Použití tajemství služby Azure Key Vault v Pipeline

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Služba Azure Key Vault umožňuje vývojářům bezpečně ukládat a spravovat citlivé informace, jako jsou hesla, klíče rozhraní API a certifikáty. Tento článek vás provede dotazováním a používáním tajemství ze služby Azure Key Vault v rámci vašeho procesu.

Požadavky

produkt	Požadavky
Azure DevOps	– projekt Azure DevOps. - Oprávnění:     - Chcete-li udělit přístup ke všem kanálům v projektu: Musíte být členem skupiny Project Administrators.     - Chcete-li vytvořit připojení služeb: Musíte mít roli Správce nebo Tvůrce pro připojení služeb .
GitHub	– Účet GitHubu a úložiště GitHub. – připojení ke službě GitHub k autorizaci Azure Pipelines.
Azurový	– předplatné Azure.

Vytvoření trezoru klíčů

Azure Portal

1. Přihlaste se k webu Azure Portal a pak vyberte Vytvořit prostředek.

2. V části Key Vault vyberte Vytvořit a vytvořte novou službu Azure Key Vault.

3. V rozevírací nabídce vyberte své předplatné a pak vyberte existující skupinu prostředků nebo vytvořte novou. Zadejte název trezoru klíčů, vyberte oblast, zvolte cenovou úroveň a pokud chcete nakonfigurovat další vlastnosti, vyberte Další. Pokud chcete zachovat výchozí nastavení, vyberte Zkontrolovat a vytvořit .

4. Jakmile je nasazení dokončeno, vyberte Přejít k prostředku.

Azure CLI

1. Nejprve nastavte výchozí oblast a předplatné Azure:

   • Nastavení výchozího předplatného:

   az account set --subscription <your_subscription_name_or_subscription_ID>
   

   • Nastavit výchozí oblast:

   az config set defaults.location=<your_region>
   

2. Vytvořte novou skupinu prostředků pro hostování služby Azure Key Vault. Skupina prostředků je kontejner, který obsahuje související prostředky pro řešení Azure:

   az group create --name <your-resource-group>
   

3. Vytvořte novou službu Azure Key Vault:

   az keyvault create \
     --name <your-key-vault-name> \
     --resource-group <your-resource-group>
   

Nastavení ověřování

Spravovaná identita

Vytvořte spravovanou identitu přiřazenou uživatelem

1. Přihlaste se k webu Azure Portal a pak na panelu hledání vyhledejte službu Spravované identity .

2. Vyberte Vytvořit a vyplňte požadovaná pole následujícím způsobem:

   • Předplatné: V rozevírací nabídce vyberte své předplatné.
   • Skupina prostředků: Vyberte existující skupinu prostředků nebo vytvořte novou.
   • Oblast: V rozevírací nabídce vyberte oblast.
   • Název: Zadejte název spravované identity přiřazené uživatelem.

3. Až budete hotovi, vyberte Zkontrolovat a vytvořit .

4. Po dokončení nasazení vyberte Přejít k prostředku a pak zkopírujte ID předplatného a klienta, budete je potřebovat v dalších krocích.

5. Přejděte na Vlastnosti nastavení> a zkopírujte ID tenanta spravované identity, abyste ho mohli použít později.

Nastavení zásad přístupu trezoru klíčů

1. Přejděte na web Azure Portal a pomocí panelu hledání vyhledejte trezor klíčů, který jste vytvořili dříve.

2. Vyberte Zásady přístupu a pak vyberte Vytvořit a přidejte novou zásadu.

3. V části Oprávnění tajných kódů zaškrtněte políčka Získat a Seznam .

4. Vyberte Další a pak vložte ID klienta spravované identity, kterou jste vytvořili dříve, do panelu hledání.

5. Vyberte spravovanou identitu, vyberte Dalšía pak další .

6. Zkontrolujte novou zásadu a pak vyberte Vytvořit , až budete hotovi.

Vytvořit připojení služby

1. Přihlaste se ke své organizaci Azure DevOps a přejděte k projektu.

2. Vybertepřipojení služby Nastavení> a pak vyberte Nové připojení služby.

3. Vyberte Azure Resource Manager a pak vyberte Další.

4. V části Typ identity vyberte v rozevírací nabídce spravovanou identitu .

5. Krok 1: Podrobnosti o spravované identitě vyplňte následující pole:

   • Předplatné pro spravovanou identitu: Vyberte předplatné, které obsahuje vaši spravovanou identitu.

   • Skupina prostředků pro spravovanou identitu: Vyberte skupinu prostředků, ve které je vaše spravovaná identita hostovaná.

   • Spravovaná identita: V rozevírací nabídce vyberte spravovanou identitu.

6. Pro krok 2: Rozsah Azure vyplňte pole následujícím způsobem:

   • Úroveň rozsahu připojení služby: Vyberte předplatné.

   • Předplatné pro připojení ke službě: Vyberte předplatné, ke které bude vaše spravovaná identita přistupovat.

   • Skupina prostředků pro připojení ke službě: (Volitelné) Tuto možnost zadejte, pokud chcete omezit přístup ke konkrétní skupině prostředků.

7. Krok 3: Podrobnosti o připojení služby:

   • Název připojení služby: Zadejte název připojení služby.

   • Referenční informace ke správě služeb: (Volitelné) Obsahují informace o kontextu z databáze ITSM.

   • Popis: (Volitelné) Přidejte popis.

8. V části Zabezpečení zaškrtněte políčko Udělit oprávnění přístupu všem kanálům a povolte tak, aby všechna kanály používala toto připojení služby. Pokud tuto možnost nezaškrtnete, budete muset přístup pro každý kanál udělit ručně.

9. Vyberte Uložit pro potvrzení a vytvoření připojení služby.

   

Principál služby

Vytvořit služebního principála

V tomto kroku vytvoříte v Azure nový instanční objekt , aby služba Azure Pipelines získala přístup ke službě Azure Key Vault.

1. Přejděte na Web Azure Portal a pak v horní nabídce vyberte >ikonu _ a otevřete Cloud Shell.

2. V závislosti na vašich preferencích vyberte PowerShell nebo Bash .

3. Spuštěním následujícího příkazu vytvořte nový principál služby:

   az ad sp create-for-rbac --name YOUR_SERVICE_PRINCIPAL_NAME
   

4. Po spuštění příkazu získáte výstup podobný následujícímu. Zkopírujte a uložte výstup, budete ho potřebovat k vytvoření připojení služby v dalším kroku.

   {
     "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "displayName": "MyServicePrincipal",
     "password": "***********************************",
     "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
   }
   

Vytvořit připojení služby

1. Přihlaste se ke své organizaci Azure DevOps a přejděte k projektu.

2. Vyberte Nastavení projektu a pak vyberte Připojení služby.

3. Vyberte Nové připojení služby, vyberte Azure Resource Manager a pak vyberte Další.

4. Vyberte aplikační objekt (ruční) a poté vyberte Další.

5. V části Typ identity vyberte registraci aplikace nebo spravovanou identitu (ruční).

6. V části Přihlašovací údaje vyberte Federaci identit úloh.

7. Zadejte název připojení služby a pak vyberte Další.

8. Zkopírujte hodnoty vystavitele a identifikačního subjektu. Budete je potřebovat v dalším kroku.

9. Ve části Prostředí vyberte Azure Cloud a pro rozsah předplatného vyberte Předplatné.

10. Zadejte ID předplatného Azure a název předplatného.

11. V nabídce Ověřování vložte ID aplikační (klientské) servisního principálu a ID adresářové (tenantské).

12. V části Zabezpečení zaškrtněte políčko Udělit oprávnění k přístupu všem kanálům , abyste umožnili všem kanálům používat toto připojení služby. Pokud tuto možnost přeskočíte, budete muset ručně udělit přístup pro každý kanál.

13. Nechte tuto stránku otevřenou, vrátíte se, abyste ji dokončili po tom, co (1) vytvoříte federované přihlašovací údaje v Azure a (2) udělíte vašemu aplikačnímu objektu přístup ke čtení na úrovni předplatného.

    

Vytvoření federovaných přihlašovacích údajů v Azure

1. Přejděte na Azure Portal a pomocí vyhledávacího pole vyhledejte service principal zadáním jeho ID klienta. Ve výsledcích vyberte odpovídající aplikaci .

2. V části Spravovat vyberte Certifikáty a tajné>kódy federovaných přihlašovacích údajů.

3. Vyberte Přidat přihlašovací údaje a pak pro scénář federovaných přihlašovacích údajů vyberte Jiný vystavitel.

4. Do pole Vystavitel vložte hodnotu Vystavitel, kterou jste zkopírovali dříve z vašeho připojení služby.

5. Do pole Identifikátor předmětu vložte dříve zkopírovaný identifikátor předmětu .

6. Zadejte název federovaných přihlašovacích údajů a po dokončení vyberte Přidat .

   

Přidejte přiřazení role k předplatnému

Než budete moct připojení ověřit, musíte instančnímu objektu udělit přístup ke čtení na úrovni předplatného:

1. Přejděte na Azure portal

2. V části Služby Azure vyberte Předplatná a pak vyhledejte a vyberte své předplatné.

3. Vyberte Řízení přístupu (IAM) a pak vyberte Přidat>Přidat přiřazení role.

4. Na kartě Role vyberte Čtenář a pak vyberte Další.

5. Vyberte Uživatele, skupinu nebo služební účet a pak vyberte Vybrat členy.

6. Na panelu hledání vložte ID objektu instančního objektu, vyberte ho a pak klikněte na Vybrat.

7. Vyberte Zkontrolovat a přiřadit, zkontrolujte nastavení a pak znovu vyberte Zkontrolovat a přiřadit .

8. Po přidání přiřazení role Vraťte se ke svému připojení ke službě v Azure DevOps a klikněte na Ověřit a Uložit pro uložení připojení služby.

Konfigurace zásad přístupu ke službě Key Vault

1. Přejděte na web Azure Portal, vyhledejte trezor klíčů, který jste vytvořili dříve, a pak vyberte Zásady přístupu.

2. Vyberte Vytvořit, pak v části Oprávnění k tajným kódům přidejte oprávnění Získat i Seznam a pak vyberte Další.

3. V části Instanční objekt vložte ID objektu instančního objektu, vyberte ho a pak vyberte Další.

4. Znovu vyberte Další , zkontrolujte nastavení a pak vyberte Uložit , aby se použily nové zásady.

Dotazování a používání tajemství v pipelině

Pomocí úlohy Služby Azure Key Vault teď můžete dotazovat a načítat tajné kódy ze služby Azure Key Vault a používat je v následných úlohách ve vašem kanálu. Všimněte si, že tajné kódy musí být explicitně namapované na proměnné prostředí, jak je znázorněno v následujícím příkladu:

pool:
  vmImage: 'ubuntu-latest'

steps:
- task: AzureKeyVault@1
  inputs:
    azureSubscription: 'SERVICE_CONNECTION_NAME'
    KeyVaultName: 'KEY_VAULT_NAME'
    SecretsFilter: '*'

- bash: |
    echo "Secret Found! $MY_MAPPED_ENV_VAR"        
  env:
    MY_MAPPED_ENV_VAR: $(SECRET_NAME)

Výstup z posledního kroku Bash by měl vypadat takto:

Secret Found! ***

Poznámka:

Pokud chcete z Azure Key Vaultu zadat dotaz na několik tajných kódů, použijte SecretsFilter vstup a zadejte seznam názvů tajných kódů oddělených čárkami, například tajný kód 1, tajný kód2.

Související obsah

• Chránit tajné kódy ve službě Azure Pipelines

• Získejte přístup k privátnímu trezoru klíčů pomocí pipeline

• Správa zabezpečení ve službě Azure Pipelines