Udostępnij za pośrednictwem

Łączenie grupy zmiennych z wpisami tajnymi w usłudze Azure Key Vault

  • Artykuł

W tym artykule pokazano, jak utworzyć grupę zmiennych łączącą się z wpisami tajnymi przechowywanymi w magazynie kluczy platformy Azure. Łącząc grupę zmiennych z magazynem kluczy, możesz zapewnić bezpieczne przechowywanie wpisów tajnych, a potoki zawsze mają dostęp do najnowszych wartości wpisów tajnych w czasie wykonywania.

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

Możesz utworzyć grupę zmiennych, która łączy się z istniejącymi magazynami kluczy platformy Azure i mapuje wybrane wpisy tajne magazynu kluczy do grupy zmiennych. Tylko nazwy wpisów tajnych są mapowane na grupę zmiennych, a nie wartości wpisów tajnych. Po uruchomieniu potoków łączą się z grupą zmiennych w celu pobrania najnowszych wartości wpisów tajnych z magazynu w czasie wykonywania.

Wszelkie zmiany wprowadzone w istniejących wpisach tajnych w magazynie kluczy są automatycznie dostępne dla wszystkich potoków korzystających z grupy zmiennych. Jeśli jednak wpisy tajne są dodawane do magazynu lub usuwane z magazynu, skojarzone grupy zmiennych nie aktualizują się automatycznie. Należy jawnie zaktualizować wpisy tajne, aby uwzględnić je w grupie zmiennych.

Mimo że usługa Key Vault obsługuje przechowywanie kluczy kryptograficznych i certyfikatów oraz zarządzanie nimi na platformie Azure, integracja grup zmiennych usługi Azure Pipelines obsługuje tylko wpisy tajne magazynu kluczy mapowania. Klucze kryptograficzne i certyfikaty nie są obsługiwane.

Uwaga

Magazyny kluczy korzystające z kontroli dostępu opartej na rolach (RBAC) platformy Azure nie są obsługiwane.

Wymagania wstępne

Tworzenie magazynu kluczy

Utwórz magazyn Azure Key Vault.

  1. W witrynie Azure Portal wybierz polecenie Utwórz zasób.
  2. Wyszukaj i wybierz pozycję Key Vault, a następnie wybierz pozycję Utwórz.
  3. Wybierz subskrypcję.
  4. Wybierz istniejącą grupę zasobów lub utwórz nową.
  5. Wprowadź nazwę magazynu kluczy.
  6. Wybierz region.
  7. Wybierz kartę Dostęp i konfiguracja .
  8. Wybierz pozycję Zasady dostępu do magazynu.
  9. Wybierz swoje konto jako podmiot zabezpieczeń.
  10. Wybierz pozycję Przejrzyj i utwórz , a następnie pozycję Utwórz.

Tworzenie grupy zmiennych połączonej z magazynem kluczy

  1. W projekcie usługi Azure DevOps wybierz pozycję Biblioteka> potoków>i grupa zmiennych.
  2. Na stronie Grupy zmiennych wprowadź nazwę i opcjonalny opis grupy zmiennych.
  3. Włącz przełącznik Połącz wpisy tajne z magazynu kluczy platformy Azure jako przełącznik zmiennych.
  4. Wybierz połączenie z usługą i wybierz pozycję Autoryzuj.
  5. Wybierz nazwę magazynu kluczy i włącz usługę Azure DevOps, aby uzyskać dostęp do magazynu kluczy, wybierając pozycję Autoryzuj obok nazwy magazynu.
  6. Wybierz pozycję + Dodaj , a następnie na ekranie Wybieranie wpisów tajnych wybierz wpisy tajne z magazynu do mapowania do tej grupy zmiennych, a następnie wybierz przycisk OK.
  7. Wybierz pozycję Zapisz , aby zapisać grupę zmiennych tajnych.

Zrzut ekranu przedstawiający grupę zmiennych z integracją usługi Azure Key Vault.

Uwaga

Połączenie usługi musi mieć co najmniej uprawnienia Pobierz i Wyświetl w magazynie kluczy, które można autoryzować w poprzednich krokach. Te uprawnienia można również podać w witrynie Azure Portal, wykonując następujące kroki:

  1. Otwórz pozycję Ustawienia magazynu kluczy, a następnie wybierz pozycję Konfiguracja>dostępu Przejdź do zasad dostępu.
  2. Na stronie Zasady dostępu, jeśli projekt usługi Azure Pipelines nie znajduje się na liście w obszarze Aplikacje z co najmniej uprawnieniami Pobierz i Wyświetl, wybierz pozycję Utwórz.
  3. W obszarze Uprawnienia wpisu tajnego wybierz pozycję Pobierz i wyświetl, a następnie wybierz pozycję Dalej.
  4. Wybierz podmiot zabezpieczeń, a następnie wybierz pozycję Dalej.
  5. Ponownie wybierz pozycję Dalej , przejrzyj ustawienia, a następnie wybierz pozycję Utwórz.

Aby uzyskać więcej informacji, zobacz Używanie wpisów tajnych usługi Azure Key Vault.