Uso de secretos de Azure Key Vault en Azure Pipelines

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

Azure Key Vault permite a los desarrolladores almacenar y administrar de forma segura información confidencial, como claves de API, credenciales o certificados. El servicio Azure Key Vault admite dos tipos de contenedores: almacenes y grupos de HSM (módulo de seguridad de hardware) administrado. Los almacenes pueden almacenar claves, secretos y certificados protegidos con HSM, mientras que los grupos de HSM administrado admiten exclusivamente claves protegidas con HSM.

En este tutorial, aprenderá a:

• Crear una instancia de Azure Key Vault mediante la CLI de Azure.
• Incorporar un secreto y configurar el acceso a Azure Key Vault.
• Uso de secretos en la canalización

Requisitos previos

• Una organización de Azure DevOps y un proyecto. Cree una organización o un proyecto si aún no lo ha hecho.

• Suscripción a Azure. Cree una cuenta de Azure de forma gratuita si aún no tiene una.

Obtención del código de ejemplo

Si ya tiene su propio repositorio, continúe con el paso siguiente. De lo contrario, importe el siguiente repositorio de ejemplo en Azure Repo.

1. Inicie sesión en su organización de Azure DevOps y vaya a su proyecto.

2. Seleccione Repos (Repositorios) y, a continuación, seleccione Import (Importar). Escriba la siguiente dirección URL del repositorio y seleccione Importar.

   https://github.com/MicrosoftDocs/pipelines-dotnet-core
   

Crear una instancia de Azure Key Vault

1. Inicie sesión en Azure Portal y, a continuación, seleccione el botón de Cloud Shell en la esquina superior derecha.

2. Si tiene más de una suscripción de Azure asociada a su cuenta, use el siguiente comando para especificar una suscripción predeterminada. Puede usar az account list para generar una lista de las suscripciones.

   az account set --subscription <YOUR_SUBSCRIPTION_NAME_OR_ID>
   

3. Establezca la región de Azure predeterminada. Puede usar az account list-locations para generar una lista de regiones disponibles.

   az config set defaults.location=<YOUR_REGION>
   

4. Crear un nuevo grupo de recursos.

   az group create --name <YOUR_RESOURCE_GROUP_NAME>
   

5. Cree una nueva instancia de Azure Key Vault.

   az keyvault create \
     --name <YOUR_KEY_VAULT_NAME> \
     --resource-group <YOUR_RESOURCE_GROUP_NAME>
   

6. Cree un nuevo secreto en el almacén de claves de Azure.

   az keyvault secret set \
     --name <YOUR_SECRET_NAME> \
     --value <YOUR_ACTUAL_SECRET> \
     --vault-name <YOUR_KEY_VAULT_NAME>
   

Configuración de la autenticación

Identidad administrada

Creación de una identidad administrada asignada por el usuario

1. Inicie sesión en Azure Portal y busque el servicio Identidades administradas en la barra de búsqueda.

2. Seleccione Crear y rellene los campos obligatorios de la siguiente manera:

   • Suscripción: seleccione la suscripción en el menú desplegable.
   • Grupo de recursos: seleccione un grupo de recursos existente o cree uno nuevo.
   • Región: seleccione una región en el menú desplegable.
   • Nombre: Ingrese un nombre para su identidad administrada asignada por el usuario.

3. Seleccione Revisar y crear cuando haya terminado.

4. Una vez completada la implementación, seleccione Ir al recurso y, a continuación, copie los valores de Suscripción e Id. de cliente para usarlos en los próximos pasos.

5. Vaya a Propiedades de configuración>y copie el valor de Id. de inquilino de la identidad administrada para su uso posterior.

Configuración de directivas de acceso al almacén de claves

1. Vaya a Azure Portal y use la barra de búsqueda para buscar el almacén de claves que creó anteriormente.

2. Seleccione Directivas de acceso y, después, Crear para agregar una nueva directiva.

3. En Permisos secretos, active las casillas Obtener y Enumerar .

4. Seleccione Siguiente y pegue el identificador de cliente de la identidad administrada que creó anteriormente en la barra de búsqueda. Seleccione su identidad administrada.

5. Seleccione Siguiente y , una vez más, Siguiente .

6. Revise las nuevas directivas y, a continuación, seleccione Crear cuando haya terminado.

Creación de una conexión de servicio

1. Inicie sesión en su organización de Azure DevOps y vaya a su proyecto.

2. Seleccione Configuración del proyecto>Conexiones de servicio y, a continuación, seleccione Nueva conexión de servicio para crear una nueva conexión de servicio.

3. Seleccione Azure Resource Manager y, después, siguiente.

4. En Tipo de identidad, seleccione Identidad administrada en el menú desplegable.

5. Para el paso 1: Detalles de la identidad administrada, rellene los campos como se indica a continuación:

   • Suscripción para identidad administrada: seleccione la suscripción que contiene la identidad administrada.

   • Grupo de recursos para identidad administrada: seleccione el grupo de recursos que hospeda la identidad administrada.

   • Identidad administrada: seleccione la identidad administrada en el menú desplegable.

6. Para el paso 2: Ámbito de Azure, rellene los campos como se indica a continuación:

   • Nivel de ámbito para la conexión de servicio: seleccione Suscripción.

   • Suscripción para la conexión de servicio: seleccione la suscripción a la que accederá la identidad administrada.

   • Grupo de recursos para conexión de servicio: (opcional) Especifique para limitar el acceso de identidad administrada a un grupo de recursos.

7. Para el paso 3: Detalles de conexión del servicio:

   • Nombre de la conexión de servicio: proporcione un nombre para la conexión de servicio.

   • Referencia de administración de servicios: (opcional) Información de contexto de una base de datos ITSM.

   • Descripción: (opcional) Agregue una descripción.

8. En Seguridad, active la casilla Conceder permiso de acceso a todas las canalizaciones para permitir que todas las canalizaciones usen esta conexión de servicio. Si no selecciona esta opción, debe conceder manualmente acceso a cada canalización que use esta conexión de servicio.

9. Seleccione Guardar para validar y crear la conexión de servicio.

   

Entidad de seguridad de servicio

Configuración de directivas de acceso al almacén de claves

Para acceder a Azure Key Vault, primero debe configurar una entidad de servicio para conceder acceso a Azure Pipelines:

1. Creación de una entidad de servicio

2. Vaya a Azure Portal y, a continuación, use la barra de búsqueda para buscar el almacén de claves que creó anteriormente.

3. Seleccione Directivas de acceso y, a continuación, seleccione Crear.

4. En Permisos secretos, agregue los permisos Obtener y Enumerar y, a continuación, seleccione Siguiente.

5. En Entidad de seguridad, pegue el identificador de objeto de la entidad de servicio, selecciónelo y, a continuación, seleccione Siguiente.

6. Seleccione Siguiente una vez más, revise las directivas y, a continuación, seleccione Guardar cuando haya terminado.

Agregar asignación de roles

En el paso siguiente, creará una conexión de servicio arm para la entidad de servicio. Antes de comprobar la conexión, debe: (1) conceder a la entidad de servicio acceso de lectura en el nivel de suscripción y (2) crear una credencial federada para la entidad de servicio.

En los pasos siguientes se describe cómo conceder acceso de lectura en el nivel de suscripción:

1. Vaya a Azure Portal, seleccione Suscripciones y busque y seleccione su suscripción.

2. Seleccione Control de acceso y, a continuación, seleccione Agregar>Agregar asignación de roles.

3. Seleccione Lector en la pestaña Rol y, a continuación, seleccione Siguiente.

4. Seleccione Usuario, grupo o entidad de servicio y, después, Seleccionar miembros.

5. Pegue el identificador de objeto de la entidad de servicio en la barra de búsqueda, selecciónelo y, a continuación , Seleccione.

6. Seleccione Revisar y asignar, revise la configuración y, a continuación, seleccione Revisar y asignar una vez más para confirmar las opciones y agregar la asignación de roles.

Creación de una conexión de servicio

1. Inicie sesión en su organización de Azure DevOps y vaya a su proyecto.

2. Seleccione Configuración del proyecto y, a continuación, Conexiones de servicio.

3. Seleccione Nueva conexión de servicio, luego, seleccione Azure Resource Manager y, por último, Siguiente.

4. Seleccione Entidad de servicio (manual), y a continuación, seleccione Siguiente.

5. En Tipo de identidad, seleccione Registro de aplicaciones o identidad administrada (manual) en el menú desplegable.

6. En Credencial, seleccione Federación de identidades de carga de trabajo.

7. Proporcione un nombre para la conexión de servicio y, a continuación, seleccione Siguiente.

8. Seleccione Azure Cloud for Environment (Nube de Azure para entorno) y Subscription (Suscripción) para el ámbito de suscripción.

9. Escriba el identificador de suscripción de Azure y el nombre de la suscripción.

10. En Autenticación, pegue el identificador de aplicación (cliente) de la entidad de servicio y el identificador de directorio (inquilino) de la entidad de servicio.

11. En Seguridad, active la casilla Conceder permiso de acceso a todas las canalizaciones para permitir que todas las canalizaciones usen esta conexión de servicio. Si no selecciona esta opción, debe conceder manualmente acceso a cada canalización que use esta conexión de servicio.

12. Deje abierta esta ventana, volverá a comprobar y guardar la conexión de servicio una vez que haya creado la credencial federada en Azure.

Creación de una credencial federada de entidad de servicio

1. Vaya a Azure Portal, escriba clientID de la entidad de servicio en la barra de búsqueda y seleccione la aplicación.

2. En Administrar, seleccione Certificados y secretos>Credenciales federadas.

3. Seleccione Agregar credencial y, después, en Escenario de credenciales federadas, seleccione Otro emisor.

4. En Issuer (Emisor), pegue el emisor que copió de la conexión de servicio anteriormente.

5. En Identificador del firmante, pegue el identificador del firmante que copió de la conexión de servicio anteriormente.

6. Proporcione un nombre para las credenciales federadas y, a continuación, seleccione Agregar cuando haya terminado.

7. Vuelva a la ventana de conexión del servicio, seleccione Comprobar y guardar para guardar la conexión de servicio.

Acceso a los secretos del almacén de claves desde la canalización

YAML

1. Inicie sesión en su organización de Azure DevOps y vaya a su proyecto.

2. Seleccione Canalizaciones y elija Nueva canalización.

3. Seleccione Git de Azure Repos (YAML) y, a continuación, seleccione el repositorio.

4. Seleccione la plantilla Canalización inicial.

5. La canalización predeterminada incluirá un script que ejecuta comandos eco. No son necesarios, así que se pueden eliminar.

6. Agregue la tarea AzureKeyVault y sustituya los marcadores de posición por el nombre de la conexión de servicio que creó anteriormente y el nombre del almacén de claves. El archivo YAML debería ser similar al fragmento siguiente:

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   

7. Vamos a agregar las siguientes tareas para copiar y publicar nuestro secreto. Este ejemplo es solo para fines de demostración y no debe implementarse en un entorno de producción.

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   
   - task: CmdLine@2
     displayName: Create file
     inputs:
       script: 'echo $(SECRET_NAME) > secret.txt'
   
   - task: CopyFiles@2
     displayName: Copy file
     inputs:
       Contents: secret.txt
       targetFolder: '$(Build.ArtifactStagingDirectory)'
   
   - task: PublishBuildArtifacts@1
     displayName: Publish Artifact
     inputs:
       PathtoPublish: '$(Build.ArtifactStagingDirectory)'
       ArtifactName: 'drop'
       publishLocation: 'Container'
   

8. Seleccione Guardar y ejecutar y, a continuación, selecciónelo una vez más para confirmar los cambios y desencadenar la canalización. Es posible que se le pida que permita el acceso de canalización a los recursos de Azure; si este es el caso, seleccione Permitir. Solo tendrá que aprobar la canalización una vez.

9. Seleccione la tarea CmdLine para ver los registros.

   

10. Una vez completada la ejecución de la canalización, vuelva al resumen de la canalización y seleccione el artefacto publicado.

    

11. Seleccione colocar>secret.txt para descargarlo.

    

12. Abra el archivo de texto que acaba de descargar, debe contener el secreto del almacén de claves de Azure.

Clásico

1. Inicie sesión en su organización de Azure DevOps y vaya a su proyecto.

2. Seleccione Canalizaciones y elija Nueva canalización.

3. Seleccione Usar el editor clásico para crear una canalización clásica.

4. Seleccione Git de Azure Repos, seleccione el repositorio y la rama predeterminada y, a continuación, seleccione Continuar.

5. Seleccione la plantilla de canalización Escritorio de .NET.

6. Para este ejemplo, solo necesitaremos las dos últimas tareas. Presione CTRL y, luego, seleccione las cinco primeras tareas, haga clic con el botón derecho y elija Quitar tareas seleccionadas para eliminarlas.

   

7. Seleccione + para agregar una nueva tarea. Busque la tarea Línea de comandos, selecciónela y, a continuación, seleccione Agregar para agregarla a la canalización. Una vez agregada, configúrela de la siguiente manera:

   • Nombre para mostrar: Crear archivo
   • Script: echo $(SECRET_NAME) > secret.txt

   

8. Seleccione + para agregar una nueva tarea. Busque la tarea Azure Key Vault, selecciónela y, a continuación, seleccione Agregar* para agregarla a la canalización. Una vez agregada, configúrela de la siguiente manera:

   • Nombre para mostrar: Azure Key Vault
   • Suscripción de Azure: seleccione la conexión de servicio que creó anteriormente.
   • Almacén de claves: seleccione el almacén de claves
   • Filtro de secreto: una lista separada por comas de los nombres de secretos o deje * para descargar todos los secretos del almacén de claves seleccionado

   

9. Seleccione la tarea Copiar archivos y rellene los campos obligatorios de la siguiente manera:

   • Nombre para mostrar: Copiar archivo
   • Contenido: secret.txt
   • Carpeta de destino: $(build.artifactstagingdirectory)

   

10. Seleccione la tarea Publicar artefactos y rellene los campos obligatorios de la siguiente manera:

    • Nombre para mostrar: Publicar artefacto
    • Ruta de acceso para la publicación: $(build.artifactstagingdirectory)
    • Nombre del artefacto: colocar
    • Ubicación de publicación del artefacto: Azure Pipelines

    

11. Seleccione Guardar y poner en cola y, a continuación, seleccione Ejecutar para ejecutar la canalización.

12. Una vez completada la ejecución de la canalización, vuelva al resumen de la canalización y seleccione el artefacto publicado.

13. Seleccione colocar>secret.txt para descargar el artefacto publicado.

    

14. Abra el archivo de texto que acaba de descargar, debe contener el secreto del almacén de claves de Azure.

Advertencia

Este tutorial tiene carácter educativo exclusivamente. Para conocer los procedimientos recomendados de seguridad y cómo trabajar de forma segura con secretos, consulte Administración de secretos en las aplicaciones de servidor con Azure Key Vault.

Limpieza de recursos

Siga los pasos que se indican a continuación para eliminar los recursos que ha creado:

1. Si ha creado una nueva organización para alojar el proyecto, consulte cómo eliminar la organización o, de lo contrario , elimine el proyecto.

2. Todos los recursos de Azure creados durante este tutorial se hospedan en un único grupo de recursos. Ejecute el comando siguiente para eliminar el grupo de recursos y todos los recursos que incluye.

   az group delete --name <YOUR_RESOURCE_GROUP_NAME>
   

Preguntas más frecuentes

P: Recibo el siguiente error: "El usuario o grupo no tiene permiso de lista de secretos". ¿Qué debo hacer?

R: Si encuentra un error que indica que el usuario o grupo no tiene el permiso de lista de secretos en un almacén de claves, ejecute los siguientes comandos para autorizar a la aplicación el acceso a la clave o el secreto en Azure Key Vault:

az account set --subscription <YOUR_SUBSCRIPTION_ID>

az login

$spnObjectId = az ad sp show --id <YOUR_SERVICE_PRINCIPAL_ID>

az keyvault set-policy --name <YOUR_KEY_VAULT_NAME> --object-id $spnObjectId --secret-permissions get list

Artículos relacionados

• Publicación y descarga de artefactos de canalización
• Artefactos de versión y orígenes de artefactos
• Uso de validaciones y aprobaciones para controlar la implementación