellement l’accès à chaque pipeline qui utilise cette connexion de service.

13. Laissez cette option ouverte, vous retournerez pour vérifier et enregistrer une fois que vous avez créé (1) les informations d’identification fédérées dans Azure et (2) accordé à votre principal de service un accès en lecture au niveau de l’abonnement.

    

Créer des informations d’identification fédérées dans Azure

1. Accédez à Portail Azure, puis entrez l’ID client de votre principal de service dans la barre de recherche, puis sélectionnez votre application.

2. Sous Gérer, sélectionnez Certificats et informations d’identification fédérées des secrets>.

3. Sélectionnez Ajouter des informations d’identification, puis, pour le scénario d’informations d’identification fédérées, sélectionnez Autre émetteur.

4. Pour l’émetteur, collez l’émetteur que vous avez copié à partir de votre connexion de service précédemment.

5. Pour l’identificateur de l’objet, collez l’identificateur d’objet que vous avez copié à partir de votre connexion de service précédemment.

6. Fournissez un nom pour vos informations d’identification fédérées, puis sélectionnez Ajouter une fois que vous avez terminé.

   

Ajouter une attribution de rôle à votre abonnement

Avant de pouvoir vérifier la connexion, vous devez accorder l’accès en lecture au principal de service au niveau de l’abonnement :

1. Accédez au portail Azure

2. Sous service Azure, sélectionnez Abonnements, puis recherchez et sélectionnez votre abonnement.

3. Sélectionnez Contrôle d’accès (IAM), puis Ajouter>Ajouter une attribution de rôle.

4. Sélectionnez Lecteur dans l'onglet Rôle, puis Suivant.

5. Sélectionnez Utilisateur, groupe ou principal de service, puis Sélectionner les membres.

6. Dans la barre de recherche, collez l’ID d’objet de votre principal de service, sélectionnez-le, puis cliquez sur le bouton Sélectionner.

7. Sélectionnez Vérifier + attribuer, revoyez vos paramètres, puis sélectionner Vérifier+ attribuer à nouveau pour confirmer vos choix et ajouter l’attribution de rôle.

8. Une fois l’attribution de rôle ajoutée. revenez à votre connexion de service (dans Azure DevOps) pour enfin sélectionner Vérifier et enregistrer pour enregistrer votre connexion de service.

Configurer des stratégies d’accès Key Vault

1. Accédez à Portail Azure, recherchez le coffre de clés que vous avez créé précédemment, puis sélectionnez Stratégies d’accès.

2. Sélectionnez Créer, puis, sous Autorisations secrètes , ajoutez les autorisations Obtenir et Répertorier , puis sélectionnez Suivant.

3. Sous Principal, collez l’ID d’objet de votre principal de service, sélectionnez-le, puis sélectionnez Suivant.

4. Sélectionnez Suivant une fois de plus, passez en revue vos paramètres, puis sélectionnez Enregistrer lorsque vous avez terminé.

Interrogez et utilisez des secrets dans votre pipeline

À l’aide de la tâche Azure Key Vault nous pouvons extraire la valeur de notre secret et l’utiliser dans les tâches suivantes dans notre pipeline. Une chose à garder à l’esprit est que les secrets doivent être explicitement mappés à la variable env, comme illustré dans l’exemple ci-dessous.

pool:
  vmImage: 'ubuntu-latest'

steps:
- task: AzureKeyVault@1
  inputs:
    azureSubscription: 'SERVICE_CONNECTION_NAME'
    KeyVaultName: 'KEY_VAULT_NAME'
    SecretsFilter: '*'

- bash: |
    echo "Secret Found! $MY_MAPPED_ENV_VAR"        
  env:
    MY_MAPPED_ENV_VAR: $(SECRET_NAME)

La sortie de la dernière commande bash devrait ressembler à ceci :

Secret Found! ***

Notes

Si vous souhaitez interroger plusieurs secrets à partir de votre Azure Key Vault, utilisez l’argument SecretsFilter pour passer une liste de noms de secrets séparés par des virgules : 'secret1, secret2'.

Contenu connexe

• Gérer des connexions de service
• Définir des variables
• Publier des Artefacts de Pipeline