Использование секретов Azure Key Vault в Azure Pipelines

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

Azure Key Vault позволяет разработчикам безопасно хранить конфиденциальные сведения, такие как ключи API, учетные данные или сертификаты. Служба Azure Key Vault поддерживает два типа контейнеров: хранилища и управляемые пулы HSM (аппаратный модуль безопасности). Хранилища могут хранить как ключи, секреты и сертификаты с поддержкой программного обеспечения, так и ключи, защищенные HSM, в то время как управляемые пулы HSM поддерживают исключительно ключи, защищенные HSM.

В этом учебном пособии вы узнаете, как:

• Создание Azure Key Vault с помощью Azure CLI
• Добавление секрета и настройка доступа к хранилищу ключей Azure
• Использование секретов в конвейере

Предварительные условия

• Организация Azure DevOps и проект. Создайте организацию или проект, если вы еще не сделали этого.

• Подписка Azure. Создайте учетную запись Azure бесплатно, если у вас еще нет учетной записи Azure.

Получить пример кода

Если у вас уже есть собственный репозиторий, перейдите к следующему шагу. В противном случае импортируйте следующий пример репозитория в репозиторий Azure.

1. Войдите в организацию Azure DevOps и перейдите к проекту.

2. Выберите Repos и нажмите кнопку "Импорт". Введите следующий URL-адрес репозитория и нажмите кнопку "Импорт".

   https://github.com/MicrosoftDocs/pipelines-dotnet-core
   

создать Azure Key Vault;

1. Войдите на портал Azure, а затем нажмите кнопку Cloud Shell в правом верхнем углу.

2. Если у вас несколько подписок Azure, связанных с учетной записью, используйте следующую команду, чтобы указать подписку по умолчанию. Вы можете с помощью az account list создать список подписок.

   az account set --subscription <YOUR_SUBSCRIPTION_NAME_OR_ID>
   

3. Задайте регион Azure по умолчанию. Вы можете использовать az account list-locations, чтобы создать список доступных регионов.

   az config set defaults.location=<YOUR_REGION>
   

4. Создание группы ресурсов

   az group create --name <YOUR_RESOURCE_GROUP_NAME>
   

5. Создайте новый хранилище ключей в Azure.

   az keyvault create \
     --name <YOUR_KEY_VAULT_NAME> \
     --resource-group <YOUR_RESOURCE_GROUP_NAME>
   

6. Создайте новый секрет в хранилище ключей Azure.

   az keyvault secret set \
     --name <YOUR_SECRET_NAME> \
     --value <YOUR_ACTUAL_SECRET> \
     --vault-name <YOUR_KEY_VAULT_NAME>
   

Настройка проверки подлинности

Управляемое удостоверение

Создание управляемой идентичности, назначенной пользователем

1. Войдите в портал Azure, а затем найдите службу Управляемые удостоверения в строке поиска.

2. Выберите "Создать" и заполните обязательные поля следующим образом:

   • Подписка: выберите подписку в раскрывающемся меню.
   • Группа ресурсов: выберите существующую группу ресурсов или создайте новую.
   • Регион: выберите регион в раскрывающемся меню.
   • Имя: Введите имя для управляемого удостоверения, назначенного пользователем.

3. Нажмите кнопку "Рецензирование" и "Создать " после завершения.

4. После завершения развертывания выберите "Перейти к ресурсу", а затем скопируйте значения подписки и идентификатора клиента, которые будут использоваться в предстоящих шагах.

5. Перейдите к Настройки>Свойства и скопируйте значение Tenant ID вашей управляемой идентичности для последующего использования.

Настройка политик доступа к хранилищу ключей

1. Перейдите к портал Azure и используйте строку поиска, чтобы найти созданное ранее хранилище ключей.

2. Выберите политики доступа, затем выберите Создать, чтобы добавить новую политику.

3. В разделе "Разрешения секрета" установите флажки "Получить" и "Список".

4. Выберите Далее, затем вставьте идентификатор клиента управляемого удостоверения, созданного ранее, в строку поиска. Выберите управляемое удостоверение.

5. Нажмите кнопку "Далее", а затем еще раз.

6. Просмотрите новые политики и нажмите кнопку "Создать " после завершения.

Создание подключения службы

1. Войдите в организацию Azure DevOps и перейдите к проекту.

2. Выберите "Параметры> службы проекта" и выберите "Создать подключение службы", чтобы создать новое подключение к службе.

3. Выберите Azure Resource Manager, а затем нажмите кнопку "Далее".

4. Для Типа удостоверения выберите Управляемое удостоверение в раскрывающемся меню.

5. Для Шаг 1: Сведения о управляемом удостоверении заполните поля следующим образом:

   • Подписка на управляемое удостоверение: выберите подписку, которое содержит ваше управляемое удостоверение.

   • Группа ресурсов для управляемого удостоверения: выберите группу ресурсов, в которой размещено ваше управляемое удостоверение.

   • Управляемое удостоверение: выберите управляемое удостоверение в раскрывающемся меню.

6. Для Шага 2: Область Azure заполните поля следующим образом:

   • Уровень области подключения к службе: выбор подписки.

   • Подписка для подключения к службе: выберите целевую подписку, к которой будет обращаться управляемое удостоверение.

   • Группа ресурсов для подключения к службе: (необязательно) Укажите, чтобы ограничить доступ к управляемому удостоверению одной группе ресурсов.

7. Для шага 3. Сведения о подключении к службе:

   • Имя подключения службы: укажите имя для вашего подключения к службе.

   • Справочник по управлению службами: (необязательно) сведения о контексте из базы данных ITSM.

   • Описание: (необязательно) Добавьте описание.

8. В разделе "Безопасность" установите флажок "Предоставить доступ ко всем конвейерам ", чтобы разрешить всем конвейерам использовать это подключение к службе. Если этот параметр не выбран, необходимо вручную предоставить доступ каждому конвейеру, использующему это подключение к службе.

9. Нажмите кнопку "Сохранить", чтобы проверить и создать подключение к службе.

   

Субъект-служба

Настройка политик доступа к хранилищу ключей

Чтобы получить доступ к Azure Key Vault, необходимо сначала настроить учетную запись обслуживания, чтобы предоставить доступ к Azure Pipelines.

1. Создать учетную запись службы

2. Перейдите к портал Azure, а затем используйте строку поиска, чтобы найти созданное ранее хранилище ключей.

3. Выберите политики доступа и нажмите кнопку "Создать".

4. В разделе "Разрешения секрета" добавьте разрешения "Получить " и "Список " и нажмите кнопку "Далее".

5. Для основного идентификатора вставьте ID объекта вашей службы, выберите его и нажмите «Далее».

6. Нажмите кнопку "Далее еще раз", просмотрите политики и нажмите кнопку "Сохранить " после завершения.

Добавление назначения роли

На следующем шаге вы создадите подключение службы ARM для субъекта-службы. Перед проверкой подключения необходимо: (1) предоставить служебному принципалу доступ на чтение на уровне подписки и (2) создать федеративные учетные данные для вашего служебного принципала.

Ниже описано, как предоставить доступ на чтение на уровне подписки:

1. Перейдите к портал Azure, выберите "Подписки", а затем найдите и выберите свою подписку.

2. Выберите Управление доступом, затем выберите Добавить>Добавить назначение ролей.

3. Выберите читатель на вкладке "Роль " и нажмите кнопку "Далее".

4. Выберите "Пользователь", "Группа" или "Субъект-служба", а затем выберите "Выбрать участников".

5. Вставьте идентификатор объекта вашего субъекта-службы в строку поиска, выберите его, а затем Нажмите «Выбрать».

6. Выберите "Рецензирование и назначение", просмотрите параметры, а затем нажмите кнопку "Проверить и назначить еще раз", чтобы подтвердить выбор и добавить назначение роли.

Создание подключения службы

1. Войдите в организацию Azure DevOps и перейдите к проекту.

2. Выберите параметры проекта и выберите "Подключения службы".

3. Выберите новое подключение к службе, выберите Azure Resource Manager и нажмите кнопку "Далее".

4. Выберите субъект-службу (вручную) и нажмите кнопку "Далее".

5. Для типа удостоверения выберите регистрацию приложения или управляемое удостоверение (вручную) в раскрывающемся меню.

6. Для учетных данных выберите федерацию удостоверений для рабочих нагрузок.

7. Укажите имя подключения к службе и нажмите кнопку "Далее".

8. Выберите Azure Cloud для среды и Подписка для области подписки>.

9. Введите идентификатор подписки Azure и имя подписки.

10. Для проверки подлинности вставьте идентификатор приложения (клиента) субъекта-службы и идентификатор каталога (клиента)

11. В разделе "Безопасность" установите флажок "Предоставить доступ ко всем конвейерам ", чтобы разрешить всем конвейерам использовать это подключение к службе. Если вы не выберете этот параметр, необходимо вручную предоставить доступ к каждому конвейеру, использующему это подключение к службе.

12. Оставьте это окно открытым, вы вернетесь, чтобы проверить и сохранить подключение службы после создания федеративных учетных данных в Azure.

Создание федеративных учетных данных для служебного субъекта

1. Перейдите к портал Azure, а затем введите идентификатор клиента субъекта-службы в строке поиска и выберите приложение.

2. В разделе "Управление" выберите сертификаты и секреты>федеративные учетные данные.

3. Выберите «Добавить учетные данные», а затем для сценария федеративных учетных данных выберите «Другой издатель».

4. Для Издателя вставьте Издателя, скопированного ранее из подключения к службе.

5. Для идентификатора субъекта вставьте идентификатор субъекта, который вы скопировали из подключения службы ранее.

6. Укажите имя федеративных учетных данных и нажмите кнопку "Добавить" после завершения.

7. Вернитесь в окно подключения службы, нажмите кнопку "Проверить и сохранить ", чтобы сохранить подключение к службе.

Доступ к секретам хранилища ключей из конвейера

YAML

1. Войдите в организацию Azure DevOps и перейдите к проекту.

2. Выберите Пайплайны и затем выберите Новый пайплайн.

3. Выберите Azure Repos Git (YAML) и выберите репозиторий.

4. Выберите шаблон Starter pipeline конвейера.

5. Пайплайн по умолчанию будет содержать скрипт, выполняющий команды echo. Они не нужны, чтобы мы могли их удалить.

6. Добавьте задачу AzureKeyVault, заменив заполнители именем созданного ранее подключения к службе и именем хранилища ключей. Файл YAML должен выглядеть следующим фрагментом кода:

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   

7. Давайте добавим следующие задачи для копирования и публикации нашего секрета. Этот пример предназначен только для демонстрационных целей и не должен быть реализован в рабочей среде.

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   
   - task: CmdLine@2
     displayName: Create file
     inputs:
       script: 'echo $(SECRET_NAME) > secret.txt'
   
   - task: CopyFiles@2
     displayName: Copy file
     inputs:
       Contents: secret.txt
       targetFolder: '$(Build.ArtifactStagingDirectory)'
   
   - task: PublishBuildArtifacts@1
     displayName: Publish Artifact
     inputs:
       PathtoPublish: '$(Build.ArtifactStagingDirectory)'
       ArtifactName: 'drop'
       publishLocation: 'Container'
   

8. Нажмите кнопку "Сохранить и запустить", а затем еще раз выберите ее, чтобы зафиксировать изменения и активировать конвейер. Возможно, вам будет предложено разрешить доступ конвейера к ресурсам Azure; если появится запрос, выберите Разрешить. Вам придется утвердить конвейер только один раз.

9. Выберите задачу CmdLine, чтобы просмотреть журналы.

   

10. После завершения процесса выполнения конвейера перейдите к сводке конвейера и выберите опубликованный артефакт.

    

11. Выберите drop>secret.txt, чтобы скачать его.

    

12. Откройте только что скачанный текстовый файл, текстовый файл должен содержать секрет из хранилища ключей Azure.

Классическое

1. Войдите в организацию Azure DevOps и перейдите к проекту.

2. Выберите Пайплайны, а затем выберите Новый пайплайн.

3. Выберите "Использовать классический редактор " для создания классического конвейера.

4. Выберите Azure Repos Git, выберите репозиторий и ветвь по умолчанию, а затем нажмите кнопку "Продолжить".

5. Выберите шаблон конвейера .Net Desktop .

6. В этом примере потребуется только две последние задачи. Нажмите клавиши CTRL, а затем выберите первые пять задач, щелкните правой кнопкой мыши и выберите " Удалить выбранные задачи" , чтобы удалить их.

   

7. Выберите + , чтобы добавить новую задачу. Найдите задачу командной строки , выберите ее, а затем нажмите кнопку "Добавить ", чтобы добавить ее в конвейер. После добавления настройте его следующим образом:

   • Отображаемое имя: создание файла
   • Скрипт: echo $(SECRET_NAME) > secret.txt

   

8. Выберите + , чтобы добавить новую задачу. Найдите задачу Azure Key Vault, выберите ее и нажмите кнопку "Добавить*", чтобы добавить ее в конвейер. После добавления настройте его следующим образом:

   • Отображаемое имя: Azure Key Vault
   • Подписка Azure: выберите подключение службы, созданное ранее
   • Хранилище ключей: выбор хранилища ключей
   • Фильтр секретов: разделенный запятыми список имен секретов или оставьте *, чтобы скачать все секреты из выбранного хранилища ключей

   

9. Выберите задачу "Копировать файлы" и заполните необходимые поля следующим образом:

   • Отображаемое имя: Копировать файл
   • Содержимое: secret.txt
   • Целевая папка: $(build.artifactstagingdirectory)

   

10. Выберите задачу "Опубликовать артефакты" и заполните обязательные поля следующим образом:

    • Отображаемое имя: Опубликовать артефакт
    • Путь к публикации: $(build.artifactstagingdirectory)
    • Имя артефакта: drop
    • Расположение публикации артефактов: Azure Pipelines

    

11. Выберите Сохранить и поставить в очередь, а затем выберите Выполнить, чтобы запустить конвейер.

12. После завершения выполнения конвейера вернитесь к сводной информации о конвейере и выберите опубликованный артефакт.

13. Выберите drop>secret.txt, чтобы скачать опубликованный артефакт.

    

14. Откройте только что скачанный текстовый файл, текстовый файл должен содержать секрет из хранилища ключей Azure.

Предупреждение

Это руководство предназначено только для образовательных целей. Рекомендации по безопасности и безопасное использование секретов см. в статье "Управление секретами" в серверных приложениях с помощью Azure Key Vault.

Очистка ресурсов

Выполните приведенные ниже действия, чтобы удалить созданные ресурсы:

1. Если вы создали новую организацию для размещения проекта, узнайте , как удалить организацию, в противном случае удалите проект.

2. Все ресурсы Azure, созданные во время этого руководства, размещаются в одной группе ресурсов. Выполните следующую команду, чтобы удалить группу ресурсов и все ее ресурсы.

   az group delete --name <YOUR_RESOURCE_GROUP_NAME>
   

Вопросы и ответы

Вопрос. Я получаю следующую ошибку: "У пользователя или группы нет разрешений на список секретов", что делать?

Ответ. Если возникла ошибка, указывающая, что у пользователя или группы нет разрешения списка секретов в хранилище ключей, выполните следующие команды, чтобы авторизовать приложение для доступа к ключу или секрету в Azure Key Vault:

az account set --subscription <YOUR_SUBSCRIPTION_ID>

az login

$spnObjectId = az ad sp show --id <YOUR_SERVICE_PRINCIPAL_ID>

az keyvault set-policy --name <YOUR_KEY_VAULT_NAME> --object-id $spnObjectId --secret-permissions get list

Связанные статьи

• Публикация и скачивание артефактов конвейера
• Артефакты выпуска и источники артефактов
• Использование шлюзов и утверждений для управления развертыванием