Använda Azure Key Vault-hemligheter i pipelinen

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Med Azure Key Vault kan du lagra och hantera känslig information på ett säkert sätt, till exempel lösenord, API-nycklar, certifikat osv. Med Azure Key Vault kan du enkelt skapa och hantera krypteringsnycklar för att kryptera dina data. Azure Key Vault kan också användas för att hantera certifikat för alla dina resurser. I den här artikeln får du lära dig att:

• Skapa ett Azure Key Vault.
• Konfigurera dina Key Vault-behörigheter.
• Skapa en ny tjänstanslutning.
• Fråga efter hemligheter från din Azure Pipeline.

Förutsättningar

• En Azure DevOps-organisation. Skapa en kostnadsfritt om du inte redan har en.
• Ditt eget projekt. Skapa ett projekt om du inte redan har ett.
• Din egen lagringsplats. Skapa en ny Git-lagringsplats om du inte redan har en.
• En Azure-prenumeration Skapa ett kostnadsfritt Azure-konto om du inte redan har ett.

Skapa en Key Vault-lösning

Azure-portalen

1. Logga in på Azure Portal och välj sedan Skapa en resurs.

2. Under Key Vault väljer du Skapa för att skapa ett nytt Azure Key Vault.

3. Välj din prenumeration på den nedrullningsbara menyn och välj sedan en befintlig resursgrupp eller skapa en ny. Ange ett key vault-namn, välj en region, välj en prisnivå och välj Nästa om du vill konfigurera ytterligare egenskaper. Annars väljer du Granska + skapa för att behålla standardinställningarna.

4. När distributionen är klar väljer du Gå till resurs.

Azure CLI

1. Ange först din standardregion och Azure-prenumeration:

   • Ange standardprenumeration:

   az account set --subscription <your_subscription_name_or_subscription_ID>
   

   • Ange standardregion:

   az config set defaults.location=<your_region>
   

2. Skapa en ny resursgrupp som ska vara värd för ditt Azure Key Vault. En resursgrupp är en container som innehåller relaterade resurser för en Azure-lösning:

   az group create --name <your-resource-group>
   

3. Skapa ett nytt Azure Key Vault:

   az keyvault create \
     --name <your-key-vault-name> \
     --resource-group <your-resource-group>
   

Konfigurera autentisering

Hanterad identitet

Skapa en användartilldelad hanterad identitet

1. Logga in på Azure Portal och sök sedan efter tjänsten Hanterade identiteter i sökfältet.

2. Välj Skapa och fyll i de obligatoriska fälten på följande sätt:

   • Prenumeration: Välj din prenumeration på den nedrullningsbara menyn.
   • Resursgrupp: Välj en befintlig resursgrupp eller skapa en ny.
   • Region: Välj en region på den nedrullningsbara menyn.
   • Namn: Ange ett namn på din användartilldelade hanterade identitet.

3. Välj Granska + skapa när du är klar.

4. När distributionen är klar väljer du Gå till resurs och kopierar sedan de prenumerations - och klient-ID-värden som ska användas i kommande steg.

5. Gå till Egenskaper för inställningar>och kopiera den hanterade identitetens klient-ID-värde för senare användning.

Konfigurera åtkomstprinciper för key vault

1. Navigera till Azure Portal och använd sökfältet för att hitta nyckelvalvet som du skapade tidigare.

2. Välj Åtkomstprinciper och sedan Skapa för att lägga till en ny princip.

3. Under Hemliga behörigheter markerar du kryssrutorna Hämta och Lista .

4. Välj Nästa och klistra sedan in klient-ID:t för den hanterade identitet som du skapade tidigare i sökfältet. Välj din hanterade identitet.

5. Välj Nästa och sedan Nästa en gång till.

6. Granska dina nya principer och välj sedan Skapa när du är klar.

Skapa en tjänstanslutning

1. Logga in på din Azure DevOps-organisation och navigera sedan till projektet.

2. Välj Projektinställningar>Tjänstanslutningar och välj sedan Ny tjänstanslutning för att skapa en ny tjänstanslutning.

3. Välj Azure Resource Manager och välj sedan Nästa.

4. För Identitetstyp väljer du Hanterad identitet på den nedrullningsbara menyn.

5. För steg 1: Information om hanterad identitet fyller du i fälten på följande sätt:

   • Prenumeration för hanterad identitet: Välj den prenumeration som innehåller din hanterade identitet.

   • Resursgrupp för hanterad identitet: Välj den resursgrupp som är värd för din hanterade identitet.

   • Hanterad identitet: Välj din hanterade identitet på den nedrullningsbara menyn.

6. För steg 2: Azure-omfång fyller du i fälten på följande sätt:

   • Omfångsnivå för tjänstanslutning: Välj Prenumeration.

   • Prenumeration för tjänstanslutning: Välj den prenumeration som din hanterade identitet ska komma åt.

   • Resursgrupp för tjänstanslutning: (Valfritt) Ange för att begränsa åtkomsten till hanterade identiteter till en resursgrupp.

7. För steg 3: Information om tjänstanslutning:

   • Tjänstanslutningsnamn: Ange ett namn för tjänstanslutningen.

   • Tjänsthanteringsreferens: (valfritt) Kontextinformation från en ITSM-databas.

   • Beskrivning: (Valfritt) Lägg till en beskrivning.

8. I Säkerhet markerar du kryssrutan Bevilja åtkomstbehörighet till alla pipelines för att tillåta att alla pipelines använder den här tjänstanslutningen. Om du inte väljer det här alternativet måste du manuellt bevilja åtkomst till varje pipeline som använder den här tjänstanslutningen.

9. Välj Spara för att verifiera och skapa tjänstanslutningen.

   

Tjänsthuvudnamn

Skapa ett huvudnamn för tjänsten

I det här steget skapar vi ett nytt huvudnamn för tjänsten i Azure, så att vi kan köra frågor mot vårt Azure Key Vault från Azure Pipelines.

1. Gå till Azure Portal och välj >sedan ikonen _ i menyraden för att öppna Cloud Shell.

2. Välj PowerShell eller lämna det som Bash baserat på dina önskemål.

3. Kör följande kommando för att skapa ett nytt huvudnamn för tjänsten:

   az ad sp create-for-rbac --name YOUR_SERVICE_PRINCIPAL_NAME
   

4. Dina utdata ska matcha exemplet nedan. Se till att kopiera utdata från kommandot eftersom du behöver det för att skapa tjänstanslutningen i det kommande steget.

   {
     "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "displayName": "MyServicePrincipal",
     "password": "***********************************",
     "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
   }
   

Skapa en tjänstanslutning

1. Logga in på din Azure DevOps-organisation och navigera sedan till projektet.

2. Välj Projektinställningar och välj sedan Tjänstanslutningar.

3. Välj Ny tjänstanslutning, välj Azure Resource Manager och välj sedan Nästa.

4. Välj Tjänstens huvudnamn (manuell) och välj sedan Nästa.

5. För Identitetstyp väljer du Appregistrering eller hanterad identitet (manuell) på den nedrullningsbara menyn.

6. För Autentiseringsuppgifter*väljer du Arbetsbelastningsidentitetsfederation.

7. Ange ett namn för tjänstanslutningen och välj sedan Nästa.

8. Kopiera utfärdaren och ämnesidentifieraren eftersom vi behöver den i nästa steg.

9. Välj Azure Cloud for Environment och Prenumeration för prenumerationsomfånget.

10. Ange ditt Azure-prenumerations-ID och prenumerationsnamn.

11. För autentisering klistrar du in tjänstens huvudnamns program-ID (klient) och katalog-ID (klientorganisation)

12. Under Säkerhet markerar du kryssrutan Bevilja åtkomstbehörighet till alla pipelines för att tillåta att alla pipelines använder den här tjänstanslutningen. Om du inte väljer det här alternativet måste du manuellt bevilja åtkomst till varje pipeline som använder den här tjänstanslutningen.

13. Lämna det här öppet, du kommer tillbaka för att verifiera och spara när du har (1) skapat den federerade autentiseringsuppgiften i Azure och (2) beviljat tjänstens huvudnamn läsbehörighet på prenumerationsnivå.

    

Skapa en federerad autentiseringsuppgift i Azure

1. Gå till Azure Portal, ange sedan tjänstens huvudnamns ClientID i sökfältet och välj sedan ditt program.

2. Under Hantera väljer du Certifikat och hemligheter>Federerade autentiseringsuppgifter.

3. Välj Lägg till autentiseringsuppgifter och välj sedan Annan utfärdare för federerade autentiseringsuppgifter.

4. För Utfärdare klistrar du in utfärdaren som du kopierade från tjänstanslutningen tidigare.

5. För Ämnesidentifierare klistrar du in ämnesidentifieraren som du kopierade från tjänstanslutningen tidigare.

6. Ange ett namn för dina federerade autentiseringsuppgifter och välj sedan Lägg till när du är klar.

   

Lägga till rolltilldelning i din prenumeration

Innan du kan verifiera anslutningen måste du bevilja tjänstens huvudnamn läsbehörighet på prenumerationsnivå:

1. Gå till Azure Portal

2. Under Azure-tjänsten väljer du Prenumerationer och letar sedan upp och väljer din prenumeration.

3. Välj Åtkomstkontroll (IAM) och välj sedan Lägg till>rolltilldelning.

4. Välj Läsare under fliken Roll och välj sedan Nästa.

5. Välj Användare, grupp eller tjänstens huvudnamn och välj sedan Välj medlemmar.

6. I sökfältet klistrar du in tjänstens huvudnamns objekt-ID, markerar det och klickar sedan på knappen Välj .

7. Välj Granska + tilldela, granska inställningarna och välj sedan Granska + tilldela en gång till för att bekräfta dina val och lägga till rolltilldelningen.

8. När rolltilldelningen har lagts till. gå tillbaka till tjänstanslutningen (i Azure DevOps) för att slutligen välja Verifiera och Spara för att spara tjänstanslutningen.

Konfigurera åtkomstprinciper för Key Vault

1. Gå till Azure Portal, leta reda på nyckelvalvet som du skapade tidigare och välj sedan Åtkomstprinciper.

2. Välj Skapa och lägg sedan till behörigheterna Hämta och Lista under Hemliga behörigheter och välj sedan Nästa.

3. Under Huvudnamn klistrar du in tjänstens huvudnamns objekt-ID, markerar det och väljer sedan Nästa.

4. Välj Nästa en gång till, granska inställningarna och välj sedan Spara när du är klar.

Fråga efter och använda hemligheter i pipelinen

Med hjälp av Azure Key Vault-uppgiften kan vi hämta värdet för vår hemlighet och använda den i efterföljande uppgifter i pipelinen. En sak att tänka på är att hemligheter uttryckligen måste mappas till env-variabel enligt exemplet nedan.

pool:
  vmImage: 'ubuntu-latest'

steps:
- task: AzureKeyVault@1
  inputs:
    azureSubscription: 'SERVICE_CONNECTION_NAME'
    KeyVaultName: 'KEY_VAULT_NAME'
    SecretsFilter: '*'

- bash: |
    echo "Secret Found! $MY_MAPPED_ENV_VAR"        
  env:
    MY_MAPPED_ENV_VAR: $(SECRET_NAME)

Utdata från det senaste bash-kommandot bör se ut så här:

Secret Found! ***

Kommentar

Om du vill fråga efter flera hemligheter från Azure Key Vault använder du SecretsFilter argumentet för att skicka en kommaavgränsad lista med hemliga namn: "secret1, secret2".

Relaterat innehåll

• Hantera tjänstanslutningar
• Definiera variabler
• Publicera pipelineartefakter