Usar segredos do Azure Key Vault em seu pipeline

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Com o Azure Key Vault, você pode armazenar e gerenciar com segurança suas informações confidenciais, como senhas, chaves de API, certificados, etc. usando o Azure Key Vault, você pode facilmente criar e gerenciar chaves de criptografia para criptografar seus dados. O Azure Key Vault também pode ser usado para gerenciar certificados para todos os seus recursos. Neste artigo, vai aprender a:

• Crie um Cofre da Chave do Azure.
• Configure suas permissões do Cofre da Chave.
• Crie uma nova conexão de serviço.
• Consulta de segredos do seu Pipeline do Azure.

Pré-requisitos

• Uma organização Azure DevOps. Crie um gratuitamente se ainda não tiver um.
• O seu próprio projeto. Crie um projeto se ainda não tiver um.
• O seu próprio repositório. Crie um novo repositório Git se ainda não tiver um.
• Uma subscrição do Azure. Crie uma conta gratuita do Azure se ainda não tiver uma.

Criar um Key Vault

Portal do Azure

1. Entre no portal do Azure e selecione Criar um recurso.

2. Em Cofre da Chave, selecione Criar para criar um novo Cofre da Chave do Azure.

3. Selecione a sua Subscrição no menu pendente e, em seguida, selecione um grupo de Recursos existente ou crie um novo. Insira um nome de cofre de chaves, selecione uma região, escolha um nível de preço e selecione Avançar se quiser configurar propriedades adicionais. Caso contrário, selecione Rever + criar para manter as configurações padrão.

4. Quando a implantação estiver concluída, selecione Ir para o recurso.

CLI do Azure

1. Primeiro, defina sua região padrão e a assinatura do Azure:

   • Definir subscrição predefinida:

   az account set --subscription <your_subscription_name_or_subscription_ID>
   

   • Definir região padrão:

   az config set defaults.location=<your_region>
   

2. Crie um novo grupo de recursos para hospedar seu Cofre de Chaves do Azure. Um grupo de recursos é um contêiner que contém recursos relacionados para uma solução do Azure:

   az group create --name <your-resource-group>
   

3. Crie um novo Cofre da Chave do Azure:

   az keyvault create \
     --name <your-key-vault-name> \
     --resource-group <your-resource-group>
   

Configurar a autenticação

Identidade Gerida

Criar uma identidade gerida atribuída pelo utilizador

1. Entre no portal do Azure e procure o serviço Identidades Gerenciadas na barra de pesquisa.

2. Selecione Criar e preencha os campos obrigatórios da seguinte forma:

   • Assinatura: selecione sua assinatura no menu suspenso.
   • Grupo de recursos: selecione um grupo de recursos existente ou crie um novo.
   • Região: selecione uma região no menu suspenso.
   • Nome: introduza um nome para a sua identidade gerida atribuída pelo utilizador.

3. Selecione Rever + criar quando terminar.

4. Quando a implantação estiver concluída, selecione Ir para recurso e copie os valores de Assinatura e ID do Cliente para usar nas próximas etapas.

5. Navegue até Propriedades de Configurações> e copie o valor de ID de Locatário da identidade gerenciada para uso posterior.

Configurar políticas de acesso ao cofre de chaves

1. Navegue até o portal do Azure e use a barra de pesquisa para localizar o cofre de chaves criado anteriormente.

2. Selecione Políticas de acesso e, em seguida, selecione Criar para adicionar uma nova política.

3. Em Permissões secretas, marque as caixas de seleção Obter e Listar .

4. Selecione Avançar e cole a ID do Cliente da identidade gerenciada criada anteriormente na barra de pesquisa. Selecione sua identidade gerenciada.

5. Selecione Avançar e, em seguida, Avançar mais uma vez.

6. Reveja as suas novas políticas e, em seguida, selecione Criar quando terminar.

Criar uma conexão de serviço

1. Entre em sua organização do Azure DevOps e navegue até seu projeto.

2. Selecione Configurações do>projeto Conexões de serviço e, em seguida, selecione Nova conexão de serviço para criar uma nova conexão de serviço.

3. Selecione Azure Resource Manager e, em seguida, selecione Next.

4. Em Tipo de identidade, selecione Identidade gerenciada no menu suspenso.

5. Para a Etapa 1: Detalhes da identidade gerenciada, preencha os campos da seguinte maneira:

   • Subscrição para identidade gerida: selecione a subscrição que contém a sua identidade gerida.

   • Grupo de recursos para identidade gerenciada: selecione o grupo de recursos que hospeda sua identidade gerenciada.

   • Identidade gerenciada: selecione sua identidade gerenciada no menu suspenso.

6. Para a Etapa 2: Escopo do Azure, preencha os campos da seguinte maneira:

   • Nível de escopo para conexão de serviço: Selecione Assinatura.

   • Assinatura para conexão de serviço: selecione a assinatura que sua identidade gerenciada acessará.

   • Grupo de recursos para conexão de serviço: (Opcional) Especifique para limitar o acesso de identidade gerenciada a um grupo de recursos.

7. Para a Etapa 3: Detalhes da conexão de serviço:

   • Nome da conexão de serviço: forneça um nome para sua conexão de serviço.

   • Referência de gerenciamento de serviços: (opcional) Informações de contexto de um banco de dados ITSM.

   • Descrição: (Opcional) Adicione uma descrição.

8. Em Segurança, marque a caixa de seleção Conceder permissão de acesso a todos os pipelines para permitir que todos os pipelines usem essa conexão de serviço. Se você não selecionar essa opção, deverá conceder manualmente acesso a cada pipeline que usa essa conexão de serviço.

9. Selecione Salvar para validar e criar a conexão de serviço.

   

Principal de Serviço

Criar um principal de serviço

Nesta etapa, criaremos uma nova entidade de serviço no Azure, permitindo que consultemos nosso Cofre da Chave do Azure a partir do Azure Pipelines.

1. Navegue até o portal do Azure e selecione o >ícone _ na barra de menus para abrir o Cloud Shell.

2. Selecione PowerShell ou deixe-o como Bash com base em sua preferência.

3. Execute o seguinte comando para criar uma nova entidade de serviço:

   az ad sp create-for-rbac --name YOUR_SERVICE_PRINCIPAL_NAME
   

4. Sua saída deve corresponder ao exemplo abaixo. Certifique-se de copiar a saída do seu comando, pois você precisará dela para criar a conexão de serviço na próxima etapa.

   {
     "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "displayName": "MyServicePrincipal",
     "password": "***********************************",
     "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
   }
   

Criar uma conexão de serviço

1. Entre em sua organização do Azure DevOps e navegue até seu projeto.

2. Selecione Configurações do projeto e, em seguida, selecione Conexões de serviço.

3. Selecione Nova conexão de serviço, selecione Gerenciador de Recursos do Azure e selecione Avançar.

4. Selecione Entidade de serviço (manual) e, em seguida, selecione Seguinte.

5. Em Tipo de identidade, selecione Registro de aplicativo ou identidade gerenciada (manual) no menu suspenso.

6. Em Credencial*, selecione Federação de identidades de carga de trabalho.

7. Forneça um nome para sua conexão de serviço e selecione Avançar.

8. Copie o Emissor e o identificador de Assunto, pois precisaremos dele na próxima etapa.

9. Selecione Azure Cloud for Environment e Subscription para o escopo Subscription.

10. Introduza o ID da Subscrição do Azure e o nome da Subscrição.

11. Para Autenticação, cole a ID do aplicativo (cliente) e a ID do diretório (locatário) da entidade de serviço

12. Em Segurança, marque a caixa de seleção Conceder permissão de acesso a todos os pipelines para permitir que todos os pipelines usem essa conexão de serviço. Se você não selecionar essa opção, deverá conceder manualmente acesso a cada pipeline que usa essa conexão de serviço.

13. Deixe isso aberto, você retornará para verificar e salvar depois de (1) criar a credencial federada no Azure e (2) conceder acesso de Leitura da entidade de serviço no nível da assinatura.

    

Criar uma credencial federada no Azure

1. Navegue até o portal do Azure, insira o ClientID da entidade de serviço na barra de pesquisa e selecione seu Aplicativo.

2. Em Gerenciar, selecione Certificados & segredos>Credenciais federadas.

3. Selecione Adicionar credencial e, em seguida, para Cenário de credenciais federadas, selecione Outro emissor.

4. Para Emissor, cole o Emissor copiado da conexão de serviço anteriormente.

5. Para Identificador de assunto, cole o identificador de assunto copiado da conexão de serviço anteriormente.

6. Forneça um Nome para sua credencial federada e selecione Adicionar quando terminar.

   

Adicionar atribuição de função à sua subscrição

Antes de verificar a conexão, você precisa conceder à entidade de serviço acesso de leitura no nível da assinatura:

1. Navegue até o portal do Azure

2. Em Serviço do Azure, selecione Subscrições e, em seguida, localize e selecione a sua subscrição.

3. Selecione Controle de acesso (IAM) e, em seguida, selecione Adicionar>atribuição de função.

4. Selecione Leitor no separador Função e, em seguida, selecione Seguinte.

5. Selecione Utilizador, grupo ou entidade de serviço e, em seguida, selecione Selecionar membros.

6. Na barra de pesquisa, cole o ID do objeto da entidade de serviço, selecione-o e clique no botão Selecionar.

7. Selecione Rever + atribuir, reveja as suas definições e, em seguida, selecione Rever + atribuir mais uma vez para confirmar as suas escolhas e adicionar a atribuição de função.

8. Uma vez que a atribuição de função é adicionada. volte para sua conexão de serviço (no Azure DevOps) para finalmente selecionar Verificar e Salvar para salvar sua conexão de serviço.

Configurar políticas de acesso ao Cofre da Chave

1. Navegue até o portal do Azure, localize o cofre de chaves criado anteriormente e selecione Políticas de acesso.

2. Selecione Criar e, em seguida, em Permissões secretas, adicione as permissões Obter e Listar e, em seguida, selecione Avançar.

3. Em Principal, cole a ID do objeto da entidade de serviço, selecione-a e, em seguida, selecione Avançar.

4. Selecione Seguinte mais uma vez, reveja as suas definições e, em seguida, selecione Guardar quando terminar.

Consultar e usar segredos em seu pipeline

Usando a tarefa Azure Key Vault, podemos buscar o valor de nosso segredo e usá-lo em tarefas subsequentes em nosso pipeline. Uma coisa a ter em mente é que os segredos devem ser explicitamente mapeados para a variável env, como mostrado no exemplo abaixo.

pool:
  vmImage: 'ubuntu-latest'

steps:
- task: AzureKeyVault@1
  inputs:
    azureSubscription: 'SERVICE_CONNECTION_NAME'
    KeyVaultName: 'KEY_VAULT_NAME'
    SecretsFilter: '*'

- bash: |
    echo "Secret Found! $MY_MAPPED_ENV_VAR"        
  env:
    MY_MAPPED_ENV_VAR: $(SECRET_NAME)

A saída do último comando bash deve ter esta aparência:

Secret Found! ***

Nota

Se você quiser consultar vários segredos do seu Cofre de Chaves do Azure, use o argumento para passar uma lista separada por vírgulas SecretsFilter de nomes secretos: 'secret1, secret2'.

Conteúdos relacionados

• Gerir ligações de serviço
• Definir variáveis
• Publicar artefatos de pipeline