Usare i segreti di Azure Key Vault in Azure Pipelines

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Azure Key Vault consente agli sviluppatori di archiviare e gestire in modo sicuro informazioni riservate, ad esempio chiavi API, credenziali o certificati. Il servizio Azure Key Vault supporta due tipi di contenitori: insiemi di credenziali e pool di moduli di protezione hardware gestiti . Gli insiemi di credenziali possono archiviare chiavi, segreti e certificati supportati dal software e dal modulo di protezione hardware, mentre i pool di moduli di protezione hardware gestiti supportano esclusivamente le chiavi supportate dal modulo di protezione hardware.

La presente esercitazione include informazioni su come:

• Creare un'istanza di Azure Key Vault usando l'interfaccia della riga di comando di Azure
• Aggiungere un segreto e configurare l'accesso all'insieme di credenziali delle chiavi di Azure
• Usare i segreti nella pipeline

Prerequisiti

• Un'organizzazione Di Azure DevOps e un progetto. Creare un'organizzazione o un progetto, se non è già stato fatto.

• Una sottoscrizione di Azure. Creare gratuitamente un account Azure, se non ne è già disponibile uno.

Scaricare il codice di esempio

Se si ha già un repository personalizzato, procedere con il passaggio successivo. In caso contrario, importare il repository di esempio seguente nel repository di Azure.

1. Accedere all'organizzazione di Azure DevOps e passare al progetto.

2. Selezionare Repository e quindi Importa. Immettere l'URL del repository seguente e quindi selezionare Importa.

   https://github.com/MicrosoftDocs/pipelines-dotnet-core
   

Creare un Azure Key Vault

1. Accedere al portale di Azure e quindi selezionare il pulsante Cloud Shell nell'angolo in alto a destra.

2. Se all'account sono associate più sottoscrizioni di Azure, usare il comando seguente per specificare una sottoscrizione predefinita. È possibile usare az account list per generare un elenco delle sottoscrizioni.

   az account set --subscription <YOUR_SUBSCRIPTION_NAME_OR_ID>
   

3. Impostare l'area di Azure predefinita. È possibile usare az account list-locations per generare un elenco di aree disponibili.

   az config set defaults.location=<YOUR_REGION>
   

4. Creare un nuovo gruppo di risorse.

   az group create --name <YOUR_RESOURCE_GROUP_NAME>
   

5. Creare un nuovo insieme di credenziali delle chiavi di Azure.

   az keyvault create \
     --name <YOUR_KEY_VAULT_NAME> \
     --resource-group <YOUR_RESOURCE_GROUP_NAME>
   

6. Creare un nuovo segreto nell'insieme di credenziali delle chiavi di Azure.

   az keyvault secret set \
     --name <YOUR_SECRET_NAME> \
     --value <YOUR_ACTUAL_SECRET> \
     --vault-name <YOUR_KEY_VAULT_NAME>
   

Configurare l'autenticazione

Identità gestita

Creare un'identità gestita assegnata dall'utente

1. Accedere al portale di Azure, quindi cercare il servizio Identità gestite nella barra di ricerca.

2. Selezionare Crea e compilare i campi obbligatori come indicato di seguito:

   • Sottoscrizione: selezionare la sottoscrizione dal menu a discesa.
   • Gruppo di risorse: selezionare un gruppo di risorse esistente o crearne uno nuovo.
   • Area: selezionare un'area dal menu a discesa.
   • Nome: immetti un nome per l'identità gestita assegnata dall'utente.

3. Al termine, selezionare Rivedi e crea .

4. Al termine della distribuzione, selezionare Vai alla risorsa, quindi copiare i valori sottoscrizione e ID client da usare nei passaggi successivi.

5. Passare a Proprietà impostazioni> e copiare il valore dell'ID tenant dell'identità gestita per usarlo in un secondo momento.

Configurare i criteri di accesso dell'insieme di credenziali delle chiavi

1. Passare a portale di Azure e usare la barra di ricerca per trovare l'insieme di credenziali delle chiavi creato in precedenza.

2. Selezionare Criteri di accesso e quindi Crea per aggiungere un nuovo criterio.

3. In Autorizzazioni segrete selezionare Le caselle di controllo Recupera ed Elenco .

4. Selezionare Avanti, quindi incollare l'ID client dell'identità gestita creata in precedenza nella barra di ricerca. Selezionare l'identità gestita.

5. Selezionare Avanti, quindi Avanti ancora una volta.

6. Esaminare i nuovi criteri e quindi selezionare Crea al termine.

Creare una connessione al servizio

1. Accedere all'organizzazione di Azure DevOps e passare al progetto.

2. Selezionare Connessioni al servizio Impostazioni> progetto, quindi selezionare Nuova connessione al servizio per creare una nuova connessione al servizio.

3. Selezionare Azure Resource Manager e quindi avanti.

4. Per Tipo di identità selezionare Identità gestita dal menu a discesa.

5. Per Passaggio 1: Dettagli identità gestita, compilare i campi come indicato di seguito:

   • Sottoscrizione per l'identità gestita: selezionare la sottoscrizione contenente l'identità gestita.

   • Gruppo di risorse per l'identità gestita: selezionare il gruppo di risorse che ospita l'identità gestita.

   • Identità gestita: selezionare l'identità gestita dal menu a discesa.

6. Per Il passaggio 2: Ambito di Azure compilare i campi come indicato di seguito:

   • Livello di ambito per la connessione al servizio: selezionare Sottoscrizione.

   • Sottoscrizione per la connessione al servizio: selezionare la sottoscrizione a cui si accederà l'identità gestita.

   • Gruppo di risorse per la connessione al servizio: (facoltativo) Specificare per limitare l'accesso all'identità gestita a un gruppo di risorse.

7. Per Il passaggio 3: Dettagli della connessione al servizio:

   • Nome connessione al servizio: specificare un nome per la connessione al servizio.

   • Informazioni di riferimento sulla gestione dei servizi: (facoltativo) informazioni sul contesto da un database ITSM.

   • Descrizione: (Facoltativo) Aggiungere una descrizione.

8. In Sicurezza selezionare la casella di controllo Concedi l'autorizzazione di accesso a tutte le pipeline per consentire a tutte le pipeline di usare questa connessione al servizio. Se non si seleziona questa opzione, è necessario concedere manualmente l'accesso a ogni pipeline che usa questa connessione al servizio.

9. Selezionare Salva per convalidare e creare la connessione al servizio.

   

Entità servizio

Configurare i criteri di accesso dell'insieme di credenziali delle chiavi

Per accedere ad Azure Key Vault, è prima necessario configurare un'entità servizio per concedere l'accesso ad Azure Pipelines:

1. Creare un'entità servizio

2. Passare a portale di Azure e quindi usare la barra di ricerca per trovare l'insieme di credenziali delle chiavi creato in precedenza.

3. Selezionare Criteri di accesso e quindi Crea.

4. In Autorizzazioni segrete aggiungere le autorizzazioni Recupera ed Elenco e quindi selezionare Avanti.

5. Per Entità incollare l'ID oggetto dell'entità servizio, selezionarlo e quindi selezionare Avanti.

6. Selezionare Avanti ancora una volta, esaminare i criteri e quindi selezionare Salva al termine.

Aggiungi assegnazione di ruolo

Nel passaggio successivo si creerà una connessione al servizio ARM per l'entità servizio. Prima di verificare la connessione, è necessario: (1) concedere all'entità servizio l'accesso in lettura a livello di sottoscrizione e (2) creare una credenziale federata per l'entità servizio.

I passaggi seguenti illustrano come concedere l'accesso in lettura a livello di sottoscrizione:

1. Passare a portale di Azure, selezionare Sottoscrizioni e quindi trovare e selezionare la sottoscrizione.

2. Selezionare Controllo di accesso e quindi Aggiungi aggiungi>assegnazione di ruolo.

3. Selezionare Lettore nella scheda Ruolo e quindi selezionare Avanti.

4. Selezionare Utente, gruppo o entità servizio e quindi selezionare Seleziona membri.

5. Incollare l'ID oggetto dell'entità servizio nella barra di ricerca, selezionarlo e quindi Selezionare.

6. Selezionare Rivedi e assegna, rivedere le impostazioni e quindi selezionare Rivedi e assegna ancora una volta per confermare le scelte e aggiungere l'assegnazione di ruolo.

Creare una connessione al servizio

1. Accedere all'organizzazione di Azure DevOps e passare al progetto.

2. Selezionare Impostazioni progetto e quindi Connessioni al servizio.

3. Selezionare Nuova connessione al servizio, selezionare Azure Resource Manager poi selezionare Avanti.

4. Selezionare Entità servizio (manuale) e quindi selezionare Avanti.

5. Per Tipo di identità selezionare Registrazione app o identità gestita (manuale) dal menu a discesa.

6. Per Credenziali selezionare Federazione dell'identità del carico di lavoro.

7. Specificare un nome per la connessione al servizio e quindi selezionare Avanti.

8. Selezionare Cloud di Azure per Ambiente e Sottoscrizione per l'ambito della sottoscrizione.

9. Immettere l'ID sottoscrizione di Azure e il nome della sottoscrizione.

10. Per Autenticazione, incollare l'ID applicazione (client) dell'entità servizio e l'ID directory (tenant)

11. In Sicurezza selezionare la casella di controllo Concedi l'autorizzazione di accesso a tutte le pipeline per consentire a tutte le pipeline di usare questa connessione al servizio. Se non si seleziona questa opzione, è necessario concedere manualmente l'accesso a ogni pipeline che usa questa connessione al servizio.

12. Lasciare aperta questa finestra, si tornerà a verificare e salvare la connessione al servizio dopo aver creato le credenziali federate in Azure.

Creare una credenziale federata dell'entità servizio

1. Passare a portale di Azure, quindi immettere l'ID client dell'entità servizio nella barra di ricerca e quindi selezionare l'applicazione.

2. In Gestisci selezionare Certificati e segreti>Credenziali federate.

3. Selezionare Aggiungi credenziali e quindi per Scenario di credenziali federate selezionare Altro emittente.

4. In Issuer (Autorità di certificazione) incollare l'autorità di certificazione copiata dalla connessione al servizio in precedenza.

5. Per Identificatore soggetto incollare l'identificatore oggetto copiato in precedenza dalla connessione al servizio.

6. Specificare un nome per le credenziali federate e quindi selezionare Aggiungi al termine.

7. Tornare alla finestra di connessione del servizio, selezionare Verifica e salva per salvare la connessione al servizio.

Accedere ai segreti dell'insieme di credenziali delle chiavi dalla pipeline

YAML

1. Accedere all'organizzazione di Azure DevOps e passare al progetto.

2. Selezionare Pipeline e quindi Nuova pipeline.

3. Selezionare Azure Repos Git (YAML) e quindi selezionare il repository.

4. Selezionare il modello della pipeline di avvio.

5. La pipeline predefinita includerà uno script che esegue comandi echo. Queste non sono necessarie in modo da poterle eliminare.

6. Aggiungere l'attività AzureKeyVault, sostituendo i segnaposto con il nome della connessione al servizio creata in precedenza e il nome dell'insieme di credenziali delle chiavi. Il file YAML dovrebbe essere simile al frammento di codice seguente:

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   

7. Aggiungere le attività seguenti per copiare e pubblicare il segreto. Questo esempio è solo a scopo dimostrativo e non deve essere implementato in un ambiente di produzione.

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   
   - task: CmdLine@2
     displayName: Create file
     inputs:
       script: 'echo $(SECRET_NAME) > secret.txt'
   
   - task: CopyFiles@2
     displayName: Copy file
     inputs:
       Contents: secret.txt
       targetFolder: '$(Build.ArtifactStagingDirectory)'
   
   - task: PublishBuildArtifacts@1
     displayName: Publish Artifact
     inputs:
       PathtoPublish: '$(Build.ArtifactStagingDirectory)'
       ArtifactName: 'drop'
       publishLocation: 'Container'
   

8. Selezionare Salva ed esegui e quindi selezionarlo ancora una volta per eseguire il commit delle modifiche e attivare la pipeline. Potrebbe essere richiesto di consentire l'accesso della pipeline alle risorse di Azure, se richiesto, selezionare Consenti. Sarà necessario approvare la pipeline una sola volta.

9. Selezionare l'attività CmdLine per visualizzare i log.

   

10. Al termine dell'esecuzione della pipeline, tornare al riepilogo della pipeline e selezionare l'artefatto pubblicato.

    

11. Selezionare drop>secret.txt per scaricarlo.

    

12. Aprire il file di testo appena scaricato, il file di testo deve contenere il segreto dall'insieme di credenziali delle chiavi di Azure.

Classico

1. Accedere all'organizzazione di Azure DevOps e passare al progetto.

2. Selezionare Pipeline e quindi Nuova pipeline.

3. Selezionare Usa l'editor classico per creare una pipeline classica.

4. Selezionare Azure Repos Git, selezionare il repository e il ramo predefinito e quindi selezionare Continua.

5. Selezionare il modello di pipeline .Net Desktop .

6. Per questo esempio, saranno necessarie solo le ultime due attività. Premere CTRL e quindi selezionare le prime cinque attività, fare clic con il pulsante destro del mouse e scegliere Rimuovi le attività selezionate per eliminarle.

   

7. Selezionare questa opzione + per aggiungere una nuova attività. Cercare l'attività Riga di comando , selezionarla e quindi selezionare Aggiungi per aggiungerla alla pipeline. Dopo l'aggiunta, configurarla come segue:

   • Nome visualizzato: Crea file
   • Script: echo $(SECRET_NAME) > secret.txt

   

8. Selezionare questa opzione + per aggiungere una nuova attività. Cercare l'attività Azure Key Vault , selezionarla e quindi selezionare Aggiungi* per aggiungerla alla pipeline. Dopo l'aggiunta, configurarla come segue:

   • Nome visualizzato: Azure Key Vault
   • Sottoscrizione di Azure: selezionare la connessione al servizio creata in precedenza
   • Insieme di credenziali delle chiavi: selezionare l'insieme di credenziali delle chiavi
   • Filtro segreto: elenco delimitato da virgole di nomi segreti o lasciare * per scaricare tutti i segreti dall'insieme di credenziali delle chiavi selezionato

   

9. Selezionare l'attività Copia file e compilare i campi obbligatori come indicato di seguito:

   • Nome visualizzato: Copia file
   • Contenuto: secret.txt
   • Cartella di destinazione: $(build.artifactstagingdirectory)

   

10. Selezionare l'attività Pubblica artefatti e compilare i campi obbligatori come indicato di seguito:

    • Nome visualizzato: Pubblica artefatto
    • Percorso di pubblicazione: $(build.artifactstagingdirectory)
    • Nome artefatto: drop
    • Percorso di pubblicazione degli artefatti: Azure Pipelines

    

11. Selezionare Salva e accodamento e quindi selezionare Esegui per eseguire la pipeline.

12. Al termine dell'esecuzione della pipeline, tornare al riepilogo della pipeline e selezionare l'artefatto pubblicato.

13. Selezionare drop>secret.txt per scaricare l'artefatto pubblicato.

    

14. Aprire il file di testo appena scaricato, il file di testo deve contenere il segreto dall'insieme di credenziali delle chiavi di Azure.

Avviso

Questa esercitazione è solo a scopo didattico. Per le procedure consigliate per la sicurezza e come usare in modo sicuro i segreti, vedere Gestire i segreti nelle app server con Azure Key Vault.

Pulire le risorse

Seguire questa procedura per eliminare le risorse create:

1. Se è stata creata una nuova organizzazione per ospitare il progetto, vedere come eliminare l'organizzazione, altrimenti eliminare il progetto.

2. Tutte le risorse di Azure create durante questa esercitazione sono ospitate in un singolo gruppo di risorse. Eseguire il comando seguente per eliminare il gruppo di risorse e tutte le relative risorse.

   az group delete --name <YOUR_RESOURCE_GROUP_NAME>
   

Domande frequenti

D: Viene visualizzato l'errore seguente: "L'utente o il gruppo non dispone dell'autorizzazione per l'elenco dei segreti" cosa devo fare?

R: Se si verifica un errore che indica che l'utente o il gruppo non dispone dell'autorizzazione dell'elenco di segreti per l'insieme di credenziali delle chiavi, eseguire i comandi seguenti per autorizzare l'applicazione ad accedere alla chiave o al segreto in Azure Key Vault:

az account set --subscription <YOUR_SUBSCRIPTION_ID>

az login

$spnObjectId = az ad sp show --id <YOUR_SERVICE_PRINCIPAL_ID>

az keyvault set-policy --name <YOUR_KEY_VAULT_NAME> --object-id $spnObjectId --secret-permissions get list

Articoli correlati

• Pubblicare e scaricare gli artefatti della pipeline
• Artefatti di versione e origini degli artefatti
• Usare controlli e approvazioni per controllare la distribuzione