Azure Key Vault-geheimen gebruiken in uw pijplijn

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Met Azure Key Vault kunt u uw gevoelige informatie, zoals wachtwoorden, API-sleutels, certificaten, enzovoort, veilig opslaan en beheren. met behulp van Azure Key Vault kunt u eenvoudig versleutelingssleutels maken en beheren om uw gegevens te versleutelen. Azure Key Vault kan ook worden gebruikt om certificaten voor al uw resources te beheren. In dit artikel leert u het volgende:

• Maak een Azure Key Vault.
• Configureer uw Key Vault-machtigingen.
• Maak een nieuwe serviceverbinding.
• Query's uitvoeren op geheimen uit uw Azure-pijplijn.

Vereisten

• een Azure DevOps-organisatie. Maak er gratis een als u er nog geen hebt.
• Uw eigen project. Maak een project als u er nog geen hebt.
• Uw eigen opslagplaats. Maak een nieuwe Git-opslagplaats als u er nog geen hebt.
• Een Azure-abonnement. Maak een gratis Azure-account als u er nog geen hebt.

Een sleutelkluis maken

Azure-portal

1. Meld u aan bij Azure Portal en selecteer vervolgens Een resource maken.

2. Selecteer Onder Key Vault maken de optie Maken om een nieuwe Azure Key Vault te maken.

3. Selecteer uw abonnement in de vervolgkeuzelijst en selecteer vervolgens een bestaande resourcegroep of maak een nieuwe. Voer een sleutelkluisnaam in, selecteer een regio, kies een prijscategorie en selecteer Volgende als u aanvullende eigenschappen wilt configureren. Selecteer anders Controleren en maken om de standaardinstellingen te behouden.

4. Zodra de implementatie is voltooid, selecteert u Ga naar de resource.

Azure-CLI

1. Stel eerst uw standaardregio en Azure-abonnement in:

   • Standaardabonnement instellen:

   az account set --subscription <your_subscription_name_or_subscription_ID>
   

   • Standaardregio instellen:

   az config set defaults.location=<your_region>
   

2. Maak een nieuwe resourcegroep om uw Azure Key Vault te hosten. Een resourcegroep is een container met gerelateerde resources voor een Azure-oplossing:

   az group create --name <your-resource-group>
   

3. Maak een nieuwe Azure Key Vault:

   az keyvault create \
     --name <your-key-vault-name> \
     --resource-group <your-resource-group>
   

Verificatie instellen

Beheerde identiteit

Een door de gebruiker toegewezen beheerde identiteit maken

1. Meld u aan bij Azure Portal en zoek vervolgens naar de service Beheerde identiteiten in de zoekbalk.

2. Selecteer Maken en vul de vereiste velden als volgt in:

   • Abonnement: Selecteer uw abonnement in de vervolgkeuzelijst.
   • Resourcegroep: Selecteer een bestaande resourcegroep of maak een nieuwe.
   • Regio: Selecteer een regio in de vervolgkeuzelijst.
   • Naam: voer een naam in voor uw door de gebruiker toegewezen beheerde identiteit.

3. Selecteer Beoordelen en maken wanneer u klaar bent.

4. Zodra de implementatie is voltooid, selecteert u Ga naar de resource en kopieert u vervolgens de waarden voor het abonnement en de client-id die u in de komende stappen wilt gebruiken.

5. Navigeer naar Instellingeneigenschappen> en kopieer de tenant-id-waarde van uw beheerde identiteit voor later gebruik.

Toegangsbeleid voor key vault instellen

1. Navigeer naar Azure Portal en gebruik de zoekbalk om de sleutelkluis te vinden die u eerder hebt gemaakt.

2. Selecteer Toegangsbeleid en selecteer Vervolgens Maken om een nieuw beleid toe te voegen.

3. Schakel onder Geheime machtigingen de selectievakjes Ophalen en Lijst in.

4. Selecteer Volgende en plak vervolgens de client-id van de beheerde identiteit die u eerder hebt gemaakt in de zoekbalk. Selecteer uw beheerde identiteit.

5. Selecteer Volgende en vervolgens nogmaals Volgende .

6. Controleer uw nieuwe beleidsregels en selecteer Vervolgens Maken wanneer u klaar bent.

Een serviceverbinding maken

1. Meld u aan bij uw Azure DevOps-organisatie en navigeer vervolgens naar uw project.

2. Selecteer Serviceverbindingen voor Project-instellingen>en selecteer vervolgens Nieuwe serviceverbinding om een nieuwe serviceverbinding te maken.

3. Selecteer Azure Resource Manager en selecteer vervolgens Volgende.

4. Voor Identiteitstype selecteert u Beheerde identiteit in de vervolgkeuzelijst.

5. Vul voor stap 1: Details van beheerde identiteit de velden als volgt in:

   • Abonnement voor beheerde identiteit: selecteer het abonnement met uw beheerde identiteit.

   • Resourcegroep voor beheerde identiteit: selecteer de resourcegroep die als host fungeert voor uw beheerde identiteit.

   • Beheerde identiteit: selecteer uw beheerde identiteit in de vervolgkeuzelijst.

6. Vul voor stap 2: Azure Scope de velden als volgt in:

   • Bereikniveau voor serviceverbinding: Selecteer Abonnement.

   • Abonnement voor serviceverbinding: selecteer het abonnement waartoe uw beheerde identiteit toegang heeft.

   • Resourcegroep voor serviceverbinding: (optioneel) Geef op om de toegang tot een beheerde identiteit tot één resourcegroep te beperken.

7. Voor stap 3: Serviceverbindingsgegevens:

   • Serviceverbindingsnaam: geef een naam op voor uw serviceverbinding.

   • Naslaginformatie over servicebeheer: (optioneel) contextinformatie uit een ITSM-database.

   • Beschrijving: (Optioneel) Voeg een beschrijving toe.

8. Schakel in Beveiliging het selectievakje Toegang verlenen aan alle pijplijnen in om toe te staan dat alle pijplijnen deze serviceverbinding gebruiken. Als u deze optie niet selecteert, moet u handmatig toegang verlenen aan elke pijplijn die gebruikmaakt van deze serviceverbinding.

9. Selecteer Opslaan om de serviceverbinding te valideren en te maken.

   

Service-principal

Een service-principal maken

In deze stap maken we een nieuwe service-principal in Azure, zodat we onze Azure Key Vault kunnen opvragen vanuit Azure Pipelines.

1. Navigeer naar Azure Portal en selecteer vervolgens het >pictogram _ in de menubalk om de Cloud Shell te openen.

2. Selecteer PowerShell of laat deze staan als Bash op basis van uw voorkeur.

3. Voer de volgende opdracht uit om een nieuwe service-principal te maken:

   az ad sp create-for-rbac --name YOUR_SERVICE_PRINCIPAL_NAME
   

4. De uitvoer moet overeenkomen met het onderstaande voorbeeld. Zorg ervoor dat u de uitvoer van uw opdracht kopieert, omdat u deze nodig hebt om de serviceverbinding in de volgende stap te maken.

   {
     "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "displayName": "MyServicePrincipal",
     "password": "***********************************",
     "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
   }
   

Een serviceverbinding maken

1. Meld u aan bij uw Azure DevOps-organisatie en navigeer vervolgens naar uw project.

2. Selecteer Project-instellingen en selecteer vervolgens Serviceverbindingen.

3. Selecteer Nieuwe serviceverbinding, selecteer Azure Resource Manager en selecteer vervolgens Volgende.

4. Selecteer Service-principal (handmatig) en selecteer vervolgens Volgende.

5. Voor identiteitstype selecteert u app-registratie of beheerde identiteit (handmatig) in de vervolgkeuzelijst.

6. Selecteer voor Referentie* de federatie van workloadidentiteit.

7. Geef een naam op voor uw serviceverbinding en selecteer vervolgens Volgende.

8. Kopieer de verlener en de onderwerp-id , omdat we deze in de volgende stap nodig hebben.

9. Selecteer Azure Cloud for Environment en Abonnement voor het abonnementsbereik.

10. Voer uw Azure-abonnements-id en abonnementsnaam in.

11. Voor verificatie plakt u de toepassings-id (client) van uw service-principal en de directory-id (tenant)

12. Schakel onder Beveiliging het selectievakje Toegang verlenen aan alle pijplijnen in om alle pijplijnen toe te staan deze serviceverbinding te gebruiken. Als u deze optie niet selecteert, moet u handmatig toegang verlenen aan elke pijplijn die gebruikmaakt van deze serviceverbinding.

13. Laat dit open, u keert terug om te controleren en op te slaan zodra u (1) de federatieve referentie in Azure hebt gemaakt en (2) uw service-principal leestoegang heeft verleend op abonnementsniveau.

    

Een federatieve referentie maken in Azure

1. Navigeer naar Azure Portal, voer de client-id van uw service-principal in de zoekbalk in en selecteer vervolgens uw toepassing.

2. Selecteer onder Beheren de optie Certificaten en geheimen>federatieve referenties.

3. Selecteer Referentie toevoegen en selecteer vervolgens voor het scenario met federatieve referenties de optie Andere verlener.

4. Plak voor Issuer de verlener die u eerder hebt gekopieerd uit uw serviceverbinding.

5. Plak voor onderwerp-id de onderwerp-id die u eerder hebt gekopieerd uit uw serviceverbinding.

6. Geef een naam op voor uw federatieve referentie en selecteer Toevoegen wanneer u klaar bent.

   

Roltoewijzing toevoegen aan uw abonnement

Voordat u de verbinding kunt verifiëren, moet u de service-principal leestoegang verlenen op abonnementsniveau:

1. Navigeren naar Azure Portal

2. Selecteer onder De Azure-service Abonnementen en zoek en selecteer vervolgens uw abonnement.

3. Selecteer Toegangsbeheer (IAM) en selecteer vervolgens Toevoegen>Roltoewijzing toevoegen.

4. Selecteer Lezer op het tabblad Rol en selecteer vervolgens Volgende.

5. Selecteer Gebruiker, groep of service-principal en selecteer vervolgens Leden selecteren.

6. Plak de object-id van uw service-principal in de zoekbalk, selecteer deze en klik vervolgens op de knop Selecteren.

7. Selecteer Beoordelen en toewijzen, controleer uw instellingen en selecteer vervolgens Beoordelen en toewijzen om uw keuzes te bevestigen en de roltoewijzing toe te voegen.

8. Zodra de roltoewijzing is toegevoegd. Ga terug naar uw serviceverbinding (in Azure DevOps) om tot slot Verifiëren en Opslaan te selecteren om uw serviceverbinding op te slaan.

Key Vault-toegangsbeleid configureren

1. Navigeer naar Azure Portal, zoek de sleutelkluis die u eerder hebt gemaakt en selecteer vervolgens Toegangsbeleid.

2. Selecteer Maken en voeg vervolgens onder Geheime machtigingen de machtigingen Ophalen en Lijst toe en selecteer vervolgens Volgende.

3. Plak onder Principal de object-id van uw service-principal, selecteer deze en selecteer vervolgens Volgende.

4. Selecteer Volgende nogmaals, controleer uw instellingen en selecteer Opslaan wanneer u klaar bent.

Geheimen in uw pijplijn opvragen en gebruiken

Met behulp van de Azure Key Vault-taak kunnen we de waarde van ons geheim ophalen en gebruiken in volgende taken in onze pijplijn. Houd er rekening mee dat geheimen expliciet moeten worden toegewezen aan een env-variabele, zoals wordt weergegeven in het onderstaande voorbeeld.

pool:
  vmImage: 'ubuntu-latest'

steps:
- task: AzureKeyVault@1
  inputs:
    azureSubscription: 'SERVICE_CONNECTION_NAME'
    KeyVaultName: 'KEY_VAULT_NAME'
    SecretsFilter: '*'

- bash: |
    echo "Secret Found! $MY_MAPPED_ENV_VAR"        
  env:
    MY_MAPPED_ENV_VAR: $(SECRET_NAME)

De uitvoer van de laatste bash-opdracht moet er als volgt uitzien:

Secret Found! ***

Notitie

Als u query's wilt uitvoeren op meerdere geheimen uit uw Azure Key Vault, gebruikt u het SecretsFilter argument om een door komma's gescheiden lijst met geheime namen door te geven: 'secret1, secret2'.

Gerelateerde inhoud

• Serviceverbindingen beheren
• Variabelen definiëren
• Pijplijnartefacten publiceren