Использование секретов Azure Key Vault в конвейере

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

С помощью Azure Key Vault вы можете безопасно хранить конфиденциальные данные и управлять ими, такими как пароли, ключи API, сертификаты и т. д. с помощью Azure Key Vault можно легко создавать ключи шифрования и управлять ими для шифрования данных. Azure Key Vault также можно использовать для управления сертификатами для всех ресурсов. В этой статье вы узнаете, как выполнять следующие задачи.

• Создайте хранилище Azure Key Vault.
• Настройте разрешения Key Vault.
• Создайте подключение к службе.
• Запрос секретов из Azure Pipeline.

Необходимые компоненты

• Организация Azure DevOps. Создайте его бесплатно, если у вас еще нет.
• Собственный проект. Создайте проект, если у вас еще нет этого проекта .
• Собственный репозиторий. Создайте репозиторий Git, если у вас еще нет репозитория Git .
• Подписка Azure. Создайте бесплатную учетную запись Azure, если у вас еще нет учетной записи .

Создайте хранилище ключей.

Портал Azure

1. Войдите в портал Azure и нажмите кнопку "Создать ресурс".

2. В разделе Key Vault выберите "Создать", чтобы создать azure Key Vault.

3. Выберите свою подписку в раскрывающемся меню, а затем выберите существующую группу ресурсов или создайте новую. Введите имя хранилища ключей, выберите регион, выберите ценовую категорию и нажмите кнопку "Далее", если требуется настроить дополнительные свойства. В противном случае нажмите кнопку "Проверить и создать ", чтобы сохранить параметры по умолчанию.

4. По завершении развертывания выберите элемент Перейти к ресурсу.

Azure CLI

1. Сначала задайте регион по умолчанию и подписку Azure:

   • Задайте подписку по умолчанию:

   az account set --subscription <your_subscription_name_or_subscription_ID>
   

   • Задайте регион по умолчанию:

   az config set defaults.location=<your_region>
   

2. Создайте новую группу ресурсов для размещения Azure Key Vault. Группа ресурсов — это контейнер, содержащий связанные ресурсы для решения Azure:

   az group create --name <your-resource-group>
   

3. Создайте azure Key Vault:

   az keyvault create \
     --name <your-key-vault-name> \
     --resource-group <your-resource-group>
   

Настройка проверки подлинности

управляемое удостоверение;

Создание управляемого удостоверения, назначаемого пользователем

1. Войдите в портал Azure, а затем найдите службу управляемых удостоверений в строке поиска.

2. Выберите "Создать" и заполните обязательные поля следующим образом:

   • Подписка: выберите подписку в раскрывающемся меню.
   • Группа ресурсов: выберите существующую группу ресурсов или создайте новую.
   • Регион: выберите регион в раскрывающемся меню.
   • Имя. Введите имя управляемого удостоверения, назначаемого пользователем.

3. Нажмите кнопку "Рецензирование" и "Создать " после завершения.

4. После завершения развертывания выберите "Перейти к ресурсу", а затем скопируйте значения подписки и идентификатора клиента, которые будут использоваться в предстоящих шагах.

5. Перейдите к свойствам> параметров и скопируйте значение идентификатора клиента управляемого удостоверения для последующего использования.

Настройка политик доступа к хранилищу ключей

1. Перейдите к портал Azure и используйте строку поиска, чтобы найти созданное ранее хранилище ключей.

2. Выберите политики access, а затем нажмите кнопку "Создать ", чтобы добавить новую политику.

3. В разделе "Разрешения секрета" установите флажки "Получить " и "Список ".

4. Нажмите кнопку "Далее", а затем вставьте идентификатор клиента управляемого удостоверения, созданного ранее, в строку поиска. Выберите управляемое удостоверение.

5. Нажмите кнопку "Далее", а затем еще раз.

6. Просмотрите новые политики и нажмите кнопку "Создать " после завершения.

Создание подключения службы

1. Войдите в организацию Azure DevOps и перейдите к проекту.

2. Выберите "Параметры> службы проекта" и выберите "Создать подключение службы", чтобы создать новое подключение к службе.

3. Выберите Azure Resource Manager, а затем нажмите кнопку "Далее".

4. Для типа удостоверения выберите управляемое удостоверение в раскрывающемся меню.

5. Для шага 1. Сведения об управляемом удостоверении заполните поля следующим образом:

   • Подписка для управляемого удостоверения: выберите подписку, содержащую управляемое удостоверение.

   • Группа ресурсов для управляемого удостоверения: выберите группу ресурсов, на котором размещено управляемое удостоверение.

   • Управляемое удостоверение: выберите управляемое удостоверение в раскрывающемся меню.

6. Для шага 2. Область Azure заполните поля следующим образом:

   • Уровень области подключения к службе: выбор подписки.

   • Подписка на подключение к службе: выберите подписку, к которым будет обращаться управляемое удостоверение.

   • Группа ресурсов для подключения к службе: (необязательно) Укажите, чтобы ограничить доступ к управляемому удостоверению одной группе ресурсов.

7. Для шага 3. Сведения о подключении к службе:

   • Имя подключения службы: укажите имя подключения к службе.

   • Справочник по управлению службами: (необязательно) сведения о контексте из базы данных ITSM.

   • Описание: (необязательно) Добавьте описание.

8. В разделе "Безопасность" установите флажок "Предоставить доступ ко всем конвейерам ", чтобы разрешить всем конвейерам использовать это подключение к службе. Если этот параметр не выбран, необходимо вручную предоставить доступ к каждому конвейеру, использующего это подключение к службе.

9. Нажмите кнопку "Сохранить", чтобы проверить и создать подключение к службе.

   

Субъект-служба

Создание субъекта-службы

На этом шаге мы создадим новый субъект-службу в Azure, что позволяет нам запрашивать azure Key Vault из Azure Pipelines.

1. Перейдите к портал Azure, а затем щелкните> значок _в строке меню, чтобы открыть Cloud Shell.

2. Выберите PowerShell или оставьте его как Bash на основе ваших предпочтений.

3. Выполните следующую команду, чтобы создать новый субъект-службу:

   az ad sp create-for-rbac --name YOUR_SERVICE_PRINCIPAL_NAME
   

4. Выходные данные должны соответствовать приведенному ниже примеру. Обязательно скопируйте выходные данные команды, так как вам потребуется создать подключение к службе в предстоящем шаге.

   {
     "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "displayName": "MyServicePrincipal",
     "password": "***********************************",
     "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
   }
   

Создание подключения службы

1. Войдите в организацию Azure DevOps и перейдите к проекту.

2. Выберите параметры проекта и выберите "Подключения службы".

3. Выберите новое подключение к службе, выберите Azure Resource Manager и нажмите кнопку "Далее".

4. Выберите субъект-службу (вручную) и нажмите кнопку "Далее".

5. Для типа удостоверения выберите регистрацию приложения или управляемое удостоверение (вручную) в раскрывающемся меню.

6. Для учетных данных*выберите федерацию удостоверений рабочей нагрузки.

7. Укажите имя подключения к службе и нажмите кнопку "Далее".

8. Скопируйте издателя и идентификатор субъекта, так как нам потребуется на следующем шаге.

9. Выберите Облако Azure для среды и подписку для области подписки.

10. Введите идентификатор подписки Azure и имя подписки.

11. Для проверки подлинности вставьте идентификатор приложения (клиента) субъекта-службы и идентификатор каталога (клиента)

12. В разделе "Безопасность" установите флажок "Предоставить доступ ко всем конвейерам ", чтобы разрешить всем конвейерам использовать это подключение к службе. Если этот параметр не выбран, необходимо вручную предоставить доступ к каждому конвейеру, использующего это подключение к службе.

13. Оставьте это открытым, вы вернетесь, чтобы проверить и сохранить после создания федеративных учетных данных в Azure и (2) предоставил субъекту-службе доступ на чтение на уровне подписки.

    

Создание федеративных учетных данных в Azure

1. Перейдите к портал Azure, а затем введите идентификатор клиента субъекта-службы в строке поиска и выберите приложение.

2. В разделе "Управление" выберите сертификаты и секреты>федеративных учетных данных.

3. Выберите "Добавить учетные данные", а затем для сценария федеративных учетных данных выберите "Другой издатель".

4. Для издателя вставьте издатель , скопированный из подключения к службе ранее.

5. Для идентификатора субъекта вставьте идентификатор субъекта, скопированный из подключения службы ранее.

6. Укажите имя федеративных учетных данных и нажмите кнопку "Добавить" после завершения.

   

Добавление назначения ролей в подписку

Прежде чем проверить подключение, необходимо предоставить субъекту-службе доступ на чтение на уровне подписки:

1. Перейдите к портал Azure

2. В службе Azure выберите подписки, а затем найдите и выберите подписку.

3. Выберите Управление доступом (IAM), а затем Добавить>Добавить назначение ролей.

4. Выберите читатель на вкладке "Роль " и нажмите кнопку "Далее".

5. Выберите "Пользователь", "Группа" или "Субъект-служба", а затем выберите "Выбрать участников".

6. В строке поиска вставьте идентификатор объекта субъекта-службы, выберите его, а затем нажмите кнопку "Выбрать".

7. Выберите "Рецензирование и назначение", просмотрите параметры, а затем нажмите кнопку "Проверить и назначить еще раз", чтобы подтвердить выбор и добавить назначение роли.

8. После добавления назначения роли. Вернитесь к подключению к службе (в Azure DevOps), чтобы, наконец, выбрать "Проверить и сохранить ", чтобы сохранить подключение к службе.

Настройка политик доступа Key Vault

1. Перейдите к портал Azure, найдите созданное ранее хранилище ключей и выберите политики Access.

2. Выберите "Создать", а затем в разделе "Разрешения секрета" добавьте разрешения "Получить" и "Список" и нажмите кнопку "Далее".

3. В разделе "Субъект" вставьте идентификатор объекта субъекта-службы, выберите его и нажмите кнопку "Далее".

4. Нажмите кнопку "Далее " еще раз, просмотрите параметры и нажмите кнопку "Сохранить " после завершения.

Запрос и использование секретов в конвейере

С помощью задачи Azure Key Vault мы можем получить значение секрета и использовать его в последующих задачах в нашем конвейере. Важно учитывать, что секреты должны быть явно сопоставлены с переменной env, как показано в приведенном ниже примере.

pool:
  vmImage: 'ubuntu-latest'

steps:
- task: AzureKeyVault@1
  inputs:
    azureSubscription: 'SERVICE_CONNECTION_NAME'
    KeyVaultName: 'KEY_VAULT_NAME'
    SecretsFilter: '*'

- bash: |
    echo "Secret Found! $MY_MAPPED_ENV_VAR"        
  env:
    MY_MAPPED_ENV_VAR: $(SECRET_NAME)

Выходные данные последней команды Bash должны выглядеть следующим образом:

Secret Found! ***

Примечание.

Если вы хотите запросить несколько секретов из Azure Key Vault, используйте SecretsFilter аргумент для передачи разделенного запятыми списка имен секретов: secret1, secret2.

Связанный контент

• Управление подключениями служб
• Определение переменных
• Публикация артефактов конвейера