Usar segredos do Azure Key Vault no seu pipeline

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Com o Azure Key Vault, é possível armazenar e gerenciar com segurança suas informações confidenciais, como senhas, chaves de API, certificados etc. Ao usar o Azure Key Vault, é possível criar e gerenciar chaves de criptografia facilmente para criptografar seus dados. O Azure Key Vault também pode ser usado para gerenciar certificados para todos os seus recursos. Neste artigo, você aprenderá a:

• Crie um Cofre de chaves do Azure.
• Configure suas permissões do Key Vault.
• Crie uma nova conexão de serviço.
• Consulte segredos do pipeline do Azure.

Pré-requisitos

• Uma organização do Azure DevOps. Crie gratuitamente caso ainda não tenha uma.
• Seu próprio projeto. Crie um projeto caso ainda não tenha um.
• Seu próprio repositório. Crie um novo repositório Git caso ainda não tenha um.
• Uma assinatura do Azure. Crie uma conta gratuita do Azure caso ainda não tenha uma.

Criar um cofre de chaves

Portal do Azure

1. Entre no portal do Azure e selecione Criar um recurso.

2. Em Key Vault, selecione Criar para criar um novo Azure Key Vault.

3. Selecione sua Assinatura no menu suspenso e, em seguida, selecione um grupo de recursos existente ou crie um novo. Insira um nome do cofre de chaves, selecione uma região, escolha um tipo de preço e selecione Avançar se quiser configurar propriedades adicionais. Caso contrário, selecione Examinar + criar para manter as configurações padrão.

4. Após a conclusão da implantação, selecione Ir para o recurso.

CLI do Azure

1. Primeiro, defina sua região padrão e assinatura do Azure:

   • Definir a assinatura padrão:

   az account set --subscription <your_subscription_name_or_subscription_ID>
   

   • Definir a região padrão:

   az config set defaults.location=<your_region>
   

2. Crie um novo grupo de recursos para hospedar o Azure Key Vault. Um grupo de recursos é um contêiner que contém recursos relacionados para uma solução do Azure:

   az group create --name <your-resource-group>
   

3. Crie um novo Azure Key Vault:

   az keyvault create \
     --name <your-key-vault-name> \
     --resource-group <your-resource-group>
   

Configurar a autenticação

Identidade Gerenciada

Criar uma identidade gerenciada atribuída ao usuário

1. Entre no portal do Azure e pesquise o serviço Identidades Gerenciadas na barra de pesquisa.

2. Selecione Criar e preencha os campos obrigatórios da seguinte maneira:

   • Assinatura: selecione sua assinatura no menu suspenso.
   • Grupo de recursos: Selecione um grupo de recursos existente ou crie um novo.
   • Região: Selecione uma região no menu suspenso.
   • Nome: insira um nome para sua identidade gerenciada atribuída pelo usuário.

3. Selecione Examinar + criar quando terminar.

4. Quando a implantação for concluída, selecione Ir para o recurso e copie os valores de Assinatura e ID do Cliente a serem usados nas próximas etapas.

5. Navegue até Propriedades de Configurações>e copie o valor da ID do locatário da identidade gerenciada para uso posterior.

Configurar políticas de acesso do cofre de chaves

1. Navegue até o portal do Azure e use a barra de pesquisa para localizar o cofre de chaves que você criou anteriormente.

2. Selecione Políticas de acesso e, em seguida, selecione Criar para adicionar uma nova política.

3. Em Permissões secretas, marque as caixas de seleção Obter e Listar .

4. Selecione Avançar e cole a ID do cliente da identidade gerenciada que você criou anteriormente na barra de pesquisa. Selecione sua identidade gerenciada.

5. Selecione Avançar e, em seguida , Avançar mais uma vez.

6. Examine suas novas políticas e selecione Criar quando terminar.

Criar uma conexão de serviço

1. Entre na sua organização do Azure DevOps e navegue até seu projeto.

2. Selecione Configurações do projeto>Conexões de serviço e selecione Nova conexão de serviço para criar uma conexão de serviço.

3. Selecione Azure Resource Manager e, em seguida, selecione Avançar.

4. Para Tipo de identidade, selecione Identidade gerenciada no menu suspenso.

5. Para Etapa 1: Detalhes da identidade gerenciada, preencha os campos da seguinte maneira:

   • Assinatura para identidade gerenciada: selecione a assinatura que contém sua identidade gerenciada.

   • Grupo de recursos para identidade gerenciada: selecione o grupo de recursos que hospeda sua identidade gerenciada.

   • Identidade gerenciada: selecione sua identidade gerenciada no menu suspenso.

6. Para Etapa 2: Escopo do Azure, preencha os campos da seguinte maneira:

   • Nível de escopo para conexão de serviço: selecione Assinatura.

   • Assinatura para conexão de serviço: selecione a assinatura que sua identidade gerenciada acessará.

   • Grupo de recursos para conexão de serviço: (opcional) especifique para limitar o acesso de identidade gerenciada a um grupo de recursos.

7. Para a Etapa 3: Detalhes da conexão de serviço:

   • Nome da conexão de serviço: forneça um nome para sua conexão de serviço.

   • Referência de Gerenciamento de Serviços: (Opcional) Informações de contexto de um banco de dados ITSM.

   • Descrição: (Opcional) Adicione uma descrição.

8. Em Segurança, marque a caixa de seleção Conceder permissão de acesso a todos os pipelines para permitir que todos os pipelines usem essa conexão de serviço. Se você não selecionar essa opção, deverá conceder acesso manualmente a cada pipeline que usa essa conexão de serviço.

9. Selecione Salvar para validar e criar a conexão de serviço.

   

Entidade de Serviço

Criar uma entidade de serviço

Nesta etapa, criaremos uma nova entidade de serviço no Azure, permitindo que consultemos nosso Azure Key Vault do Azure Pipelines.

1. Navegue até o portal do Azure e selecione o >ícone _ na barra de menus para abrir o Cloud Shell.

2. Selecione o PowerShell ou deixe-o como Bash com base em sua preferência.

3. Execute o seguinte comando para criar uma entidade de serviço:

   az ad sp create-for-rbac --name YOUR_SERVICE_PRINCIPAL_NAME
   

4. Sua saída deve corresponder ao exemplo abaixo. Copie a saída do comando, pois você precisará dele para criar a conexão de serviço na próxima etapa.

   {
     "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "displayName": "MyServicePrincipal",
     "password": "***********************************",
     "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
   }
   

Criar uma conexão de serviço

1. Entre na sua organização do Azure DevOps e navegue até seu projeto.

2. Selecione Configurações do projeto e, em seguida, selecione Conexões de serviço.

3. Selecione Nova conexão de serviço, Azure Resource Manager e Avançar.

4. Selecione Entidade de serviço (manual) e, em seguida, selecione Avançar.

5. Para Tipo de identidade, selecione Registro de aplicativo ou identidade gerenciada (manual) no menu suspenso.

6. Para Credencial*, selecione Federação de identidade de carga de trabalho.

7. Forneça um nome para sua conexão de serviço e selecione Avançar.

8. Copie o Emissor e o identificador do Assunto, pois precisaremos dele na próxima etapa.

9. Selecione Azure Cloud for Environment e Subscription para o escopo Assinatura.

10. Insira sua ID de Assinatura do Azure e o Nome da Assinatura.

11. Em Autenticação, cole a ID do aplicativo (cliente) e a ID do diretório (locatário) da entidade de serviço

12. Em Segurança, marque a caixa de seleção Conceder permissão de acesso a todos os pipelines para permitir que todos os pipelines usem essa conexão de serviço. Se você não selecionar essa opção, deverá conceder acesso manualmente a cada pipeline que usa essa conexão de serviço.

13. Deixe isso aberto, você retornará para verificar e salvar depois de (1) criar a credencial federada no Azure e (2) conceder acesso de leitura à entidade de serviço no nível da assinatura.

    

Criar uma credencial federada no Azure

1. Navegue até o portal do Azure, insira o ClientID da entidade de serviço na barra de pesquisa e selecione seu aplicativo.

2. Em Gerenciar, selecione Certificados e segredos>Credenciais federadas.

3. Selecione Adicionar credencial e, em seguida, para Cenário de credencial federada, selecione Outro emissor.

4. Em Emissor, cole o Emissor que você copiou da conexão de serviço anteriormente.

5. Em Identificador de assunto, cole o Identificador de assunto que você copiou da conexão de serviço anteriormente.

6. Forneça um Nome para sua credencial federada e selecione Adicionar quando terminar.

   

Adicionar atribuição de função à sua assinatura

Antes de verificar a conexão, você precisa conceder à entidade de serviço acesso de leitura no nível da assinatura:

1. Navegue até o portal do Azure.

2. Em Serviço do Azure, selecione Assinaturas e, em seguida, localize e selecione sua assinatura.

3. Selecione Controle de Acesso (IAM) e escolha Adicionar>Adicionar atribuição de função.

4. Selecione Leitor na guia Função e selecione Avançar.

5. Selecione Usuário, grupo ou entidade de serviço e Selecionar membros.

6. Na barra de pesquisa, cole a ID do objeto da entidade de serviço, selecione-a e clique no botão Selecionar.

7. Selecione Revisar + atribuir, revise suas configurações e selecione Revisar + atribuir mais uma vez para confirmar suas escolhas e adicionar a atribuição de função.

8. Depois que a atribuição de função é adicionada. volte para sua conexão de serviço (no Azure DevOps) para finalmente selecionar Verificar e Salvar para salvar sua conexão de serviço.

Configurar políticas de acesso do Key Vault

1. Navegue até o portal do Azure, localize o cofre de chaves que você criou anteriormente e selecione Políticas de acesso.

2. Selecione Criar e, em seguida, em Permissões secretas, adicione as permissões Obter e Listar e selecione Avançar.

3. Em Entidade de Segurança, cole a ID de Objeto da entidade de serviço, selecione-a e, em seguida, selecione Avançar.

4. Selecione Avançar mais uma vez, revise suas configurações e selecione Salvar quando terminar.

Consultar e usar segredos no seu pipeline

Usando a Tarefa do Azure Key Vault, podemos buscar o valor do nosso segredo e usá-lo em tarefas subsequentes no nosso pipeline. Deve-se ter em mente que os segredos devem ser explicitamente mapeados para a variável env, conforme mostrado no exemplo abaixo.

pool:
  vmImage: 'ubuntu-latest'

steps:
- task: AzureKeyVault@1
  inputs:
    azureSubscription: 'SERVICE_CONNECTION_NAME'
    KeyVaultName: 'KEY_VAULT_NAME'
    SecretsFilter: '*'

- bash: |
    echo "Secret Found! $MY_MAPPED_ENV_VAR"        
  env:
    MY_MAPPED_ENV_VAR: $(SECRET_NAME)

A saída desse comando deve ter a seguinte aparência:

Secret Found! ***

Observação

Caso queira consultar vários segredos do Azure Key Vault, use o argumento SecretsFilter para passar uma lista separada por vírgulas de nomes de segredo: 'secret1, secret2'.

Conteúdo relacionado

• Gerenciar conexões de serviço
• Definir variáveis
• Publicar artefatos de pipeline