Поделиться через

Связывание группы переменных с секретами в Azure Key Vault

  • Статья

В этой статье показано, как создать группу переменных, которая связывается с секретами, хранящимися в хранилище ключей Azure. Связав группу переменных с хранилищем ключей, вы можете обеспечить безопасное хранение секретов, а конвейеры всегда имеют доступ к последним значениям секретов во время выполнения.

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

Вы можете создать группу переменных, которая связывает существующие хранилища ключей Azure и сопоставляет выбранные секреты хранилища ключей с группой переменных. Только имена секретов сопоставляются с группой переменных, а не значениями секретов. Когда запускаются конвейеры, они подключаются к группе переменных, чтобы получить актуальные секретные значения из хранилища во время выполнения.

Все изменения, внесенные в существующие секреты в хранилище ключей, автоматически доступны для всех конвейеров, использующих группу переменных. Однако если секреты добавляются или удаляются из хранилища, связанные группы переменных не обновляются автоматически. Необходимо явно обновить секреты, чтобы включить их в группу переменных.

Хотя Key Vault поддерживает хранение и управление криптографическими ключами и сертификатами в Azure, интеграция группы переменных Azure Pipelines поддерживает только сопоставление секретов хранилища ключей. Криптографические ключи и сертификаты не поддерживаются.

Примечание.

Хранилища ключей, использующие управление доступом на основе ролей Azure (Azure RBAC), не поддерживаются.

Предварительные условия

Продукт Требования
Azure DevOps — Проект Azure DevOps .
— подключение службы Azure Resource Manager для вашего проекта.
Разрешения - :
    — Чтобы использовать подключения к службе: у вас должна быть хотя бы роль пользователя для подключения к службе .
    — Чтобы создать группу переменных, вам необходимо иметь по крайней мере разрешение на библиотеку Creator.
Лазурный — учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
Разрешения - :
    Чтобы создать хранилище ключей: у вас должна быть по крайней мере роль владельца для подписки.

Создание хранилища ключей

Создайте хранилище ключей Azure.

  1. На портале Azure выберите Создать ресурс.
  2. Найдите и выберите Key Vault, а затем нажмите кнопку "Создать".
  3. Выберите свою подписку.
  4. Выберите существующую группу ресурсов или создайте новую.
  5. Введите имя хранилища ключей.
  6. выберите регион.
  7. Перейдите на вкладку "Доступ" и "Конфигурация ".
  8. Выберите политику доступа к хранилищу.
  9. Выберите свою учетную запись в качестве главной.
  10. Выберите Просмотр и создание, а затем щелкните Создать.

Создание группы переменных, связанной с хранилищем ключей

  1. В вашем проекте Azure DevOps выберите Конвейеры>Библиотека>+ Группа переменных.
  2. На странице групп переменных введите имя и необязательное описание для группы переменных.
  3. Включите переключатель "Связывать секреты из хранилища ключей Azure как переменные".
  4. Выберите подключение к службе и нажмите Авторизовать.
  5. Выберите имя хранилища ключей и включите Azure DevOps для доступа к хранилищу ключей, нажав кнопку "Авторизовать " рядом с именем хранилища.
  6. Нажмите кнопку +Добавить и на экране выбора секретов , выберите секреты из хранилища для сопоставления с этой группой переменных, а затем нажмите кнопку "ОК".
  7. Нажмите кнопку "Сохранить", чтобы сохранить группу секретных переменных.

Снимок экрана: группа переменных с интеграцией хранилища ключей Azure.

Примечание.

Подключение к службе должно иметь по крайней мере разрешения на Get и List в хранилище ключей, которые можно авторизовать в предыдущих шагах. Вы также можете предоставить эти разрешения из портал Azure, выполнив следующие действия.

  1. Откройте параметры для хранилища ключей и выберите Конфигурация доступа>Перейти к политикам доступа.
  2. На странице политик доступа, если проект Azure Pipelines не указан в разделе "Приложения" с разрешениями "Получить" и "Список", нажмите кнопку "Создать".
  3. В разделе "Секретные разрешения" выберите "Получить" и "Список", а затем нажмите кнопку "Далее".
  4. Выберите основного, а затем нажмите Далее.
  5. Снова нажмите кнопку "Далее ", просмотрите параметры и нажмите кнопку "Создать".

Дополнительные сведения см. в разделе Использование секретов Azure Key Vault.