Använd Azure Key Vault-hemligheter i Azure Pipelines

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Med Azure Key Vault kan utvecklare lagra och hantera känslig information på ett säkert sätt, till exempel API-nycklar, autentiseringsuppgifter eller certifikat. Azure Key Vault-tjänsten stöder två typer av containrar: valv och hanterade HSM-pooler (maskinvarusäkerhetsmodul). Valv kan lagra både programvaru- och HSM-säkerhetskopierade nycklar, hemligheter och certifikat, medan hanterade HSM-pooler endast stöder HSM-säkerhetskopierade nycklar.

I den här självstudien får du lära dig hur man:

• Skapa ett Azure Key Vault med Hjälp av Azure CLI
• Lägga till en hemlighet och konfigurera åtkomst till Azure Key Vault
• Använda hemligheter i pipelinen

Förutsättningar

• En Azure DevOps-organisation och ett projekt. Skapa en organisation eller ett projekt om du inte redan har gjort det.

• En Azure-prenumeration Skapa ett Azure-konto kostnadsfritt om du inte redan har ett.

Hämta exempelkoden

Om du redan har en egen lagringsplats går du vidare till nästa steg. Annars importerar du följande exempellagringsplats till din Azure-lagringsplats.

1. Logga in på din Azure DevOps-organisation och navigera sedan till projektet.

2. Välj Lagringsplatser och välj sedan Importera. Ange följande lagringsplats-URL och välj sedan Importera.

   https://github.com/MicrosoftDocs/pipelines-dotnet-core
   

Skapa ett Azure Key Vault

1. Logga in på Azure Portal och välj sedan knappen Cloud Shell i det övre högra hörnet.

2. Om du har fler än en Azure-prenumeration associerad med ditt konto använder du kommandot nedan för att ange en standardprenumeration. Du kan använda az account list för att generera en lista över dina prenumerationer.

   az account set --subscription <YOUR_SUBSCRIPTION_NAME_OR_ID>
   

3. Ange din azure-standardregion. Du kan använda az account list-locations för att generera en lista över tillgängliga regioner.

   az config set defaults.location=<YOUR_REGION>
   

4. Skapa en ny resursgrupp.

   az group create --name <YOUR_RESOURCE_GROUP_NAME>
   

5. Skapa ett nytt Azure Key Vault.

   az keyvault create \
     --name <YOUR_KEY_VAULT_NAME> \
     --resource-group <YOUR_RESOURCE_GROUP_NAME>
   

6. Skapa en ny hemlighet i ditt Azure-nyckelvalv.

   az keyvault secret set \
     --name <YOUR_SECRET_NAME> \
     --value <YOUR_ACTUAL_SECRET> \
     --vault-name <YOUR_KEY_VAULT_NAME>
   

Konfigurera autentisering

Hanterad identitet

Skapa en användartilldelad hanterad identitet

1. Logga in på Azure Portal och sök sedan efter tjänsten Hanterade identiteter i sökfältet.

2. Välj Skapa och fyll i de obligatoriska fälten på följande sätt:

   • Prenumeration: Välj din prenumeration på den nedrullningsbara menyn.
   • Resursgrupp: Välj en befintlig resursgrupp eller skapa en ny.
   • Region: Välj en region på den nedrullningsbara menyn.
   • Namn: Ange ett namn på din användartilldelade hanterade identitet.

3. Välj Granska + skapa när du är klar.

4. När distributionen är klar väljer du Gå till resurs och kopierar sedan de prenumerations - och klient-ID-värden som ska användas i kommande steg.

5. Gå till Egenskaper för inställningar>och kopiera den hanterade identitetens klient-ID-värde för senare användning.

Konfigurera åtkomstprinciper för key vault

1. Navigera till Azure Portal och använd sökfältet för att hitta nyckelvalvet som du skapade tidigare.

2. Välj Åtkomstprinciper och sedan Skapa för att lägga till en ny princip.

3. Under Hemliga behörigheter markerar du kryssrutorna Hämta och Lista .

4. Välj Nästa och klistra sedan in klient-ID:t för den hanterade identitet som du skapade tidigare i sökfältet. Välj din hanterade identitet.

5. Välj Nästa och sedan Nästa en gång till.

6. Granska dina nya principer och välj sedan Skapa när du är klar.

Skapa en tjänstanslutning

1. Logga in på din Azure DevOps-organisation och navigera sedan till projektet.

2. Välj Projektinställningar>Tjänstanslutningar och välj sedan Ny tjänstanslutning för att skapa en ny tjänstanslutning.

3. Välj Azure Resource Manager och välj sedan Nästa.

4. För Identitetstyp väljer du Hanterad identitet på den nedrullningsbara menyn.

5. För steg 1: Information om hanterad identitet fyller du i fälten på följande sätt:

   • Prenumeration för hanterad identitet: Välj den prenumeration som innehåller din hanterade identitet.

   • Resursgrupp för hanterad identitet: Välj den resursgrupp som är värd för din hanterade identitet.

   • Hanterad identitet: Välj din hanterade identitet på den nedrullningsbara menyn.

6. För steg 2: Azure-omfång fyller du i fälten på följande sätt:

   • Omfångsnivå för tjänstanslutning: Välj Prenumeration.

   • Prenumeration för tjänstanslutning: Välj den prenumeration som din hanterade identitet ska komma åt.

   • Resursgrupp för tjänstanslutning: (Valfritt) Ange för att begränsa åtkomsten till hanterade identiteter till en resursgrupp.

7. För steg 3: Information om tjänstanslutning:

   • Tjänstanslutningsnamn: Ange ett namn för tjänstanslutningen.

   • Tjänsthanteringsreferens: (valfritt) Kontextinformation från en ITSM-databas.

   • Beskrivning: (Valfritt) Lägg till en beskrivning.

8. I Säkerhet markerar du kryssrutan Bevilja åtkomstbehörighet till alla pipelines för att tillåta att alla pipelines använder den här tjänstanslutningen. Om du inte väljer det här alternativet måste du manuellt bevilja åtkomst till varje pipeline som använder den här tjänstanslutningen.

9. Välj Spara för att verifiera och skapa tjänstanslutningen.

   

Tjänsthuvudnamn

Konfigurera åtkomstprinciper för key vault

För att få åtkomst till ditt Azure Key Vault måste du först konfigurera ett huvudnamn för tjänsten för att ge åtkomst till Azure Pipelines:

1. Skapa ett huvudnamn för tjänsten

2. Gå till Azure Portal och använd sedan sökfältet för att hitta nyckelvalvet som du skapade tidigare.

3. Välj Åtkomstprinciper och välj sedan Skapa.

4. Under Hemliga behörigheter lägger du till behörigheterna Hämta och Lista och väljer sedan Nästa.

5. Som Huvudnamn klistrar du in tjänstens huvudnamns objekt-ID, markerar det och väljer sedan Nästa.

6. Välj Nästa en gång till, granska dina principer och välj sedan Spara när du är klar.

Lägg till rolltilldelning

I nästa steg skapar du en ARM-tjänstanslutning för tjänstens huvudnamn. Innan du verifierar anslutningen måste du: (1) bevilja tjänstens huvudnamn läsbehörighet på prenumerationsnivå och (2) skapa en federerad autentiseringsuppgift för tjänstens huvudnamn.

Följande steg beskriver hur du beviljar läsåtkomst på prenumerationsnivå:

1. Gå till Azure Portal, välj Prenumerationer och leta sedan upp och välj din prenumeration.

2. Välj Åtkomstkontroll och välj sedan Lägg till lägg till>rolltilldelning.

3. Välj Läsare under fliken Roll och välj sedan Nästa.

4. Välj Användare, grupp eller tjänstens huvudnamn och välj sedan Välj medlemmar.

5. Klistra in tjänstens huvudnamns objekt-ID i sökfältet, välj det och välj sedan Välj.

6. Välj Granska + tilldela, granska inställningarna och välj sedan Granska + tilldela en gång till för att bekräfta dina val och lägga till rolltilldelningen.

Skapa en tjänstanslutning

1. Logga in på din Azure DevOps-organisation och navigera sedan till projektet.

2. Välj Projektinställningar och välj sedan Tjänstanslutningar.

3. Välj Ny tjänstanslutning, välj Azure Resource Manager och välj sedan Nästa.

4. Välj Tjänstens huvudnamn (manuell) och välj sedan Nästa.

5. För Identitetstyp väljer du Appregistrering eller hanterad identitet (manuell) på den nedrullningsbara menyn.

6. För Autentiseringsuppgifter väljer du Arbetsbelastningsidentitetsfederation.

7. Ange ett namn för tjänstanslutningen och välj sedan Nästa.

8. Välj Azure Cloud for Environment och Prenumeration för prenumerationsomfånget.

9. Ange ditt Azure-prenumerations-ID och prenumerationsnamn.

10. För autentisering klistrar du in tjänstens huvudnamns program-ID (klient) och katalog-ID (klientorganisation)

11. Under Säkerhet markerar du kryssrutan Bevilja åtkomstbehörighet till alla pipelines för att tillåta att alla pipelines använder den här tjänstanslutningen. Om du inte väljer det här alternativet måste du manuellt bevilja åtkomst till varje pipeline som använder den här tjänstanslutningen.

12. Lämna det här fönstret öppet. Du kommer tillbaka för att verifiera och spara tjänstanslutningen när du har skapat den federerade autentiseringsuppgiften i Azure.

Skapa en federerad autentiseringsuppgift för tjänstens huvudnamn

1. Gå till Azure Portal, ange sedan tjänstens huvudnamns ClientID i sökfältet och välj sedan ditt program.

2. Under Hantera väljer du Certifikat och hemligheter>Federerade autentiseringsuppgifter.

3. Välj Lägg till autentiseringsuppgifter och välj sedan Annan utfärdare för federerade autentiseringsuppgifter.

4. För Utfärdare klistrar du in utfärdaren som du kopierade från tjänstanslutningen tidigare.

5. För Ämnesidentifierare klistrar du in ämnesidentifieraren som du kopierade från tjänstanslutningen tidigare.

6. Ange ett namn för dina federerade autentiseringsuppgifter och välj sedan Lägg till när du är klar.

7. Gå tillbaka till tjänstanslutningsfönstret, välj Verifiera och Spara för att spara tjänstanslutningen.

Få åtkomst till key vault-hemligheter från din pipeline

YAML

1. Logga in på din Azure DevOps-organisation och navigera sedan till projektet.

2. Välj Pipelines och välj sedan Ny pipeline.

3. Välj Azure Repos Git (YAML) och välj sedan din lagringsplats.

4. Välj mallen Startpipeline .

5. Standardpipelinen innehåller ett skript som kör ekokommandon. De behövs inte så att vi kan ta bort dem.

6. Lägg till AzureKeyVault-aktiviteten och ersätt platshållarna med namnet på tjänstanslutningen som du skapade tidigare och ditt nyckelvalvnamn. YAML-filen bör likna följande kodfragment:

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   

7. Nu ska vi lägga till följande uppgifter för att kopiera och publicera vår hemlighet. Det här exemplet är endast i demonstrationssyfte och bör inte implementeras i en produktionsmiljö.

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   
   - task: CmdLine@2
     displayName: Create file
     inputs:
       script: 'echo $(SECRET_NAME) > secret.txt'
   
   - task: CopyFiles@2
     displayName: Copy file
     inputs:
       Contents: secret.txt
       targetFolder: '$(Build.ArtifactStagingDirectory)'
   
   - task: PublishBuildArtifacts@1
     displayName: Publish Artifact
     inputs:
       PathtoPublish: '$(Build.ArtifactStagingDirectory)'
       ArtifactName: 'drop'
       publishLocation: 'Container'
   

8. Välj Spara och kör och välj det sedan en gång till för att checka in ändringarna och utlösa pipelinen. Du kan bli ombedd att tillåta pipelineåtkomst till Azure-resurser om du uppmanas att välja Tillåt. Du behöver bara godkänna din pipeline en gång.

9. Välj uppgiften CmdLine för att visa loggarna.

   

10. När pipelinekörningen är klar går du tillbaka till pipelinesammanfattningen och väljer den publicerade artefakten.

    

11. Välj släpp>secret.txt för att ladda ned den.

    

12. Öppna textfilen som du precis laddade ned. Textfilen ska innehålla hemligheten från ditt Azure-nyckelvalv.

Klassisk

1. Logga in på din Azure DevOps-organisation och navigera sedan till projektet.

2. Välj Pipelines och välj sedan Ny pipeline.

3. Välj Använd den klassiska redigeraren för att skapa en klassisk pipeline.

4. Välj Azure Repos Git, välj din lagringsplats och standardgren och välj sedan Fortsätt.

5. Välj pipelinemallen .Net Desktop .

6. I det här exemplet behöver vi bara de två sista uppgifterna. Tryck på CTRL och välj sedan de första fem aktiviteterna, högerklicka och välj Ta bort markerade aktiviteter för att ta bort dem.

   

7. Välj + för att lägga till en ny aktivitet. Sök efter kommandoradsaktiviteten, välj den och välj sedan Lägg till för att lägga till den i pipelinen. När du har lagt till det konfigurerar du det på följande sätt:

   • Visningsnamn: Skapa fil
   • Skript: echo $(SECRET_NAME) > secret.txt

   

8. Välj + för att lägga till en ny aktivitet. Sök efter Azure Key Vault-aktiviteten , välj den och välj sedan Lägg till* för att lägga till den i din pipeline. När du har lagt till det konfigurerar du det på följande sätt:

   • Visningsnamn: Azure Key Vault
   • Azure-prenumeration: välj den tjänstanslutning som du skapade tidigare
   • Nyckelvalv: välj ditt nyckelvalv
   • Hemligt filter: En kommaavgränsad lista med hemliga namn eller lämna * för att ladda ned alla hemligheter från det valda nyckelvalvet

   

9. Välj aktiviteten Kopiera filer och fyll i de obligatoriska fälten enligt följande:

   • Visningsnamn: Kopiera fil
   • Innehåll: secret.txt
   • Målmapp: $(build.artifactstagingdirectory)

   

10. Välj aktiviteten Publicera artefakter och fyll i de obligatoriska fälten enligt följande:

    • Visningsnamn: Publicera artefakt
    • Sökväg för att publicera: $(build.artifactstagingdirectory)
    • Artefaktnamn: släpp
    • Artefaktpublicera plats: Azure Pipelines

    

11. Välj Spara och köa och välj sedan Kör för att köra pipelinen.

12. När pipelinekörningen är klar går du tillbaka till pipelinesammanfattningen och väljer den publicerade artefakten.

13. Välj släpp>secret.txt för att ladda ned den publicerade artefakten.

    

14. Öppna textfilen som du precis laddade ned. Textfilen ska innehålla hemligheten från ditt Azure-nyckelvalv.

Varning

Den här självstudien är endast i utbildningssyfte. Metodtips för säkerhet och hur du arbetar säkert med hemligheter finns i Hantera hemligheter i dina serverappar med Azure Key Vault.

Rensa resurser

Följ stegen nedan för att ta bort de resurser som du skapade:

1. Om du har skapat en ny organisation som värd för projektet kan du läsa om hur du tar bort din organisation, annars tar du bort projektet.

2. Alla Azure-resurser som skapas under den här självstudien finns under en enda resursgrupp. Kör följande kommando för att ta bort resursgruppen och alla dess resurser.

   az group delete --name <YOUR_RESOURCE_GROUP_NAME>
   

Vanliga frågor

F: Jag får följande fel: "Användaren eller gruppen har inte behörighet att visa hemligheter" vad ska jag göra?

S: Om det uppstår ett fel som anger att användaren eller gruppen inte har behörighet att visa hemligheter i nyckelvalvet kör du följande kommandon för att ge programmet behörighet att komma åt nyckeln eller hemligheten i Azure Key Vault:

az account set --subscription <YOUR_SUBSCRIPTION_ID>

az login

$spnObjectId = az ad sp show --id <YOUR_SERVICE_PRINCIPAL_ID>

az keyvault set-policy --name <YOUR_KEY_VAULT_NAME> --object-id $spnObjectId --secret-permissions get list

Relaterade artiklar

• Publicera och ladda ned pipelineartefakter
• Versionsartefakter och artefaktkällor
• Använda portar och godkännanden för att styra distributionen