Usare i segreti di Azure Key Vault nella pipeline

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Con Azure Key Vault è possibile archiviare e gestire in modo sicuro le informazioni riservate, ad esempio password, chiavi API, certificati e così via. usando Azure Key Vault, è possibile creare e gestire facilmente le chiavi di crittografia per crittografare i dati. Azure Key Vault può essere usato anche per gestire i certificati per tutte le risorse. In questo articolo si apprenderà come:

• Creare un insieme di credenziali delle chiavi di Azure.
• Configurare le autorizzazioni di Key Vault.
• Creare una nuova connessione al servizio.
• Eseguire una query per individuare i segreti dalla pipeline di Azure.

Prerequisiti

• Un'organizzazione Azure DevOps. Crearne uno gratuitamente se non ne hai già uno.
• Il tuo progetto. Creare un progetto se non ne è già disponibile uno.
• Repository personalizzato. Creare un nuovo repository Git se non ne è già disponibile uno.
• Una sottoscrizione di Azure. Creare un account Azure gratuito se non ne è già disponibile uno.

Creazione di un Key Vault

Azure portal

1. Accedere al portale di Azure e quindi selezionare Crea una risorsa.

2. In Key Vault selezionare Crea per creare un nuovo insieme di credenziali delle chiavi di Azure.

3. Selezionare la sottoscrizione dal menu a discesa e quindi selezionare un gruppo di risorse esistente o crearne uno nuovo. Immettere un nome dell'insieme di credenziali delle chiavi, selezionare un'area, scegliere un piano tariffario e selezionare Avanti se si desidera configurare proprietà aggiuntive. In caso contrario, selezionare Rivedi e crea per mantenere le impostazioni predefinite.

4. Una volta completata la distribuzione, selezionare Vai alla risorsa.

Interfaccia della riga di comando di Azure

1. Prima di tutto, impostare l'area predefinita e la sottoscrizione di Azure:

   • Impostare la sottoscrizione predefinita:

   az account set --subscription <your_subscription_name_or_subscription_ID>
   

   • Impostare l'area predefinita:

   az config set defaults.location=<your_region>
   

2. Creare un nuovo gruppo di risorse per ospitare Azure Key Vault. Un gruppo di risorse è un contenitore che contiene risorse correlate per una soluzione di Azure:

   az group create --name <your-resource-group>
   

3. Creare un nuovo insieme di credenziali delle chiavi di Azure:

   az keyvault create \
     --name <your-key-vault-name> \
     --resource-group <your-resource-group>
   

Configurare l'autenticazione

Identità gestita

Creare un'identità gestita assegnata dall'utente

1. Accedere al portale di Azure, quindi cercare il servizio Identità gestite nella barra di ricerca.

2. Selezionare Crea e compilare i campi obbligatori come indicato di seguito:

   • Sottoscrizione: selezionare la sottoscrizione dal menu a discesa.
   • Gruppo di risorse: selezionare un gruppo di risorse esistente o crearne uno nuovo.
   • Area: selezionare un'area dal menu a discesa.
   • Nome: immetti un nome per l'identità gestita assegnata dall'utente.

3. Al termine, selezionare Rivedi e crea .

4. Al termine della distribuzione, selezionare Vai alla risorsa, quindi copiare i valori sottoscrizione e ID client da usare nei passaggi successivi.

5. Passare a Proprietà impostazioni> e copiare il valore dell'ID tenant dell'identità gestita per usarlo in un secondo momento.

Configurare i criteri di accesso dell'insieme di credenziali delle chiavi

1. Passare a portale di Azure e usare la barra di ricerca per trovare l'insieme di credenziali delle chiavi creato in precedenza.

2. Selezionare Criteri di accesso e quindi Crea per aggiungere un nuovo criterio.

3. In Autorizzazioni segrete selezionare Le caselle di controllo Recupera ed Elenco .

4. Selezionare Avanti, quindi incollare l'ID client dell'identità gestita creata in precedenza nella barra di ricerca. Selezionare l'identità gestita.

5. Selezionare Avanti, quindi Avanti ancora una volta.

6. Esaminare i nuovi criteri e quindi selezionare Crea al termine.

Creare una connessione al servizio

1. Accedere all'organizzazione di Azure DevOps e passare al progetto.

2. Selezionare Connessioni al servizio Impostazioni> progetto, quindi selezionare Nuova connessione al servizio per creare una nuova connessione al servizio.

3. Selezionare Azure Resource Manager e quindi avanti.

4. Per Tipo di identità selezionare Identità gestita dal menu a discesa.

5. Per Passaggio 1: Dettagli identità gestita, compilare i campi come indicato di seguito:

   • Sottoscrizione per l'identità gestita: selezionare la sottoscrizione contenente l'identità gestita.

   • Gruppo di risorse per l'identità gestita: selezionare il gruppo di risorse che ospita l'identità gestita.

   • Identità gestita: selezionare l'identità gestita dal menu a discesa.

6. Per Il passaggio 2: Ambito di Azure compilare i campi come indicato di seguito:

   • Livello di ambito per la connessione al servizio: selezionare Sottoscrizione.

   • Sottoscrizione per la connessione al servizio: selezionare la sottoscrizione a cui si accederà l'identità gestita.

   • Gruppo di risorse per la connessione al servizio: (facoltativo) Specificare per limitare l'accesso all'identità gestita a un gruppo di risorse.

7. Per Il passaggio 3: Dettagli della connessione al servizio:

   • Nome connessione al servizio: specificare un nome per la connessione al servizio.

   • Informazioni di riferimento sulla gestione dei servizi: (facoltativo) informazioni sul contesto da un database ITSM.

   • Descrizione: (Facoltativo) Aggiungere una descrizione.

8. In Sicurezza selezionare la casella di controllo Concedi l'autorizzazione di accesso a tutte le pipeline per consentire a tutte le pipeline di usare questa connessione al servizio. Se non si seleziona questa opzione, è necessario concedere manualmente l'accesso a ogni pipeline che usa questa connessione al servizio.

9. Selezionare Salva per convalidare e creare la connessione al servizio.

   

Entità servizio

Creare un'entità servizio

In questo passaggio si creerà una nuova entità servizio in Azure, consentendo di eseguire query su Azure Key Vault da Azure Pipelines.

1. Passare a portale di Azure, quindi selezionare l'icona >_ dalla barra dei menu per aprire Cloud Shell.

2. Selezionare PowerShell o lasciarlo Bash in base alle preferenze.

3. Eseguire il comando seguente per creare una nuova entità servizio:

   az ad sp create-for-rbac --name YOUR_SERVICE_PRINCIPAL_NAME
   

4. L'output deve corrispondere all'esempio seguente. Assicurarsi di copiare l'output del comando, perché sarà necessario per creare la connessione al servizio nel passaggio successivo.

   {
     "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "displayName": "MyServicePrincipal",
     "password": "***********************************",
     "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
   }
   

Creare una connessione al servizio

1. Accedere all'organizzazione di Azure DevOps e passare al progetto.

2. Selezionare Impostazioni progetto e quindi Connessioni al servizio.

3. Selezionare Nuova connessione al servizio, selezionare Azure Resource Manager poi selezionare Avanti.

4. Selezionare Entità servizio (manuale) e quindi selezionare Avanti.

5. Per Tipo di identità selezionare Registrazione app o identità gestita (manuale) dal menu a discesa.

6. Per Credenziali*, selezionare Federazione dell'identità del carico di lavoro.

7. Specificare un nome per la connessione al servizio e quindi selezionare Avanti.

8. Copiare l'autorità di certificazione e l'identificatore del soggetto come sarà necessario nel passaggio successivo.

9. Selezionare Cloud di Azure per Ambiente e Sottoscrizione per l'ambito della sottoscrizione.

10. Immettere l'ID sottoscrizione di Azure e il nome della sottoscrizione.

11. Per Autenticazione, incollare l'ID applicazione (client) dell'entità servizio e l'ID directory (tenant)

12. In Sicurezza selezionare la casella di controllo Concedi l'autorizzazione di accesso a tutte le pipeline per consentire a tutte le pipeline di usare questa connessione al servizio. Se non si seleziona questa opzione, è necessario concedere manualmente l'accesso a ogni pipeline che usa questa connessione al servizio.

13. Lasciare aperta questa opzione, si tornerà a verificare e salvare dopo aver creato (1) le credenziali federate in Azure e (2) concesse all'entità servizio l'accesso in lettura a livello di sottoscrizione.

    

Creare credenziali federate in Azure

1. Passare a portale di Azure, quindi immettere l'ID client dell'entità servizio nella barra di ricerca e quindi selezionare l'applicazione.

2. In Gestisci selezionare Certificati e segreti>Credenziali federate.

3. Selezionare Aggiungi credenziali e quindi per Scenario di credenziali federate selezionare Altro emittente.

4. In Issuer (Autorità di certificazione) incollare l'autorità di certificazione copiata dalla connessione al servizio in precedenza.

5. Per Identificatore soggetto incollare l'identificatore oggetto copiato in precedenza dalla connessione al servizio.

6. Specificare un nome per le credenziali federate e quindi selezionare Aggiungi al termine.

   

Aggiungere un'assegnazione di ruolo alla sottoscrizione

Prima di poter verificare la connessione, è necessario concedere all'entità servizio l'accesso in lettura a livello di sottoscrizione:

1. Passare a portale di Azure

2. In Servizio di Azure selezionare Sottoscrizioni e quindi trovare e selezionare la sottoscrizione.

3. Selezionare Controllo di accesso (IAM) e quindi Aggiungi>Aggiungi assegnazione di ruolo.

4. Selezionare Lettore nella scheda Ruolo e quindi selezionare Avanti.

5. Selezionare Utente, gruppo o entità servizio e quindi selezionare Seleziona membri.

6. Nella barra di ricerca incollare l'ID oggetto dell'entità servizio, selezionarlo e quindi fare clic sul pulsante Seleziona.

7. Selezionare Rivedi e assegna, rivedere le impostazioni e quindi selezionare Rivedi e assegna ancora una volta per confermare le scelte e aggiungere l'assegnazione di ruolo.

8. Dopo l'aggiunta dell'assegnazione di ruolo. Tornare alla connessione al servizio (in Azure DevOps) per selezionare infine Verifica e salva per salvare la connessione al servizio.

Configurare i criteri di accesso di Key Vault

1. Passare a portale di Azure, individuare l'insieme di credenziali delle chiavi creato in precedenza e quindi selezionare Criteri di accesso.

2. Selezionare Crea, quindi in Autorizzazioni segrete aggiungere le autorizzazioni Get ed List e quindi selezionare Avanti.

3. In Entità incollare l'ID oggetto dell'entità servizio, selezionarlo e quindi selezionare Avanti.

4. Selezionare Avanti ancora una volta, rivedere le impostazioni e quindi selezionare Salva al termine.

Eseguire query e usare segreti nella pipeline

Usando l'attività azure Key Vault è possibile recuperare il valore del segreto e usarlo nelle attività successive nella pipeline. Un aspetto da tenere presente è che i segreti devono essere mappati in modo esplicito alla variabile env, come illustrato nell'esempio seguente.

pool:
  vmImage: 'ubuntu-latest'

steps:
- task: AzureKeyVault@1
  inputs:
    azureSubscription: 'SERVICE_CONNECTION_NAME'
    KeyVaultName: 'KEY_VAULT_NAME'
    SecretsFilter: '*'

- bash: |
    echo "Secret Found! $MY_MAPPED_ENV_VAR"        
  env:
    MY_MAPPED_ENV_VAR: $(SECRET_NAME)

L'output dell'ultimo comando bash dovrebbe essere simile al seguente:

Secret Found! ***

Nota

Se si vuole eseguire una query per più segreti da Azure Key Vault, usare l'argomento SecretsFilter per passare un elenco delimitato da virgole di nomi segreti: 'secret1, secret2'.

Contenuto correlato

• Gestire le connessioni al servizio
• Definire le variabili
• Pubblicare gli artefatti della pipeline