Azure Pipelines で Azure Key Vault シークレットを使用する

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Azure Key Vault を使用すると、開発者は API キー、資格情報、証明書などの機密情報を安全に保存および管理できます。 Azure Key Vault サービスは、コンテナーとマネージド HSM (ハードウェア セキュリティ モジュール) プールの 2 種類のコンテナーをサポートします。 ボールトはソフトウェアと HSM ベースのキー、シークレット、証明書の両方を保存できますが、マネージド HSM プールは HSM ベースのキーのみをサポートします。

このチュートリアルでは、次の内容を学習します。

• Azure CLI を使用して Azure Key Vault を作成する
• シークレットを追加して Azure Key Vault へのアクセスを構成する
• パイプラインでシークレットを使用する

前提条件

• Azure DevOps organizationとプロジェクト。 まだ作成していない場合は、organizationまたはプロジェクトを作成します。

• Azure サブスクリプション。 まだ Azure アカウントをお持ちでない場合は、無料で作成してください。

サンプル コードを入手する

すでに独自のリポジトリがある場合は、次のステップに進みます。 それ以外の場合は、次のサンプル リポジトリを Azure Repo にインポートします。

1. Azure DevOps 組織にサインインしてから、プロジェクトに移動します。

2. Repos を選択し、Import を選択します。 次のリポジトリ URL を入力し、 Import を選択します。

   https://github.com/MicrosoftDocs/pipelines-dotnet-core
   

Azure Key Vault を作成する

1. Azure portal にサインインし、右上隅にある [Cloud Shell] ボタンを選択します。

2. アカウントに複数の Azure サブスクリプションが関連付けられている場合は、下記のコマンドを使用して既定のサブスクリプションを指定します。 az account list を使用して、サブスクリプションのリストを生成できます。

   az account set --subscription <YOUR_SUBSCRIPTION_NAME_OR_ID>
   

3. 既定の Azure リージョンを設定します。 az account list-locations を使用して、使用可能なリージョンのリストを生成できます。

   az config set defaults.location=<YOUR_REGION>
   

4. 新しいリソース グループを作成します。

   az group create --name <YOUR_RESOURCE_GROUP_NAME>
   

5. 新しい Azure キー コンテナーを作成します。

   az keyvault create \
     --name <YOUR_KEY_VAULT_NAME> \
     --resource-group <YOUR_RESOURCE_GROUP_NAME>
   

6. Azure Key Vault で新しいシークレットを作成します。

   az keyvault secret set \
     --name <YOUR_SECRET_NAME> \
     --value <YOUR_ACTUAL_SECRET> \
     --vault-name <YOUR_KEY_VAULT_NAME>
   

認証の設定

マネージド ID

ユーザー割り当てマネージド ID を作成する

1. Azure ポータルにサインインし、検索バーで Managed Identities サービスを検索します。

2. [作成] を選択し、次のように必須フィールドに入力します。

   • サブスクリプション: ドロップダウン メニューからサブスクリプションを選択します。
   • リソース グループ: 既存のリソース グループを選択するか、新しいリソース グループを作成します。
   • リージョン: ドロップダウン メニューからリージョンを選択します。
   • 名前: ユーザー割り当てマネージド ID の名前を入力します。

3. 完了したら [確認と作成] を選択します。

4. デプロイが完了したら、 リソースに移行を選択し、次の手順で使用する Subscription と Client ID 値をコピーします。

5. Settings>Properties に移動し、後で使用するためにマネージド ID の Tenant ID 値をコピーします。

キー コンテナーのアクセス ポリシーをセットアップする

1. Azure ポータルに移動し、検索バーを使用して、前に作成したキー コンテナーを見つけます。

2. Access ポリシーを選択し、Create を選択して新しいポリシーを追加します。

3. [アクセス許可ので、Get と List チェック ボックスをオンにします。

4. [次へ] を選択し、先ほど作成したマネージド ID の Client ID を検索バーに貼り付けます。 [マネージド ID] を選択します。

5. [次へ] を選択し、もう一度 [次へをします。

6. 新しいポリシーを確認し、完了したら Create を選択します。

サービス接続を作成する

1. Azure DevOps 組織にサインインしてから、プロジェクトに移動します。

2. プロジェクト設定>サービス接続を選択し、 新しいサービス接続 を選択して新しいサービス接続を作成します。

3. Azure Resource Manager を選択し、 Next を選択します。

4. 識別子の種類で、ドロップダウン メニューから Managed ID を選択します。

5. 手順 1: マネージド ID の詳細では、次のようにフィールドに入力します。

   • マネージド ID のサブスクリプション: マネージド ID を含むサブスクリプションを選択します。

   • マネージド ID のリソース グループ: マネージド ID をホストしているリソース グループを選択します。

   • マネージド ID: ドロップダウン メニューからマネージド ID を選択します。

6. Step 2: Azure Scope の場合は、次のようにフィールドに入力します。

   • サービス接続のスコープ レベル: [サブスクリプション] を選択します。

   • サービス接続のサブスクリプション: マネージド ID がアクセスするサブスクリプションを選択します。

   • サービス接続のリソース グループ: (省略可能) マネージド ID アクセスを 1 つのリソース グループに制限するように指定します。

7. 手順 3: サービス接続の詳細:

   • サービス接続名: サービス接続の名前を指定します。

   • サービス管理リファレンス: (省略可能) ITSM データベースからのコンテキスト情報。

   • 説明: (省略可能) 説明を追加します。

8. Securityで、すべてのパイプラインに対するアクセス許可を付与するチェック ボックスをオンにして、すべてのパイプラインでこのサービス接続を使用できるようにします。 このオプションを選択しない場合は、このサービス接続を使用する各パイプラインへのアクセス権を手動で付与する必要があります。

9. [保存] を選択し、サービス接続を確認して作成します。

   

サービス プリンシパル

キー コンテナーのアクセス ポリシーをセットアップする

Azure Key Vault にアクセスするには、まず、Azure Pipelines へのアクセスを許可するサービス プリンシパルを設定する必要があります。

1. サービス プリンシパルの作成

2. Azure portal に移動し、検索バーを使用して、前に作成したキー コンテナーを見つけます。

3. Access ポリシーを選択し、Create を選択します。

4. Secret アクセス許可で、Get と List アクセス許可を追加し、 Next を選択します。

5. Principalで、サービス プリンシパルの Object IDを貼り付けて選択し、Next を選択します。

6. [次へをもう一度選択し、ポリシーを確認し、完了したら保存を選択します。

ロールの割り当ての追加

次の手順では、サービス プリンシパルの ARM サービス接続を作成します。 接続を確認する前に、(1) サブスクリプション レベルでサービス プリンシパルに Read アクセス権を付与し、(2) サービス プリンシパルのフェデレーション資格情報を作成する必要があります。

次の手順では、サブスクリプション レベルで Read アクセス権を付与する方法について説明します。

1. Azure ポータルに移動しSubscriptionsを選択し、サブスクリプションを見つけて選択します。

2. アクセス制御を選択し、 追加>役割の割り当ての追加を選択します。

3. ロール タブで リーダー を選択し、 次へを選択します。

4. ユーザー、グループ、またはサービス プリンシパルを選択し、 メンバーの選択を選択します。

5. サービス プリンシパルのオブジェクト ID を検索バーに貼り付けて選択し、 Select。

6. [確認 + 割り当て] を選択し、設定を確認してから、もう一度 [確認 + 割り当て] を選択して選択を確認し、役割の割り当てを追加します。

サービス接続を作成する

1. Azure DevOps 組織にサインインしてから、プロジェクトに移動します。

2. [プロジェクトの設定] を選択し、[サービス接続] を選択します。

3. [新しいサービス接続] を選び、[Azure Resource Manager] を選んでから、[次へ] を選びます。

4. [サービス プリンシパル (自動)] を選択し、[次へ] を選択します。

5. Identity Typeで、ドロップダウン メニューから App registration or managed identity (manual)を選択します。

6. Credentialで、Workload ID フェデレーションを選択します。

7. サービス接続の名前を指定し、 [次へ] を選択します。

8. EnvironmentAzure Cloud を選択しサブスクリプション スコープにSubscriptionを選択。

9. Azure Subscription ID と Subscription の名前を入力します。

10. Authenticationの場合は、サービス プリンシパルの アプリケーション (クライアント) ID と Directory (テナント) ID を貼り付けます

11. Security で、[すべてのパイプラインに対するアクセス許可を許可する] チェック ボックスをオンにして、すべてのパイプラインがこのサービス接続を使用できるようにします。 このオプションを選択しない場合は、このサービス接続を使用する各パイプラインへのアクセス権を手動で付与する必要があります。

12. このウィンドウを開いたままにして、Azure でフェデレーション資格情報を作成したら、サービス接続の確認と保存に戻ります。

サービス プリンシパルフェデレーション資格情報を作成する

1. Azure ポータルに移動し、検索バーにサービス プリンシパルの ClientID を入力し、Application を選択します。

2. Manage で、Certificates > シークレット>Federated 資格情報を選択します。

3. 資格情報の追加を選択し、Federated 資格情報シナリオの場合その他の発行者選択します。

4. Issuerでは、前にサービス接続からコピーしたIssuerを貼り付けます。

5. Subject 識別子には、前にサービス接続からコピーしたSubject 識別子貼り付けます。

6. フェデレーション資格情報の Name を指定し、完了したら Add を選択します。

7. サービス接続ウィンドウに戻り、 [検証と保存] を選択してサービス接続を保存します。

パイプラインから Key Vault シークレットにアクセスする

YAML

1. Azure DevOps 組織にサインインしてから、プロジェクトに移動します。

2. [パイプライン] を選択してから [新しいパイプライン] を選択します。

3. [Azure Repos Git (YAML)] を選択し、リポジトリを選択します。

4. [スタート パイプライン] テンプレートを選択します。

5. デフォルトのパイプラインには、echo コマンドを実行するスクリプトが含まれます。 これらのスクリプトは不要なので、削除できます。

6. AzureKeyVault タスクを追加します。プレースホルダーは、前に作成したサービス接続の名前とキー コンテナーの名前に置き換えます。 YAML ファイルは次のスニペットのようになります。

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   

7. 次のタスクを追加して、シークレットをコピーして公開しましょう。 この例はデモンストレーションのみを目的としており、運用環境では実装しないでください。

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   
   - task: CmdLine@2
     displayName: Create file
     inputs:
       script: 'echo $(SECRET_NAME) > secret.txt'
   
   - task: CopyFiles@2
     displayName: Copy file
     inputs:
       Contents: secret.txt
       targetFolder: '$(Build.ArtifactStagingDirectory)'
   
   - task: PublishBuildArtifacts@1
     displayName: Publish Artifact
     inputs:
       PathtoPublish: '$(Build.ArtifactStagingDirectory)'
       ArtifactName: 'drop'
       publishLocation: 'Container'
   

8. [保存して実行]を選択し、もう一度選択して変更をコミットし、パイプラインをトリガーします。 Azure リソースへのパイプライン アクセスを許可するか尋ねられることがあります。ダイアログが表示されたら、[許可] を選択します。 パイプラインを承認する必要があるのは 1 回だけです。

9. [CmdLine] タスクを選択してログを表示します。

   

10. パイプライン実行が完了したら、パイプラインの概要に戻り、公開されたアーティファクトを選択します。

    

11. drop>secret.txt を選択してダウンロードします。

    

12. ダウンロードしたテキスト ファイルを開くと、テキスト ファイルには Azure Key Vault のシークレットが含まれているはずです。

クラシック

1. Azure DevOps 組織にサインインしてから、プロジェクトに移動します。

2. [パイプライン] を選択してから [新しいパイプライン] を選択します。

3. [クラシック エディターを使用する] を選択して、クラシック パイプラインを作成します。

4. [Azure Repos Git] を選択し、リポジトリと既定のブランチを選択して、 [続行]を選択します。

5. [.NET デスクトップ] パイプライン テンプレートを選択します。

6. この例では、最後の 2 つのタスクのみが必要です。 Ctrl キーを押してから最初の 5 つのタスクを選択し、右クリックして [選択したタスクを削除] を選択し、削除します。

   

7. + を選択して、新しいタスクを追加します。 コマンド ライン タスクを検索して選択し、 追加 を選択してパイプラインに追加します。 追加したら、次のように構成します。

   • 表示名: ファイルを作成します
   • Script: echo $(SECRET_NAME) > secret.txt

   

8. + を選択して、新しいタスクを追加します。 Azure Key Vault タスクを検索して選択し、[追加*] を選択してパイプラインに追加します。 追加したら、次のように構成します。

   • 表示名: Azure Key Vault
   • Azure サブスクリプション: 前に作成したサービス接続を選択します
   • Key Vault: キー コンテナーを選択します
   • シークレット フィルター: シークレット名のカンマ区切りのリスト、または選択したキー コンテナーからすべてのシークレットをダウンロードする場合は * のままにします

   

9. ファイルのコピー タスクを選択し、次のように必須フィールドに入力します。

   • 表示名: コピーファイル
   • 内容: secret.txt
   • ターゲット フォルダ: $(build.artifactstagingdirectory)

   

10. アーティファクトの公開 タスクを選択し、次のように必須フィールドに入力します。

    • 表示名: アーティファクトの公開
    • 公開するパス: $(build.artifactstagingdirectory)
    • アーティファクト名: ドロップ
    • アーティファクトの公開場所: Azure パイプラインs

    

11. [保存してキュー]を選択し、次に [実行] を選択してパイプラインを実行します。

12. パイプライン実行が完了したら、パイプラインの概要に戻り、公開されたアーティファクトを選択します。

13. drop>secret.txt を選択して、公開されたアーティファクトをダウンロードします。

    

14. ダウンロードしたテキスト ファイルを開くと、テキスト ファイルには Azure Key Vault のシークレットが含まれているはずです。

警告

このチュートリアルは、学習に使用することのみを目的としています。 セキュリティのベスト プラクティスとシークレットを安全に扱う方法については、「Azure Key Vault を使用してサーバー アプリのシークレットを管理する」を参照してください。

リソースをクリーンアップする

作成したリソースを削除するには、下記のステップに従います。

1. プロジェクトをホストする新しい組織を作成した場合は、 組織を削除する方法を参照してください。それ以外の場合は、 プロジェクトを削除します。

2. このチュートリアル中に作成されたすべての Azure リソースは、単一のリソース グループの下でホストされます。 次のコマンドを実行して、リソース グループとそのすべてのリソースを削除します。

   az group delete --name <YOUR_RESOURCE_GROUP_NAME>
   

よく寄せられる質問

質問: "ユーザーまたはグループに、シークレット リストのアクセス許可がありません" というエラーが表示されます。どうすればよいですか?

答え: ユーザーまたはグループにキー コンテナーに対するシークレット リストのアクセス許可がないことを示すエラーが表示される場合は、次のコマンドを実行して、アプリケーションが Azure Key Vault 内のキーまたはシークレットにアクセスすることを承認します。

az account set --subscription <YOUR_SUBSCRIPTION_ID>

az login

$spnObjectId = az ad sp show --id <YOUR_SERVICE_PRINCIPAL_ID>

az keyvault set-policy --name <YOUR_KEY_VAULT_NAME> --object-id $spnObjectId --secret-permissions get list

関連記事

• パイプライン成果物を発行してダウンロードする
• 成果物と成果物ソースのリリース
• ゲートと承認を使用して展開を制御する