Связывание группы переменных с секретами в Azure Key Vault

В этой статье показано, как создать группу переменных, которая связывается с секретами, хранящимися в хранилище ключей Azure. Связав группу переменных с хранилищем ключей, вы можете обеспечить безопасное хранение секретов, а конвейеры всегда имеют доступ к последним значениям секретов во время выполнения.

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

Вы можете создать группу переменных, которая связывает существующие хранилища ключей Azure и сопоставляет выбранные секреты хранилища ключей с группой переменных. Только имена секретов сопоставляются с группой переменных, а не значениями секретов. При запуске конвейеров они связываются с группой переменных, чтобы получить последние значения секретов из хранилища во время выполнения.

Все изменения, внесенные в существующие секреты в хранилище ключей, автоматически доступны для всех конвейеров, использующих группу переменных. Однако если секреты добавляются или удаляются из хранилища, связанные группы переменных не обновляются автоматически. Необходимо явно обновить секреты для включения в группу переменных.

Хотя Key Vault поддерживает хранение и управление криптографическими ключами и сертификатами в Azure, интеграция группы переменных Azure Pipelines поддерживает только сопоставление секретов хранилища ключей. Криптографические ключи и сертификаты не поддерживаются.

Примечание.

Хранилища ключей, использующие управление доступом на основе ролей Azure (Azure RBAC), не поддерживаются.

Необходимые компоненты

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
• Организация Azure DevOps. Зарегистрируйтесь бесплатно или на сервере Azure DevOps.
• Проект DevOps. Создайте проект, если у вас еще нет этого проекта .
• Подключение к службе Azure Resource Manager для проекта.

Создание хранилища ключей

Создайте хранилище ключей Azure.

1. На портале Azure выберите Создать ресурс.
2. Найдите и выберите Key Vault, а затем нажмите кнопку "Создать".
3. Выберите свою подписку.
4. Выберите существующую группу ресурсов или создайте новую.
5. Введите имя хранилища ключей.
6. выберите регион.
7. Перейдите на вкладку "Доступ" и "Конфигурация ".
8. Выберите политику доступа к Хранилищу.
9. Выберите учетную запись в качестве участника.
10. Выберите Просмотр и создание, а затем щелкните Создать.

Создание группы переменных, связанной с хранилищем ключей

1. В проекте Azure DevOps выберите группу "Библиотека> конвейеров>+ переменная".
2. На странице групп переменных введите имя и необязательное описание для группы переменных.
3. Включите секреты ссылки из хранилища ключей Azure в качестве переключателя переменных.
4. Выберите подключение службы и выберите "Авторизовать".
5. Выберите имя хранилища ключей и включите Azure DevOps для доступа к хранилищу ключей, нажав кнопку "Авторизовать " рядом с именем хранилища.
6. Нажмите кнопку +Добавить и на экране выбора секретов , выберите секреты из хранилища для сопоставления с этой группой переменных, а затем нажмите кнопку "ОК".
7. Нажмите кнопку "Сохранить", чтобы сохранить группу секретных переменных.

Примечание.

Подключение к службе должно иметь по крайней мере разрешения на получение и перечисление в хранилище ключей, которое можно авторизовать на предыдущих шагах. Вы также можете предоставить эти разрешения из портал Azure, выполнив следующие действия.

1. Откройте параметры для хранилища ключей и выберите " Перейти к конфигурации>Access" для политик доступа.
2. На странице политик доступа, если проект Azure Pipelines не указан в разделе "Приложения" с разрешениями "Получить" и "Список", нажмите кнопку "Создать".
3. В разделе "Секретные разрешения" выберите "Получить" и "Список", а затем нажмите кнопку "Далее".
4. Выберите субъект и нажмите кнопку "Далее".
5. Снова нажмите кнопку "Далее ", просмотрите параметры и нажмите кнопку "Создать".

Дополнительные сведения см. в разделе "Использование секретов Azure Key Vault".

Связанные статьи

• Управление группами переменных
• Определение переменных секрета