Utilizzare i segreti di Azure Key Vault nelle Azure Pipelines

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Azure Key Vault consente agli sviluppatori di archiviare e gestire in modo sicuro informazioni riservate, ad esempio chiavi API, credenziali o certificati. Il servizio Azure Key Vault supporta due tipi di contenitori: vault e pool di moduli di sicurezza hardware gestiti. I vault possono archiviare sia chiavi con supporto software che chiavi, segreti e certificati con supporto HSM, mentre i pool HSM gestiti supportano esclusivamente le chiavi con supporto HSM.

La presente esercitazione include informazioni su come:

• Creare un Azure Key Vault utilizzando la CLI di Azure
• Aggiungere un segreto e configurare l'accesso ad Azure Key Vault
• Utilizzare i segreti nella pipeline

Prerequisiti

• Un'organizzazione Di Azure DevOps e un progetto. Creare un'organizzazione o un progetto, se non è già stato fatto.

• Una sottoscrizione di Azure. Creare gratuitamente un account Azure, se non ne è già disponibile uno.

Scaricare il codice di esempio

Se si ha già un repository personalizzato, procedere con il passaggio successivo. In alternativa, importa il seguente repository di esempio nel tuo repository di Azure.

1. Accedere all'organizzazione di Azure DevOps e passare al progetto.

2. Selezionare Repository e quindi Importare. Immettere l'URL del repository seguente e quindi selezionare Importa.

   https://github.com/MicrosoftDocs/pipelines-dotnet-core
   

Creare un Azure Key Vault

1. Accedere al portale di Azure e quindi selezionare il pulsante Cloud Shell nell'angolo in alto a destra.

2. Se all'account sono associate più sottoscrizioni di Azure, usare il comando seguente per specificare una sottoscrizione predefinita. È possibile usare az account list per generare un elenco delle sottoscrizioni.

   az account set --subscription <YOUR_SUBSCRIPTION_NAME_OR_ID>
   

3. Impostare l'area di Azure predefinita. È possibile usare az account list-locations per generare un elenco di aree disponibili.

   az config set defaults.location=<YOUR_REGION>
   

4. Creare un nuovo gruppo di risorse.

   az group create --name <YOUR_RESOURCE_GROUP_NAME>
   

5. Creare un nuovo Azure Key Vault.

   az keyvault create \
     --name <YOUR_KEY_VAULT_NAME> \
     --resource-group <YOUR_RESOURCE_GROUP_NAME>
   

6. Crea un nuovo segreto nel Key Vault di Azure.

   az keyvault secret set \
     --name <YOUR_SECRET_NAME> \
     --value <YOUR_ACTUAL_SECRET> \
     --vault-name <YOUR_KEY_VAULT_NAME>
   

Configurare l'autenticazione

Identità gestita

Creare un'identità gestita assegnata dall'utente

1. Accedere al portale di Azure, quindi cercare il servizio Identità gestite nella barra di ricerca.

2. Selezionare Crea e compilare i campi obbligatori come indicato di seguito:

   • Sottoscrizione: selezionare la sottoscrizione dal menu a discesa.
   • Gruppo di risorse: selezionare un gruppo di risorse esistente o crearne uno nuovo.
   • Area: selezionare un'area dal menu a discesa.
   • Nome: immetti un nome per l'identità gestita assegnata dall'utente.

3. Al termine, selezionare Rivedi e crea .

4. Al termine della distribuzione, selezionare Vai alla risorsa, quindi copiare il valore di sottoscrizione e l'ID client da usare nei passaggi successivi.

5. Passare a Impostazioni>Proprietà e copiare il valore dell'ID tenant dell'identità gestita per usarlo in un secondo momento.

Configurare le politiche di accesso del Key Vault

1. Passare al portale di Azure e usare la barra di ricerca per trovare l'insieme di credenziali creato in precedenza.

2. Selezionare Criteri di accesso e quindi Crea per aggiungere un nuovo criterio.

3. Sotto Permessi segreti, selezionare le caselle di controllo Recupera ed Elenca.

4. Selezionare Avanti, quindi incollare l'ID client dell'identità gestita creata in precedenza nella barra di ricerca. Seleziona l'identità gestita.

5. Selezionare Avanti, quindi Avanti ancora una volta.

6. Esaminare i nuovi criteri e quindi selezionare Crea al termine.

Creare una connessione al servizio

1. Accedere all'organizzazione di Azure DevOps e passare al progetto.

2. Selezionare Impostazioni progetto>Connessioni al servizio, quindi selezionare Nuova connessione al servizio per creare una nuova connessione al servizio.

3. Selezionare Azure Resource Manager e poi Avanti.

4. Per Tipo di identità selezionare Identità gestita dal menu a discesa.

5. Per Passaggio 1: dettagli dell'identità gestita, compilare i campi come indicato di seguito:

   • Sottoscrizione per l'identità gestita: selezionare la sottoscrizione contenente l'identità gestita.

   • Gruppo di risorse per l'identità gestita: selezionare il gruppo di risorse che ospita l'identità gestita.

   • Identità gestita: selezionare l'identità gestita dal menu a discesa.

6. Per Il passaggio 2: Ambito di Azure compilare i campi come indicato di seguito:

   • Livello di ambito per la connessione al servizio: selezionare Sottoscrizione.

   • Sottoscrizione per il collegamento al servizio: seleziona la sottoscrizione a cui accederà l'identità gestita.

   • Gruppo di risorse per la connessione al servizio: (facoltativo) Specificare per limitare l'accesso all'identità gestita a un gruppo di risorse.

7. Per Il passaggio 3: Dettagli della connessione al servizio:

   • Nome connessione al servizio: specificare un nome per la connessione al servizio.

   • Informazioni di riferimento sulla gestione dei servizi: (facoltativo) informazioni sul contesto da un database ITSM.

   • Descrizione: (Facoltativo) Aggiungere una descrizione.

8. In Sicurezza selezionare la casella di controllo Concedi l'autorizzazione di accesso a tutte le pipeline per consentire a tutte le pipeline di usare questa connessione al servizio. Se non si seleziona questa opzione, è necessario concedere manualmente l'accesso a ogni pipeline che usa questa connessione al servizio.

9. Selezionare Salva per convalidare e creare la connessione al servizio.

   

Service Principal

Configurare i criteri di accesso del Key Vault

Per accedere ad Azure Key Vault, è prima necessario configurare un'entità servizio per concedere l'accesso ad Azure Pipelines:

1. Creare un'entità servizio

2. Passare al Portale di Azure, e quindi usare la barra di ricerca per trovare il Key Vault creato in precedenza.

3. Selezionare Criteri di accesso e quindi Crea.

4. In Autorizzazioni segrete aggiungere le autorizzazioni Recupera ed Elenco e quindi selezionare Avanti.

5. Per Principale, incollare l'ID oggetto del principale del servizio, selezionarlo e quindi selezionare Avanti.

6. Selezionare Avanti ancora una volta, esaminare i criteri e quindi selezionare Salva al termine.

Aggiungi assegnazione di ruolo

Nel passaggio successivo creerai una connessione al servizio ARM per il principale del servizio. Prima di verificare la connessione, è necessario: (1) concedere all'entità servizio Leggi l'accesso a livello di abbonamento e (2) creare una credenziale federata per l'entità servizio.

I passaggi che seguono spiegano come concedere l'accesso in lettura a livello di sottoscrizione:

1. Passare a portale di Azure, selezionare Sottoscrizioni e quindi trovare e selezionare la sottoscrizione.

2. Selezionare Controllo di accesso e quindi selezionare Aggiungi>Aggiungi assegnazione di ruolo.

3. Selezionare Lettore nella scheda Ruolo e quindi selezionare Avanti.

4. Selezionare Utente, gruppo o entità del servizio, e quindi selezionare Seleziona membri.

5. Incolla l'ID oggetto dell'entità servizio nella barra di ricerca, selezionalo e quindi Seleziona.

6. Selezionare Rivedi e assegna, rivedere le impostazioni e quindi selezionare Rivedi e assegna ancora una volta per confermare le scelte e aggiungere l'assegnazione di ruolo.

Creare una connessione al servizio

1. Accedere all'organizzazione di Azure DevOps e passare al progetto.

2. Selezionare Impostazioni progetto e quindi Connessioni al servizio.

3. Selezionare Nuova connessione al servizio, selezionare Azure Resource Manager poi selezionare Avanti.

4. Selezionare Entità servizio (manuale) e quindi selezionare Avanti.

5. Per Tipo di identità selezionare Registrazione app o identità gestita (manuale) dal menu a discesa.

6. Per Credenziali, selezionare Federazione dell'identità del carico di lavoro.

7. Specificare un nome per la connessione al servizio e quindi selezionare Avanti.

8. Selezionare Azure Cloud per Ambiente e Sottoscrizione per l'ambito della sottoscrizione.

9. Immettere l’ID sottoscrizione di Azure e il nome della sottoscrizione.

10. Per Autenticazione, incollare l'ID applicazione (client) e l'ID directory (tenant) del proprio principale del servizio

11. In Sicurezza selezionare la casella di controllo Concedi l'autorizzazione di accesso a tutte le pipeline per consentire a tutte le pipeline di usare questa connessione al servizio. Se non si seleziona questa opzione, è necessario concedere manualmente l'accesso a ogni pipeline che usa questa connessione al servizio.

12. Lasciare aperta questa finestra, si tornerà a verificare e salvare la connessione al servizio dopo aver creato le credenziali federate in Azure.

Creare una credenziale federata dell'entità servizio

1. Passare al portale di Azure, quindi immettere l'ID cliente del principale del servizio nella barra di ricerca e quindi selezionare la applicazione.

2. In Gestisci, selezionare Certificati e segreti>Credenziali federate.

3. Selezionare Aggiungi credenziali e quindi per Scenario di credenziali federate selezionare Altro emittente.

4. Per Issuer, incollare l'Issuer copiato in precedenza dalla connessione al servizio.

5. Per Identificatore soggetto, incolla l'identificatore soggetto che hai copiato in precedenza dalla tua connessione al servizio.

6. Specificare un nome per le credenziali federate e quindi selezionare Aggiungi al termine.

7. Tornare alla finestra di connessione del servizio, selezionare Verifica e salva per salvare la connessione al servizio.

Accedere ai segreti dell'archivio chiavi dalla pipeline

YAML

1. Accedere all'organizzazione di Azure DevOps e passare al progetto.

2. Selezionare Pipeline e quindi Nuova pipeline.

3. Selezionare Azure Repos Git (YAML) e quindi selezionare il repository.

4. Selezionare il modello Starter pipeline.

5. La pipeline predefinita includerà uno script che esegue comandi echo. Queste non sono necessarie in modo da poterle eliminare.

6. Aggiungere l'attività AzureKeyVault, sostituendo i segnaposto con il nome della connessione al servizio che hai creato in precedenza e il nome dell'insieme di credenziali. Il file YAML dovrebbe essere simile al frammento di codice seguente:

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   

7. Aggiungiamo le attività seguenti per copiare e pubblicare il segreto. Questo esempio è solo a scopo dimostrativo e non deve essere implementato in un ambiente di produzione.

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   
   - task: CmdLine@2
     displayName: Create file
     inputs:
       script: 'echo $(SECRET_NAME) > secret.txt'
   
   - task: CopyFiles@2
     displayName: Copy file
     inputs:
       Contents: secret.txt
       targetFolder: '$(Build.ArtifactStagingDirectory)'
   
   - task: PublishBuildArtifacts@1
     displayName: Publish Artifact
     inputs:
       PathtoPublish: '$(Build.ArtifactStagingDirectory)'
       ArtifactName: 'drop'
       publishLocation: 'Container'
   

8. Selezionare Salva ed esegui e quindi selezionarlo ancora una volta per eseguire il commit delle modifiche e attivare la pipeline. Potrebbe essere richiesto di consentire l'accesso della pipeline alle risorse di Azure, se richiesto, selezionare Consenti. Sarà necessario approvare la pipeline una sola volta.

9. Selezionare l'attività CmdLine per visualizzare i log.

   

10. Al termine dell'esecuzione della pipeline, tornare al riepilogo della pipeline e selezionare l'artefatto pubblicato.

    

11. Selezionare drop>secret.txt per scaricarlo.

    

12. Apri il file di testo che hai appena scaricato; il file di testo dovrebbe contenere il segreto dal Key Vault di Azure.

Classico

1. Accedere all'organizzazione di Azure DevOps e passare al progetto.

2. Selezionare Pipeline e quindi Nuova pipeline.

3. Selezionare Usa l'editor classico per creare una pipeline classica.

4. Selezionare Azure Repos Git, selezionare il repository e il ramo predefinito e quindi selezionare Continua.

5. Selezionare il modello di pipeline .Net Desktop .

6. Per questo esempio, saranno necessarie solo le ultime due attività. Premere CTRL e quindi selezionare le prime cinque attività, fare clic con il pulsante destro del mouse e scegliere Rimuovi le attività selezionate per eliminarle.

   

7. Selezionare questa opzione + per aggiungere una nuova attività. Cercare l'attività Riga di comando , selezionarla e quindi selezionare Aggiungi per aggiungerla alla pipeline. Dopo l'aggiunta, configurarla come segue:

   • Nome visualizzato: Crea file
   • Script: echo $(SECRET_NAME) > secret.txt

   

8. Selezionare questa opzione + per aggiungere una nuova attività. Cercare l'attività Azure Key Vault , selezionarla e quindi selezionare Aggiungi* per aggiungerla alla pipeline. Dopo l'aggiunta, configurarla come segue:

   • Nome visualizzato: Azure Key Vault
   • Sottoscrizione di Azure: selezionare la connessione al servizio creata in precedenza
   • Deposito chiavi: selezionare il deposito chiavi
   • Filtro segreto: elenco di nomi segreti separati da virgole o lasciare * per scaricare tutti i segreti dalla cassaforte delle chiavi selezionata

   

9. Selezionare l'attività Copia file e compilare i campi obbligatori come indicato di seguito:

   • Nome da visualizzare: Copia file
   • Contenuto: secret.txt
   • Cartella di destinazione: $(build.artifactstagingdirectory)

   

10. Selezionare l'attività Pubblica artefatti e compilare i campi obbligatori come indicato di seguito:

    • Nome visualizzato: Pubblica artefatto
    • Percorso di pubblicazione: $(build.artifactstagingdirectory)
    • Nome artefatto: drop
    • Posizione di pubblicazione degli artefatti: Azure Pipelines

    

11. Selezionare Salva e metti in coda e quindi selezionare Avvia per eseguire la pipeline.

12. Al termine dell'esecuzione della pipeline, tornare al riepilogo della pipeline e selezionare l'output pubblicato.

13. Selezionare drop>secret.txt per scaricare l'artefatto pubblicato.

    

14. Aprire il file di testo appena scaricato, il file di testo contiene il segreto dal Key Vault di Azure.

Avviso

Questa esercitazione è solo a scopo didattico. Per le procedure consigliate per la sicurezza e come usare in modo sicuro i segreti, vedere Gestire i segreti nelle app server con Azure Key Vault.

Pulire le risorse

Seguire questa procedura per eliminare le risorse create:

1. Se è stata creata una nuova organizzazione per ospitare il progetto, vedere come eliminare l'organizzazione, altrimenti eliminare il progetto.

2. Tutte le risorse di Azure create durante questa esercitazione sono ospitate in un singolo gruppo di risorse. Eseguire il comando seguente per eliminare il gruppo di risorse e tutte le relative risorse.

   az group delete --name <YOUR_RESOURCE_GROUP_NAME>
   

Domande frequenti

D: Viene visualizzato l'errore seguente: "L'utente o il gruppo non dispone dell'autorizzazione per l'elenco dei segreti" cosa devo fare?

Se si riscontra un errore che indica che l'utente o il gruppo non dispone dell'autorizzazione per gli elenchi di segreti nell'insieme di credenziali delle chiavi di Azure, eseguire i seguenti comandi per autorizzare l'applicazione ad accedere alla chiave o al segreto in Azure Key Vault:

az account set --subscription <YOUR_SUBSCRIPTION_ID>

az login

$spnObjectId = az ad sp show --id <YOUR_SERVICE_PRINCIPAL_ID>

az keyvault set-policy --name <YOUR_KEY_VAULT_NAME> --object-id $spnObjectId --secret-permissions get list

Articoli correlati

• Pubblicare e scaricare gli artefatti della pipeline
• Artefatti di rilascio e origini degli artefatti
• Usare punti di controllo e approvazioni per controllare la distribuzione