將變數群組連結至 Azure 金鑰保存庫 中的秘密
本文說明如何建立變數群組,以連結至儲存在 Azure 金鑰保存庫中的秘密。 藉由將變數群組連結至密鑰保存庫,您可以確定您的秘密會安全地儲存,而且您的管線一律可以在運行時間存取最新的秘密值。
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
您可以建立變數群組,以連結至現有的 Azure 金鑰保存庫,並將選取的金鑰保存庫秘密對應至變數群組。 只有秘密名稱會對應至變數群組,而不是秘密值。 當管線執行時,它們會連結至變數群組,以在運行時間從保存庫擷取最新的秘密值。
對密鑰保存庫中現有秘密所做的任何變更,都會自動提供給所有使用變數群組的管線使用。 不過,如果從保存庫新增或刪除秘密,則相關聯的變數群組不會自動更新。 您必須明確地更新秘密,以包含在變數群組中。
雖然 金鑰保存庫 支援在 Azure 中儲存和管理密碼編譯密鑰和憑證,但 Azure Pipelines 變數群組整合僅支持對應密鑰保存庫秘密。 不支援密碼編譯金鑰和憑證。
注意
不支援使用 Azure 角色型存取控制 (Azure RBAC) 的金鑰保存庫。
必要條件
- 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
- Azure DevOps 組織。 免費 註冊或 Azure DevOps Server。
- DevOps 專案。 如果您還沒有專案,請建立專案 。
- 專案的 Azure Resource Manager 服務連線。
建立金鑰保存庫
建立 Azure Key Vault。
- 在 Azure 入口網站中,選取 [建立資源]。
- 搜尋並選取 [金鑰保存庫],然後選取 [建立]。
- 選取您的訂用帳戶。
- 選取現有的資源群組或建立新群組。
- 輸入金鑰保存庫的名稱。
- 選取區域。
- 選取 [ 存取和設定 ] 索引標籤。
- 選取 [保存庫存取原則]。
- 選取您的帳戶作為主體。
- 選取 [檢閱 + 建立],然後選取 [建立]。
建立連結至金鑰保存庫的變數群組
- 在您的 Azure DevOps 專案中,選取 [管線連結>庫>+ 變數] 群組。
- 在 [ 變數群組] 頁面上,輸入變數群組的名稱和選擇性描述。
- 啟用 Azure 金鑰保存庫中的連結秘密作為變數切換。
- 選取您的服務連線,然後選取 [ 授權]。
- 選取您的金鑰保存庫名稱,然後選取保存庫名稱旁的 [ 授權 ],讓 Azure DevOps 存取金鑰保存庫。
- 選取 [+ 新增],然後在 [選擇秘密] 畫面上,從保存庫選取要對應至此變數群組的秘密,然後選取 [確定]。
- 選取 [ 儲存 ] 以儲存秘密變數群組。
注意
您的服務連線至少 必須具有密鑰保存庫的 [取得 ] 和 [列出 ] 許可權,您可以在上述步驟中授權。 您也可以遵循下列步驟,從 Azure 入口網站 提供這些權限:
- 開啟金鑰保存庫的 [設定],然後選擇 [存取組態>移至存取原則]。
- 在 [存取原則] 頁面上,如果您的 Azure Pipelines 專案未列在 [至少取得和列出許可權的應用程式] 底下,請選取 [建立]。
- 在 [秘密許可權] 底下,選取 [取得和列表],然後選取 [下一步]。
- 選取您的主體,然後選取 [ 下一步]。
- 再次選取 [下一步 ],檢閱設定,然後選取 [ 建立]。
如需詳細資訊,請參閱使用 Azure 金鑰保存庫 秘密。