Collegare un gruppo di variabili ai segreti in Azure Key Vault

Questo articolo illustra come creare un gruppo di variabili che collega i segreti archiviati in un insieme di credenziali delle chiavi di Azure. Collegando il gruppo di variabili all'insieme di credenziali delle chiavi, è possibile assicurarsi che i segreti vengano archiviati in modo sicuro e che le pipeline abbiano sempre accesso ai valori segreti più recenti in fase di esecuzione.

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

È possibile creare un gruppo di variabili che collega gli insiemi di credenziali delle chiavi di Azure esistenti ed esegue il mapping dei segreti selezionati dell'insieme di credenziali delle chiavi al gruppo di variabili. Solo i nomi dei segreti vengono mappati al gruppo di variabili, non ai valori dei segreti. Quando le pipeline vengono eseguite, si collegano al gruppo di variabili per recuperare i valori dei segreti più recenti dall'insieme di credenziali in fase di esecuzione.

Tutte le modifiche apportate ai segreti esistenti nell'insieme di credenziali delle chiavi sono automaticamente disponibili per tutte le pipeline che usano il gruppo di variabili. Tuttavia, se i segreti vengono aggiunti o eliminati dall'insieme di credenziali, i gruppi di variabili associati non vengono aggiornati automaticamente. È necessario aggiornare in modo esplicito i segreti da includere nel gruppo di variabili.

Sebbene Key Vault supporti l'archiviazione e la gestione di chiavi crittografiche e certificati in Azure, l'integrazione dei gruppi di variabili di Azure Pipelines supporta solo il mapping dei segreti dell'insieme di credenziali delle chiavi. Le chiavi crittografiche e i certificati non sono supportati.

Nota

Gli insiemi di credenziali delle chiavi che usano il controllo degli accessi in base al ruolo di Azure non sono supportati.

Prerequisiti

• Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
• Un'organizzazione di Azure DevOps. Iscriversi gratuitamente o azure DevOps Server.
• Progetto DevOps. Creare un progetto se non ne è già disponibile uno.
• Connessione al servizio Azure Resource Manager per il progetto.

Creare un insieme di credenziali delle chiavi

Creare un'istanza di Azure Key Vault.

1. Nel portale di Azure selezionare Crea una risorsa.
2. Cercare e selezionare Key Vault e quindi selezionare Crea.
3. Selezionare la propria sottoscrizione.
4. Selezionare un gruppo di risorse esistente oppure creane uno nuovo.
5. Immettere un nome per l'insieme di credenziali delle chiavi.
6. Scegliere un'area.
7. Selezionare la scheda Accesso e configurazione .
8. Selezionare Criteri di accesso all'insieme di credenziali.
9. Selezionare l'account come entità.
10. Selezionare Rivedi e crea e quindi Crea.

Creare il gruppo di variabili collegato all'insieme di credenziali delle chiavi

1. Nel progetto Azure DevOps selezionare Pipelines>Library+ Variable group (Libreria> pipeline+ gruppo di variabili).
2. Nella pagina Gruppi di variabili immettere un nome e una descrizione facoltativa per il gruppo di variabili.
3. Abilitare l'interruttore Collega segreti da un insieme di credenziali delle chiavi di Azure come variabili .
4. Selezionare la connessione al servizio e selezionare Autorizza.
5. Selezionare il nome dell'insieme di credenziali delle chiavi e abilitare Azure DevOps per accedere all'insieme di credenziali delle chiavi selezionando Autorizza accanto al nome dell'insieme di credenziali.
6. Selezionare + Aggiungi e nella schermata Scegli segreti selezionare i segreti dall'insieme di credenziali per il mapping a questo gruppo di variabili e quindi selezionare OK.
7. Selezionare Salva per salvare il gruppo di variabili segrete.

Nota

La connessione al servizio deve avere almeno le autorizzazioni Get ed List per l'insieme di credenziali delle chiavi, che è possibile autorizzare nei passaggi precedenti. È anche possibile fornire queste autorizzazioni dal portale di Azure seguendo questa procedura:

1. Aprire Impostazioni per l'insieme di credenziali delle chiavi e quindi scegliere Configurazione di accesso>Vai ai criteri di accesso.
2. Nella pagina Criteri di accesso , se il progetto di Azure Pipelines non è elencato in Applicazioni con almeno autorizzazioni Get ed List , selezionare Crea.
3. In Autorizzazioni segrete selezionare Recupera ed Elenco e quindi selezionare Avanti.
4. Selezionare l'entità e quindi selezionare Avanti.
5. Selezionare di nuovo Avanti , rivedere le impostazioni e quindi selezionare Crea.

Per ulteriori informazioni, vedere Utilizzare i segreti di Azure Key Vault.

Articoli correlati

• Gestire gruppi di variabili
• Impostare le variabili segrete