다음을 통해 공유

Azure Key Vault의 비밀에 변수 그룹 연결

  • 아티클

이 문서에서는 Azure Key Vault에 저장된 비밀에 연결되는 변수 그룹을 만드는 방법을 보여 줍니다. 변수 그룹을 키 자격 증명 모음에 연결하면 비밀이 안전하게 저장되고 파이프라인이 항상 런타임에 최신 비밀 값에 액세스할 수 있도록 할 수 있습니다.

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

기존 Azure Key Vault에 연결하고 선택한 키 자격 증명 모음 비밀을 변수 그룹에 매핑하는 변수 그룹을 만들 수 있습니다. 비밀 이름만 비밀 값이 아니라 변수 그룹에 매핑됩니다. 파이프라인이 실행되면 변수 그룹에 연결하여 런타임에 자격 증명 모음에서 최신 비밀 값을 가져옵니다.

키 자격 증명 모음의 기존 비밀에 대한 변경 내용은 변수 그룹을 사용하는 모든 파이프라인에서 자동으로 사용할 수 있습니다. 그러나 비밀이 자격 증명 모음에 추가되거나 자격 증명 모음에서 삭제되는 경우 연결된 변수 그룹은 자동으로 업데이트되지 않습니다. 변수 그룹에 포함할 비밀을 명시적으로 업데이트해야 합니다.

Key Vault는 Azure에서 암호화 키 및 인증서 저장 및 관리를 지원하지만 Azure Pipelines 변수 그룹 통합은 키 자격 증명 모음 비밀 매핑만 지원합니다. 암호화 키 및 인증서는 지원되지 않습니다.

참고 항목

Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하는 키 자격 증명 모음은 지원되지 않습니다.

필수 조건

키 자격 증명 모음 만들기

Azure Key Vault를 만듭니다.

  1. Azure Portal에서 리소스 만들기를 선택합니다.
  2. Key Vault를 검색하여 선택한 다음 만들기를 선택합니다.
  3. 구독을 선택합니다.
  4. 기존 리소스 그룹을 선택하거나 새 리소스 그룹을 만듭니다.
  5. 키 자격 증명 모음의 이름을 입력합니다.
  6. 지역을 선택합니다.
  7. 액세스 및 구성 탭을 선택합니다.
  8. Vault 액세스 정책을 선택합니다.
  9. 계정을 보안 주체로 선택합니다.
  10. 검토 + 만들기를 선택한 다음, 만들기를 선택합니다.

키 자격 증명 모음에 연결된 변수 그룹 만들기

  1. Azure DevOps 프로젝트에서 파이프라인>라이브러리>+ 변수 그룹을 선택합니다.
  2. 변수 그룹 페이지에서 변수 그룹에 대한 이름 및 선택적 설명을 입력합니다.
  3. Azure Key Vault의 링크 비밀을 변수 토글로 사용하도록 설정합니다.
  4. 서비스 연결을 선택하고 권한 부여를 선택합니다.
  5. 키 자격 증명 모음 이름을 선택하고 자격 증명 모음 이름 옆에 있는 권한 부여를 선택하여 Azure DevOps가 키 자격 증명 모음에 액세스할 수 있도록 합니다.
  6. + 추가를 선택하고 비밀 선택 화면에서 자격 증명 모음에서 이 변수 그룹에 매핑할 비밀을 선택한 다음 확인을 선택합니다.
  7. 저장을 선택하여 비밀 변수 그룹을 저장합니다.

Azure Key Vault 통합을 사용한 변수 그룹의 스크린샷.

참고 항목

서비스 연결에는 이전 단계에서 권한을 부여할 수 있는 키 자격 증명 모음에 대한 가져오기나열 권한이 있어야 합니다. 다음 단계를 수행하여 Azure Portal에서 이러한 권한을 제공할 수도 있습니다.

  1. 키 자격 증명 모음에 대한 설정을 연 다음 액세스 구성>을 선택하여 액세스 정책으로 이동합니다.
  2. 액세스 정책 페이지에서 Azure Pipelines 프로젝트가 최소한 가져오기나열 권한이 있는 애플리케이션 아래에 나열되지 않은 경우 만들기를 선택합니다.
  3. 비밀 권한에서 가져오기목록을 선택한 다음, 다음을 선택합니다.
  4. 보안 주체를 선택한 다음, 다음을 선택합니다.
  5. 다음을 다시 선택하고 설정을 검토한 다음 만들기를 선택합니다.

자세한 내용은 Azure Key Vault 비밀 사용을 참조 하세요.