在管線中使用 Azure 金鑰保存庫 秘密

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

透過 Azure 金鑰保存庫，您可以安全地儲存和管理敏感性資訊，例如密碼、API 金鑰、憑證等。 使用 Azure 金鑰保存庫，您可以輕鬆地建立和管理加密金鑰來加密您的數據。 Azure 金鑰保存庫 也可用來管理所有資源的憑證。 在本文中，您將學會如何：

• 建立 Azure Key Vault。
• 設定您的 金鑰保存庫許可權。
• 建立新的服務連線。
• 從 Azure Pipeline 查詢秘密。

必要條件

• Azure DevOps 組織。 如果您還沒有免費 帳戶，請建立一個。
• 您自己的專案。 如果您還沒有專案，請建立專案 。
• 您自己的存放庫。 如果您還沒有 Git 存放庫，請建立新的 Git 存放庫 。
• Azure 訂用帳戶。 如果您還沒有 Azure 帳戶，請建立免費的 Azure 帳戶 。

建立 Key Vault

Azure 入口網站

1. 登入 Azure 入口網站，然後選取 [建立資源]。

2. 在 [金鑰保存庫] 下，選取 [建立] 以建立新的 Azure 金鑰保存庫。

3. 從下拉功能表中選取您的 訂用帳戶 ，然後選取現有的 資源群組或建立新的資源群組 。 輸入金鑰保存庫名稱、選取區域、選擇定價層，然後選取 [下一步] 以設定其他屬性。 否則，請選取 [ 檢閱 + 建立 ] 以保留預設設定。

4. 部署完成後，請選取 [前往資源]。

Azure CLI

1. 首先，設定您的預設區域和 Azure 訂用帳戶：

   • 設定預設訂用帳戶：

   az account set --subscription <your_subscription_name_or_subscription_ID>
   

   • 設定預設區域：

   az config set defaults.location=<your_region>
   

2. 建立新的資源群組來裝載 Azure 金鑰保存庫。 資源群組是保留 Azure 解決方案相關資源的容器：

   az group create --name <your-resource-group>
   

3. 建立新的 Azure 金鑰保存庫：

   az keyvault create \
     --name <your-key-vault-name> \
     --resource-group <your-resource-group>
   

設定驗證

受控識別

建立使用者指派的受控識別

1. 登入 Azure 入口網站，然後在搜尋列中搜尋受控識別服務。

2. 選取 [建立]，然後填寫必要的字段，如下所示：

   • 訂用帳戶：從下拉功能表中選取您的訂用帳戶。
   • 資源群組：選取現有資源群組或建立新的資源群組。
   • 區域：從下拉功能表中選取區域。
   • 名稱：輸入使用者指派的受控識別的名稱。

3. 完成時，請選取 [ 檢閱 + 建立 ]。

4. 部署完成後，請選取 [移至資源]，然後複製 [ 訂 用帳戶] 和 [用戶端標識符 ] 值，以用於後續步驟。

5. 流覽至 [設定>屬性]，然後複製受控識別的租使用者標識碼值以供稍後使用。

設定金鑰保存庫存取原則

1. 流覽至 Azure 入口網站，並使用搜尋列來尋找您稍早建立的密鑰保存庫。

2. 選取 [ 存取原則]，然後選取 [ 建立 ] 以新增原則。

3. 在 [秘密許可權] 底下，選取 [取得] 和 [列表] 複選框。

4. 選取 [下一步]，然後將您稍早建立之受控識別的用戶端標識碼貼到搜尋列中。 選取您的受控識別。

5. 選取 [下一步]，然後再次選取 [下一步]。

6. 檢閱您的新原則，然後在完成時選取 [ 建立 ]。

建立服務連線

1. 登入您的 Azure DevOps 組織，然後瀏覽至您的專案。

2. 選取 [項目設定>服務連線]，然後選取 [新增服務連線] 以建立新的服務連線。

3. 選取 [Azure Resource Manager]，然後選取 [ 下一步]。

4. 針對 [ 身分識別類型]，從下拉功能表中選取 [受控識別 ]。

5. 針對 步驟 1：受控識別詳細數據，填寫字段，如下所示：

   • 受控識別的訂用帳戶：選取包含受控識別的訂用帳戶。

   • 受控識別的資源群組：選取裝載受控識別的資源群組。

   • 受控識別：從下拉功能表中選取您的受控識別。

6. 針對 步驟 2：Azure 範圍，填寫字段，如下所示：

   • 服務連線的範圍層級：選取 [訂用帳戶]。

   • 服務連線的訂用帳戶：選取受控識別將存取的訂用帳戶。

   • 服務連線的資源群組：（選擇性） 指定 以限制一個資源群組的受控識別存取。

7. 針對 步驟 3：服務連線詳細數據：

   • 服務連線名稱：提供服務連線的名稱。

   • 服務管理參考：來自 ITSM 資料庫的內容資訊。

   • 描述:(選擇性） 新增描述。

8. 在 [ 安全性] 中，選取 [ 授與所有管線 訪問許可權] 複選框，以允許所有管線使用此服務連線。 如果您未選取此選項，則必須手動授與使用此服務連線之每個管線的存取權。

9. 選取 [ 儲存 ] 以驗證並建立服務連線。

   

服務主體

建立服務主體

在此步驟中，我們將在 Azure 中建立新的服務主體，讓我們能夠從 Azure Pipelines 查詢 Azure 金鑰保存庫。

1. 流覽至 Azure 入口網站，然後從功能表欄選取> _ 圖示以開啟 Cloud Shell。

2. 選取 [PowerShell ]，或根據您的喜好設定將它保留為 Bash 。

3. 執行下列命令來建立新的服務主體：

   az ad sp create-for-rbac --name YOUR_SERVICE_PRINCIPAL_NAME
   

4. 您的輸出應該符合下列範例。 請務必複製命令的輸出，因為您將需要在後續步驟中建立服務連線。

   {
     "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "displayName": "MyServicePrincipal",
     "password": "***********************************",
     "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
   }
   

建立服務連線

1. 登入您的 Azure DevOps 組織，然後瀏覽至您的專案。

2. 選取 [項目設定]，然後選取 [服務連線]。

3. 依序選取 [新增服務連線]、[Azure Resource Manager] 和 [下一步]。

4. 選取 [服務主體][手動]，然後選取 [ 下一步]。

5. 針對 [ 身分識別類型]，從下拉功能表中選取 [應用程式註冊] 或 [手動 ]。

6. 針對 [認證]*，選取 [工作負載身分識別同盟]。

7. 提供服務連線的名稱，然後選取 [ 下一步]。

8. 複製簽發者和主體標識符，因為我們在下一個步驟中需要它。

9. 針對 [環境] 選取 [Azure 雲端]，然後選取 [訂用帳戶] 範圍的 [訂用帳戶]。

10. 輸入您的 Azure 訂 用帳戶標識碼 和 訂用帳戶名稱。

11. 針對 [驗證]，貼上 服務主體的應用程式 （用戶端） 識別碼 和 目錄 （租使用者） 識別碼

12. 在 [ 安全性] 底下，選取 [ 授與所有管線 訪問許可權] 複選框，以允許所有管線使用此服務連線。 如果您未選取此選項，則必須手動授與使用此服務連線之每個管線的存取權。

13. 保持開啟狀態，您將會返回驗證並儲存一旦您在 Azure 中建立同盟認證，並在訂用帳戶層級授與服務主體讀取存取權。

    

在 Azure 中建立同盟認證

1. 流覽至 [Azure 入口網站]，然後在搜尋列中輸入您的服務主體 ClientID，然後選取您的應用程式。

2. 在 [管理] 底下>，選取 [憑證與秘密同盟認證]。

3. 選取 [新增認證]，然後針對 [同盟認證案例]，選取 [ 其他簽發者]。

4. 針對 [ 簽發者]，貼上 您稍早從服務聯機複製的簽發者 。

5. 針對 [ 主體標識符]，貼上您稍早從服務連線複製的 [主體標識符 ]。

6. 提供 同盟認證的 [名稱 ]，然後在完成時選取 [ 新增 ]。

   

將角色指派新增至您的訂用帳戶

您必須先在訂用帳戶層級授與服務主體 讀取 存取權，才能驗證連線：

1. 流覽至 Azure 入口網站

2. 在 [Azure 服務] 底下，選取 [訂用帳戶]，然後尋找並選取您的訂用帳戶。

3. 選取 [存取控制 (IAM)]，然後選取 [新增]>[新增角色指派]。

4. 選取 [角色] 索引標籤下的 [讀取者]，然後選取 [下一步]。

5. 選取 [ 使用者、群組或服務主體]，然後選取 [選取 成員]。

6. 在搜尋列中，貼上服務主體的物件 標識符，選取它，然後按兩下 [ 選取 ] 按鈕。

7. 選取 [ 檢閱 + 指派]、檢閱您的設定，然後再次選取 [檢閱 + 指派 ]，以確認您的選擇並新增角色指派。

8. 新增角色指派之後。 返回您的服務連線（在 Azure DevOps 中），最後選取 [ 驗證並儲存 ] 以儲存您的服務連線。

設定 金鑰保存庫 存取原則

1. 流覽至 Azure 入口網站，尋找您稍早建立的密鑰保存庫，然後選取 [存取原則]。

2. 選取 [建立]，然後在 [秘密許可權] 底下新增 [取得和列表] 許可權，然後選取 [下一步]。

3. 在 [ 主體] 底下，貼上服務主體的物件 標識符，選取它，然後選取 [ 下一步]。

4. 再次選取 [下一步 ]，檢閱您的設定，然後在完成時選取 [ 儲存 ]。

查詢和使用管線中的秘密

使用 Azure 金鑰保存庫 工作，我們可以擷取秘密的值，並在管線中的後續工作中使用它。 請記住，秘密必須明確對應至 env 變數，如下列範例所示。

pool:
  vmImage: 'ubuntu-latest'

steps:
- task: AzureKeyVault@1
  inputs:
    azureSubscription: 'SERVICE_CONNECTION_NAME'
    KeyVaultName: 'KEY_VAULT_NAME'
    SecretsFilter: '*'

- bash: |
    echo "Secret Found! $MY_MAPPED_ENV_VAR"        
  env:
    MY_MAPPED_ENV_VAR: $(SECRET_NAME)

上一個bash命令的輸出看起來應該像這樣：

Secret Found! ***

注意

如果您想要從 Azure 金鑰保存庫 查詢多個秘密，請使用 SecretsFilter 自變數來傳遞以逗號分隔的秘密名稱清單：『secret1，secret2』。

相關內容

• 管理服務連線
• 定義變數
• 發佈管線成品