Gerenciar grupos de variáveis

Serviços de DevOps do Azure | Azure DevOps Server 2022 - Azure DevOps Server 2019

Este artigo explica como criar e usar grupos de variáveis no Azure Pipelines. Os grupos de variáveis armazenam valores e segredos que você pode passar para um pipeline YAML ou disponibilizar em vários pipelines em um projeto.

As variáveis secretas em grupos de variáveis são recursos protegidos. Você pode adicionar combinações de aprovações, verificações e permissões de pipeline para limitar o acesso a variáveis secretas em um grupo de variáveis. O acesso a variáveis não secretas não é limitado por aprovações, verificações ou permissões de pipeline.

Os grupos de variáveis seguem o modelo de segurança da biblioteca para funções e permissões.

Criar um grupo de variáveis

Você pode criar grupos de variáveis para as execuções de pipeline em seu projeto.

Nota

Para criar um grupo de variáveis secretas para vincular segredos de um cofre de chaves do Azure como variáveis, siga as instruções em Vincular segredos de um cofre de chaves do Azure.

Interface do usuário do Azure Pipelines

Você pode criar um grupo de variáveis na interface do usuário do Azure Pipelines.

Pré-requisitos

Uma organização e um projeto do Azure DevOps onde você tem permissões para criar pipelines e variáveis.

Criar o grupo de variáveis

1. Em seu projeto do Azure DevOps, selecione Biblioteca de Pipelines>no menu à esquerda.

2. Na página Biblioteca, selecione + Grupo de variáveis.

   

3. Na página do novo grupo de variáveis, em Propriedades, insira um nome e uma descrição opcional para o grupo de variáveis.

4. Em Variáveis, selecione + Adicionar e insira um nome e um valor de variável para incluir no grupo. Se quiser criptografar e armazenar o valor com segurança, selecione o ícone de cadeado ao lado da variável.

5. Selecione + Adicionar para adicionar cada nova variável. Quando terminar de adicionar variáveis, selecione Salvar.

   

Agora você pode usar esse grupo de variáveis em pipelines de projeto.

CLI do Azure DevOps

Nos Serviços de DevOps do Azure, você pode criar grupos de variáveis usando a CLI do Azure DevOps.

Pré-requisitos

• Uma organização e um projeto do Azure DevOps onde você tem permissões para criar pipelines e variáveis.

• Azure CLI versão 2.30.0 ou superior com a extensão Azure DevOps CLI. Para obter mais informações, consulte Introdução à CLI do Azure DevOps.

  A extensão da CLI do Azure DevOps instala automaticamente na primeira vez que você executa um comando az pipelines variable-group .

  Nos comandos da CLI do Azure DevOps, você pode definir a organização padrão usando az devops configure --defaults organization=<YourOrganizationURL>o , ou usar o --detect true parâmetro para detetar automaticamente a organização.

  Você pode configurar o projeto padrão usando az devops configure -d project=<Project Name or ID>.

  Se você não detetar a organização ou configurar uma organização ou projeto padrão, deverá especificar os org parâmetros e project nos comandos.

Criar o grupo de variáveis

Para criar um grupo de variáveis, use o comando az pipelines variable-group create .

Por exemplo, o comando a seguir cria um grupo de variáveis chamado home-office-config, adiciona as variáveis app-location=home-office e app-name=contoso, e produz resultados no formato YAML.

az pipelines variable-group create --name home-office-config
                                   --variables app-location=home-office app-name=contoso
                                   --output yaml

Saída:

authorized: false
description: null
id: 5
name: home-office-config
providerData: null
type: Vsts
variables:
  app-location:
    isSecret: null
    value: home-office
  app-name:
    isSecret: null
    value: contoso

Associar segredos de um cofre de chaves do Azure

Você pode criar um grupo de variáveis que vincula a um cofre de chaves do Azure existente e mapear segredos selecionados do Cofre da Chave para o grupo de variáveis. Apenas os nomes secretos são mapeados para o grupo de variáveis, não os valores secretos. O pipeline executa esse link para o grupo de variáveis e busca os valores secretos mais recentes do cofre.

Quaisquer alterações feitas em segredos existentes no cofre de chaves ficam automaticamente disponíveis para todos os pipelines que usam o grupo de variáveis. No entanto, se segredos forem adicionados ou excluídos do cofre, os grupos de variáveis associados não serão atualizados automaticamente. Você deve atualizar explicitamente os segredos a serem incluídos no grupo de variáveis.

Embora o Cofre de Chaves ofereça suporte ao armazenamento e gerenciamento de chaves criptográficas e certificados no Azure, a integração de grupos de variáveis do Azure Pipelines dá suporte apenas ao mapeamento de segredos do cofre de chaves. Não há suporte para chaves criptográficas e certificados.

Nota

Não há suporte para cofres de chaves que usam o controle de acesso baseado em função do Azure (Azure RBAC).

Pré-requisitos

• Um cofre de chaves do Azure que contém seus segredos. Você pode criar um cofre de chaves usando o portal do Azure.
• Uma conexão de serviço do Azure para seu projeto.

Criar o grupo de variáveis

1. No seu projeto do Azure DevOps, selecione o grupo Biblioteca de Pipelines>>+ Variável.
2. Na página Grupos de variáveis , insira um nome e uma descrição opcional para o grupo de variáveis.
3. Habilite os segredos de link de um cofre de chaves do Azure como variáveis alternadas.
4. Selecione o ponto de extremidade da assinatura do Azure e o nome do cofre da chave.
5. Habilite o Azure DevOps para acessar o cofre de chaves selecionando Autorizar ao lado do nome do cofre.
6. Na tela Escolher segredos, selecione segredos específicos do seu cofre para mapeamento para esse grupo de variáveis e selecione OK.
7. Selecione Salvar para salvar o grupo de variáveis secretas.

Nota

Sua conexão de serviço do Azure deve ter pelo menos as permissões Obter e Listar no cofre de chaves, que você pode autorizar nas etapas anteriores. Você também pode fornecer essas permissões do portal do Azure seguindo estas etapas:

1. Abra Configurações para o cofre de chaves e escolha Configuração>de acesso Vá para políticas de acesso.
2. Na página Políticas de acesso, se o seu projeto do Azure Pipelines não estiver listado em Aplicativos com pelo menos as permissões Obter e Listar, selecione Criar.
3. Em Permissões secretas, selecione Obter e Listar e, em seguida, selecione Avançar.
4. Selecione a entidade de serviço e, em seguida, selecione Avançar.
5. Selecione Seguinte novamente, reveja as definições e, em seguida, selecione Criar.

Para obter mais informações, consulte Usar segredos do Cofre da Chave do Azure.

Atualizar grupos de variáveis

Interface do usuário do Azure Pipelines

Você pode atualizar grupos de variáveis usando a interface do usuário do Azure Pipelines.

1. Em seu projeto do Azure DevOps, selecione Biblioteca de Pipelines>no menu à esquerda.
2. Na página Biblioteca, selecione o grupo de variáveis que deseja atualizar. Você também pode passar o mouse sobre a listagem do grupo de variáveis, selecionar o ícone Mais opções e selecionar Editar no menu.
3. Na página do grupo de variáveis, altere qualquer uma das propriedades e selecione Salvar.

CLI do Azure DevOps

Nos Serviços de DevOps do Azure, você pode atualizar grupos de variáveis usando a CLI do Azure DevOps.

Listar grupos de variáveis

Para atualizar um grupo de variáveis ou as variáveis dentro dele usando a CLI do Azure DevOps, use o grupo group-idde variáveis .

Você pode obter o valor do ID do grupo variável a partir da saída do comando de criação de grupo variável ou usar o comando az pipelines variable-group list .

Por exemplo, o comando a seguir lista os três primeiros grupos de variáveis do projeto em ordem crescente e retorna os resultados, incluindo o ID do grupo de variáveis, em formato de tabela.

az pipelines variable-group list --top 3 --query-order Asc --output table

Saída:

ID    Name               Type    Number of Variables
----  -----------------  ------  ---------------------
1     myvariables        Vsts    2
2     newvariables       Vsts    4
3     new-app-variables  Vsts    3

Atualizar um grupo de variáveis

Para atualizar um grupo de variáveis, use o comando az pipelines variable-group update .

Por exemplo, o comando a seguir atualiza o grupo de variáveis com ID 4 para alterar o name e description, e os resultados de saída no formato de tabela.

az pipelines variable-group update --group-id 4
                                   --name my-new-variables
                                   --description "New home office variables"
                                   --output table

Saída:

ID    Name              Description               Is Authorized  Number of Variables
----  ----------------  ------------------------- -------------  -------------------
4     my-new-variables  New home office variables false          2

Mostrar detalhes para um grupo de variáveis

Você pode usar o comando az pipelines variable-group show para mostrar detalhes de um grupo de variáveis. Por exemplo, o comando a seguir mostra detalhes para o grupo de variáveis com ID 4 e retorna os resultados no formato YAML.

az pipelines variable-group show --group-id 4 --output yaml

Saída:

authorized: false
description: Variables for my new app
id: 4
name: my-new-variables
providerData: null
type: Vsts
variables:
  app-location:
    isSecret: null
    value: home-office
  app-name:
    isSecret: null
    value: contoso

Excluir um grupo de variáveis

Interface do usuário do Azure Pipelines

Você pode excluir grupos de variáveis na interface do usuário do Azure Pipelines.

1. Em seu projeto do Azure DevOps, selecione Biblioteca de Pipelines>no menu à esquerda.
2. Na página Biblioteca, passe o mouse sobre o grupo de variáveis que deseja excluir e selecione o ícone Mais opções.
3. Selecione Excluir no menu e, em seguida, selecione Excluir na tela de confirmação.

CLI do Azure DevOps

Nos Serviços de DevOps do Azure, você pode excluir grupos de variáveis usando a CLI do Azure DevOps.

Para excluir um grupo de variáveis, use o comando az pipelines variable-group delete . Por exemplo, o comando a seguir exclui o grupo de variáveis com ID 1 e não solicita confirmação.

az pipelines variable-group delete --group-id 1 --yes

Gerenciar variáveis em grupos de variáveis

Interface do usuário do Azure Pipelines

Você pode alterar, adicionar ou excluir variáveis em grupos de variáveis usando a interface do usuário do Azure Pipelines.

1. Em seu projeto do Azure DevOps, selecione Biblioteca de Pipelines>no menu à esquerda.
2. Na página Biblioteca, selecione o grupo de variáveis que deseja atualizar. Você também pode passar o mouse sobre a listagem do grupo de variáveis, selecionar o ícone Mais opções e selecionar Editar no menu.
3. Na página do grupo de variáveis, você pode:
   • Altere qualquer um dos nomes ou valores das variáveis.
   • Exclua qualquer uma das variáveis selecionando o ícone de lata de lixo ao lado do nome da variável.
   • Altere as variáveis para secretas ou não secretas selecionando o ícone de cadeado ao lado do valor da variável.
   • Adicione novas variáveis selecionando + Adicionar.
4. Depois de fazer alterações, selecione Salvar.

CLI do Azure DevOps

Nos Serviços de DevOps do Azure, você pode gerenciar variáveis em grupos de variáveis usando a CLI do Azure DevOps.

Listar variáveis em um grupo de variáveis

Para listar as variáveis em um grupo de variáveis, use o comando az pipelines variable-group variable list list . Por exemplo, o comando a seguir lista todas as variáveis no grupo de variáveis com ID 4 e mostra o resultado em formato de tabela.

az pipelines variable-group variable list --group-id 4 --output table

Saída:

Name            Is Secret    Value
--------------  -----------  -----------
app-location    False        home-office
app-name        False        contoso

Adicionar variáveis a um grupo de variáveis

Para adicionar uma variável a um grupo de variáveis, use o comando az pipelines variable-group variable create command.

Por exemplo, o comando a seguir cria uma nova variável nomeada requires-login com um valor padrão de no grupo de true variáveis com ID 4. O resultado é mostrado em formato de tabela.

az pipelines variable-group variable create --group-id 4
                                            --name requires-login
                                            --value true
                                            --output table

Saída:

Name            Is Secret    Value
--------------  -----------  -------
requires-login  False        true

Atualizar variáveis em um grupo de variáveis

Para atualizar variáveis em um grupo de variáveis, use o comando az pipelines variable-group variable update .

Por exemplo, o comando a seguir atualiza a requires-login variável com o novo valor false no grupo de variáveis com ID 4e mostra o resultado no formato YAML. O comando especifica que a variável é um secretarquivo .

az pipelines variable-group variable update --group-id 4
                                            --name requires-login
                                            --value false
                                            --secret true
                                            --output yaml

A saída mostra o valor como null em vez de false porque é um valor oculto secreto.

requires-login:
  isSecret: true
  value: null

Gerenciar variáveis secretas

Para gerenciar variáveis secretas, use o comando az pipelines variable-group variable update com os seguintes parâmetros:

• secret: Definido para true indicar que o valor da variável é mantido em segredo.
• prompt-value: Defina para true atualizar o valor de uma variável secreta usando uma variável de ambiente ou prompt via entrada padrão.
• value: Para variáveis secretas, use o prompt-value parâmetro a ser solicitado a inserir o valor via entrada padrão. Para consoles não interativos, você pode escolher a variável de ambiente prefixada com AZURE_DEVOPS_EXT_PIPELINE_VAR_. Por exemplo, você pode inserir uma variável nomeada MySecret usando a variável AZURE_DEVOPS_EXT_PIPELINE_VAR_MySecretde ambiente .

Excluir variáveis de um grupo de variáveis

Para excluir uma variável de um grupo de variáveis, use o comando az pipelines variable-group variable delete . Por exemplo, o comando a seguir exclui a requires-login variável do grupo de variáveis com ID 4.

az pipelines variable-group variable delete --group-id 4 --name requires-login

O comando solicita confirmação porque esse é o padrão.

Are you sure you want to delete this variable? (y/n): y
Deleted variable 'requires-login' successfully.

Usar grupos de variáveis em pipelines

Você pode usar grupos de variáveis em pipelines YAML ou Classic. As alterações feitas em um grupo de variáveis ficam automaticamente disponíveis para todas as definições ou estágios aos quais o grupo de variáveis está vinculado.

Usar grupos de variáveis em pipelines YAML

Depois de autorizar um pipeline YAML a usar um grupo de variáveis, você pode usar o grupo de variáveis ou variáveis dentro dele no pipeline.

Autorizar o pipeline YAML a usar o grupo de variáveis

Se você nomear apenas o grupo de variáveis em pipelines YAML, qualquer pessoa que possa enviar código por push para seu repositório poderá extrair o conteúdo dos segredos no grupo de variáveis. Portanto, para usar um grupo de variáveis com pipelines YAML, você deve autorizar o pipeline a usar o grupo. Os pipelines clássicos podem usar grupos de variáveis sem autorização separada.

Interface do usuário do Azure Pipelines

Você pode autorizar pipelines a usar seus grupos de variáveis usando a interface do usuário do Azure Pipelines.

1. Em seu projeto do Azure DevOps, selecione Biblioteca de Pipelines>no menu à esquerda.
2. Na página Biblioteca, selecione o grupo de variáveis que deseja autorizar.
3. Na página do grupo de variáveis, selecione a guia Permissões de pipeline.
4. Na tela Permissões de pipeline, selecione + e, em seguida, selecione um pipeline para autorizar. Ou selecione o ícone Mais ações , selecione Abrir acesso e selecione Abrir acesso novamente para confirmar.

A seleção de um pipeline autoriza esse pipeline a usar o grupo de variáveis. Para autorizar outro pipeline, selecione o + ícone novamente. Selecionar Acesso aberto autoriza todos os pipelines de projeto a usar o grupo de variáveis. O acesso aberto pode ser uma boa opção se você não tiver segredos no grupo.

Outra maneira de autorizar um grupo de variáveis é selecionar o pipeline, selecionar Editar e, em seguida, enfileirar uma compilação manualmente. Você vê um erro de autorização de recursos e pode adicionar explicitamente o pipeline como um usuário autorizado do grupo de variáveis.

CLI do Azure DevOps

Nos Serviços de DevOps do Azure, você pode autorizar grupos de variáveis usando a CLI do Azure DevOps.

Para autorizar todos os pipelines de projeto a usar o grupo de variáveis, defina o authorize parâmetro no comando az pipelines variable-group create como true. O acesso aberto pode ser uma boa opção se você não tiver segredos no grupo.

Usar o grupo de variáveis no pipeline YAML

Para usar uma variável de um grupo de variáveis, adicione uma referência ao nome do grupo no arquivo de pipeline YAML. Em seguida, você pode usar variáveis do grupo de variáveis em seu arquivo.

variables:
- group: my-variable-group

Você pode fazer referência a vários grupos de variáveis no mesmo pipeline. Se vários grupos de variáveis incluírem a mesma variável, o último grupo de variáveis que usa a variável no arquivo definirá o valor da variável. Para obter mais informações sobre a precedência de variáveis, consulte Expansão de variáveis.

Você também pode fazer referência a um grupo de variáveis em um modelo. O arquivo de modelo de variables.yml a seguir faz referência ao grupo my-variable-groupde variáveis. O grupo de variáveis inclui uma variável chamada myhello.

variables:
- group: my-variable-group

O pipeline YAML faz referência ao modelo variables.yml e usa a variável $(myhello) do grupo my-variable-groupde variáveis.

stages:
- stage: MyStage
  variables:
  - template: variables.yml
  jobs:
  - job: Test
    steps:
    - script: echo $(myhello)

Usar variáveis de grupo em pipelines YAML

Você acessa os valores de variáveis em um grupo de variáveis vinculado da mesma forma que acessa as variáveis definidas dentro do pipeline. Por exemplo, para acessar o valor de uma variável nomeada customer em um grupo de variáveis vinculado ao pipeline, você pode usar $(customer) um parâmetro de tarefa ou um script.

Se você usar variáveis autônomas e grupos de variáveis em seu arquivo de pipeline, use a name-value sintaxe para as variáveis autônomas.

variables:
- group: my-variable-group
- name: my-standalone-variable
  value: 'my-standalone-variable-value'

Para fazer referência a uma variável em um grupo de variáveis, você pode usar a sintaxe de macro ou uma expressão de tempo de execução. Nos exemplos a seguir, o grupo my-variable-group tem uma variável chamada myhello.

Para usar uma expressão de tempo de execução:

variables:
- group: my-variable-group
- name: my-passed-variable
  value: $[variables.myhello]
- script: echo $(my-passed-variable)

Para usar a sintaxe de macro:

variables:
- group: my-variable-group

steps:
- script: echo $(myhello)

Não é possível acessar variáveis secretas, incluindo variáveis criptografadas e variáveis do cofre de chaves, diretamente em scripts. Você deve passar essas variáveis como argumentos para uma tarefa. Para obter mais informações, consulte Variáveis secretas.

Usar grupos de variáveis em pipelines clássicos

Os pipelines clássicos podem usar grupos de variáveis sem autorização separada. Para usar um grupo de variáveis:

1. Abra o pipeline Clássico.

2. Selecione Variáveis>Grupos de variáveis e, em seguida, selecione Vincular grupo de variáveis.

3. Em um pipeline de compilação, você verá uma lista de grupos disponíveis. Vincule um grupo de variáveis ao pipeline. Todas as variáveis do grupo estão disponíveis para uso dentro do pipeline.

   Em um pipeline de liberação, você também verá uma lista suspensa de estágios no pipeline. Vincule o grupo de variáveis ao próprio pipeline ou a um ou mais estágios específicos do pipeline de liberação. Se você vincular a um ou mais estágios, as variáveis do grupo de variáveis terão escopo para esses estágios e não estarão acessíveis nos outros estágios da versão.

   

Quando você define uma variável com o mesmo nome em vários escopos, a seguinte precedência é usada, a mais alta primeiro:

1. Variável definida no momento da fila
2. Conjunto de variáveis no pipeline
3. Conjunto de variáveis no grupo de variáveis

Para obter mais informações sobre a precedência de variáveis, consulte Expansão de variáveis.

Nota

Variáveis em diferentes grupos que estão ligadas a um pipeline no mesmo escopo (por exemplo, trabalho ou estágio) colidirão e o resultado pode ser imprevisível. Certifique-se de usar nomes diferentes para variáveis em todos os seus grupos de variáveis.

Artigos relacionados

• Definir variáveis
• Definir variáveis personalizadas
• Usar variáveis secretas e não secretas em grupos de variáveis
• Utilizar os segredos do Azure Key Vault nos Pipelines do Azure
• Adicionar aprovações e verificações