Azure Key Vault-geheimen gebruiken in uw pijplijn

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Met Azure Key Vaults kunnen ontwikkelaars veilig gevoelige informatie opslaan en beheren, zoals wachtwoorden, API-sleutels en certificaten. In dit artikel wordt uitgelegd hoe u geheimen uit een Azure Key Vault in uw pijplijn opvraagt en gebruikt.

Vereisten

Product	Eisen
Azure DevOps	- Een Azure DevOps-project. - Toestemmingen:     - Als u toegang wilt verlenen tot alle pijplijnen in het project: u moet lid zijn van de groep Projectbeheerders.     - Als u serviceverbindingen wilt maken: u moet de Administrator- of Creator- rol hebben voor serviceverbindingen.
GitHub	- Een GitHub-account en een GitHub-opslagplaats. - Een GitHub-serviceverbinding om Azure Pipelines te autoriseren.
Azuur	- Een Azure-abonnement.

Een Key Vault maken

Azure-portal

1. Meld u aan bij de Azure-portal en selecteer Resource maken.

2. Onder Key Vault, selecteer Maken om een nieuwe Azure Key Vault te maken.

3. Selecteer uw abonnement in de vervolgkeuzelijst en selecteer vervolgens een bestaande resourcegroep of maak een nieuwe. Voer een sleutelkluisnaam in, selecteer een regio, kies een prijscategorie en selecteer Volgende als u aanvullende eigenschappen wilt configureren. Anders, selecteer Beoordelen en aanmaken om de standaardinstellingen te behouden.

4. Zodra de implementatie is voltooid, selecteert u Ga naar de resource.

Azure-CLI

1. Stel eerst uw standaardregio en Azure-abonnement in:

   • Het standaardabonnement instellen:

   az account set --subscription <your_subscription_name_or_subscription_ID>
   

   • Standaardregio instellen:

   az config set defaults.location=<your_region>
   

2. Maak een nieuwe resourcegroep om uw Azure Key Vault te hosten. Een resourcegroep is een container met gerelateerde resources voor een Azure-oplossing:

   az group create --name <your-resource-group>
   

3. Maak een nieuwe Azure Key Vault:

   az keyvault create \
     --name <your-key-vault-name> \
     --resource-group <your-resource-group>
   

Verificatie instellen

Beheeridentiteit

Een door de gebruiker toegewezen beheerde identiteit maken

1. Meld u aan bij Azure Portal en zoek vervolgens naar de service Beheerde identiteiten in de zoekbalk.

2. Selecteer Maken en vul de vereiste velden als volgt in:

   • Abonnement: Selecteer uw abonnement in de vervolgkeuzelijst.
   • Resourcegroep: Selecteer een bestaande resourcegroep of maak een nieuwe.
   • Regio: Selecteer een regio in de vervolgkeuzelijst.
   • Naam: voer een naam in voor uw door de gebruiker toegewezen beheerde identiteit.

3. Selecteer Beoordelen en maken wanneer u klaar bent.

4. Zodra de implementatie is voltooid, selecteert u Ga naar de resource en kopieert u vervolgens het abonnement en de client-id. U hebt deze nodig in de volgende stappen.

5. Navigeer naar Eigenschappen van instellingen> en kopieer de tenant-id van uw beheerde identiteit om later te gebruiken.

Toegangsbeleid voor key vault instellen

1. Navigeer naar Azure Portal en gebruik de zoekbalk om de sleutelkluis te vinden die u eerder hebt gemaakt.

2. Selecteer Toegangsbeleid en selecteer vervolgens Maken om een nieuw beleid toe te voegen.

3. Schakel onder Geheime machtigingen de selectievakjesOphalen en Lijst in.

4. Selecteer Volgende en plak vervolgens de client-id van de beheerde identiteit die u eerder hebt gemaakt in de zoekbalk.

5. Selecteer uw beheerde identiteit, selecteer Volgende en vervolgens Nogmaals Volgende .

6. Controleer uw nieuwe beleid en selecteer Vervolgens Maken wanneer u klaar bent.

Een serviceverbinding maken

1. Meld u aan bij uw Azure DevOps-organisatie en navigeer vervolgens naar uw project.

2. SelecteerServiceverbindingen voor> en selecteer vervolgens Nieuwe serviceverbinding.

3. Selecteer Azure Resource Manager en selecteer daarna Volgende.

4. Selecteer onder Identiteitstypebeheerde identiteit in de vervolgkeuzelijst.

5. Vul voor stap 1: Details van beheerde identiteit de velden als volgt in:

   • Abonnement voor beheerde identiteit: selecteer het abonnement dat uw beheerde identiteit bevat.

   • Resourcegroep voor beheerde identiteit: selecteer de resourcegroep waarin uw beheerde identiteit wordt gehost.

   • Beheerde identiteit: selecteer uw beheerde identiteit in de vervolgkeuzelijst.

6. Vul voor stap 2: Azure Scope de velden als volgt in:

   • Bereikniveau voor serviceverbinding: Selecteer Abonnement.

   • Abonnement voor serviceverbinding: selecteer het abonnement waartoe uw beheerde identiteit toegang heeft.

   • Resourcegroep voor serviceverbinding: (optioneel) Geef dit op als u de toegang tot een specifieke resourcegroep wilt beperken.

7. Voor stap 3: Serviceverbindingsgegevens:

   • Serviceverbindingsnaam: geef een naam op voor uw serviceverbinding.

   • Naslaginformatie over servicebeheer: (optioneel) Neem contextinformatie op uit een ITSM-database.

   • Beschrijving: (Optioneel) Voeg een beschrijving toe.

8. Schakel onder Beveiliging het selectievakje Toegang verlenen toe aan alle pijplijnen om toe te staan dat alle pijplijnen deze serviceverbinding gebruiken. Als u dit uitgeschakeld laat, moet u handmatig toegang verlenen voor elke pijplijn.

9. Selecteer Opslaan om de serviceverbinding te valideren en te maken.

   

Service-principal

Een service-principal maken

In deze stap maakt u een nieuwe service-principal in Azure, zodat uw Azure Pipelines toegang hebben tot Azure Key Vault.

1. Navigeer naar Azure Portal en selecteer vervolgens het >pictogram _ in het bovenste menu om de Cloud Shell te openen.

2. Selecteer PowerShell of Bash , afhankelijk van uw voorkeur.

3. Voer de volgende opdracht uit om een nieuwe service-principal te maken:

   az ad sp create-for-rbac --name YOUR_SERVICE_PRINCIPAL_NAME
   

4. Nadat de opdracht is uitgevoerd, krijgt u een uitvoer die er ongeveer als volgt uitziet. Kopieer en sla de uitvoer op. U hebt deze nodig om een serviceverbinding te maken in de volgende stap.

   {
     "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "displayName": "MyServicePrincipal",
     "password": "***********************************",
     "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
   }
   

Een serviceverbinding maken

1. Meld u aan bij uw Azure DevOps-organisatie en navigeer vervolgens naar uw project.

2. Selecteer Project-instellingen en selecteer vervolgens Serviceverbindingen.

3. Selecteer Nieuwe serviceverbinding, selecteer Azure Resource Manager en selecteer vervolgens Volgende.

4. Selecteer Service-principal (handmatig) en vervolgens selecteer Volgende.

5. Selecteer onder Identiteitstype de optie App-registratie of beheerde identiteit (handmatig).

6. Onder Referenties, selecteer Workload-identiteitsfederatie.

7. Geef een naam op voor uw serviceverbinding en klik op Volgende.

8. Kopieer de uitgever en onderwerpidentificatie waarden. U hebt ze nodig in de volgende stap.

9. Selecteer voor omgevingDe optie Azure Cloud en selecteer abonnement voor abonnementsbereik.

10. Voer uw Azure-abonnements-id en abonnementsnaam in.

11. Plak onder Verificatie de toepassings-id (client) van uw service-principal en directory-id (tenant)

12. Schakel in de sectie Beveiliging het selectievakje Toegang verlenen aan alle pijplijnen in om alle pijplijnen toe te staan deze serviceverbinding te gebruiken. Als u dit overslaat, moet u handmatig toegang per pijplijn verlenen.

13. Laat deze pagina open staan. U komt terug om de taak te voltooien nadat u (1) de federatieve inloggegevens in Azure hebt gemaakt en (2) uw service-principal leestoegang hebt verleend op abonnementniveau.

    

Een federatieve referentie maken in Azure

1. Navigeer naar Azure Portal en gebruik vervolgens de zoekbalk om uw service-principal te vinden door de client-id in te voeren. Selecteer de overeenkomende toepassing in de resultaten.

2. Selecteer onder Beheren de opties Certificaten en geheimen>Federatieve referenties.

3. Selecteer Referentie toevoegen en selecteer vervolgens voor het scenario met federatieve referentiesde optie Andere verlener.

4. Plak in het veld Verlener de waarde van de verlener die u eerder hebt gekopieerd uit uw serviceverbinding.

5. Plak in het veld Onderwerp-id de onderwerp-id die u eerder hebt gekopieerd.

6. Voer een naam in voor uw federatieve referentie en selecteer Toevoegen wanneer u klaar bent.

   

Roltoewijzing toevoegen aan uw abonnement

Voordat u de verbinding kunt verifiëren, moet u de service-principal leestoegang geven op het niveau van het abonnement:

1. Navigeren naar Azure Portal

2. Selecteer onder Azure-servicesabonnementen en zoek en selecteer vervolgens uw abonnement.

3. Selecteer Toegangsbeheer (IAM) en selecteer vervolgens Toevoegen>Roltoewijzing toevoegen.

4. Op het tabblad Rol selecteer je Lezer en selecteer vervolgens Volgende.

5. Selecteer Gebruiker, groep of service-principal en selecteer vervolgens Leden selecteren.

6. Plak de object-id van uw service-principal in de zoekbalk, selecteer deze en klik vervolgens op Selecteren.

7. Selecteer Beoordelen en toewijzen, controleer uw instellingen en selecteer vervolgens Beoordelen en opnieuw toewijzen om te bevestigen.

8. Zodra de roltoewijzing is toegevoegd. Ga terug naar uw serviceverbinding in Azure DevOps en selecteer Verifiëren en Opslaan om uw serviceverbinding op te slaan.

Key Vault-toegangsbeleid configureren

1. Navigeer naar Azure Portal, zoek de sleutelkluis die u eerder hebt gemaakt en selecteer vervolgens Toegangsbeleid.

2. Selecteer Maken en voeg vervolgens onder Geheime machtigingen zowel de machtigingen Ophalen als Lijst toe en selecteer vervolgens Volgende.

3. Plak onder Principal de object-id van uw service-principal, selecteer deze en selecteer vervolgens Volgende.

4. Selecteer Volgende opnieuw, controleer uw instellingen en selecteer Opslaan om het nieuwe beleid toe te passen.

Geheimen in uw pijplijn opvragen en gebruiken

Met behulp van de Azure Key Vault-taak kunt u nu geheimen opvragen en ophalen uit Azure Key Vault en deze gebruiken in volgende taken in uw pijplijn. Houd er rekening mee dat geheimen expliciet moeten worden toegewezen aan omgevingsvariabelen, zoals wordt weergegeven in het volgende voorbeeld:

pool:
  vmImage: 'ubuntu-latest'

steps:
- task: AzureKeyVault@1
  inputs:
    azureSubscription: 'SERVICE_CONNECTION_NAME'
    KeyVaultName: 'KEY_VAULT_NAME'
    SecretsFilter: '*'

- bash: |
    echo "Secret Found! $MY_MAPPED_ENV_VAR"        
  env:
    MY_MAPPED_ENV_VAR: $(SECRET_NAME)

De uitvoer van de laatste bash-stap moet er als volgt uitzien:

Secret Found! ***

Notitie

Als u meerdere geheimen uit uw Azure Key Vault wilt opvragen, gebruikt u de SecretsFilter invoer en geeft u een door komma's gescheiden lijst met geheime namen op, zoals: 'secret1, secret2'.

Gerelateerde inhoud

• Geheimen beveiligen in Azure Pipelines

• Toegang tot een private sleutelkluis vanuit uw pipeline

• Beveiliging beheren in Azure Pipelines-