変数グループの管理

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

この記事では、Azure Pipelines で変数グループを作成して使用する方法について説明します。 変数グループには、YAML パイプラインに渡したり、プロジェクト内の複数のパイプラインで使用できるようにしたりできる値とシークレットが格納されます。

変数グループ内のシークレット変数は、保護されたリソースです。 承認、チェック、パイプラインのアクセス許可の組み合わせを追加して、変数グループ内のシークレット変数へのアクセスを制限できます。 シークレットでない変数へのアクセスは、承認、チェック、パイプラインのアクセス許可によって制限されません。

変数グループは、ロールとパーミッションのライブラリ セキュリティ モデルに従います。

前提条件

• パイプラインと変数を作成するアクセス許可を持つ Azure DevOps Services の組織とプロジェクト。
• Azure DevOps 組織または Azure DevOps Server コレクション内のプロジェクト。 プロジェクトがない場合は プロジェクトを作成します。
• Azure DevOps CLI を使用している場合は、Azure DevOps CLI 拡張機能を使用した Azure CLI バージョン 2.30.0 以降が必要です。 詳細については、「 Azure DevOps CLI の概要」を参照してください。

CLI を設定する

Azure DevOps CLI を使用している場合は、Azure DevOps の組織とプロジェクトと連携するように CLI を設定する必要があります。

1. az login コマンドを使用して、Azure DevOps 組織にサインインします。

   az login
   

2. メッセージが表示されたら、ターミナル ウィンドウに表示される一覧からサブスクリプションを選択します。

3. 次のコマンドを使用して、最新バージョンの Azure CLI と Azure DevOps 拡張機能を実行していることを確認します。

   az upgrade
   az extension add --name azure-devops --upgrade
   

4. Azure DevOps CLI コマンドでは、次を使用して既定の組織とプロジェクトを設定できます。

   az devops configure --defaults organization=<YourOrganizationURL> project=<Project Name or ID>
   

   既定の組織とプロジェクトを設定していない場合は、コマンドで detect=true パラメーターを使用して、現在のディレクトリに基づいて組織とプロジェクトのコンテキストを自動的に検出できます。 既定値が構成されていない場合、または検出されない場合は、コマンドで org パラメーターと project パラメーターを明示的に指定する必要があります。

変数グループを作成する

プロジェクトでパイプライン実行の変数グループを作成できます。

Note

Azure Key Vault のシークレットを変数としてリンクするシークレット変数グループを作成するには、「 変数グループを Azure Key Vault 内のシークレットにリンクするの手順に従います。

Azure Pipelines UI

1. Azure DevOps プロジェクト ページの左側のメニューで [パイプライン]>[ライブラリ] を選択します。

2. [ライブラリ] ページで、[+ 変数グループ] を選択します。

   

3. 新しい変数グループ ページの [プロパティ] で、変数グループの名前と説明 (オプション) を入力します。

4. [変数] で [+ 追加] を選択し、グループに含める変数名と値を入力します。 値を暗号化して安全に格納する場合は、変数の横にあるロック アイコンを選択します。

5. [+ 追加] を選択して、新しい変数をそれぞれ追加します。 変数の追加が完了したら、[保存] を選択します。

   

これで、プロジェクト パイプラインでこの変数グループを使用できるようになりました。

Azure DevOps CLI

Azure DevOps Services では、Azure DevOps CLI を使用して変数グループを作成できます。

変数グループを作成するには、az pipelines variable-group create コマンドを使用します。

たとえば、次のコマンドは、home-office-config という名前の変数グループを作成し、変数 app-location=home-office と app-name=contoso を追加し、結果を YAML 形式で出力します。

az pipelines variable-group create --name home-office-config
                                   --variables app-location=home-office app-name=contoso
                                   --output yaml

出力:

authorized: false
description: null
id: 5
name: home-office-config
providerData: null
type: Vsts
variables:
  app-location:
    isSecret: null
    value: home-office
  app-name:
    isSecret: null
    value: contoso

変数グループを更新する

Azure Pipelines UI

変数グループは、Azure Pipelines ユーザー インターフェイスを使用して更新できます。

1. Azure DevOps プロジェクト ページの左側のメニューで [パイプライン]>[ライブラリ] を選択します。
2. [ライブラリ] ページで、更新する変数グループを選択します。 変数グループの一覧にカーソルを合わせ、[その他のオプション] アイコンを選択し、メニューから [編集] を選択することもできます。
3. 変数グループ ページで、プロパティのいずれかを変更し、[保存] を選択します。

Azure DevOps CLI

Azure DevOps Services では、Azure DevOps CLI を使用して変数グループを更新できます。

変数グループを一覧表示する

Azure DevOps CLI を使用して変数グループまたはその中の変数を更新するには、変数グループ group-id を使用します。

変数グループ作成コマンドの出力から変数グループ ID の値を取得することも、az pipelines variable-group list コマンドを使用することもできます。

たとえば、次のコマンドは、最初の 3 つのプロジェクト変数グループを昇順で一覧表示し、変数グループ ID を含む結果を表形式で返します。

az pipelines variable-group list --top 3 --query-order Asc --output table

出力:

ID    Name               Type    Number of Variables
----  -----------------  ------  ---------------------
1     myvariables        Vsts    2
2     newvariables       Vsts    4
3     new-app-variables  Vsts    3

変数グループを更新する

変数グループを更新するには、az pipelines variable-group update コマンドを使用します。

メモ

Azure DevOps CLI を使用して AzureKeyVault 型の変数グループを更新することはできません。

たとえば、次のコマンドは、ID 4 を使用して変数グループを更新して、name と description を変更し、結果をテーブル形式で出力します。

az pipelines variable-group update --group-id 4
                                   --name my-new-variables
                                   --description "New home office variables"
                                   --output table

出力:

ID    Name              Description               Is Authorized  Number of Variables
----  ----------------  ------------------------- -------------  -------------------
4     my-new-variables  New home office variables false          2

変数グループの詳細を表示する

az pipelines variable-group show コマンドを使用して、変数グループの詳細を表示できます。 たとえば、次のコマンドは、ID 4 を持つ変数グループの詳細を表示し、結果を YAML 形式で返します。

az pipelines variable-group show --group-id 4 --output yaml

出力:

authorized: false
description: Variables for my new app
id: 4
name: my-new-variables
providerData: null
type: Vsts
variables:
  app-location:
    isSecret: null
    value: home-office
  app-name:
    isSecret: null
    value: contoso

変数グループを削除する

Azure Pipelines UI

Azure Pipelines ユーザー インターフェイスで変数グループを削除できます。

1. Azure DevOps プロジェクト ページの左側のメニューで [パイプライン]>[ライブラリ] を選択します。
2. [ライブラリ] ページで、削除する変数グループにカーソルを合わせ、[その他のオプション] アイコンを選択します。
3. メニューから [削除] を選択し、確認画面で [削除] を選択します。

Azure DevOps CLI

Azure DevOps Services では、Azure DevOps CLI を使用して変数グループを削除できます。

変数グループを削除するには、az pipelines variable-group delete コマンドを使用します。 たとえば、次のコマンドは ID 1 の変数グループを削除し、確認を求めません。

az pipelines variable-group delete --group-id 1 --yes

変数グループ内の変数を管理します。

Azure Pipelines UI

Azure Pipelines ユーザー インターフェイスを使用して、変数グループ内の変数を変更、追加、または削除できます。

1. Azure DevOps プロジェクト ページの左側のメニューで [パイプライン]>[ライブラリ] を選択します。
2. [ライブラリ] ページで、更新する変数グループを選択します。 変数グループの一覧にカーソルを合わせ、[その他のオプション] アイコンを選択し、メニューから [編集] を選択することもできます。
3. 変数グループ ページでは、次のことができます。
   • 変数名または値のいずれかを変更します。
   • 変数名の横にあるごみ箱アイコンを選択して、変数を削除します。
   • 変数の値の横にあるロック アイコンを選択して、変数をシークレットまたは非シークレットに変更します。
   • [+ 追加] を選択して、新しい変数を追加します。
4. 変更後、[保存] を選択します。

Azure DevOps CLI

Azure DevOps Services では、Azure DevOps CLI を使用して変数グループ内の変数を管理できます。

変数グループ内の変数を一覧表示する

変数グループ内の変数をリストするには、az pipelines variable-group variable list コマンドを使用します。 たとえば、次のコマンドは、変数グループ内のすべての変数を ID 4 で一覧表示し、結果を表形式で表示します。

az pipelines variable-group variable list --group-id 4 --output table

出力:

Name            Is Secret    Value
--------------  -----------  -----------
app-location    False        home-office
app-name        False        contoso

変数グループに変数を追加する

変数グループに変数を追加するには、az pipelines variable-group variable create コマンドを使用します。

たとえば、次のコマンドは、ID requires-login を持つ変数グループに既定値の true を持つ 4 という名前の新しい変数を作成します。 結果は表形式で表示されます。

az pipelines variable-group variable create --group-id 4
                                            --name requires-login
                                            --value true
                                            --output table

出力:

Name            Is Secret    Value
--------------  -----------  -------
requires-login  False        true

変数グループ内の変数を更新する

変数グループ内の変数を更新するには、az pipelines variable-group variable update コマンドを使用します。

注

Azure DevOps CLI を使用して、 AzureKeyVault 型の変数グループ内の変数を更新することはできません。 az keyvault コマンドを使用して変数を更新できます。

たとえば、次のコマンドは、ID requires-login を持つ変数グループ内の新しい値 false 変数を新しい値 4 に更新し、結果を YAML 形式で表示します。 このコマンドは、変数が secret であることを指定します。

az pipelines variable-group variable update --group-id 4
                                            --name requires-login
                                            --value false
                                            --secret true
                                            --output yaml

シークレットの非表示の値であるため、null の代わりに値が false として出力されます。

requires-login:
  isSecret: true
  value: null

シークレット変数の管理

シークレット変数を管理するには、az pipelines variable-group variable update コマンドを使用し、次のパラメーターを指定します。

• secret: 変数の値がシークレットに保持されていることを示す true に設定します。
• prompt-value: true に設定して、環境変数または標準入力によるプロンプトを使用してシークレット変数の値を更新します。
• value: シークレット変数の場合は、prompt-value パラメーターを使用して、標準入力を使用して入力するように求めます。 非対話型コンソールの場合は、AZURE_DEVOPS_EXT_PIPELINE_VAR_ で始まる環境変数を取得できます。 たとえば、MySecret という名前の変数は、環境変数 AZURE_DEVOPS_EXT_PIPELINE_VAR_MySecret を使用して入力できます。

変数グループから変数を削除する

変数グループから変数を削除するには、az pipelines variable-group variable delete コマンドを使用します。 たとえば、次のコマンドは、ID requires-login を持つ変数グループから 4 変数を削除します。

az pipelines variable-group variable delete --group-id 4 --name requires-login

これが既定であるため、確認を求めるメッセージが表示されます。 確認プロンプトをスキップするには、 --yes パラメーターを使用します。

Are you sure you want to delete this variable? (y/n): y
Deleted variable 'requires-login' successfully.

パイプラインで変数グループを使用する

変数グループは、YAML またはクラシック パイプラインで使用できます。 変数グループに加えた変更は、変数グループがリンクされているすべての定義またはステージで自動的に利用できるようになります。

YAML

YAML パイプラインで変数グループにのみ名前を付けると、リポジトリにコードをプッシュできるユーザーは誰でも変数グループ内のシークレットの内容を抽出できるようになります。 したがって、YAML パイプラインで変数グループを使用するには、パイプラインがグループを使用するように承認する必要があります。 Azure Pipelines ユーザー インターフェイスまたは Azure DevOps CLI を使用して、変数グループを使用するパイプラインを承認できます。

Pipelines UI を使用した承認

Azure Pipelines ユーザー インターフェイスを使用して、パイプラインが変数グループを使用することを承認できます。

1. Azure DevOps プロジェクト ページの左側のメニューで [パイプライン]>[ライブラリ] を選択します。
2. [ライブラリ] ページで、承認する変数グループを選択します。
3. 変数グループのページで、[パイプラインのアクセス許可] タブを選択します。
4. [パイプラインのアクセス許可] 画面で、+ を選択してから、承認するパイプラインを選択します。 または、[その他の操作] アイコンを選択し、[アクセスを開く] を選択し、もう一度 [アクセスを開く] を選択して確認します。

パイプラインを選択すると、そのパイプラインが変数グループを使用することが許可されます。 別のパイプラインを承認するには、もう一度 + アイコンを選択します。 [アクセスを開く] を選択すると、変数グループを使用するすべてのプロジェクト パイプラインが承認されます。 グループ内に秘密がない場合は、[アクセスを開く] が適切なオプションとなる可能性があります。

変数グループを承認する別の方法は、パイプラインを選択し、[編集] を選択し、ビルドを手動でキューに入れることです。 リソース承認エラーが表示され、変数グループの承認されたユーザーとしてパイプラインを明示的に追加できます。

Azure DevOps CLI を使用した承認

Azure DevOps Services では、Azure DevOps CLI を使用して変数グループを承認できます。

変数グループを使用するようにすべてのプロジェクト パイプラインを承認するには、authorize コマンドで パラメーターを設定して、true します。 グループにシークレットがない場合は、このオープン アクセスが適している可能性があります。

変数グループをパイプラインにリンクする

変数グループを使用するように YAML パイプラインを承認したら、パイプライン内のグループ内で変数を使用できます。

変数グループの変数を使用するには、YAML パイプライン ファイル内のグループ名への参照を追加します。

variables:
- group: my-variable-group

同じパイプライン内の複数の変数グループを参照できます。 複数の変数グループに同じ名前の変数が含まれている場合、ファイル内の変数を使用する最後の変数グループによって変数の値が設定されます。 変数の優先順位の詳細については、「変数の拡張」を参照してください。

テンプレート内の変数グループを参照することもできます。 次の variables.yml テンプレート ファイルは、変数グループ my-variable-group を参照します。 変数グループには、myhello という名前の変数が含まれています。

variables:
- group: my-variable-group

YAML パイプラインは、variables.yml テンプレートを参照し、変数グループ $(myhello) から変数 my-variable-group を使用します。

stages:
- stage: MyStage
  variables:
  - template: variables.yml
  jobs:
  - job: Test
    steps:
    - script: echo $(myhello)

リンクされた変数グループで変数を使用する

リンクされた変数グループ内の変数値には、パイプライン内で定義した変数にアクセスするのと同じ方法でアクセスします。 たとえば、パイプラインにリンクされた変数グループで customer という名前の変数の値にアクセスするには、タスクパラメータまたはスクリプトで $(customer) を使用できます。

パイプライン ファイルでスタンドアロン変数と変数グループの両方を使用する場合は、スタンドアロン変数の name-value 構文を使用します。

variables:
- group: my-variable-group
- name: my-standalone-variable
  value: 'my-standalone-variable-value'

変数グループ内の変数を参照するには、マクロ構文またはランタイム式を使用できます。 次の例では、グループ my-variable-group に myhello という名前の変数があります。

ランタイム式を使用するには:

variables:
- group: my-variable-group
- name: my-passed-variable
  value: $[variables.myhello]
- script: echo $(my-passed-variable)

マクロ構文を使用するには:

variables:
- group: my-variable-group

steps:
- script: echo $(myhello)

暗号化された変数や Key Vault 変数などのシークレット変数にスクリプトで直接アクセスすることはできません。 これらの変数を引数としてタスクに渡す必要があります。 詳しくは、「シークレット変数」を参照してください。

クラシック

クラシック パイプラインで変数グループを使用する

クラシック パイプラインでは、個別の承認なしで変数グループを使用できます。 変数グループを使用するには、以下の手順を使用します。

1. クラシック パイプラインを開いてください。

2. [変数]>[変数グループ] を選択し、[変数グループのリンク] を選択します。

   • ビルド パイプラインに、使用可能なグループの一覧が表示されます。 変数グループを選択し、 Link を選択します。 グループ内のすべての変数を、パイプライン内で使用できます。

   • リリース パイプラインでは、パイプライン内のステージのドロップダウン リストも表示されます。 変数グループをパイプライン自体、またはリリース パイプラインの 1 つ以上の特定のステージにリンクします。 1 つ以上のステージにリンクする場合、変数グループの変数はこれらのステージに限定され、リリースの他のステージではアクセスできなくなります。

   

複数のスコープ内で同じ名前の変数を設定する場合、次の優先順位が適用されます (最も高い優先順位が最初)。

1. キュー時に設定された変数
2. パイプラインで設定された変数
3. 変数グループで設定された変数

変数の優先順位の詳細については、「変数の拡張」を参照してください。

Note

同じスコープ (たとえば、ジョブやステージ) のパイプラインにリンクされている異なるグループの変数が競合し、結果が予測できない場合があります。 すべての変数グループ間で、必ず、変数に対して異なる名前を使用してください。

関連記事

• 変数の定義
• カスタム変数を定義する
• 変数グループでシークレット変数と非シークレット変数を使用する
• Azure Pipelines で Azure Key Vault シークレットを使用する
• 承認とチェックを追加する