Поделиться через

Связывание группы переменных с секретами в Azure Key Vault

  • Статья

В этой статье показано, как создать группу переменных, которая связывается с секретами, хранящимися в хранилище ключей Azure. Связав группу переменных с хранилищем ключей, вы можете обеспечить безопасное хранение секретов, а конвейеры всегда имеют доступ к последним значениям секретов во время выполнения.

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

Вы можете создать группу переменных, которая связывает существующие хранилища ключей Azure и сопоставляет выбранные секреты хранилища ключей с группой переменных. Только имена секретов сопоставляются с группой переменных, а не значениями секретов. При запуске конвейеров они связываются с группой переменных, чтобы получить последние значения секретов из хранилища во время выполнения.

Все изменения, внесенные в существующие секреты в хранилище ключей, автоматически доступны для всех конвейеров, использующих группу переменных. Однако если секреты добавляются или удаляются из хранилища, связанные группы переменных не обновляются автоматически. Необходимо явно обновить секреты для включения в группу переменных.

Хотя Key Vault поддерживает хранение и управление криптографическими ключами и сертификатами в Azure, интеграция группы переменных Azure Pipelines поддерживает только сопоставление секретов хранилища ключей. Криптографические ключи и сертификаты не поддерживаются.

Примечание.

Хранилища ключей, использующие управление доступом на основе ролей Azure (Azure RBAC), не поддерживаются.

Необходимые компоненты

Продукт Требования
Azure DevOps — Проект Azure DevOps .
— подключение службы Azure Resource Manager для вашего проекта.
Разрешения - :
    — Чтобы использовать подключения к службе: у вас должна быть хотя бы роль пользователя для подключения к службе .
    — Чтобы создать группу переменных, вам необходимо иметь по крайней мере разрешение на библиотеку Creator.
Лазурный — учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
Разрешения - :
    Чтобы создать хранилище ключей: у вас должна быть по крайней мере роль владельца для подписки.

Создание хранилища ключей

Создайте хранилище ключей Azure.

  1. На портале Azure выберите Создать ресурс.
  2. Найдите и выберите Key Vault, а затем нажмите кнопку "Создать".
  3. Выберите свою подписку.
  4. Выберите существующую группу ресурсов или создайте новую.
  5. Введите имя хранилища ключей.
  6. выберите регион.
  7. Перейдите на вкладку "Доступ" и "Конфигурация ".
  8. Выберите политику доступа к Хранилищу.
  9. Выберите учетную запись в качестве участника.
  10. Выберите Просмотр и создание, а затем щелкните Создать.

Создание группы переменных, связанной с хранилищем ключей

  1. В проекте Azure DevOps выберите группу "Библиотека>
  2. На странице групп переменных введите имя и необязательное описание для группы переменных.
  3. Включите секреты ссылки из хранилища ключей Azure в качестве переключателя переменных.
  4. Выберите подключение службы и выберите "Авторизовать".
  5. Выберите имя хранилища ключей и включите Azure DevOps для доступа к хранилищу ключей, нажав кнопку "Авторизовать " рядом с именем хранилища.
  6. Нажмите кнопку +Добавить и на экране выбора секретов , выберите секреты из хранилища для сопоставления с этой группой переменных, а затем нажмите кнопку "ОК".
  7. Нажмите кнопку "Сохранить", чтобы сохранить группу секретных переменных.

Снимок экрана: группа переменных с интеграцией хранилища ключей Azure.

Примечание.

Подключение к службе должно иметь по крайней мере разрешения на получение и перечисление в хранилище ключей, которое можно авторизовать на предыдущих шагах. Вы также можете предоставить эти разрешения из портал Azure, выполнив следующие действия.

  1. Откройте параметры для хранилища ключей и выберите " Перейти к конфигурации>Access" для политик доступа.
  2. На странице политик доступа, если проект Azure Pipelines не указан в разделе "Приложения" с разрешениями "Получить" и "Список", нажмите кнопку "Создать".
  3. В разделе "Секретные разрешения" выберите "Получить" и "Список", а затем нажмите кнопку "Далее".
  4. Выберите субъект и нажмите кнопку "Далее".
  5. Снова нажмите кнопку "Далее ", просмотрите параметры и нажмите кнопку "Создать".

Дополнительные сведения см. в разделе "Использование секретов Azure Key Vault".