Utiliser des secrets d’Azure Key Vault dans Azure Pipelines

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

Azure Key Vault permet aux développeurs de stocker et de gérer en toute sécurité des informations sensibles telles que des clés API, des informations d’identification ou des certificats. Le service Azure Key Vault prend en charge deux types de conteneurs : les coffres et les pools HSM (modules de sécurité matériels) managés. Les coffres peuvent stocker à la fois des clés logicielles et sauvegardées avec HSM, des secrets et des certificats, tandis que les pools HSM managés prennent exclusivement en charge les clés sauvegardées avec HSM.

Dans ce didacticiel, vous apprendrez à :

• Créer un coffre Azure Key Vault avec Azure CLI
• Ajouter un secret et configurer l’accès au coffre de clés Azure
• Utiliser des secrets dans votre pipeline

Prérequis

• Un organization Azure DevOps et un projet. Créez un organization ou un projet si ce n’est pas déjà fait.

• Un abonnement Azure. Créez un compte Azure gratuitement si vous n’en avez pas déjà un.

Obtenir l’exemple de code

Si vous disposez déjà de votre propre dépôt, passez à l’étape suivante. Sinon, importez l’exemple de référentiel suivant dans votre dépôt Azure.

1. Connectez-vous à votre organisation Azure DevOps puis accédez à votre projet.

2. Sélectionnez Repos, puis sélectionnez Importer. Entrez l’URL de référentiel suivante, puis sélectionnez Importer.

   https://github.com/MicrosoftDocs/pipelines-dotnet-core
   

Créer un Azure Key Vault

1. Connectez-vous au portail Azure, puis sélectionnez le bouton Cloud Shell dans le coin supérieur droit.

2. Si vous avez plusieurs abonnements Azure associés à votre compte, utilisez la commande ci-dessous pour spécifier un abonnement par défaut. Vous pouvez utiliser az account list pour générer une liste de vos abonnements.

   az account set --subscription <YOUR_SUBSCRIPTION_NAME_OR_ID>
   

3. Définissez votre région Azure par défaut. Vous pouvez utiliser az account list-locations pour générer une liste de régions disponibles.

   az config set defaults.location=<YOUR_REGION>
   

4. Créez un groupe de ressources.

   az group create --name <YOUR_RESOURCE_GROUP_NAME>
   

5. Créez un Azure Key Vault.

   az keyvault create \
     --name <YOUR_KEY_VAULT_NAME> \
     --resource-group <YOUR_RESOURCE_GROUP_NAME>
   

6. Créez un secret dans votre coffre de clés Azure.

   az keyvault secret set \
     --name <YOUR_SECRET_NAME> \
     --value <YOUR_ACTUAL_SECRET> \
     --vault-name <YOUR_KEY_VAULT_NAME>
   

Configurer l’authentification

Identité gérée

Créer une identité managée attribuée par l’utilisateur

1. Connectez-vous au Portail Azure, puis recherchez le service Identités managées dans la barre de recherche.

2. Sélectionnez Créer, puis renseignez les champs obligatoires comme suit :

   • Abonnement : sélectionnez votre abonnement dans le menu déroulant.
   • Groupe de ressources : sélectionnez un groupe de ressources existant ou créez-en un.
   • Région : sélectionnez une région dans le menu déroulant.
   • Nom : entrez un nom pour votre identité managée affectée par l’utilisateur.

3. Sélectionnez Réviser + créer lorsque vous avez terminé.

4. Une fois le déploiement terminé, sélectionnez Accéder à la ressource, puis copiez les valeurs d’abonnement et d’ID client à utiliser dans les étapes à venir.

5. Accédez aux propriétés des paramètres> et copiez la valeur d’ID de locataire de votre identité managée pour une utilisation ultérieure.

Définir des stratégies d’accès Key Vault

1. Accédez à Portail Azure et utilisez la barre de recherche pour rechercher le coffre de clés que vous avez créé précédemment.

2. Sélectionnez Stratégies d’accès, puis sélectionnez Créer pour ajouter une nouvelle stratégie.

3. Sous Autorisations secrètes, activez les cases à cocher Obtenir et Lister .

4. Sélectionnez Suivant, puis collez l’ID client de l’identité managée que vous avez créée précédemment dans la barre de recherche. Sélectionnez votre identité managée.

5. Sélectionnez Suivant, puis Suivant une fois de plus.

6. Passez en revue vos nouvelles stratégies, puis sélectionnez Créer lorsque vous avez terminé.

Créer une connexion de service

1. Connectez-vous à votre organisation Azure DevOps puis accédez à votre projet.

2. Sélectionnez Paramètres du projet>Connexions de service, puis Nouvelle connexion de service pour créer une nouvelle connexion de service.

3. Sélectionnez Azure Resource Manager, puis sélectionnez Suivant.

4. Pour Le type d’identité, sélectionnez Identité managée dans le menu déroulant.

5. Pour l’étape 1 : Détails de l’identité managée, renseignez les champs comme suit :

   • Abonnement pour l’identité managée : sélectionnez l’abonnement contenant votre identité managée.

   • Groupe de ressources pour l’identité managée : sélectionnez le groupe de ressources hébergeant votre identité managée.

   • Identité managée : sélectionnez votre identité managée dans le menu déroulant.

6. Pour l’étape 2 : Étendue Azure, renseignez les champs comme suit :

   • Niveau d’étendue pour la connexion de service : sélectionnez Abonnement.

   • Abonnement pour la connexion de service : sélectionnez l’abonnement auquel votre identité managée accède.

   • Groupe de ressources pour la connexion de service : (facultatif) Spécifiez pour limiter l’accès d’identité managée à un groupe de ressources.

7. Pour l’étape 3 : Détails de la connexion de service :

   • Nom de la connexion de service : indiquez un nom pour votre connexion de service.

   • Référence de gestion des services : (facultatif) informations de contexte d’une base de données ITSM.

   • Description : (facultatif) Ajoutez une description.

8. Dans Sécurité, cochez la case Accorder l’autorisation d’accès à tous les pipelines pour autoriser tous les pipelines à utiliser cette connexion de service. Si vous ne sélectionnez pas cette option, vous devez accorder manuellement l’accès à chaque pipeline qui utilise cette connexion de service.

9. Sélectionnez Enregistrer pour valider et créer la connexion de service.

   

Principal du service

Définir des stratégies d’accès Key Vault

Pour accéder à votre azure Key Vault, vous devez d’abord configurer un principal de service pour accorder l’accès à Azure Pipelines :

1. Créer un principal du service

2. Accédez au portail Azure, puis utilisez la barre de recherche pour rechercher le coffre de clés que vous avez créé précédemment.

3. Sélectionnez Stratégies d’accès, puis sélectionnez Créer.

4. Sous Autorisations secrètes, ajoutez les autorisations Obtenir et Répertorier, puis sélectionnez Suivant.

5. Pour Principal, collez l’ID d’objet de votre principal de service, sélectionnez-le, puis sélectionnez Suivant.

6. Sélectionnez Suivant une fois de plus, passez en revue vos stratégies, puis sélectionnez Enregistrer lorsque vous avez terminé.

Ajouter une attribution de rôle

À l’étape suivante, vous allez créer une connexion de service ARM pour votre principal de service. Avant de vérifier la connexion, vous devez : (1) accorder au principal de service l’accès en lecture au niveau de l’abonnement et (2) créer des informations d’identification fédérées pour votre principal de service.

Les étapes suivantes décrivent comment accorder l’accès en lecture au niveau de l’abonnement :

1. Accédez à Portail Azure, sélectionnez Abonnements, puis recherchez et sélectionnez votre abonnement.

2. Sélectionnez Contrôle d’accès, puis Ajouter>Ajouter une attribution de rôle.

3. Sélectionnez Lecteur dans l'onglet Rôle, puis Suivant.

4. Sélectionnez Utilisateur, groupe ou principal de service, puis Sélectionner les membres.

5. Collez l’ID d’objet de votre principal de service dans la barre de recherche, sélectionnez-le, puis sélectionnez-le.

6. Sélectionnez Vérifier + attribuer, revoyez vos paramètres, puis sélectionner Vérifier+ attribuer à nouveau pour confirmer vos choix et ajouter l’attribution de rôle.

Créer une connexion de service

1. Connectez-vous à votre organisation Azure DevOps puis accédez à votre projet.

2. Sélectionnez Paramètres du projet, puis Connexions de service.

3. Sélectionnez Nouvelle connexion de service, Azure Resource Manager, puis Suivant.

4. Sélectionnez Principal du service (manuel), puis sélectionnez Suivant.

5. Pour Le type d’identité, sélectionnez Inscription d’application ou identité managée (manuelle) dans le menu déroulant.

6. Pour informations d’identification, sélectionnez Fédération des identités de charge de travail.

7. Indiquez un nom pour votre connexion de service, puis sélectionnez Suivant.

8. Sélectionnez Le cloud Azure pour l’environnement et l’abonnement pour l’étendue de l’abonnement.

9. Entrez votre ID d’abonnement Azure et le nom de l’abonnement.

10. Pour l’authentification, collez l’ID d’application (client) de votre principal de service et l’ID d’annuaire (locataire)

11. Sous Sécurité, cochez la case Accorder l’autorisation d’accès à tous les pipelines pour autoriser tous les pipelines à utiliser cette connexion de service. Si vous ne sélectionnez pas cette option, vous devez accorder manuellement l’accès à chaque pipeline qui utilise cette connexion de service.

12. Laissez cette fenêtre ouverte, vous revenez pour vérifier et enregistrer votre connexion de service une fois que vous avez créé les informations d’identification fédérées dans Azure.

Créer des informations d’identification fédérées de principal de service

1. Accédez à Portail Azure, puis entrez l’ID client de votre principal de service dans la barre de recherche, puis sélectionnez votre application.

2. Sous Gérer, sélectionnez Certificats et informations d’identification fédérées des secrets>.

3. Sélectionnez Ajouter des informations d’identification, puis, pour le scénario d’informations d’identification fédérées, sélectionnez Autre émetteur.

4. Pour l’émetteur, collez l’émetteur que vous avez copié à partir de votre connexion de service précédemment.

5. Pour l’identificateur de l’objet, collez l’identificateur d’objet que vous avez copié à partir de votre connexion de service précédemment.

6. Fournissez un nom pour vos informations d’identification fédérées, puis sélectionnez Ajouter une fois que vous avez terminé.

7. Revenez à votre fenêtre de connexion de service, sélectionnez Vérifier et Enregistrer pour enregistrer votre connexion de service.

Accéder aux secrets du coffre de clés à partir de votre pipeline

YAML

1. Connectez-vous à votre organisation Azure DevOps puis accédez à votre projet.

2. Sélectionnez Pipelines, puis Nouveau pipeline.

3. Sélectionnez Azure Repos Git (YAML), puis votre dépôt.

4. Sélectionnez le modèle Pipeline de démarrage.

5. Le pipeline par défaut inclut un script qui exécute des commandes d'écho. Ces scripts ne sont pas nécessaires, nous pouvons les supprimer.

6. Ajoutez la tâche AzureKeyVault, en remplaçant les espaces réservés par le nom de la connexion de service que vous avez créée précédemment et le nom de votre coffre de clés. Votre fichier YAML doit ressembler à l’extrait suivant :

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   

7. Ajoutons les tâches suivantes pour copier et publier notre secret. Cet exemple n'est donné qu'à titre de démonstration et ne doit pas être mis en œuvre dans un environnement de production.

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   
   - task: CmdLine@2
     displayName: Create file
     inputs:
       script: 'echo $(SECRET_NAME) > secret.txt'
   
   - task: CopyFiles@2
     displayName: Copy file
     inputs:
       Contents: secret.txt
       targetFolder: '$(Build.ArtifactStagingDirectory)'
   
   - task: PublishBuildArtifacts@1
     displayName: Publish Artifact
     inputs:
       PathtoPublish: '$(Build.ArtifactStagingDirectory)'
       ArtifactName: 'drop'
       publishLocation: 'Container'
   

8. Sélectionnez Enregistrer et exécuter, puis sélectionnez-le à nouveau pour valider vos modifications et déclencher le pipeline. Si vous êtes invité à autoriser l’accès du pipeline aux ressources Azure, sélectionnez Autoriser. Vous n’aurez qu’à approuver votre pipeline une seule fois.

9. Sélectionnez la tâche CmdLine pour afficher les journaux.

   

10. Une fois l’exécution du pipeline terminée, revenez au récapitulatif du pipeline et sélectionnez l’artefact publié.

    

11. Sélectionnez déposer>secret.txt pour le télécharger.

    

12. Ouvrez le fichier texte que vous venez de télécharger, lequel doit contenir le secret de votre coffre de clés Azure.

Classique

1. Connectez-vous à votre organisation Azure DevOps puis accédez à votre projet.

2. Sélectionnez Pipelines, puis Nouveau pipeline.

3. Sélectionnez Utiliser l’éditeur classique pour créer un pipeline classique.

4. Sélectionnez Azure Repos Git, puis votre dépôt et votre branche par défaut, puis Continuer.

5. Sélectionnez le modèle de pipeline .Net Desktop.

6. Pour cet exemple, nous n’aurons besoin que des deux dernières tâches. Appuyez sur Ctrl, puis sélectionnez les cinq premières tâches, cliquez avec le bouton droit et choisissez Supprimer les tâches sélectionnées pour les supprimer.

   

7. Sélectionnez + pour ajouter une nouvelle tâche. Recherchez la tâche de ligne de commande, sélectionnez-la, puis sélectionnez Ajouter pour l’ajouter à votre pipeline. Une fois ajoutée, configurez-la comme suit :

   • Nom d'affichage : créer un fichier
   • Script : echo $(SECRET_NAME) > secret.txt

   

8. Sélectionnez + pour ajouter une nouvelle tâche. Recherchez la tâche de Azure Key Vault, sélectionnez-la, puis sélectionnez Ajouter* pour l’ajouter à votre pipeline. Une fois ajoutée, configurez-la comme suit :

   • Nom d'affichage : Azure Key Vault
   • Abonnement Azure : sélectionnez la connexion de service que vous avez créée précédemment
   • Coffre de clés : sélectionnez votre coffre de clés
   • Filtrer les secrets : liste de noms de secrets séparés par des virgules ou laissez * pour télécharger tous les secrets du coffre de clés sélectionné

   

9. Sélectionnez la tâche Copier les fichiers et renseignez les champs obligatoires comme suit :

   • Nom d’affichage : copier le fichier
   • Contenu : secret.txt
   • Dossier cible : $(build.artifactstagingdirectory)

   

10. Sélectionnez la tâche Publier des artefacts et renseignez les champs obligatoires comme suit :

    • Nom d'affichage : publier l’artefact
    • Chemin d’accès à la publication : $(build.artifactstagingdirectory)
    • Nom de l'artefact : dépôt
    • Emplacement de publication des artefacts : Azure Pipelines

    

11. Sélectionnez Enregistrer et mettre en file d’attente, puis Exécuter pour exécuter votre pipeline.

12. Une fois l’exécution du pipeline terminée, revenez au récapitulatif du pipeline et sélectionnez l’artefact publié.

13. Sélectionnez déposer>secret.txt pour télécharger l’artefact publié.

    

14. Ouvrez le fichier texte que vous venez de télécharger, lequel doit contenir le secret de votre coffre de clés Azure.

Avertissement

Ce didacticiel est destiné uniquement à des fins éducatives. Pour connaître les meilleures pratiques de sécurité et la façon de travailler en toute sécurité avec des secrets, consultez Gérer les secrets dans vos applications serveur avec Azure Key Vault.

Nettoyer les ressources

Suivez les étapes ci-dessous pour supprimer les ressources que vous avez créées :

1. Si vous avez créé une organisation pour héberger votre projet, consultez Comment supprimer votre organisation, sinon supprimer votre projet.

2. Toutes les ressources Azure créées au cours de ce didacticiel sont hébergées dans un seul groupe de ressources. Exécutez la commande suivante pour supprimer votre groupe de ressources et toutes ses ressources.

   az group delete --name <YOUR_RESOURCE_GROUP_NAME>
   

Questions fréquentes (FAQ)

Q : Je reçois l’erreur suivante : « L’utilisateur ou le groupe n’a pas l’autorisation de liste de secrets. ». Que dois-je faire ?

R : Si vous rencontrez une erreur indiquant que l’utilisateur ou le groupe n’a pas l’autorisation de liste des secrets sur un coffre de clés, exécutez les commandes suivantes pour autoriser votre application à accéder à la clé ou au secret dans Azure Key Vault :

az account set --subscription <YOUR_SUBSCRIPTION_ID>

az login

$spnObjectId = az ad sp show --id <YOUR_SERVICE_PRINCIPAL_ID>

az keyvault set-policy --name <YOUR_KEY_VAULT_NAME> --object-id $spnObjectId --secret-permissions get list

Articles connexes

• Publier et télécharger des artefacts de pipeline
• Artefacts de mise en production et sources d’artefact
• Utiliser des portes et des approbations pour contrôler le déploiement