Gerenciar grupos de variáveis

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Este artigo explica como criar e usar grupos de variáveis no Azure Pipelines. Os grupos de variáveis armazenam valores e segredos que você pode passar para um pipeline YAML ou disponibilizar em vários pipelines em um projeto.

As variáveis secretas em grupos de variáveis são recursos protegidos. Você pode adicionar combinações de aprovações, verificações e permissões de pipeline para limitar o acesso a variáveis secretas em um grupo de variáveis. O acesso a variáveis não secretas não é limitado por aprovações, verificações ou permissões de pipeline.

Os grupos de variáveis seguem o modelo de segurança da biblioteca para funções e permissões.

Pré-requisitos

• Uma organização e um projeto do Azure DevOps Services em que você tem permissões para criar pipelines e variáveis.
• Um projeto em sua organização Azure DevOps ou coleção Azure DevOps Server. Crie um projeto se você não tiver um.
• Se você estiver usando a CLI do Azure DevOps, precisará da CLI do Azure versão 2.30.0 ou superior com a extensão da CLI do Azure DevOps. Para obter mais informações, consulte Introdução à CLI do Azure DevOps.

Configurar a CLI

Se você estiver usando a CLI do Azure DevOps, precisará configurar a CLI para trabalhar com sua organização e projeto do Azure DevOps.

1. Entre em sua organização do Azure DevOps usando o comando az login .

   az login
   

2. Se solicitado, selecione sua assinatura na lista exibida na janela do terminal.

3. Verifique se você está executando a versão mais recente da CLI do Azure e da extensão do Azure DevOps usando os comandos a seguir.

   az upgrade
   az extension add --name azure-devops --upgrade
   

4. Nos comandos da CLI do Azure DevOps, você pode definir a organização e o projeto padrão usando:

   az devops configure --defaults organization=<YourOrganizationURL> project=<Project Name or ID>`
   

   Se você não tiver definido a organização e o projeto padrão, poderá usar o detect=true parâmetro em seus comandos para detectar automaticamente o contexto da organização e do projeto com base no diretório atual. Se os padrões não forem configurados ou detectados, você precisará especificar explicitamente os org parâmetros and project em seus comandos.

Criar um grupo de variáveis

Você pode criar grupos de variáveis para as execuções de pipeline em seu projeto.

Observação

Para criar um grupo de variáveis secretas para vincular segredos de um cofre de chaves do Azure como variáveis, siga as instruções em Vincular um grupo de variáveis a segredos no Azure Key Vault.

Interface do usuário do Azure Pipelines

1. No projeto do Azure DevOps, selecione Pipelines>Biblioteca no menu à esquerda.

2. Na página Biblioteca, selecione + Grupo de variáveis.

   

3. Na página do novo grupo de variáveis, em Propriedades, insira um nome e uma descrição opcional para o grupo de variáveis.

4. Em Variáveis, selecione + Adicionar e insira um nome de variável e um valor para incluir no grupo. Se você quiser criptografar e armazenar o valor com segurança, selecione o ícone de cadeado ao lado da variável.

5. Selecione + Adicionar para adicionar cada nova variável. Quando terminar de adicionar variáveis, selecione Salvar.

   

Agora você pode usar esse grupo de variáveis em pipelines de projeto.

CLI do Azure DevOps

No Azure DevOps Services, você pode criar grupos de variáveis usando a CLI do Azure DevOps.

Para criar um grupo de variáveis, use o comando az pipelines variable-group create.

Por exemplo, o comando a seguir cria um grupo de variáveis chamado home-office-config, adiciona as variáveis app-location=home-office e app-name=contoso e gera resultados no formato YAML.

az pipelines variable-group create --name home-office-config
                                   --variables app-location=home-office app-name=contoso
                                   --output yaml

Saída:

authorized: false
description: null
id: 5
name: home-office-config
providerData: null
type: Vsts
variables:
  app-location:
    isSecret: null
    value: home-office
  app-name:
    isSecret: null
    value: contoso

Atualizar os grupos de variáveis

Interface do usuário do Azure Pipelines

Você pode atualizar grupos de variáveis usando a interface do usuário do Azure Pipelines.

1. No projeto do Azure DevOps, selecione Pipelines>Biblioteca no menu à esquerda.
2. Na página Biblioteca, selecione o grupo de variáveis que deseja atualizar. Você também pode passar o mouse sobre a lista do grupo de variáveis, selecionar o ícone Mais opções e selecionar Editar no menu.
3. Na página do grupo de variáveis, altere qualquer uma das propriedades e selecione Salvar.

CLI do Azure DevOps

No Azure DevOps Services, você pode atualizar os grupos de variáveis usando a CLI do Azure DevOps.

Listar grupos de variáveis

Para atualizar um grupo de variáveis ou as variáveis dentro dele usando a CLI do Azure DevOps, use o grupo de variáveis group-id.

Você pode obter o valor da ID do grupo de variáveis da saída do comando de criação de grupo de variáveis ou usar o comando az pipelines variable-group list.

Por exemplo, o comando a seguir lista os três primeiros grupos de variáveis de projeto em ordem crescente e retorna os resultados, incluindo a ID do grupo de variáveis, no formato de tabela.

az pipelines variable-group list --top 3 --query-order Asc --output table

Saída:

ID    Name               Type    Number of Variables
----  -----------------  ------  ---------------------
1     myvariables        Vsts    2
2     newvariables       Vsts    4
3     new-app-variables  Vsts    3

Atualizar um grupo de variáveis

Para atualizar um grupo de variáveis, use o comando az pipelines variable-group update.

Observação

Você não pode atualizar um grupo de variáveis do tipo AzureKeyVault usando a CLI do Azure DevOps.

Por exemplo, o comando a seguir atualiza o grupo de variáveis com a ID 4 para alterar o name e description, e gera resultados no formato de tabela.

az pipelines variable-group update --group-id 4
                                   --name my-new-variables
                                   --description "New home office variables"
                                   --output table

Saída:

ID    Name              Description               Is Authorized  Number of Variables
----  ----------------  ------------------------- -------------  -------------------
4     my-new-variables  New home office variables false          2

Mostrar detalhes para um grupo de variáveis

Você pode usar o comando az pipelines variable-group show para mostrar detalhes de um grupo de variáveis. Por exemplo, o comando a seguir mostra detalhes do grupo de variáveis com a ID 4 e retorna os resultados no formato YAML.

az pipelines variable-group show --group-id 4 --output yaml

Saída:

authorized: false
description: Variables for my new app
id: 4
name: my-new-variables
providerData: null
type: Vsts
variables:
  app-location:
    isSecret: null
    value: home-office
  app-name:
    isSecret: null
    value: contoso

Excluir um grupo de variáveis

Interface do usuário do Azure Pipelines

Você pode excluir grupos de variáveis na interface do usuário do Azure Pipelines.

1. No projeto do Azure DevOps, selecione Pipelines>Biblioteca no menu à esquerda.
2. Na página Biblioteca, passe o mouse sobre o grupo de variáveis que deseja excluir e selecione o ícone Mais opções.
3. Selecione Excluir no menu e, em seguida, selecione Excluir na tela de confirmação.

CLI do Azure DevOps

No Azure DevOps Services, você pode excluir os grupos de variáveis usando a CLI do Azure DevOps.

Para excluir um grupo de variáveis, use o comando az pipelines variable-group delete. Por exemplo, o comando a seguir exclui o grupo de variáveis com a ID 1 e não solicita confirmação.

az pipelines variable-group delete --group-id 1 --yes

Gerenciar variáveis em um grupo de variáveis

Interface do usuário do Azure Pipelines

Você pode alterar, adicionar ou excluir variáveis em grupos de variáveis usando a interface do usuário do Azure Pipelines.

1. No projeto do Azure DevOps, selecione Pipelines>Biblioteca no menu à esquerda.
2. Na página Biblioteca, selecione o grupo de variáveis que deseja atualizar. Você também pode passar o mouse sobre a lista do grupo de variáveis, selecionar o ícone Mais opções e selecionar Editar no menu.
3. Na página de grupo de variáveis, você pode:
   • Altere qualquer um dos nomes ou valores de variáveis.
   • Exclua qualquer uma das variáveis selecionando o ícone da lixeira ao lado do nome da variável.
   • Altere as variáveis para secretas ou não secretas selecionando o ícone de cadeado ao lado do valor da variável.
   • Adicione novas variáveis selecionando + Adicionar.
4. Depois de fazer as alterações, selecione Salvar.

CLI do Azure DevOps

No Azure DevOps Services, você pode gerenciar variáveis em grupos de variáveis usando a CLI do Azure DevOps.

Listar variáveis em um grupo de variáveis

Para listar as variáveis em um grupo de variáveis, use o comando az pipelines variable-group variable list. Por exemplo, o comando a seguir lista todas as variáveis no grupo de variáveis com a ID 4 e mostra o resultado em formato de tabela.

az pipelines variable-group variable list --group-id 4 --output table

Saída:

Name            Is Secret    Value
--------------  -----------  -----------
app-location    False        home-office
app-name        False        contoso

Adicionar variáveis a um grupo de variáveis

Para adicionar uma variável a um grupo de variáveis, use o comando az pipelines variable-group variable create.

Por exemplo, o comando a seguir cria uma nova variável nomeada requires-login com um valor padrão true no grupo de variáveis com a ID 4. O resultado é mostrado no formato de tabela.

az pipelines variable-group variable create --group-id 4
                                            --name requires-login
                                            --value true
                                            --output table

Saída:

Name            Is Secret    Value
--------------  -----------  -------
requires-login  False        true

Atualizar variáveis em um grupo de variáveis

Para atualizar as variáveis em um grupo de variáveis, use o comando az pipelines variable-group variable update.

Observação

Você não pode atualizar variáveis em um grupo de variáveis do tipo AzureKeyVault usando a CLI do Azure DevOps. Você pode atualizar variáveis por meio dos az keyvault comandos.

Por exemplo, o comando a seguir atualiza a variável requires-login com o novo valor false no grupo de variáveis com a ID 4 e mostra o resultado no formato YAML. O comando especifica que a variável é um secret.

az pipelines variable-group variable update --group-id 4
                                            --name requires-login
                                            --value false
                                            --secret true
                                            --output yaml

A saída mostra o valor como null em vez de false porque é um valor oculto secreto.

requires-login:
  isSecret: true
  value: null

Gerenciar variáveis de segredo

Para gerenciar variáveis secretas, use o comando az pipelines variable-group variable update com os seguintes parâmetros:

• secret: defina como true para indicar que o valor da variável é mantido em segredo.
• prompt-value: defina como true para atualizar o valor de uma variável secreta usando uma variável de ambiente ou um prompt por meio de entrada padrão.
• value: para variáveis secretas, use o parâmetro prompt-value para ser solicitado a inserir o valor por meio da entrada padrão. Para consoles não interativos, você pode separar a variável de ambiente prefixada com AZURE_DEVOPS_EXT_PIPELINE_VAR_. Por exemplo, você pode inserir uma variável chamada MySecret usando a variável de ambiente AZURE_DEVOPS_EXT_PIPELINE_VAR_MySecret.

Excluir variáveis de um grupo de variáveis

Para excluir uma variável de um grupo de variáveis, use o comando az pipelines variable-group variable delete. Por exemplo, o comando a seguir exclui a variável requires-login do grupo de variáveis com a ID 4.

az pipelines variable-group variable delete --group-id 4 --name requires-login

O comando solicita confirmação porque esse é o padrão. Use o --yes parâmetro para ignorar o prompt de confirmação.

Are you sure you want to delete this variable? (y/n): y
Deleted variable 'requires-login' successfully.

Usar grupos de variáveis em pipelines

Você pode usar grupos de variáveis em pipelines YAML ou Clássicos. As alterações feitas em um grupo de variáveis estão automaticamente disponíveis para todas as definições ou estágios às quais o grupo de variáveis está vinculado.

YAML

Se você nomear apenas o grupo de variáveis nos pipelines YAML, qualquer pessoa que possa enviar código por push para o repositório poderá extrair o conteúdo dos segredos no grupo de variáveis. Portanto, para usar um grupo de variáveis com pipelines YAML, você deverá autorizar o pipeline a usar o grupo. Você pode autorizar um pipeline a usar um grupo de variáveis na interface do usuário do Azure Pipelines ou usando a CLI do Azure DevOps.

Autorização por meio da interface do usuário do Pipelines

Você pode autorizar pipelines a usar seus grupos de variáveis usando a interface do usuário do Azure Pipelines.

1. No projeto do Azure DevOps, selecione Pipelines>Biblioteca no menu à esquerda.
2. Na página Biblioteca, selecione o grupo de variáveis que deseja autorizar.
3. Na página do grupo de variáveis, selecione a guia Permissões do pipeline.
4. Na tela Permissões de pipeline, selecione + e, em seguida, selecione um pipeline de projeto para autorizar. Ou selecione o ícone Mais ações, selecione Acesso aberto e selecione Acesso aberto novamente para confirmar.

A seleção de um pipeline autoriza esse pipeline a usar o grupo de variáveis. Para autorizar outro pipeline, selecione o ícone + novamente. Selecionar Acesso aberto autoriza todos os pipelines de projeto a usar o grupo de variáveis. O acesso aberto pode ser uma boa opção se você não tiver segredos no grupo.

Outra maneira de autorizar um grupo de variáveis é selecionar o pipeline, selecionar Editar e enfileirar um build manualmente. Você vê um erro de autorização de recurso e pode adicionar explicitamente o pipeline como um usuário autorizado do grupo de variáveis.

Autorização por meio da CLI do Azure DevOps

No Azure DevOps Services, você pode autorizar os grupos de variáveis usando a CLI do Azure DevOps.

Para autorizar todos os pipelines de projeto a usar o grupo de variáveis, defina o parâmetro authorize no comando az pipelines variable-group create para true. Esse acesso aberto pode ser uma boa opção se você não tiver nenhum segredo no grupo.

Vincular um grupo de variáveis a um pipeline

Depois de autorizar um pipeline YAML a usar um grupo de variáveis, você pode usar variáveis dentro do grupo no pipeline.

Para usar variáveis de um grupo de variáveis, adicione uma referência ao nome do grupo no arquivo de pipeline YAML.

variables:
- group: my-variable-group

Você pode fazer referência a vários grupos de variáveis no mesmo pipeline. Se vários grupos de variáveis incluírem as variáveis com o mesmo nome, o último grupo de variáveis que usa a variável no arquivo definirá o valor da variável. Para obter mais informações sobre precedência de variáveis, consulte Expansão de variáveis.

Você também pode fazer referência a um grupo de variáveis em um modelo. O arquivo de modelo variables.yml a seguir faz referência ao grupo de variáveis my-variable-group. O grupo de variáveis inclui uma variável chamada myhello.

variables:
- group: my-variable-group

O pipeline YAML faz referência ao modelo variables.yml e usa a variável $(myhello) do grupo de variáveis my-variable-group.

stages:
- stage: MyStage
  variables:
  - template: variables.yml
  jobs:
  - job: Test
    steps:
    - script: echo $(myhello)

Usar variáveis em um grupo de variáveis vinculadas

Você acessa os valores de variáveis em um grupo de variáveis vinculadas da mesma forma que acessa as variáveis definidas no pipeline. Por exemplo, para acessar o valor de uma variável chamada customer em um grupo de variáveis vinculado ao pipeline, você pode usar $(customer) em um parâmetro de tarefa ou um script.

Se você usar variáveis autônomas e grupos de variáveis no arquivo de pipeline, use a sintaxe name-value para as variáveis autônomas.

variables:
- group: my-variable-group
- name: my-standalone-variable
  value: 'my-standalone-variable-value'

Para fazer referência a uma variável em um grupo de variáveis, você poderá usar a sintaxe de macro ou uma expressão de runtime. Nos exemplos a seguir, o grupo my-variable-group tem uma variável chamada myhello.

Para usar uma expressão de runtime:

variables:
- group: my-variable-group
- name: my-passed-variable
  value: $[variables.myhello]
- script: echo $(my-passed-variable)

Para usar a sintaxe de macro:

variables:
- group: my-variable-group

steps:
- script: echo $(myhello)

Você não pode acessar variáveis secretas, incluindo variáveis criptografadas e variáveis do cofre de chaves, diretamente em scripts. Você deve passar essas variáveis como argumentos para uma tarefa. Para obter mais informações, consulte Variáveis secretas.

Clássico

Usar grupos de variáveis em pipelines Clássicos

Os pipelines Clássicos podem usar grupos de variáveis sem autorização separada. Para usar um grupo de variáveis:

1. Abrir seu pipeline Clássico.

2. Selecione Variáveis>Grupos de variáveis e, em seguida, selecione Vincular grupo de variáveis.

   • Em um pipeline de build, você verá uma lista de grupos disponíveis. Selecione um grupo de variáveis e selecione Vincular. Todas as variáveis no grupo estão disponíveis para uso no pipeline.

   • Em um pipeline de lançamento, você também vê uma lista suspensa de estágios no pipeline. Vincule o grupo de variáveis ao pipeline propriamente dito ou a um ou mais estágios específicos do pipeline de lançamento. Se você vincular a uma ou mais estágios, as variáveis do grupo de variáveis serão definidas como escopo para essas estágios e não estarão acessíveis nos outros estágios do mesmo lançamento.

   

Quando você define uma variável com o mesmo nome em vários escopos, a precedência a seguir é usada, a precedência mais alta primeiro:

1. Conjunto de variáveis na hora da fila
2. Variável definida no pipeline
3. Variável definida no grupo de variáveis

Para obter mais informações sobre precedência de variáveis, consulte Expansão de variáveis.

Observação

Variáveis em diferentes grupos vinculados a um pipeline no mesmo escopo (por exemplo, trabalho ou fase) colidirão e o resultado pode ser imprevisível. Use nomes diferentes para variáveis em todos os seus grupos de variáveis.

Artigos relacionados

• Definir variáveis
• Definir variáveis personalizadas
• Usar variáveis secretas e não secretas em grupos de variáveis
• Usar os segredos do Azure Key Vault no Azure Pipelines
• Adicionar aprovações e verificações