Sdílet prostřednictvím

Propojte skupinu proměnných s tajemstvími ve službě Azure Key Vault

Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022

Můžete vytvořit skupinu proměnných, která odkazuje na existující trezory klíčů Azure a mapuje vybrané tajné kódy trezoru klíčů do skupiny proměnných. Pouze tajné názvy se mapují na skupinu proměnných, ne na hodnoty tajných názvů. Když se potrubí spustí, propojí se se skupinou proměnných a načítají nejnovější tajné hodnoty z trezoru během běhu.

Všechny změny stávajících tajných kódů v trezoru klíčů jsou automaticky dostupné pro všechny kanály, které používají skupinu proměnných. Pokud se ale tajné kódy přidají do nebo odstraní z trezoru, přidružené skupiny proměnných se automaticky neaktualizují. Tajné kódy musíte explicitně aktualizovat, aby byly zahrnuty do skupiny proměnných.

I když Key Vault podporuje ukládání a správu kryptografických klíčů a certifikátů v Azure, integrace skupin proměnných Azure Pipelines podporuje pouze mapování tajných kódů trezoru klíčů. Kryptografické klíče a certifikáty se nepodporují.

Požadavky

Výrobek Požadavky
Azure DevOps – projekt Azure DevOps.
připojení ke službě Azure Resource Manager pro váš projekt.
- Oprávnění:
    - Chcete-li použít připojení služby: Musíte mít alespoň roli Uživatel pro připojení služby.
    Pro vytvoření skupiny proměnných: Mějte alespoň Creatoroprávnění knihovny.
Azurový – Účet Azure s aktivním předplatným. Vytvoření účtu zdarma
- Oprávnění:
    K vytvoření trezoru klíčů: Musíte mít alespoň roli vlastníka v rámci předplatného.

Vytvořte trezor klíčů.

Pokud ještě trezor klíčů nemáte, můžete si ho vytvořit následujícím způsobem:

  1. Na webu Azure Portal vyberte Vytvořit prostředek.
  2. Vyhledejte a vyberte Key Vault a pak vyberte Vytvořit.
  3. Vyberte své předplatné.
  4. Vyberte existující skupinu prostředků nebo vytvořte novou.
  5. Zadejte název trezoru klíčů.
  6. Vyberte oblast.
  7. Vyberte kartu Přístup a konfigurace.
  8. Vyberte zásady přístupu k úložišti.
  9. Jako hlavní vyberte svůj účet.
  10. Vyberte Zkontrolovat a vytvořit a pak Vytvořit.

Vytvoření skupiny proměnných propojené s trezorem klíčů

  1. V projektu Azure DevOps vyberte Pipelines>Knihovna>+ Skupina proměnných.

  2. Na stránce Skupiny proměnných zadejte název a volitelný popis skupiny proměnných.

  3. Povolte tajné kódy propojení z trezoru klíčů Azure jako přepínač proměnných .

  4. Vyberte připojení ke službě a vyberte Autorizovat.

  5. Vyberte název trezoru klíčů a výběrem možnosti Autorizovat vedle názvu trezoru povolte Azure DevOps přístup k trezoru klíčů.

  6. Vyberte + Přidat a na obrazovce Zvolit tajné kódy vyberte tajné kódy z trezoru pro mapování na tuto skupinu proměnných a pak vyberte OK.

  7. Vyberte Uložit a uložte skupinu tajných proměnných.

    Snímek obrazovky zobrazující skupinu proměnných s integrací do Azure Key Vault

Trezory klíčů RBAC

Důležité

Požadavky na přístup k síti pro trezory klíčů RBAC:

  • Veřejný koncový bod: Trezory klíčů s oprávněními řízení přístupu na základě role (RBAC) se podporují, když je trezor klíčů přístupný přes veřejný koncový bod.
  • Privátní koncový bod: Azure DevOps nepodporuje trezory klíčů RBAC za privátními koncovými body. Přístup k privátnímu koncovému bodu pro trezory klíčů RBAC je k dispozici pouze pro důvěryhodné služby Azure a Azure DevOps v současné době není důvěryhodnou službou.

Pokud potřebujete použít trezor klíčů za privátním koncovým bodem, nastavte model oprávnění trezoru klíčů na zásady přístupu k trezoru místo RBAC.

Propojit RBAC Key Vault (s přístupem prostřednictvím veřejného koncového bodu) se skupinou proměnných:

  1. Vytvořte připojení služby ARM.

  2. Přejděte na web Azure Portal, vyhledejte řízení přístupu trezoru klíčů >(IAM) a pak udělte připojení služby odpovídající roli RBAC (uživatel tajných kódů služby Key Vault nebo správce tajných kódů služby Key Vault na základě vašeho scénáře).

    Poznámka:

    Ujistěte se, že máte roli Key Vault Administrator k vytvoření tajemství.

  3. Vraťte se ke svému projektu Azure DevOps a vyberte Pipelines>Library.

  4. Vyberte + Proměnná skupina a zadejte název skupiny proměnných.

  5. Vyberte přepínač Propojit tajemství z trezoru klíčů Azure jako proměnné, abyste ho povolili.

  6. Vyberte připojení ke službě a vyberte Autorizovat.

  7. V rozevírací nabídce vyberte název klíčového úložiště.

  8. Vyberte + Přidat, zvolte tajný kód a pak vyberte OK.

  9. Až budete hotovi, zvolte tlačítko Uložit.

    Snímek obrazovky znázorňující, jak propojit tajný kód trezoru klíčů RBAC se skupinou proměnných

Poznámka:

Připojení ke službě musí mít na trezor klíčů alespoň oprávnění Získat a Vypsat, což můžete autorizovat v předchozích krocích. Tato oprávnění můžete také poskytnout na webu Azure Portal pomocí následujícího postupu:

  1. Otevřete Nastavení trezoru klíčů a pak zvolte Konfigurace přístupu>Přejděte na zásady přístupu.
  2. Na stránce Zásady přístupu, pokud váš projekt Azure Pipelines není uvedený v části Aplikace s alespoň oprávněními Get a List, vyberte Vytvořit.
  3. V části Oprávnění k tajným kódům vyberte Získat a Seznam a pak vyberte Další.
  4. Vyberte hlavní objekt a pak vyberte Další.
  5. Znovu vyberte Další , zkontrolujte nastavení a pak vyberte Vytvořit.

Související obsah

  • Last updated on