Dela via

Få åtkomst till ett privat nyckelvalv från din pipeline

  • Artikel

Azure Key Vault erbjuder en säker lösning för att hantera autentiseringsuppgifter som nycklar, hemligheter och certifikat med sömlös säkerhet. Med Hjälp av Azure Pipelines kan du effektivisera processen för att komma åt och använda nyckelvalv, vilket gör det enkelt att lagra och hämta autentiseringsuppgifter.

I vissa scenarier prioriterar organisationer säkerhet genom att begränsa åtkomsten till nyckelvalv exklusivt till utsedda virtuella Azure-nätverk för att säkerställa den högsta säkerhetsnivån för kritiska program.

I den här självstudien får du lära dig hur man:

  • Skapa ett huvudnamn för tjänsten
  • Skapa en tjänstanslutning
  • Konfigurera dina inkommande åtkomstpunkter
  • Fråga ett privat Azure-nyckelvalv från din pipeline

Förutsättningar

Få åtkomst till ett privat nyckelvalv

Med Azure Pipelines kan utvecklare länka ett Azure Key Vault till en variabelgrupp och mappa selektiva valvhemligheter till den. Du kan komma åt ett nyckelvalv som används som en variabelgrupp:

  1. Från Azure DevOps under konfigurationstiden för variabelgrupper.

  2. Från en lokalt installerad agent under körningen av pipelinejobbet.

Ett diagram som visar de två olika sökvägarna för åtkomst till ett privat nyckelvalv.

Skapa ett huvudnamn för tjänsten

Börja med att skapa ett nytt huvudnamn för tjänsten, vilket gör att du kan komma åt Azure-resurser. Därefter måste du skapa en ny ARM-tjänstanslutning i Azure DevOps och sedan konfigurera en federerad autentiseringsuppgift för tjänstens huvudnamn i Azure innan du verifierar och sparar tjänstanslutningen i Azure DevOps.

  1. Navigera till Azure-portalen.

  2. Öppna Cloud Shell från menyraden och välj sedan Bash.

  3. Kör följande kommando för att skapa ett nytt huvudnamn för tjänsten:

    az ad sp create-for-rbac --name YOUR_SERVICE_PRINCIPAL_NAME

  4. Se till att kopiera utdata eftersom vi använder det för att skapa tjänstanslutningen i nästa steg.

Skapa en tjänstanslutning

  1. Logga in på din Azure DevOps-organisation och navigera sedan till projektet.

  2. Välj Projektinställningar>Tjänstanslutningar>Ny tjänstanslutning.

  3. Välj Azure Resource Manager och välj sedan Nästa.

  4. För Identitetstyp väljer du Appregistrering (automatisk) i listrutan.

  5. För autentiseringsuppgifter lämnar du det rekommenderade standardvärdet: Arbetsbelastningsidentitetsfederation.

  6. För Omfångsnivå väljer du **Prenumeration och väljer sedan din prenumeration på den nedrullningsbara menyn.

  7. Välj en resursgrupp om du endast vill begränsa åtkomsten till den angivna resursgruppen.

  8. Ange ett namn för tjänstanslutningen och markera sedan kryssrutan Bevilja åtkomstbehörighet till alla pipelines så att alla pipelines kan använda den här tjänstanslutningen.

  9. Välj Spara när du är klar.

    En skärmbild som visar hur du konfigurerar en ARM-tjänstanslutning för ett huvudnamn för tjänsten.

Skapa en federerad autentiseringsuppgift

  1. Gå till Azure Portal, ange tjänstens huvudnamns ClientID i sökfältet och välj sedan ditt program.

  2. Under Hantera väljer du Certifikat och hemligheter>Federerade autentiseringsuppgifter.

  3. Välj Lägg till autentiseringsuppgifter och välj sedan Annan utfärdare för federerade autentiseringsuppgifter.

  4. För Utfärdare klistrar du in följande URL som ersätter platshållaren med organisationens GUID. Du hittar ditt organisations-ID genom att gå till Organisationsinställningar>Microsoft Entra> Ladda ned listan över Azure DevOps-organisationer som är anslutna till din katalog.

    https://vstoken.dev.azure.com/<ORGANIZATION_ID>

  5. För Ämnesidentifierare klistrar du in följande URL som ersätter platshållaren med ditt organisationsnamn, projektnamn och tjänstanslutningsnamn.

    sc://ORGANIZATION_NAME/PROJECT_NAME/SERVICE_CONNECTION_NAME

  6. Ange ett namn för dina federerade autentiseringsuppgifter och välj sedan Lägg till när du är klar.

Skapa en tjänstanslutning

  1. Logga in på din Azure DevOps-organisation och navigera sedan till projektet.

  2. Välj Projektinställningar>Tjänstanslutningar>Ny tjänstanslutning.

  3. Välj Azure Resource Manager, >Nästa och välj sedan Tjänstens huvudnamn (manuell)>Nästa.

  4. Välj Azure Cloud för miljö och prenumeration för omfångsnivån och ange sedan ditt prenumerations-ID och ditt prenumerationsnamn.

  5. Ange information om tjänstens huvudnamn och välj sedan Verifiera.

  6. När verifieringen har slutförts namnger du tjänstanslutningen, lägger till en beskrivning och markerar sedan kryssrutan Bevilja åtkomstbehörighet till alla pipelines . Välj Verifiera och spara när du är klar.

Dricks

Om du inte kan verifiera anslutningen till tjänstens huvudnamn ger du tjänstens huvudnamn Läsare åtkomst till din prenumeration.

Skapa en tjänstanslutning

  1. Logga in på din Azure DevOps-samling och navigera sedan till projektet.

  2. Välj Projektinställningar>Tjänstanslutningar>Ny tjänstanslutning.

  3. Välj Azure Resource Manager, namnge tjänstanslutningen och välj sedan Azure Cloud for Environment and Subscription för omfångsnivån.

  4. Ange ditt prenumerations-ID och ditt prenumerationsnamn.

  5. Ange information om tjänstens huvudnamn och välj sedan Verifiera anslutning.

  6. Markera kryssrutan Tillåt alla pipelines att använda den här anslutningen och välj sedan Ok när du är klar.

Dricks

Om du inte kan verifiera anslutningen till tjänstens huvudnamn ger du tjänstens huvudnamn Läsare åtkomst till din prenumeration.

Få åtkomst till ett privat nyckelvalv från Azure Devops

I det här avsnittet ska vi utforska två metoder för att komma åt ett privat nyckelvalv från Azure DevOps. Först använder vi variabelgrupper för att länka och mappa hemligheter från vårt nyckelvalv, följt av att konfigurera inkommande åtkomst genom att tillåta statiska IP-intervall. Vi upprättar inkommande åtkomst eftersom Azure Pipelines använder den publicerade offentliga IP-adressen för Azure DevOps när du kör frågor mot Azure Key Vault från en variabelgrupp. Genom att lägga till inkommande anslutningar till Azure Key Vault-brandväggen kan vi därför ansluta till vårt Azure Key Vault.

För vår andra metod demonstrerar vi att dynamiskt lägga till IP-adressen för den Microsoft-värdbaserade agenten i nyckelvalvets brandväggslista, köra frågor mot nyckelvalvet och sedan ta bort IP-adressen efter slutförandet. Den andra metoden är i demonstrationssyfte och är inte den rekommenderade metoden för Azure Pipelines.

1 – Mappa key vault-hemligheter med en variabelgrupp

  1. Logga in på din Azure DevOps-organisation och navigera sedan till projektet.

  2. Välj Pipelines-bibliotek> och välj sedan + Variabelgrupp.

  3. Ge variabelgruppen ett namn och välj sedan växlingsknappen för att aktivera knappen Länka hemligheter från ett Azure Key Vault som variabel .

  4. Välj den tjänstanslutning som du skapade tidigare, välj ditt nyckelvalv och välj sedan Auktorisera.

  5. Under Variabler väljer du Lägg till för att lägga till din hemlighet och väljer sedan Spara när du är klar.

Kommentar

Kontrollera att tjänstanslutningen har behörigheterna Hämta och lista och att tjänstens huvudnamn har tilldelats rollen Key Vault Secrets User i ditt privata nyckelvalv.

1.1 Konfigurera behörigheter för tjänstanslutning

  1. Gå till ditt Azure-nyckelvalv och välj sedan Åtkomstprinciper.

  2. Välj Skapa och under Hemliga behörigheter lägger du till behörigheterna Hämta och Lista och väljer sedan Nästa.

  3. Lägg till tjänstanslutningen i sökfältet, välj den och välj sedan Nästa.

  4. Välj Nästa en gång till, granska inställningarna och välj sedan Granska + skapa när du är klar.

1.2 Konfigurera behörigheter för tjänstens huvudnamn

  1. Gå till ditt Azure-nyckelvalv och välj sedan Åtkomstkontroll (IAM)..

  2. Välj Lägg till>rolltilldelning> och välj sedan fliken Roll.

  3. Välj rollen Key Vault Secrets User (Nyckelvalvshemligheter) och välj sedan Nästa.

  4. Välj Välj medlemmar> lägg till tjänstens huvudnamn >Välj.

  5. Välj Granska + tilldela när du är klar.

  1. Logga in på din Azure DevOps-organisation och navigera sedan till projektet.

  2. Välj Pipelines-bibliotek> och välj sedan + Variabelgrupp.

  3. Ge variabelgruppen ett namn och välj sedan växlingsknappen för att aktivera knappen Länka hemligheter från ett Azure Key Vault som variabel .

  4. Välj din Azure-tjänstanslutning som du skapade tidigare från den nedrullningsbara menyn och välj sedan ditt nyckelvalv.

    En skärmbild som visar hur du länkar en variabelgrupp till ett Azure Key Vault med ett fel som anger saknade behörigheter för get och list.

  5. Om du stöter på felmeddelandet: Den angivna Azure-tjänstanslutningen måste ha behörigheten "Hämta, lista" för hemlig hantering i det valda nyckelvalvet. Som du ser ovan. Gå till ditt nyckelvalv i Azure Portal, välj Åtkomstkontroll (IAM)>Lägg till nyckelvalvshemlighetsanvändare>för rolltilldelning>Nästa, lägg sedan till tjänstens huvudnamn och välj sedan Granska + tilldela när du är klar.

    En skärmbild som visar hur du lägger till ett huvudnamn för tjänsten som en hemlig användare för ett Azure Key Vault.

  6. Lägg till dina hemligheter och välj sedan Spara när du är klar.

2 – Konfigurera inkommande åtkomst från Azure DevOps

Om du vill aktivera åtkomst till ditt nyckelvalv från Azure DevOps måste du bevilja åtkomst från specifika statiska IP-intervall. Dessa intervall bestäms av den geografiska platsen för din Azure DevOps-organisation.

  1. Logga in på din Azure DevOps-organisation.

  2. Välj Organisationsinställningar.

  3. Gå till Översikt, där du hittar den geografiska platsen längst ned på sidan.

    En skärmbild som visar hur du hittar den geografiska platsen för din Azure DevOps-organisation.

  4. Hitta ditt geografiska IP V4-intervall.

  5. Konfigurera ditt nyckelvalv för att tillåta åtkomst från statiska IP-intervall.

3 – Fråga ett privat nyckelvalv med en variabelgrupp

I det här exemplet använder vi variabelgruppen, konfigurerade tidigare och auktoriserade med tjänstens huvudnamn, för att fråga och kopiera vår hemlighet från vårt privata Azure Key Vault genom att bara använda den länkade variabelgruppen. Azure Pipelines använder den publicerade offentliga IP-adressen när du frågar Azure Key Vault från en variabelgrupp, så se till att du har konfigurerat inkommande åtkomst för att detta ska fungera korrekt:

variables:
-  group: mySecret-VG

steps:
- task: CmdLine@2
  inputs:
    script: 'echo $(mySecret) > secret.txt'

- task: CopyFiles@2
  inputs:
    Contents: secret.txt
    targetFolder: '$(Build.ArtifactStagingDirectory)'

- task: PublishBuildArtifacts@1
  inputs:
    PathtoPublish: '$(Build.ArtifactStagingDirectory)'
    ArtifactName: 'drop'
    publishLocation: 'Container'

Alternativ metod – Dynamiskt tillåta IP-adress för Microsoft-värdbaserad agent

I den här andra metoden börjar vi med att fråga IP-adressen för den Microsoft-värdbaserade agenten i början av pipelinen. Sedan lägger vi till den i listan över tillåtna nyckelvalv, fortsätter med de återstående uppgifterna och tar slutligen bort IP-adressen från nyckelvalvets lista över tillåtna brandväggar.

Kommentar

Den här metoden är endast i demonstrationssyfte och är inte den rekommenderade metoden för Azure Pipelines.

- task: AzurePowerShell@5
  displayName: 'Allow agent IP'
  inputs:
    azureSubscription: 'YOUR_SERVICE_CONNECTION_NAME'
    azurePowerShellVersion: LatestVersion
    ScriptType: InlineScript
    Inline: |
     $ip = (Invoke-WebRequest -uri "http://ifconfig.me/ip").Content
     Add-AzKeyVaultNetworkRule -VaultName "YOUR_KEY_VAULT_NAME" -ResourceGroupName "YOUR_RESOURCE_GROUP_NAME" -IpAddressRange $ip
     echo "##vso[task.setvariable variable=agentIP]ip"

- task: AzureKeyVault@2
  inputs:
    azureSubscription: 'YOUR_SERVICE_CONNECTION_NAME'
    KeyVaultName: 'YOUR_KEY_VAULT_NAME'
    SecretsFilter: '*'
    RunAsPreJob: false

- task: AzurePowerShell@5
  displayName: 'Remove agent IP'
  inputs:
    azureSubscription: 'YOUR_SERVICE_CONNECTION_NAME'
    azurePowerShellVersion: LatestVersion
    ScriptType: InlineScript
    Inline: |
     $ipRange = $env:agentIP + "/32"
     Remove-AzKeyVaultNetworkRule -VaultName "YOUR_KEY_VAULT_NAME" -IpAddressRange $ipRange
  condition: succeededOrFailed()

Viktigt!

Se till att tjänstens huvudnamn som du använder för att komma åt ditt nyckelvalv från pipelinen innehåller rollen Key Vault-deltagare i nyckelvalvets åtkomstkontroll (IAM).

Få åtkomst till ett privat nyckelvalv från en lokalt installerad agent

För att kunna komma åt ett privat nyckelvalv från en Azure Pipelines-agent måste du använda antingen en lokalt installerad agent (Windows, Linux, Mac) eller skalningsuppsättningsagenter. Det beror på att Microsoft Hosted-agenter, liksom andra allmänna beräkningstjänster, inte ingår i nyckelvalvets lista över betrodda tjänster.

Om du vill upprätta en anslutning till ditt privata nyckelvalv måste du tillhandahålla en anslutningslinje genom att konfigurera en privat slutpunkt för ditt nyckelvalv. Den här slutpunkten måste vara dirigerbar och ha ett privat DNS-namn som kan matchas från pipelineagenten med egen värd.

1 – Konfigurera inkommande åtkomst från en lokalt installerad agent

  1. Följ den angivna instruktionen för att skapa ett virtuellt nätverk.

  2. I Azure Portal använder du sökfältet överst på sidan för att hitta ditt Azure Key Vault.

  3. När du har hittat nyckelvalvet i sökresultaten väljer du det och navigerar sedan till Inställningar>Nätverk.

  4. Välj Privata slutpunktsanslutningar och välj sedan Skapa för att skapa en ny privat slutpunkt.

    En skärmbild som visar hur du skapar en ny privat slutpunktsanslutning för ett Azure Key Vault.

  5. Välj den resursgrupp som är värd för det virtuella nätverk som du skapade tidigare. Ange ett namn och ett nätverksgränssnittsnamn för din instans och se till att du väljer samma region som det virtuella nätverk som du skapade tidigare. Välj Nästa när du är klar.

    En skärmbild som visar hur du konfigurerar fliken Grundläggande när du skapar en ny privat slutpunktsinstans för ditt Azure Key Vault.

  6. Välj Anslut till en Azure-resurs i min katalog för metoden Anslutning och välj sedan Microsoft.KeyVault/vaults i listrutan för resurstypen. Välj resursen på den nedrullningsbara menyn. Underresursen Target fylls i automatiskt med värdet: valv. Välj Nästa när du är klar.

    En skärmbild som visar hur du konfigurerar resursfliken när du skapar en ny privat slutpunktsinstans för ditt Azure Key Vault.

  7. Under fliken Virtuellt nätverk väljer du det virtuella nätverk och undernät som du skapade tidigare och lämnar resten av fälten som standard. Välj Nästa när du är klar.

  8. Fortsätt genom flikarna DNS och Taggar och acceptera standardinställningarna. Under fliken Granska + skapa väljer du Skapa när du är klar.

  9. När resursen har distribuerats går du till inställningar för nyckelvalvet >>Nätverksanslutningar> För privata slutpunkter bör din privata slutpunkt visas med ett godkänt anslutningstillstånd. Om du länkar till en Azure-resurs i en annan katalog måste du vänta tills resursägaren godkänner anslutningsbegäran.

    En skärmbild som visar en godkänd privat slutpunktsanslutning

2 – Tillåt ditt virtuella nätverk

  1. Gå till Azure Portal och leta sedan upp ditt Azure Key Vault.

  2. Välj Inställningar>Nätverk och se till att du är under fliken Brandväggar och virtuella nätverk.

  3. Välj Lägg till ett virtuellt nätverk>Lägg till befintliga virtuella nätverk.

  4. Välj din prenumeration på den nedrullningsbara menyn och välj sedan det virtuella nätverk som du skapade tidigare och välj sedan dina undernät.

  5. Välj Lägg till när du är klar och rulla sedan längst ned på sidan och välj Använd för att spara ändringarna.

    En skärmbild som visar hur du lägger till ett befintligt virtuellt nätverk i Azure Key Vault-brandväggen.

3 – Fråga ett privat nyckelvalv från en lokalt installerad agent

I följande exempel används en agent som konfigurerats på det virtuella nätverkets virtuella dator för att köra frågor mot det privata nyckelvalvet via variabelgruppen:

pool: Self-hosted-pool

variables:
  group: mySecret-VG

steps:
- task: CmdLine@2
  inputs:
    script: 'echo $(mySecret) > secret.txt'

- task: CopyFiles@2
  inputs:
    Contents: secret.txt
    targetFolder: '$(Build.ArtifactStagingDirectory)'

- task: PublishBuildArtifacts@1
  inputs:
    PathtoPublish: '$(Build.ArtifactStagingDirectory)'
    ArtifactName: 'drop'
    publishLocation: 'Container'

Om du föredrar att inte ge Azure DevOps inkommande åtkomst till ditt privata nyckelvalv kan du använda AzureKeyVault-uppgiften för att köra frågor mot ditt nyckelvalv. Du måste dock se till att du tillåter det virtuella nätverket som är värd för din agent i nyckelvalvets brandväggsinställningar.

pool: Self-hosted-pool

steps:
- task: AzureKeyVault@2
  inputs:
    azureSubscription: '$(SERVICE_CONNECTION_NAME)'
    keyVaultName: $(KEY_VAULT_NAME)
    SecretsFilter: '*'

- task: CmdLine@2
  inputs:
    script: 'echo $(mySecret) > secret.txt'

- task: CopyFiles@2
  inputs:
    Contents: secret.txt
    targetFolder: '$(Build.ArtifactStagingDirectory)'

- task: PublishBuildArtifacts@1
  inputs:
    PathtoPublish: '$(Build.ArtifactStagingDirectory)'
    ArtifactName: 'drop'
    publishLocation: 'Container'

Felsöka

Om du får följande fel följer du stegen i det här avsnittet för att felsöka och lösa problemet:

  • Public network access is disabled and request is not from a trusted service nor via an approved private link.

Detta indikerar att offentlig åtkomst har inaktiverats och att varken en privat slutpunktsanslutning eller brandväggsfel har konfigurerats. Följ stegen under [#configure-inbound-access-from-a-self-hosted-agent] och Konfigurera inkommande åtkomst från Azure DevOps för att konfigurera åtkomst till ditt privata nyckelvalv.

  • Request was not allowed by NSP rules and the client address is not authorized and caller was ignored because bypass is set to None Client address: <x.x.x.x>

Det här felmeddelandet anger att nyckelvalvets offentliga åtkomst har inaktiverats och alternativet Tillåt betrodda Microsoft-tjänster att kringgå den här brandväggen är avmarkerat, men klientens IP-adress har inte lagts till i nyckelvalvsbrandväggen. Gå till ditt nyckelvalv i Azure Portal, sedan Inställningar>Nätverk och lägg till klient-IP-adressen i brandväggens tillåtna lista.

  • Error: Client address is not authorized and caller is not a trusted service.

Se till att du lägger till geografins IPV4-intervall i listan över tillåtna nyckelvalv. Mer information finns i Konfigurera inkommande åtkomst från Azure DevOps . Du kan också hoppa till Dynamiskt tillåta Microsoft-värdbaserad agent-IP för att lära dig hur du lägger till din klient-IP i nyckelvalvets brandvägg under körningen.

Relaterat innehåll