Używanie wpisów tajnych usługi Azure Key Vault w potoku

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

Usługa Azure Key Vault umożliwia bezpieczne przechowywanie poufnych informacji, takich jak hasła, klucze interfejsu API, certyfikaty itp. przy użyciu usługi Azure Key Vault można łatwo tworzyć klucze szyfrowania i zarządzać nimi w celu szyfrowania danych. Usługa Azure Key Vault może również służyć do zarządzania certyfikatami dla wszystkich zasobów. Ten artykuł obejmuje następujące zagadnienia:

• Tworzenie usługi Azure Key Vault.
• Skonfiguruj uprawnienia usługi Key Vault.
• Utwórz nowe połączenie usługi.
• Wykonywanie zapytań dotyczących wpisów tajnych z usługi Azure Pipeline.

Wymagania wstępne

• Organizacja: Azure DevOps. Utwórz go bezpłatnie , jeśli jeszcze go nie masz.
• Twój własny projekt. Utwórz projekt , jeśli jeszcze go nie masz.
• Własne repozytorium. Utwórz nowe repozytorium Git, jeśli jeszcze go nie masz.
• Subskrypcja Azure. Utwórz bezpłatne konto platformy Azure, jeśli jeszcze go nie masz.

Tworzenie magazynu kluczy

Witryna Azure Portal

1. Zaloguj się do witryny Azure Portal, a następnie wybierz pozycję Utwórz zasób.

2. W obszarze Key Vault wybierz pozycję Utwórz , aby utworzyć nową usługę Azure Key Vault.

3. Wybierz swoją subskrypcję z menu rozwijanego, a następnie wybierz istniejącą grupę zasobów lub utwórz nową. Wprowadź nazwę magazynu kluczy, wybierz region, wybierz warstwę cenową, a następnie wybierz przycisk Dalej, jeśli chcesz skonfigurować dodatkowe właściwości. W przeciwnym razie wybierz pozycję Przejrzyj i utwórz , aby zachować ustawienia domyślne.

4. Po zakończeniu wdrażania wybierz pozycję Przejdź do zasobu.

Interfejs wiersza polecenia platformy Azure

1. Najpierw ustaw domyślny region i subskrypcję platformy Azure:

   • Ustaw subskrypcję domyślną:

   az account set --subscription <your_subscription_name_or_subscription_ID>
   

   • Ustaw region domyślny:

   az config set defaults.location=<your_region>
   

2. Utwórz nową grupę zasobów do hostowania usługi Azure Key Vault. Grupa zasobów to kontener, który zawiera powiązane zasoby dla rozwiązania platformy Azure:

   az group create --name <your-resource-group>
   

3. Utwórz nową usługę Azure Key Vault:

   az keyvault create \
     --name <your-key-vault-name> \
     --resource-group <your-resource-group>
   

Konfigurowanie uwierzytelniania

Tożsamość zarządzana

Tworzenie tożsamości zarządzanej przypisanej przez użytkownika

1. Zaloguj się do witryny Azure Portal, a następnie wyszukaj usługę Tożsamości zarządzane na pasku wyszukiwania.

2. Wybierz pozycję Utwórz i wypełnij wymagane pola w następujący sposób:

   • Subskrypcja: wybierz swoją subskrypcję z menu rozwijanego.
   • Grupa zasobów: wybierz istniejącą grupę zasobów lub utwórz nową.
   • Region: wybierz region z menu rozwijanego.
   • Nazwa: Wprowadź nazwę przypisanej do użytkownika tożsamości zarządzanej.

3. Po zakończeniu wybierz pozycję Przejrzyj i utwórz .

4. Po zakończeniu wdrażania wybierz pozycję Przejdź do zasobu, a następnie skopiuj wartości Subscription (Subskrypcja ) i Client ID (Identyfikator klienta), które będą używane w kolejnych krokach.

5. Przejdź do pozycji Właściwości ustawień>i skopiuj wartość identyfikatora dzierżawy tożsamości zarządzanej do późniejszego użycia.

Konfigurowanie zasad dostępu do magazynu kluczy

1. Przejdź do witryny Azure Portal i użyj paska wyszukiwania, aby znaleźć utworzony wcześniej magazyn kluczy.

2. Wybierz pozycję Zasady dostępu, a następnie wybierz pozycję Utwórz , aby dodać nowe zasady.

3. W obszarze Uprawnienia wpisu tajnego zaznacz pola wyboru Pobierz i Lista .

4. Wybierz pozycję Dalej, a następnie wklej identyfikator klienta tożsamości zarządzanej utworzonej wcześniej na pasku wyszukiwania. Wybierz tożsamość zarządzaną.

5. Wybierz przycisk Dalej, a następnie ponownie przycisk Dalej .

6. Przejrzyj nowe zasady, a następnie wybierz pozycję Utwórz po zakończeniu.

Tworzenie połączenia z usługą

1. Zaloguj się do organizacji usługi Azure DevOps, a następnie przejdź do projektu.

2. Wybierz pozycję Połączenia usługi Ustawień>projektu, a następnie wybierz pozycję Nowe połączenie z usługą, aby utworzyć nowe połączenie z usługą.

3. Wybierz pozycję Azure Resource Manager, a następnie wybierz pozycję Dalej.

4. W obszarze Typ tożsamości wybierz pozycję Tożsamość zarządzana z menu rozwijanego.

5. W kroku 1. Szczegóły tożsamości zarządzanej wypełnij pola w następujący sposób:

   • Subskrypcja tożsamości zarządzanej: wybierz subskrypcję zawierającą tożsamość zarządzaną.

   • Grupa zasobów dla tożsamości zarządzanej: wybierz grupę zasobów hostująca tożsamość zarządzaną.

   • Tożsamość zarządzana: wybierz tożsamość zarządzaną z menu rozwijanego.

6. W przypadku kroku 2. Zakres platformy Azure wypełnij pola w następujący sposób:

   • Poziom zakresu połączenia z usługą: wybierz pozycję Subskrypcja.

   • Subskrypcja połączenia z usługą: wybierz subskrypcję, do których będzie uzyskiwana tożsamość zarządzana.

   • Grupa zasobów dla połączenia z usługą: (opcjonalnie) Określ, aby ograniczyć dostęp tożsamości zarządzanej do jednej grupy zasobów.

7. W kroku 3. Szczegóły połączenia z usługą:

   • Nazwa połączenia z usługą: podaj nazwę połączenia z usługą.

   • Dokumentacja zarządzania usługami: (opcjonalnie) informacje kontekstowe z bazy danych ITSM.

   • Opis: (Opcjonalnie) Dodaj opis.

8. W obszarze Zabezpieczenia zaznacz pole wyboru Udziel uprawnień dostępu do wszystkich potoków, aby zezwolić wszystkim potokom na korzystanie z tego połączenia z usługą. Jeśli nie wybierzesz tej opcji, musisz ręcznie udzielić dostępu do każdego potoku korzystającego z tego połączenia z usługą.

9. Wybierz pozycję Zapisz , aby zweryfikować i utworzyć połączenie usługi.

   

Jednostka usługi

Tworzenie jednostki usługi

W tym kroku utworzymy nową jednostkę usługi na platformie Azure, umożliwiając nam wykonywanie zapytań dotyczących usługi Azure Key Vault z poziomu usługi Azure Pipelines.

1. Przejdź do witryny Azure Portal, a następnie wybierz >ikonę _ na pasku menu, aby otworzyć usługę Cloud Shell.

2. Wybierz program PowerShell lub pozostaw go jako powłokę Bash na podstawie preferencji.

3. Uruchom następujące polecenie, aby utworzyć nową jednostkę usługi:

   az ad sp create-for-rbac --name YOUR_SERVICE_PRINCIPAL_NAME
   

4. Dane wyjściowe powinny być zgodne z poniższym przykładem. Pamiętaj, aby skopiować dane wyjściowe polecenia, ponieważ będzie ono potrzebne do utworzenia połączenia z usługą w następnym kroku.

   {
     "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "displayName": "MyServicePrincipal",
     "password": "***********************************",
     "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
   }
   

Tworzenie połączenia z usługą

1. Zaloguj się do organizacji usługi Azure DevOps, a następnie przejdź do projektu.

2. Wybierz pozycję Ustawienia projektu, a następnie wybierz pozycję Połączenia z usługą.

3. Wybierz pozycję Nowe połączenie z usługą, wybierz pozycję Azure Resource Manager, a następnie wybierz pozycję Dalej.

4. Wybierz pozycję Jednostka usługi (ręcznie), a następnie wybierz pozycję Dalej.

5. W polu Typ tożsamości wybierz pozycję Rejestracja aplikacji lub tożsamość zarządzana (ręcznie) z menu rozwijanego.

6. W polu Credential*(Poświadczenie*) wybierz pozycję Federacja tożsamości obciążenia.

7. Podaj nazwę połączenia z usługą, a następnie wybierz pozycję Dalej.

8. Skopiuj wystawcę i identyfikator podmiotu, ponieważ będzie on potrzebny w następnym kroku.

9. Wybierz pozycję Azure Cloud for Environment (Chmura platformy Azure dla środowiska) i Subscription (Subskrypcja ) dla zakresu subskrypcji.

10. Wprowadź identyfikator subskrypcji platformy Azure i nazwę subskrypcji.

11. W polu Uwierzytelnianie wklej identyfikator aplikacji (klienta) jednostki usługi i identyfikator katalogu (dzierżawy)

12. W obszarze Zabezpieczenia zaznacz pole wyboru Udziel uprawnień dostępu do wszystkich potoków , aby zezwolić wszystkim potokom na korzystanie z tego połączenia z usługą. Jeśli nie wybierzesz tej opcji, musisz ręcznie udzielić dostępu do każdego potoku korzystającego z tego połączenia z usługą.

13. Pozostaw to otwarte, wrócisz do weryfikacji i zapisania po utworzeniu poświadczeń federacyjnych na platformie Azure i (2) udzielono dostępu do odczytu jednostki usługi na poziomie subskrypcji.

    

Tworzenie poświadczeń federacyjnych na platformie Azure

1. Przejdź do witryny Azure Portal, a następnie wprowadź identyfikator ClientID jednostki usługi na pasku wyszukiwania, a następnie wybierz aplikację.

2. W obszarze Zarządzanie wybierz pozycję Certyfikaty i wpisy tajne>federacyjne poświadczeń.

3. Wybierz pozycję Dodaj poświadczenia, a następnie w scenariuszu poświadczeń federacyjnych wybierz pozycję Inny wystawca.

4. W polu Wystawca wklej wystawcę skopiowanego wcześniej z połączenia usługi.

5. W polu Identyfikator podmiotu wklej wcześniej identyfikator podmiotu skopiowany z połączenia usługi.

6. Podaj nazwę poświadczeń federacyjnych, a następnie wybierz pozycję Dodaj po zakończeniu.

   

Dodawanie przypisania roli do subskrypcji

Przed zweryfikowaniem połączenia należy przyznać jednostce usługi dostęp do odczytu na poziomie subskrypcji:

1. Przejdź do witryny Azure Portal

2. W obszarze Usługa platformy Azure wybierz pozycję Subskrypcje, a następnie znajdź i wybierz swoją subskrypcję.

3. Wybierz pozycję Kontrola dostępu (zarządzanie dostępem i tożsamościami), a następnie wybierz pozycję Dodaj>przypisanie roli.

4. Wybierz pozycję Czytelnik na karcie Rola , a następnie wybierz pozycję Dalej.

5. Wybierz pozycję Użytkownik, grupa lub jednostka usługi, a następnie wybierz pozycję Wybierz członków.

6. Na pasku wyszukiwania wklej identyfikator obiektu jednostki usługi, wybierz go, a następnie kliknij przycisk Wybierz.

7. Wybierz pozycję Przejrzyj i przypisz, przejrzyj ustawienia, a następnie wybierz pozycję Przejrzyj i przypisz jeszcze raz, aby potwierdzić wybrane opcje i dodać przypisanie roli.

8. Po dodaniu przypisania roli. Wróć do połączenia usługi (w usłudze Azure DevOps), aby na koniec wybrać pozycję Weryfikuj i Zapisz , aby zapisać połączenie z usługą.

Konfigurowanie zasad dostępu usługi Key Vault

1. Przejdź do witryny Azure Portal, znajdź utworzony wcześniej magazyn kluczy, a następnie wybierz pozycję Zasady dostępu.

2. Wybierz pozycję Utwórz, a następnie w obszarze Uprawnienia wpisu tajnego dodaj uprawnienia Pobierz i Wyświetl , a następnie wybierz pozycję Dalej.

3. W obszarze Jednostka wklej identyfikator obiektu jednostki usługi, wybierz go, a następnie wybierz przycisk Dalej.

4. Po raz kolejny wybierz pozycję Dalej , przejrzyj ustawienia, a następnie wybierz pozycję Zapisz po zakończeniu.

Wykonywanie zapytań i używanie wpisów tajnych w potoku

Za pomocą zadania usługi Azure Key Vault możemy pobrać wartość naszego wpisu tajnego i użyć jej w kolejnych zadaniach w naszym potoku. Należy pamiętać, że wpisy tajne muszą być jawnie mapowane na zmienną env, jak pokazano w poniższym przykładzie.

pool:
  vmImage: 'ubuntu-latest'

steps:
- task: AzureKeyVault@1
  inputs:
    azureSubscription: 'SERVICE_CONNECTION_NAME'
    KeyVaultName: 'KEY_VAULT_NAME'
    SecretsFilter: '*'

- bash: |
    echo "Secret Found! $MY_MAPPED_ENV_VAR"        
  env:
    MY_MAPPED_ENV_VAR: $(SECRET_NAME)

Dane wyjściowe z ostatniego polecenia powłoki bash powinny wyglądać następująco:

Secret Found! ***

Uwaga

Jeśli chcesz wykonać zapytanie dotyczące wielu wpisów tajnych z usługi Azure Key Vault, użyj argumentu SecretsFilter , aby przekazać rozdzielaną przecinkami listę nazw wpisów tajnych: "secret1, secret2".

Powiązana zawartość

• Zarządzanie połączeniami z usługami
• Definiowanie zmiennych
• Publikowanie artefaktów potoku