Utiliser des secrets d’Azure Key Vault dans Azure Pipelines

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

Azure Key Vault permet aux développeurs de stocker et de gérer en toute sécurité des informations sensibles telles que des clés API, des informations d’identification ou des certificats. Le service Azure Key Vault prend en charge deux types de conteneurs : les coffres et les pools HSM (modules de sécurité matériels) managés. Les coffres peuvent stocker à la fois des clés logicielles et sauvegardées avec HSM, des secrets et des certificats, tandis que les pools HSM managés prennent exclusivement en charge les clés sauvegardées avec HSM.

Dans ce didacticiel, vous apprendrez à :

• Créer un coffre Azure Key Vault avec Azure CLI
• Ajouter un secret et configurer l’accès au coffre de clés Azure
• Utiliser des secrets dans votre pipeline

Prérequis

• Un organization Azure DevOps et un projet. Créez un organization ou un projet si ce n’est pas déjà fait.

• Un abonnement Azure. Créez un compte Azure gratuitement si vous n’en avez pas déjà un.

Créer un référentiel

Si vous disposez déjà de votre propre dépôt, passez à l’étape suivante. Sinon, suivez les instructions ci-dessous pour initialiser votre dépôt. Nous allons utiliser ce dépôt Azure pour configurer notre pipeline.

1. Connectez-vous à votre organisation Azure DevOps puis accédez à votre projet.

2. Sélectionnez Dépôts, puis Initialiser pour initialiser la branche primaire avec un fichier README.

   

Créer un Azure Key Vault

1. Connectez-vous au portail Azure, puis sélectionnez le bouton Cloud Shell dans le coin supérieur droit.

2. Si vous avez plusieurs abonnements Azure associés à votre compte, utilisez la commande ci-dessous pour spécifier un abonnement par défaut. Vous pouvez utiliser az account list pour générer une liste de vos abonnements.

   az account set --subscription <YOUR_SUBSCRIPTION_NAME_OR_ID>
   

3. Définissez votre région Azure par défaut. Vous pouvez utiliser az account list-locations pour générer une liste de régions disponibles.

   az config set defaults.location=<YOUR_REGION>
   

4. Créez un groupe de ressources.

   az group create --name <YOUR_RESOURCE_GROUP_NAME>
   

5. Créez un Azure Key Vault.

   az keyvault create \
     --name <YOUR_KEY_VAULT_NAME> \
     --resource-group <YOUR_RESOURCE_GROUP_NAME>
   

6. Créez un secret dans votre coffre de clés Azure.

   az keyvault secret set \
     --name <YOUR_SECRET_NAME> \
     --value <YOUR_ACTUAL_SECRET> \
     --vault-name <YOUR_KEY_VAULT_NAME>
   

Définir des stratégies d’accès Key Vault

Pour accéder à notre coffre de clés Azure, il faut configurer un principal de service pour accorder l’accès à Azure Pipelines. Suivez les instructions de ce guide pour créer un principal de service avec l'interface de ligne de commande Azure, puis passez aux étapes suivantes de cette section.

1. Accédez au portail Azure, puis utilisez la barre de recherche pour rechercher le coffre de clés que vous avez créé précédemment.

   

2. Sélectionnez Stratégies d’accès, puis Créer pour créer une nouvelle stratégie.

3. Sous Autorisations du secret, sélectionnez Get (Obtenir) et List (Lister).

4. Sélectionnez Suivant, puis le principal du service que vous avez créé précédemment. Un principal de service est un objet qui représente une application ou un service demandant l’accès aux ressources Azure.

5. Sélectionnez Suivant, puis Suivant à nouveau.

6. Vérifiez vos stratégies, puis sélectionnez Créer quand vous avez terminé.

Remarque

Les Azure Key Vaults qui utilisent le contrôle d’accès en fonction du rôle Azure (Azure RBAC) ne sont pas pris en charge.

Ajouter une attribution de rôle

À l’étape suivante, nous allons créer une connexion de service ARM à l’aide du principal de service. Avant de pouvoir vérifier la connexion, il faut accorder l’accès en lecture au principal de service au niveau de l’abonnement :

1. Accédez au portail Azure

2. Sélectionnez Abonnements dans le volet de navigation gauche, puis recherchez et sélectionnez votre abonnement.

3. Sélectionnez Contrôle d’accès, puis Ajouter>Ajouter une attribution de rôle.

   

4. Sélectionnez Lecteur dans l'onglet Rôle, puis Suivant.

5. Sélectionnez Utilisateur, groupe ou principal de service, puis Sélectionner les membres.

   

6. Utilisez la barre de recherche pour rechercher votre principal de service, puis sélectionnez le signe « + » pour le sélectionner. Ensuite, cliquez sur le bouton Sélectionner.

7. Sélectionnez Vérifier + attribuer, revoyez vos paramètres, puis sélectionner Vérifier+ attribuer à nouveau pour confirmer vos choix et ajouter l’attribution de rôle.

Créer une connexion de service

1. Connectez-vous à votre organisation Azure DevOps puis accédez à votre projet.

2. Sélectionnez Paramètres du projet>Connexions de service, puis Nouvelle connexion de service pour créer une nouvelle connexion de service.

3. Sélectionnez Azure Resource Manager, puis sélectionnez Suivant.

4. Sélectionnez Principal du service (manuel), puis sélectionnez Suivant.

5. Sélectionnez Azure Cloud pour Environnement et Abonnement pour le Niveau de portée, puis saisissez votre ID d’abonnement et votre Nom d’abonnement.

6. Renseignez les champs suivants avec les informations que vous avez obtenues lors de la création du principal de service, puis sélectionnez Vérifier lorsque vous avez terminé :

   • ID principal du service : Votre principal de service appId.
   • Clé principale du service : Votre principal de service mot de passe.
   • ID du locataire : Votre principal de service locataire.

7. Une fois la vérification réalisée avec succès, fournissez un nom et une description (facultatif) pour votre connexion de service, puis cochez la case Accorder une autorisation d’accès à tous les pipelines.

8. Sélectionnez Vérifier et enregistrez lorsque vous avez terminé.

   

Créer un pipeline

Classique

1. Connectez-vous à votre organisation Azure DevOps puis accédez à votre projet.

2. Sélectionnez Pipelines, puis Nouveau pipeline.

3. Sélectionnez Utiliser l’éditeur classique pour créer un pipeline classique.

4. Sélectionnez Azure Repos Git, puis votre dépôt et votre branche par défaut, puis Continuer.

5. Sélectionnez le modèle de pipeline .Net Desktop.

6. Pour cet exemple, nous n’aurons besoin que des deux dernières tâches. Appuyez sur Ctrl, puis sélectionnez les cinq premières tâches, cliquez avec le bouton droit et choisissez Supprimer les tâches sélectionnées pour les supprimer.

   

7. Sélectionnez + pour ajouter une nouvelle tâche. Recherchez la tâche de ligne de commande, sélectionnez-la, puis sélectionnez Ajouter pour l’ajouter à votre pipeline. Une fois ajoutée, configurez-la comme suit :

   • Nom d'affichage : créer un fichier
   • Script : echo $(YOUR_SECRET_NAME) > secret.txt

   

8. Sélectionnez + pour ajouter une nouvelle tâche. Recherchez la tâche de Azure Key Vault, sélectionnez-la, puis sélectionnez Ajouter* pour l’ajouter à votre pipeline. Une fois ajoutée, configurez-la comme suit :

   • Nom d'affichage : Azure Key Vault
   • Abonnement Azure : sélectionnez votre connexion de service du principal de service que vous avez créée précédemment
   • Coffre de clés : sélectionnez votre coffre de clés
   • Filtrer les secrets : liste de noms de secrets séparés par des virgules ou laissez * pour télécharger tous les secrets du coffre de clés sélectionné

   

9. Sélectionnez la tâche Copier les fichiers et renseignez les champs obligatoires comme suit :

   • Nom d’affichage : copier le fichier
   • Contenu : secret.txt
   • Dossier cible : $(build.artifactstagingdirectory)

   

10. Sélectionnez la tâche Publier des artefacts et renseignez les champs obligatoires comme suit :

    • Nom d'affichage : publier l’artefact
    • Chemin d’accès à la publication : $(build.artifactstagingdirectory)
    • Nom de l'artefact : dépôt
    • Emplacement de publication des artefacts : Azure Pipelines

    

11. Sélectionnez Enregistrer et mettre en file d’attente, puis Exécuter pour exécuter votre pipeline.

12. Une fois l’exécution du pipeline terminée, revenez au récapitulatif du pipeline et sélectionnez l’artefact publié.

13. Sélectionnez déposer>secret.txt pour télécharger l’artefact publié.

    

14. Ouvrez le fichier texte que vous venez de télécharger, lequel doit contenir le secret de votre coffre de clés Azure.

YAML

1. Connectez-vous à votre organisation Azure DevOps puis accédez à votre projet.

2. Sélectionnez Pipelines, puis Nouveau pipeline.

3. Sélectionnez Azure Repos Git (YAML), puis votre dépôt.

4. Sélectionnez le modèle Pipeline de démarrage.

5. Le pipeline par défaut inclut un script qui exécute des commandes d'écho. Ces scripts ne sont pas nécessaires, nous pouvons les supprimer.

6. Ajoutez la tâche AzureKeyVault, en remplaçant les espaces réservés par le nom de la connexion de service que vous avez créée précédemment et le nom de votre coffre de clés. Votre fichier YAML doit ressembler à l’extrait suivant :

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'YOUR_SERVICE_CONNECTION_NAME'
       KeyVaultName: 'YOUR_KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   

7. Ajoutons les tâches suivantes pour copier et publier notre secret. Cet exemple n'est donné qu'à titre de démonstration et ne doit pas être mis en œuvre dans un environnement de production.

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'YOUR_SERVICE_CONNECTION_NAME'
       KeyVaultName: 'YOUR_KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   
   - task: CmdLine@2
     displayName: Create file
     inputs:
       script: 'echo $(YOUR_SECRET_NAME) > secret.txt'
   
   - task: CopyFiles@2
     displayName: Copy file
     inputs:
       Contents: secret.txt
       targetFolder: '$(Build.ArtifactStagingDirectory)'
   
   - task: PublishBuildArtifacts@1
     displayName: Publish Artifact
     inputs:
       PathtoPublish: '$(Build.ArtifactStagingDirectory)'
       ArtifactName: 'drop'
       publishLocation: 'Container'
   

8. Sélectionnez Enregistrer et exécuter, puis sélectionnez-le à nouveau pour valider vos modifications et déclencher le pipeline. Si vous êtes invité à autoriser l’accès du pipeline aux ressources Azure, sélectionnez Autoriser. Vous n’aurez qu’à approuver votre pipeline une seule fois.

9. Sélectionnez la tâche CmdLine pour afficher les journaux.

   

10. Une fois l’exécution du pipeline terminée, revenez au récapitulatif du pipeline et sélectionnez l’artefact publié.

    

11. Sélectionnez déposer>secret.txt pour le télécharger.

    

12. Ouvrez le fichier texte que vous venez de télécharger, lequel doit contenir le secret de votre coffre de clés Azure.

Avertissement

Ce didacticiel est destiné uniquement à des fins éducatives. Pour connaître les meilleures pratiques de sécurité et la façon de travailler en toute sécurité avec des secrets, consultez Gérer les secrets dans vos applications serveur avec Azure Key Vault.

Nettoyer les ressources

Suivez les étapes ci-dessous pour supprimer les ressources que vous avez créées :

1. Si vous avez créé une organisation pour héberger votre projet, consultez Comment supprimer votre organisation, sinon supprimer votre projet.

2. Toutes les ressources Azure créées au cours de ce didacticiel sont hébergées dans un seul groupe de ressources. Exécutez la commande suivante pour supprimer votre groupe de ressources et toutes ses ressources.

   az group delete --name <YOUR_RESOURCE_GROUP_NAME>
   

FAQ

Q : Je reçois l’erreur suivante : « L’utilisateur ou le groupe n’a pas l’autorisation de liste de secrets. ». Que dois-je faire ?

R : Si vous rencontrez une erreur indiquant que l’utilisateur ou le groupe n’a pas l’autorisation de liste des secrets sur un coffre de clés, exécutez les commandes suivantes pour autoriser votre application à accéder à la clé ou au secret dans Azure Key Vault :

$ErrorActionPreference="Stop";
$Credential = Get-Credential;
Connect-AzAccount -SubscriptionId <YOUR_SUBSCRIPTION_ID> -Credential $Credential;
$spn=(Get-AzureRmADServicePrincipal -SPN <YOUR_SERVICE_PRINCIPAL_ID>);
$spnObjectId=$spn.Id;
Set-AzureRmKeyVaultAccessPolicy -VaultName key-vault-tutorial -ObjectId $spnObjectId -PermissionsToSecrets get,list;

Articles connexes

• Publier et télécharger des artefacts de pipeline
• Artefacts de mise en production et sources d’artefact
• Utiliser des portes et des approbations pour contrôler le déploiement