Vincular um grupo de variáveis a segredos no Azure Key Vault
Este artigo mostra como criar um grupo de variáveis vinculado a segredos armazenados em um cofre de chaves do Azure. Ao vincular o grupo de variáveis ao cofre de chaves, você pode garantir que seus segredos sejam armazenados com segurança e que seus pipelines sempre tenham acesso aos valores secretos mais recentes em runtime.
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
Você pode criar um grupo de variáveis vinculado a cofres de chaves existentes do Azure e mapeia segredos selecionados do cofre de chaves para o grupo de variáveis. Somente os nomes de segredo são mapeados para o grupo de variáveis, não os valores de segredo. Quando os pipelines são executados, eles são vinculados ao grupo de variáveis para buscar os valores secretos mais recentes do cofre em runtime.
Todas as alterações feitas em segredos existentes no cofre de chaves ficam automaticamente disponíveis para todos os pipelines que usam o grupo de variáveis. No entanto, se os segredos forem adicionados ou excluídos do cofre, os grupos de variáveis associados não são atualizados automaticamente. Você deve atualizar explicitamente os segredos a serem incluídos no grupo de variáveis.
Embora o Key Vault dê suporte ao armazenamento e ao gerenciamento de chaves criptográficas e de certificados no Azure, a integração de grupo de variáveis do Azure Pipelines só dá suporte ao mapeamento de segredos de cofre de chaves. Não há suporte para chaves criptográficas e certificados.
Observação
Os cofres de chaves que usam o RBAC do Azure (controle de acesso baseado em função) não têm suporte.
Pré-requisitos
- Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
- Uma organização do Azure DevOps. Inscreva-se gratuitamente ou em um Azure DevOps Server.
- Um projeto de DevOps. Crie um projeto caso ainda não tenha um.
- Uma conexão de serviço do Azure Resource Manager para seu projeto.
Criar um cofre de chave
Crie um cofre de chaves do Azure.
- No portal do Azure, selecione Criar um recurso.
- Pesquise e selecione Key Vault e, em seguida, selecione Criar.
- Selecione sua assinatura.
- Selecione um grupo de recursos existente ou crie um novo.
- Insira um nome para o cofre de chaves.
- Selecione uma região.
- Selecione a guia Acesso e configuração .
- Selecione Política de acesso do cofre.
- Selecione sua conta como a entidade principal.
- Selecione Examinar + criar e depois Criar.
Criar o grupo de variáveis vinculado ao cofre de chaves
- No projeto do Azure DevOps, selecione Pipelines>Biblioteca>+ Grupo de variáveis.
- Na página Grupos de variáveis, insira um nome e uma descrição opcional para o grupo de variáveis.
- Habilite a alternância Vincular segredos de um Azure Key Vault como variáveis.
- Selecione sua conexão de serviço e selecione Autorizar.
- Selecione o nome do cofre de chaves e habilite o Azure DevOps para acessar o cofre de chaves selecionando Autorizar ao lado do nome do cofre.
- Selecione + Adicionar e, na tela Escolher segredos, selecione os segredos do cofre para mapeamento para esse grupo de variáveis e selecione OK.
- Selecione Salvar para salvar o grupo de variáveis secretas.
Observação
Sua conexão de serviço deve ter pelo menos permissões Obter e Listar no cofre de chaves, que você pode autorizar nas etapas anteriores. Você também pode fornecer essas permissões do portal do Azure seguindo estas etapas:
- Abra as Configurações do cofre de chaves e escolha Configuração de acesso>Ir para políticas de acesso.
- Na página Políticas de acesso, se o seu projeto do Azure Pipelines não estiver listado em Aplicativos com pelo menos as permissões Obter e Listar, selecione Criar.
- Em Permissões secretas, selecione Obter e Listar e, em seguida, selecione Avançar.
- Selecione sua entidade de segurança e, em seguida, selecione Avançar.
- Selecione Avançar novamente, revise as configurações e, em seguida, selecione Criar.
Para obter mais informações, consulte Usar segredos do Azure Key Vault.