AzureKeyVault@2 - مهمة Azure Key Vault v2
استخدم هذه المهمة لتنزيل البيانات السرية، مثل مفاتيح المصادقة ومفاتيح حساب التخزين ومفاتيح تشفير البيانات و. ملفات PFX وكلمات المرور من مثيل Azure Key Vault. يمكن استخدام المهمة لجلب أحدث قيم الكل أو مجموعة فرعية من الأسرار من المخزن وتعيينها كمتغيرات يمكن استخدامها في المهام اللاحقة للبنية الأساسية لبرنامج ربط العمليات التجارية. تستند المهمة إلى العقدة وتعمل مع الوكلاء على Linux وmacOS وWindows.
بناء الجملة
# Azure Key Vault v2
# Download Azure Key Vault secrets.
- task: AzureKeyVault@2
inputs:
azureSubscription: # string. Alias: ConnectedServiceName. Required. Azure subscription.
KeyVaultName: # string. Required. Key vault.
SecretsFilter: '*' # string. Required. Secrets filter. Default: *.
#RunAsPreJob: false # boolean. Make secrets available to whole job. Default: false.
الإدخالات
azureSubscription - اشتراك Azure
الاسم المستعار للإدخل: ConnectedServiceName. string. مطلوب
حدد اتصال الخدمة لاشتراك Azure الذي يحتوي على مثيل Azure Key Vault، أو أنشئ اتصالا جديدا. تعرَّف على المزيد.
KeyVaultName - مخزن المفاتيح
string. مطلوب
اسم Azure Key Vault الذي يحتوي على البيانات السرية التي يجب تنزيلها.
SecretsFilter - عامل تصفية الأسرار
string. مطلوب القيمة الافتراضية: *.
تنزيل الأسماء السرية وفقا للقيمة المدخلة. يمكن أن تكون القيمة هي القيمة الافتراضية لتنزيل جميع الأسرار من مخزن المفاتيح المحدد، أو قائمة مفصولة بفواصل بأسماء البيانات السرية.
RunAsPreJob - جعل البيانات السرية متاحة للوظيفة بأكملها
boolean. القيمة الافتراضية: false.
تشغيل المهمة قبل بدء تنفيذ المهمة. يعرض البيانات السرية لجميع المهام في الوظيفة، وليس فقط المهام التي تتبع هذه المهمة.
خيارات التحكم بالمهمة
تحتوي جميع المهام على خيارات التحكم بالإضافة إلى مدخلات المهام الخاصة بها. لمزيد من المعلومات، راجع خيارات التحكم وخصائص المهمة الشائعة.
متغيرات الإخراج
لا شيء
الملاحظات
الجديد في الإصدار 2.0: دعم إضافي ل ٪3B، ٪5D في البيانات السرية.
استخدم هذه المهمة لتنزيل البيانات السرية، مثل مفاتيح المصادقة ومفاتيح حساب التخزين ومفاتيح تشفير البيانات و. ملفات PFX وكلمات المرور من مثيل Azure Key Vault. يمكن استخدام المهمة لجلب أحدث قيم الكل أو مجموعة فرعية من الأسرار من المخزن وتعيينها كمتغيرات يمكن استخدامها في المهام اللاحقة للبنية الأساسية لبرنامج ربط العمليات التجارية. تستند المهمة إلى العقدة وتعمل مع الوكلاء على Linux وmacOS وWindows.
أتلقى خطأ forbidden في البنية الأساسية لبرنامج ربط العمليات التجارية عند نقطة الحصول على بيانات الاعتماد من Azure Key Vault
يحدث هذا إذا كانت الأذونات المطلوبة مفقودة في مخزن مفاتيح Azure. لحل المشكلة، أضف نهج وصول بالأذونات الصحيحة.
المتطلبات الأساسية
تحتوي المهمة على المتطلبات الأساسية التالية:
- اشتراك Azure مرتبط ب Azure Pipelines أو Team Foundation Server باستخدام اتصال خدمة Azure Resource Manager.
- Key Vault Azure يحتوي على الأسرار.
يمكنك إنشاء مخزن مفاتيح:
- في مدخل Microsoft Azure
- باستخدام Azure PowerShell
- باستخدام Azure CLI
إضافة أسرار إلى مخزن مفاتيح:
باستخدام PowerShell cmdlet Set-AzureKeyVaultSecret. إذا لم يكن السر موجودا، يقوم cmdlet هذا بإنشائه. إذا كان السر موجودا بالفعل، فإن الأمر cmdlet هذا ينشئ إصدارا جديدا من هذا السر.
باستخدام Azure CLI. لإضافة سر إلى مخزن مفاتيح، على سبيل المثال سر يسمى SQLPassword بقيمة العنصر النائبPassword، اكتب:
az keyvault secret set --vault-name 'ContosoKeyVault' --name 'SQLPassword' --value 'PlaceholderPassword'
عندما تريد الوصول إلى الأسرار:
تأكد من أن اتصال خدمة Azure لديه على الأقل أذونات GetوList على المخزن. يمكنك تعيين هذه الأذونات في مدخل Microsoft Azure:
- افتح شفرة الإعدادات للمخزن، واختر نهج الوصول، ثم إضافة جديد.
- في جزء Add access policy ، اختر Select principal وحدد كيان الخدمة لحساب العميل الخاص بك.
- في جزء Add access policy ، اختر Secret permissions وتأكد من تحديد Get and List (ticked).
- اختر موافق لحفظ التغييرات.
ملاحظة
إذا كنت تستخدم وكيلًا مستضافًا من Microsoft، فيجب إضافة نطاق IP للعامل المستضاف من Microsoft إلى جدار الحماية الخاص بك. احصل على القائمة الأسبوعية لنطاقات IP من ملف JSON الأسبوعي، والذي يتم نشره كل يوم أربعاء. تصبح نطاقات IP الجديدة فعالة في يوم الاثنين التالي. لمزيد من المعلومات راجع، عوامل مستضافة من Microsoft. للعثور على نطاقات IP المطلوبة لمؤسسة Azure DevOps، تعرف على كيفية تحديد نطاقات IP المحتملة للوكلاء المستضافين من Microsoft.
ملاحظة
يتم استرداد القيم كسلاسل. على سبيل المثال، إذا كان هناك سر يسمى connectionString، يتم إنشاء متغير connectionString مهمة بأحدث قيمة للسر المعني الذي تم جلبه من مخزن مفاتيح Azure. ثم يتوفر هذا المتغير في المهام اللاحقة.
إذا كانت القيمة التي تم جلبها من المخزن هي شهادة (على سبيل المثال، ملف PFX)، فسيحتوي متغير المهمة على محتويات PFX بتنسيق سلسلة. يمكنك استخدام التعليمات البرمجية PowerShell التالية لاسترداد ملف PFX من متغير المهمة:
$kvSecretBytes = [System.Convert]::FromBase64String("$(PfxSecret)")
$certCollection = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2Collection
$certCollection.Import($kvSecretBytes,$null,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)
إذا كان سيتم تخزين ملف الشهادة محليا على الجهاز، فمن الممارسات الجيدة تشفيره بكلمة مرور:
#Get the file created
$password = 'your password'
$protectedCertificateBytes = $certCollection.Export([System.Security.Cryptography.X509Certificates.X509ContentType]::Pkcs12, $password)
$pfxPath = [Environment]::GetFolderPath("Desktop") + "\MyCert.pfx"
[System.IO.File]::WriteAllBytes($pfxPath, $protectedCertificateBytes)
لمزيد من المعلومات، راجع بدء استخدام شهادات Azure Key Vault.
المتطلبات
| المتطلبات | الوصف |
|---|---|
| أنواع البنية الأساسية لبرنامج ربط العمليات التجارية | YAML، الإصدار الكلاسيكي، الإصدار الكلاسيكي |
| يعمل على | Agent, DeploymentGroup |
| المطالب | بلا |
| القدرات | لا تفي هذه المهمة بأي طلبات للمهام اللاحقة في الوظيفة. |
| قيود الأوامر | أي |
| متغيرات Settable | أي |
| إصدار الوكيل | 2.182.1 أو أحدث |
| فئة المهمة | نشر |
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ