Usare i segreti di Azure Key Vault in Azure Pipelines

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Azure Key Vault consente agli sviluppatori di archiviare e gestire in modo sicuro informazioni riservate, ad esempio chiavi API, credenziali o certificati. Il servizio Azure Key Vault supporta due tipi di contenitori: insiemi di credenziali e pool di moduli di protezione hardware gestiti . Gli insiemi di credenziali possono archiviare chiavi, segreti e certificati supportati dal software e dal modulo di protezione hardware, mentre i pool di moduli di protezione hardware gestiti supportano esclusivamente le chiavi supportate dal modulo di protezione hardware.

La presente esercitazione include informazioni su come:

• Creare un'istanza di Azure Key Vault usando l'interfaccia della riga di comando di Azure
• Aggiungere un segreto e configurare l'accesso all'insieme di credenziali delle chiavi di Azure
• Usare i segreti nella pipeline

Prerequisiti

• Un'organizzazione Di Azure DevOps e un progetto. Creare un'organizzazione o un progetto, se non è già stato fatto.

• Una sottoscrizione di Azure. Creare gratuitamente un account Azure, se non ne è già disponibile uno.

Creare un repository

Se si ha già un repository personalizzato, procedere con il passaggio successivo. In caso contrario, seguire le istruzioni riportate di seguito per inizializzare il repository. Questo repository di Azure verrà usato per configurare la pipeline.

1. Accedere all'organizzazione di Azure DevOps e passare al progetto.

2. Selezionare Repository e quindi inizializzare per inizializzare il ramo principale con un file README.

   

Creare un Azure Key Vault

1. Accedere al portale di Azure e quindi selezionare il pulsante Cloud Shell nell'angolo superiore destro.

2. Se all'account sono associate più sottoscrizioni di Azure, usare il comando seguente per specificare una sottoscrizione predefinita. È possibile usare az account list per generare un elenco delle sottoscrizioni.

   az account set --subscription <YOUR_SUBSCRIPTION_NAME_OR_ID>
   

3. Impostare l'area di Azure predefinita. È possibile usare az account list-locations per generare un elenco di aree disponibili.

   az config set defaults.location=<YOUR_REGION>
   

4. Creare un nuovo gruppo di risorse.

   az group create --name <YOUR_RESOURCE_GROUP_NAME>
   

5. Creare un nuovo insieme di credenziali delle chiavi di Azure.

   az keyvault create \
     --name <YOUR_KEY_VAULT_NAME> \
     --resource-group <YOUR_RESOURCE_GROUP_NAME>
   

6. Creare un nuovo segreto nell'insieme di credenziali delle chiavi di Azure.

   az keyvault secret set \
     --name <YOUR_SECRET_NAME> \
     --value <YOUR_ACTUAL_SECRET> \
     --vault-name <YOUR_KEY_VAULT_NAME>
   

Configurare i criteri di accesso dell'insieme di credenziali delle chiavi

Per accedere ad Azure Key Vault, è necessario configurare un'entità servizio per concedere l'accesso ad Azure Pipelines. Seguire questa guida per creare un'entità servizio con l'interfaccia della riga di comando di Azure e quindi continuare con i passaggi successivi in questa sezione.

1. Passare a portale di Azure e quindi usare la barra di ricerca per trovare l'insieme di credenziali delle chiavi creato in precedenza.

   

2. Selezionare Criteri di accesso e quindi Creaper creare un nuovo criterio.

3. In Autorizzazioni segrete selezionare Recupera ed Elenco.

4. Selezionare Avanti e quindi selezionare l'entità servizio creata in precedenza. Un'entità servizio è un oggetto che rappresenta un'applicazione o un servizio che richiede l'accesso alle risorse di Azure.

5. Selezionare Avanti e quindi Avanti ancora una volta.

6. Esaminare i criteri e quindi selezionare Crea al termine.

Nota

Gli insiemi di credenziali delle chiavi di Azure che usano il controllo degli accessi in base al ruolo di Azure non sono supportati.

Aggiungi un'assegnazione di ruolo

Nel passaggio successivo si creerà una connessione al servizio ARM usando l'entità servizio. Prima di poter verificare la connessione, è necessario concedere all'entità servizio l'accesso in lettura a livello di sottoscrizione:

1. Passare a portale di Azure

2. Selezionare Sottoscrizioni nel pannello di spostamento sinistro e quindi trovare e selezionare la sottoscrizione.

3. Selezionare Controllo di accesso e quindi Aggiungi aggiungi>assegnazione di ruolo.

   

4. Selezionare Lettore nella scheda Ruolo e quindi selezionare Avanti.

5. Selezionare Utente, gruppo o entità servizio e quindi selezionare Seleziona membri.

   

6. Usare la barra di ricerca per trovare l'entità servizio e quindi selezionare il segno "+" per selezionarlo, quindi fare clic sul pulsante Seleziona .

7. Selezionare Rivedi e assegna, rivedere le impostazioni e quindi selezionare Rivedi e assegna ancora una volta per confermare le scelte e aggiungere l'assegnazione di ruolo.

Creare una connessione al servizio

1. Accedere all'organizzazione di Azure DevOps e passare al progetto.

2. Selezionare Connessioni al servizio Impostazioni> progetto, quindi selezionare Nuova connessione al servizio per creare una nuova connessione al servizio.

3. Selezionare Azure Resource Manager e quindi avanti.

4. Selezionare Entità servizio (manuale) e quindi selezionare Avanti.

5. Selezionare Cloud di Azure per Ambiente e sottoscrizione per il livello di ambito, quindi immettere l'IDsottoscrizione e il nome della sottoscrizione.

6. Compilare i campi seguenti con le informazioni ottenute durante la creazione dell'entità servizio e quindi selezionare Verifica al termine:

   • ID entità servizio: id appId dell'entità servizio.
   • Chiave dell'entità servizio: password dell'entità servizio.
   • ID tenant: tenant dell'entità servizio.

7. Dopo aver completato la verifica, specificare un nome e una descrizione (facoltativo) per la connessione al servizio e quindi selezionare la casella di controllo Concedi autorizzazione di accesso a tutte le pipeline.

8. Al termine, selezionare Verifica e salva .

   

Crea una nuova pipeline

Classico

1. Accedere all'organizzazione di Azure DevOps e passare al progetto.

2. Selezionare Pipeline e quindi Nuova pipeline.

3. Selezionare Usa l'editor classico per creare una pipeline classica.

4. Selezionare Azure Repos Git, selezionare il repository e il ramo predefinito e quindi selezionare Continua.

5. Selezionare il modello di pipeline .Net Desktop .

6. Per questo esempio, saranno necessarie solo le ultime due attività. Premere CTRL e quindi selezionare le prime cinque attività, fare clic con il pulsante destro del mouse e scegliere Rimuovi le attività selezionate per eliminarle.

   

7. Selezionare questa opzione + per aggiungere una nuova attività. Cercare l'attività Riga di comando , selezionarla e quindi selezionare Aggiungi per aggiungerla alla pipeline. Dopo l'aggiunta, configurarla come segue:

   • Nome visualizzato: Crea file
   • Script: echo $(YOUR_SECRET_NAME) > secret.txt

   

8. Selezionare questa opzione + per aggiungere una nuova attività. Cercare l'attività Azure Key Vault , selezionarla e quindi selezionare Aggiungi* per aggiungerla alla pipeline. Dopo l'aggiunta, configurarla come segue:

   • Nome visualizzato: Azure Key Vault
   • Sottoscrizione di Azure: selezionare la connessione al servizio dell'entità servizio creata in precedenza
   • Insieme di credenziali delle chiavi: selezionare l'insieme di credenziali delle chiavi
   • Filtro segreto: elenco delimitato da virgole di nomi segreti o lasciare * per scaricare tutti i segreti dall'insieme di credenziali delle chiavi selezionato

   

9. Selezionare l'attività Copia file e compilare i campi obbligatori come indicato di seguito:

   • Nome visualizzato: Copia file
   • Contenuto: secret.txt
   • Cartella di destinazione: $(build.artifactstagingdirectory)

   

10. Selezionare l'attività Pubblica artefatti e compilare i campi obbligatori come indicato di seguito:

    • Nome visualizzato: Pubblica artefatto
    • Percorso di pubblicazione: $(build.artifactstagingdirectory)
    • Nome artefatto: drop
    • Percorso di pubblicazione degli artefatti: Azure Pipelines

    

11. Selezionare Salva e accodamento e quindi selezionare Esegui per eseguire la pipeline.

12. Al termine dell'esecuzione della pipeline, tornare al riepilogo della pipeline e selezionare l'artefatto pubblicato.

13. Selezionare drop>secret.txt per scaricare l'artefatto pubblicato.

    

14. Aprire il file di testo appena scaricato, il file di testo deve contenere il segreto dall'insieme di credenziali delle chiavi di Azure.

YAML

1. Accedere all'organizzazione di Azure DevOps e passare al progetto.

2. Selezionare Pipeline e quindi Nuova pipeline.

3. Selezionare Azure Repos Git (YAML) e quindi selezionare il repository.

4. Selezionare il modello della pipeline di avvio.

5. La pipeline predefinita includerà uno script che esegue comandi echo. Queste non sono necessarie in modo da poterle eliminare.

6. Aggiungere l'attività AzureKeyVault, sostituendo i segnaposto con il nome della connessione al servizio creata in precedenza e il nome dell'insieme di credenziali delle chiavi. Il file YAML dovrebbe essere simile al frammento di codice seguente:

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'YOUR_SERVICE_CONNECTION_NAME'
       KeyVaultName: 'YOUR_KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   

7. Aggiungere le attività seguenti per copiare e pubblicare il segreto. Questo esempio è solo a scopo dimostrativo e non deve essere implementato in un ambiente di produzione.

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'YOUR_SERVICE_CONNECTION_NAME'
       KeyVaultName: 'YOUR_KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   
   - task: CmdLine@2
     displayName: Create file
     inputs:
       script: 'echo $(YOUR_SECRET_NAME) > secret.txt'
   
   - task: CopyFiles@2
     displayName: Copy file
     inputs:
       Contents: secret.txt
       targetFolder: '$(Build.ArtifactStagingDirectory)'
   
   - task: PublishBuildArtifacts@1
     displayName: Publish Artifact
     inputs:
       PathtoPublish: '$(Build.ArtifactStagingDirectory)'
       ArtifactName: 'drop'
       publishLocation: 'Container'
   

8. Selezionare Salva ed esegui e quindi selezionarlo ancora una volta per eseguire il commit delle modifiche e attivare la pipeline. Potrebbe essere richiesto di consentire l'accesso della pipeline alle risorse di Azure, se richiesto, selezionare Consenti. Sarà necessario approvare la pipeline una sola volta.

9. Selezionare l'attività CmdLine per visualizzare i log.

   

10. Al termine dell'esecuzione della pipeline, tornare al riepilogo della pipeline e selezionare l'artefatto pubblicato.

    

11. Selezionare drop>secret.txt per scaricarlo.

    

12. Aprire il file di testo appena scaricato, il file di testo deve contenere il segreto dall'insieme di credenziali delle chiavi di Azure.

Avviso

Questa esercitazione è solo a scopo didattico. Per le procedure consigliate per la sicurezza e come usare in modo sicuro i segreti, vedere Gestire i segreti nelle app server con Azure Key Vault.

Pulire le risorse

Seguire questa procedura per eliminare le risorse create:

1. Se è stata creata una nuova organizzazione per ospitare il progetto, vedere come eliminare l'organizzazione, altrimenti eliminare il progetto.

2. Tutte le risorse di Azure create durante questa esercitazione sono ospitate in un singolo gruppo di risorse. Eseguire il comando seguente per eliminare il gruppo di risorse e tutte le relative risorse.

   az group delete --name <YOUR_RESOURCE_GROUP_NAME>
   

Domande frequenti

D: Viene visualizzato l'errore seguente: "L'utente o il gruppo non dispone dell'autorizzazione per l'elenco dei segreti" cosa devo fare?

R: Se si verifica un errore che indica che l'utente o il gruppo non dispone dell'autorizzazione dell'elenco di segreti per l'insieme di credenziali delle chiavi, eseguire i comandi seguenti per autorizzare l'applicazione ad accedere alla chiave o al segreto in Azure Key Vault:

$ErrorActionPreference="Stop";
$Credential = Get-Credential;
Connect-AzAccount -SubscriptionId <YOUR_SUBSCRIPTION_ID> -Credential $Credential;
$spn=(Get-AzureRmADServicePrincipal -SPN <YOUR_SERVICE_PRINCIPAL_ID>);
$spnObjectId=$spn.Id;
Set-AzureRmKeyVaultAccessPolicy -VaultName key-vault-tutorial -ObjectId $spnObjectId -PermissionsToSecrets get,list;

Articoli correlati

• Pubblicare e scaricare gli artefatti della pipeline
• Artefatti di versione e origini degli artefatti
• Usare controlli e approvazioni per controllare la distribuzione