Gérer les groupes de variables

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

Cet article explique comment créer et utiliser des groupes de variables dans Azure Pipelines. Les groupes de variables stockent des valeurs et des secrets que vous pouvez passer dans un pipeline YAML ou rendre disponibles dans plusieurs pipelines d'un projet.

Les variables secrètes dans les groupes de variables sont des ressources protégées. Vous pouvez ajouter des combinaisons d’approbations, de vérifications et d’autorisations de pipeline pour limiter l’accès aux variables secrètes d’un groupe de variables. L'accès aux variables non secrètes n'est pas limité par des approbations, des vérifications ou des permissions de pipeline.

Les groupes de variables suivent le modèle de sécurité de la bibliothèque pour les rôles et les permissions.

Prérequis

• Une organisation et un projet Azure DevOps Services où vous disposez des autorisations nécessaires pour créer des pipelines et des variables.
• Projet dans votre organisation Azure DevOps ou collection Azure DevOps Server. Créez un projet si vous n’en avez pas.
• Si vous utilisez Azure DevOps CLI, vous avez besoin d’Azure CLI version 2.30.0 ou ultérieure avec l’extension Azure DevOps CLI. Pour plus d’informations, consultez Prise en main d’Azure DevOps CLI.

Configurer l’interface CLI

Si vous utilisez Azure DevOps CLI, vous devez configurer l’interface CLI pour travailler avec votre organisation et votre projet Azure DevOps.

1. Connectez-vous à votre organisation Azure DevOps à l’aide de la commande az login .

   Azure CLI

   az login
   

2. Si vous y êtes invité, sélectionnez votre abonnement dans la liste affichée dans votre fenêtre de terminal.

3. Vérifiez que vous exécutez la dernière version d’Azure CLI et l’extension Azure DevOps à l’aide des commandes suivantes.

   Azure CLI

   az upgrade
   az extension add --name azure-devops --upgrade
   

4. Dans les commandes CLI Azure DevOps, vous pouvez définir l’organisation et le projet par défaut à l’aide des éléments suivants :

   Azure CLI

   az devops configure --defaults organization=<YourOrganizationURL> project=<Project Name or ID>`
   

   Si vous n’avez pas défini l’organisation et le projet par défaut, vous pouvez utiliser le detect=true paramètre dans vos commandes pour détecter automatiquement le contexte de l’organisation et du projet en fonction de votre répertoire actif. Si les valeurs par défaut ne sont pas configurées ou détectées, vous devez spécifier explicitement les paramètres et project les org paramètres dans vos commandes.

Créer un groupe de variables

Vous pouvez créer des groupes de variables pour les exécutions du pipeline dans votre projet.

Notes

Pour créer un groupe de variables secrètes pour lier des secrets à partir d’un coffre de clés Azure en tant que variables, suivez les instructions de l’adresse Lier un groupe de variables aux secrets dans Azure Key Vault.

Interface utilisateur Azure Pipelines

1. Dans votre projet Azure DevOps, sélectionnez Pipelines>Bibliothèque dans le menu de gauche.

2. Dans la page Bibliothèque, sélectionnez + Groupe de variables.

   

3. Sur la page du nouveau groupe de variables, sous Propriétés, saisissez un nom et une description facultative pour le groupe de variables.

4. Sous Variables, sélectionnez + Ajouter, puis entrez un nom de variable et une valeur à inclure dans le groupe. Si vous souhaitez chiffrer et stocker la valeur en toute sécurité, sélectionnez l'icône de cadenas en regard de la variable.

5. Sélectionnez + Ajouter pour ajouter chaque nouvelle variable. Lorsque vous avez fini d'ajouter des variables, sélectionnez Enregistrer.

   

Vous pouvez maintenant utiliser ce groupe de variables dans les pipelines de projet.

Interface CLI Azure DevOps

Dans Azure DevOps Services, vous pouvez créer des groupes de variables en utilisant la CLI Azure DevOps.

Pour créer un groupe de variables, utilisez la commande az pipelines variable-group create.

Par exemple, la commande suivante crée un groupe de variables nommé home-office-config, ajoute les variables app-location=home-office et app-name=contoso et produit les résultats au format YAML.

Azure CLI

az pipelines variable-group create --name home-office-config
                                   --variables app-location=home-office app-name=contoso
                                   --output yaml

Sortie :

YAML

authorized: false
description: null
id: 5
name: home-office-config
providerData: null
type: Vsts
variables:
  app-location:
    isSecret: null
    value: home-office
  app-name:
    isSecret: null
    value: contoso

Mise à jour des groupes de variables

Azure Pipelines UI

Vous pouvez mettre à jour les groupes de variables en utilisant l'interface utilisateur Azure Pipelines.

1. Dans votre projet Azure DevOps, sélectionnez Pipelines>Bibliothèque dans le menu de gauche.
2. Sur la page Bibliothèque, sélectionnez le groupe de variables que vous souhaitez mettre à jour. Vous pouvez également survoler la liste des groupes de variables, sélectionner l'icône Plus d'options et sélectionner Modifier dans le menu.
3. Sur la page du groupe de variables, modifiez l'une des propriétés, puis sélectionnez Enregistrer.

Interface CLI Azure DevOps

Dans Azure DevOps Services, vous pouvez mettre à jour les groupes de variables à l'aide de la CLI Azure DevOps.

Lister les groupes de variables

Pour mettre à jour un groupe de variables ou les variables qu'il contient à l'aide de la CLI d'Azure DevOps, vous utilisez le groupe de variables group-id.

Vous pouvez obtenir la valeur de l'ID du groupe de variables à partir de la sortie de la commande de création de groupe de variables, ou utiliser la commande az pipelines variable-group list.

Par exemple, la commande suivante répertorie les trois premiers groupes de variables du projet par ordre croissant et renvoie les résultats, y compris l'ID du groupe de variables, sous forme de tableau.

Azure CLI

az pipelines variable-group list --top 3 --query-order Asc --output table

Sortie :

Output

ID    Name               Type    Number of Variables
----  -----------------  ------  ---------------------
1     myvariables        Vsts    2
2     newvariables       Vsts    4
3     new-app-variables  Vsts    3

Mettre à jour un groupe de variables

Pour mettre à jour un groupe de variables, utilisez la commande az pipelines variable-group update.

Notes

Vous ne pouvez pas mettre à jour un groupe de variables de type AzureKeyVault à l’aide d’Azure DevOps CLI.

Par exemple, la commande suivante met à jour le groupe de variables avec l'ID 4 pour modifier les name et description, et affiche les résultats sous forme de tableau.

Azure CLI

az pipelines variable-group update --group-id 4
                                   --name my-new-variables
                                   --description "New home office variables"
                                   --output table

Sortie :

Output

ID    Name              Description               Is Authorized  Number of Variables
----  ----------------  ------------------------- -------------  -------------------
4     my-new-variables  New home office variables false          2

Voir les détails d’un groupe de variables

Vous pouvez utiliser la commande az pipelines variable-group show pour afficher les détails d'un groupe de variables. Par exemple, la commande suivante affiche les détails du groupe de variables avec l'ID 4 et renvoie les résultats au format YAML.

Azure CLI

az pipelines variable-group show --group-id 4 --output yaml

Sortie :

YAML

authorized: false
description: Variables for my new app
id: 4
name: my-new-variables
providerData: null
type: Vsts
variables:
  app-location:
    isSecret: null
    value: home-office
  app-name:
    isSecret: null
    value: contoso

Supprimer un groupe de variables

Interface utilisateur Azure Pipelines

Vous pouvez supprimer des groupes de variables dans l'interface utilisateur d'Azure Pipelines.

1. Dans votre projet Azure DevOps, sélectionnez Pipelines>Bibliothèque dans le menu de gauche.
2. Sur la page Bibliothèque, survolez le groupe de variables que vous souhaitez supprimer et sélectionnez l'icône Plus d'options.
3. Sélectionnez Supprimer dans le menu, puis sélectionnez Supprimer dans l'écran de confirmation.

Interface CLI Azure DevOps

Dans Azure DevOps Services, vous pouvez supprimer des groupes de variables à l'aide de la CLI Azure DevOps.

Pour supprimer un groupe de variables, utilisez la commande az pipelines variable-group delete. Par exemple, la commande suivante supprime le groupe de variables avec l'ID 1 et ne demande pas de confirmation.

Azure CLI

az pipelines variable-group delete --group-id 1 --yes

Gérer les variables dans les groupes de variables

Interface utilisateur Azure Pipelines

Vous pouvez modifier, ajouter ou supprimer des variables dans des groupes de variables en utilisant l'interface utilisateur Azure Pipelines.

1. Dans votre projet Azure DevOps, sélectionnez Pipelines>Bibliothèque dans le menu de gauche.
2. Sur la page Bibliothèque, sélectionnez le groupe de variables que vous souhaitez mettre à jour. Vous pouvez également survoler la liste des groupes de variables, sélectionner l'icône Plus d'options et sélectionner Modifier dans le menu.
3. Sur la page du groupe de variables, vous pouvez
   • Modifier n'importe quel nom ou valeur de variable.
   • Supprimer l'une des variables en sélectionnant l'icône de la poubelle à côté du nom de la variable.
   • Changer les variables en secrètes ou non secrètes en sélectionnant l'icône de cadenas à côté de la valeur de la variable.
   • Ajoutez de nouvelles variables en sélectionnant + Ajouter.
4. Après avoir effectué les modifications, sélectionnez Enregistrer.

Interface CLI Azure DevOps

Dans Azure DevOps Services, vous pouvez gérer les variables dans des groupes de variables à l'aide de la CLI Azure DevOps.

Lister les variables d’un groupe de variables

Pour répertorier les variables d'un groupe de variables, utilisez la commande az pipelines variable-group variable list. Par exemple, la commande suivante dresse la liste de toutes les variables du groupe de variables dont l'ID est 4 et affiche le résultat sous forme de tableau.

Azure CLI

az pipelines variable-group variable list --group-id 4 --output table

Sortie :

Output

Name            Is Secret    Value
--------------  -----------  -----------
app-location    False        home-office
app-name        False        contoso

Ajouter des variables à un groupe de variables

Pour ajouter une variable à un groupe de variables, utilisez la commande az pipelines variable-group variable create.

Par exemple, la commande suivante crée une nouvelle variable nommée requires-login avec une valeur par défaut de true dans le groupe de variables avec ID 4. Le résultat est affiché sous forme de tableau.

Azure CLI

az pipelines variable-group variable create --group-id 4
                                            --name requires-login
                                            --value true
                                            --output table

Sortie :

Output

Name            Is Secret    Value
--------------  -----------  -------
requires-login  False        true

Mettre à jour les variables d’un groupe de variables

Pour mettre à jour les variables d'un groupe de variables, utilisez la commande az pipelines variable-group variable update.

Notes

Vous ne pouvez pas mettre à jour les variables dans un groupe de variables de type AzureKeyVault à l’aide de l’interface CLI Azure DevOps. Vous pouvez mettre à jour des variables via les az keyvault commandes.

Par exemple, la commande suivante met à jour la variable requires-login avec la nouvelle valeur false dans le groupe de variables avec ID 4, et affiche le résultat au format YAML. La commande spécifie que la variable est un secret.

Azure CLI

az pipelines variable-group variable update --group-id 4
                                            --name requires-login
                                            --value false
                                            --secret true
                                            --output yaml

La sortie indique la valeur null au lieu de false parce qu'il s'agit d'une valeur cachée secrète.

YAML

requires-login:
  isSecret: true
  value: null

Gestion des variables secrètes

Pour gérer des variables secrètes, utilisez la commande az pipelines variable-group variable update avec les paramètres suivants :

• secret : La valeur true indique que la valeur de la variable est gardée secrète.
• prompt-value : Définir sur true pour mettre à jour la valeur d'une variable secrète en utilisant une variable d'environnement ou une requête via l'entrée standard.
• value : Pour les variables secrètes, utilisez le paramètre prompt-value pour être invité à saisir la valeur via l'entrée standard. Pour les consoles non interactives, vous pouvez utiliser la variable d'environnement préfixée par AZURE_DEVOPS_EXT_PIPELINE_VAR_. Par exemple, vous pouvez saisir une variable nommée MySecret en utilisant la variable d'environnement AZURE_DEVOPS_EXT_PIPELINE_VAR_MySecret.

Supprimer des variables d’un groupe de variables

Pour supprimer une variable d'un groupe de variables, utilisez la commande az pipelines variable-group variable delete. Par exemple, la commande suivante supprime la variable requires-login du groupe de variables dont l'ID est 4.

Azure CLI

az pipelines variable-group variable delete --group-id 4 --name requires-login

La commande demande une confirmation car il s'agit de la valeur par défaut. Utilisez le --yes paramètre pour ignorer l’invite de confirmation.

Output

Are you sure you want to delete this variable? (y/n): y
Deleted variable 'requires-login' successfully.

Utiliser des groupes de variables dans les pipelines

Vous pouvez utiliser des groupes de variables dans les pipelines YAML ou Classic. Les modifications que vous apportez à un groupe de variables sont automatiquement disponibles pour toutes les définitions ou étapes auxquelles le groupe de variables est lié.

YAML

Si vous ne nommez que le groupe de variables dans les pipelines YAML, quiconque peut pousser du code dans votre référentiel pourrait extraire le contenu des secrets du groupe de variables. Par conséquent, pour utiliser un groupe de variables avec les pipelines YAML, vous devez autoriser le pipeline à utiliser le groupe. Vous pouvez autoriser un pipeline à utiliser un groupe de variables dans l’interface utilisateur Azure Pipelines ou à l’aide d’Azure DevOps CLI.

Autorisation via l’interface utilisateur de Pipelines

Vous pouvez autoriser les pipelines à utiliser vos groupes de variables en utilisant l'interface utilisateur Azure Pipelines.

1. Dans votre projet Azure DevOps, sélectionnez Pipelines>Bibliothèque dans le menu de gauche.
2. Sur la page Bibliothèque, sélectionnez le groupe de variables que vous souhaitez autoriser.
3. Sur la page du groupe de variables, sélectionnez l'onglet Autorisations des pipelines.
4. Dans l'écran des permissions relatives aux pipelines, sélectionnez +, puis un pipeline à autoriser. Vous pouvez également sélectionner l'icône Autres actions, sélectionner Accès libre, puis sélectionner à nouveau Accès libre pour confirmer.

La sélection d'un pipeline autorise ce pipeline à utiliser le groupe de variables. Pour autoriser un autre pipeline, sélectionnez à nouveau l'icône +. En sélectionnant Accès libre, vous autorisez tous les pipelines du projet à utiliser le groupe de variables. L'accès libre peut être une bonne option si vous n'avez pas de secrets dans le groupe.

Une autre façon d'autoriser un groupe de variables consiste à sélectionner le pipeline, à sélectionner Modifier, puis à mettre en file d'attente un build manuellement. Vous voyez une erreur d'autorisation de ressource et pouvez ensuite ajouter explicitement le pipeline en tant qu'utilisateur autorisé du groupe de variables.

Autorisation via Azure DevOps CLI

Dans Azure DevOps Services, vous pouvez autoriser des groupes de variables en utilisant la CLI Azure DevOps.

Pour autoriser tous les pipelines du projet à utiliser le groupe de variables, attribuez la valeur authorize au paramètre de la commande az pipelines variable-group createtrue. Cet accès ouvert peut être une bonne option si vous n’avez pas de secrets dans le groupe.

Lier un groupe de variables à un pipeline

Une fois que vous autorisez un pipeline YAML à utiliser un groupe de variables, vous pouvez utiliser des variables au sein du groupe dans le pipeline.

Pour utiliser des variables à partir d’un groupe de variables, ajoutez une référence au nom du groupe dans votre fichier de pipeline YAML.

YAML

variables:
- group: my-variable-group

Vous pouvez référencer plusieurs groupes de variables dans le même pipeline. Si plusieurs groupes de variables incluent les variables portant le même nom, le dernier groupe de variables qui utilise la variable dans le fichier définit la valeur de la variable. Pour plus d'informations sur la préséance des variables, voir Expansion des variables.

Vous pouvez également référencer un groupe de variables dans un modèle. Le fichier modèle variables.yml suivant fait référence au groupe de variables my-variable-group. Le groupe de variables inclut une variable nommée myhello.

YAML

variables:
- group: my-variable-group

Le pipeline YAML fait référence au modèle variables.yml et utilise la variable $(myhello) du groupe de variables my-variable-group.

YAML

stages:
- stage: MyStage
  variables:
  - template: variables.yml
  jobs:
  - job: Test
    steps:
    - script: echo $(myhello)

Utiliser des variables dans un groupe de variables liés

Vous accédez aux valeurs des variables dans un groupe de variables lié de la même façon que vous accédez aux variables que vous définissez dans le pipeline. Par exemple, pour accéder à la valeur d'une variable nommée customer dans un groupe de variables lié au pipeline, vous pouvez utiliser $(customer) dans un paramètre de tâche ou un script.

Si vous utilisez à la fois des variables autonomes et des groupes de variables dans votre fichier pipeline, utilisez la syntaxe name-value pour les variables autonomes.

YAML

variables:
- group: my-variable-group
- name: my-standalone-variable
  value: 'my-standalone-variable-value'

Pour référencer une variable dans un groupe de variables, vous pouvez utiliser la syntaxe macro ou une expression d'exécution. Dans les exemples suivants, le groupe my-variable-group a une variable nommée myhello.

Pour utiliser une expression d'exécution :

YAML

variables:
- group: my-variable-group
- name: my-passed-variable
  value: $[variables.myhello]
- script: echo $(my-passed-variable)

Pour utiliser la syntaxe macro :

YAML

variables:
- group: my-variable-group

steps:
- script: echo $(myhello)

Vous ne pouvez pas accéder aux variables secrètes, y compris les variables chiffrées et les variables du Key Vault, directement dans les scripts. Vous devez transmettre ces variables en tant qu'arguments à une tâche. Pour plus d'informations, voir Variables secrètes.

Classique

Utiliser des groupes de variables dans les pipelines classiques

Les pipelines classiques peuvent utiliser des groupes de variables sans autorisation distincte. Pour utiliser un groupe de variables :

1. Ouvrez votre pipeline classique.

2. Sélectionnez Variables>Groupes de variables, puis Lier un groupe de variables.

   • Dans un pipeline de build, vous voyez une liste des groupes disponibles. Sélectionnez un groupe de variables, puis sélectionnez Lien. Toutes les variables du groupe peuvent être utilisées dans le pipeline.

   • Dans un pipeline de validation, vous voyez également une liste déroulante des étapes du pipeline. Liez le groupe de variables au pipeline lui-même ou à une ou plusieurs étapes spécifiques du pipeline de validation. Si vous liez le groupe de variables à une ou plusieurs étapes, les variables du groupe de variables sont limitées à ces étapes et ne sont pas accessibles dans les autres étapes de la version.

   

Lorsque vous définissez une variable avec le même nom dans plusieurs champs d'application, la priorité suivante est utilisée, la plus élevée en premier :

1. Variable définie au moment de la mise en file d’attente
2. Variable définie dans le pipeline
3. Variable définie dans le groupe de variables

Pour plus d'informations sur la préséance des variables, voir Expansion des variables.

Notes

Les variables de différents groupes liés à un pipeline dans la même étendue (par exemple un travail ou une phase) sont en conflit et le résultat peut être imprévisible. Veillez à utiliser des noms de variables différents dans tous vos groupes de variables.

Articles connexes

• Définir des variables
• Définir des variables personnalisées
• Utiliser des variables secrètes et non secrètes dans des groupes de variables
• Utiliser des secrets d’Azure Key Vault dans Azure Pipelines
• Ajouter des approbations et des vérifications