Использование секретов Azure Key Vault в Azure Pipelines

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

Azure Key Vault позволяет разработчикам безопасно хранить конфиденциальные сведения, такие как ключи API, учетные данные или сертификаты. Служба Azure Key Vault поддерживает два типа контейнеров: хранилища и управляемые пулы HSM (аппаратный модуль безопасности). Хранилища могут хранить ключи, секреты и сертификаты с поддержкой программного обеспечения и HSM, а управляемые пулы HSM поддерживают только ключи с поддержкой HSM.

В этом учебнике рассматривается следующее.

• Создание Azure Key Vault с помощью Azure CLI
• Добавление секрета и настройка доступа к хранилищу ключей Azure
• Использование секретов в конвейере

Необходимые компоненты

• Организация Azure DevOps и проект. Создайте организацию или проект, если вы еще не сделали этого.

• Подписка Azure. Создайте учетную запись Azure бесплатно, если у вас еще нет учетной записи Azure.

Создание репозитория

Если у вас уже есть собственный репозиторий, перейдите к следующему шагу. В противном случае выполните приведенные ниже инструкции, чтобы инициализировать репозиторий. Мы будем использовать этот репозиторий Azure для настройки конвейера.

1. Войдите в организацию Azure DevOps и перейдите к проекту.

2. Выберите Repos, а затем выберите "Инициализировать", чтобы инициализировать основную ветвь с помощью README.

   

создать Azure Key Vault;

1. Войдите на портал Azure и нажмите кнопку Cloud Shell в правом верхнем углу.

2. Если у вас несколько подписок Azure, связанных с учетной записью, используйте следующую команду, чтобы указать подписку по умолчанию. Вы можете создать az account list список подписок.

   az account set --subscription <YOUR_SUBSCRIPTION_NAME_OR_ID>
   

3. Задайте регион Azure по умолчанию. Вы можете создать az account list-locations список доступных регионов.

   az config set defaults.location=<YOUR_REGION>
   

4. Создание группы ресурсов

   az group create --name <YOUR_RESOURCE_GROUP_NAME>
   

5. Создайте azure Key Vault.

   az keyvault create \
     --name <YOUR_KEY_VAULT_NAME> \
     --resource-group <YOUR_RESOURCE_GROUP_NAME>
   

6. Создайте новый секрет в хранилище ключей Azure.

   az keyvault secret set \
     --name <YOUR_SECRET_NAME> \
     --value <YOUR_ACTUAL_SECRET> \
     --vault-name <YOUR_KEY_VAULT_NAME>
   

Настройка политик доступа к хранилищу ключей

Чтобы получить доступ к Azure Key Vault, необходимо настроить субъект-службу для предоставления доступа к Azure Pipelines. Следуйте инструкциям из этого руководства , чтобы создать субъект-службу с помощью Azure CLI, а затем выполните следующие действия, описанные в этом разделе.

1. Перейдите к портал Azure, а затем используйте строку поиска, чтобы найти созданное ранее хранилище ключей.

   

2. Выберите политики доступа и нажмите кнопку "Создать ", чтобы создать новую политику.

3. В разделе "Разрешения секрета" выберите " Получить " и "Список".

4. Нажмите кнопку "Далее", а затем выберите субъект-службу, созданный ранее. Субъект-служба — это объект, представляющий приложение или службу, запрашивающую доступ к ресурсам Azure.

5. Нажмите кнопку "Далее", а затем еще раз.

6. Просмотрите политики и нажмите кнопку "Создать " после завершения.

Добавление назначения роли

На следующем шаге мы создадим подключение службы ARM с помощью субъекта-службы. Прежде чем проверить подключение, необходимо предоставить субъекту-службе доступ на чтение на уровне подписки:

1. Перейдите к портал Azure

2. Выберите подписки на левой панели навигации, а затем найдите и выберите подписку.

3. Выберите элемент управления доступом и нажмите кнопку Добавить>назначение ролей.

   

4. Выберите читатель на вкладке "Роль " и нажмите кнопку "Далее".

5. Выберите "Пользователь", "Группа" или "Субъект-служба", а затем выберите "Выбрать участников".

   

6. Используйте панель поиска, чтобы найти субъект-службу, а затем щелкните знак "+", чтобы выбрать его, а затем нажмите кнопку "Выбрать ".

7. Выберите "Рецензирование и назначение", просмотрите параметры, а затем нажмите кнопку "Проверить и назначить еще раз", чтобы подтвердить выбор и добавить назначение роли.

Создание подключения службы

1. Войдите в организацию Azure DevOps и перейдите к проекту.

2. Выберите "Параметры> службы проекта" и выберите "Создать подключение службы", чтобы создать новое подключение к службе.

3. Выберите Azure Resource Manager и нажмите кнопку "Далее".

4. Выберите субъект-службу (вручную) и нажмите кнопку "Далее".

5. Выберите Azure Cloud для среды и подписки на уровне области, а затем введите идентификатор подписки и имя подписки.

6. Введите следующие поля с информацией, полученной при создании субъекта-службы, а затем нажмите кнопку "Проверить , когда закончите".

   • Идентификатор субъекта-службы: идентификатор приложения субъекта-службы.
   • Ключ субъекта-службы: пароль субъекта-службы.
   • Идентификатор клиента: клиент субъекта-службы.

7. После успешной проверки укажите имя и описание (необязательно) для подключения к службе, а затем установите флажок "Предоставить доступ ко всем конвейерам ".

8. Нажмите кнопку "Проверить и сохранить " после завершения.

   

Создание нового конвейера

Классическое

1. Войдите в организацию Azure DevOps и перейдите к проекту.

2. Выберите конвейеры и нажмите кнопку "Создать конвейер".

3. Выберите "Использовать классический редактор " для создания классического конвейера.

4. Выберите Azure Repos Git, выберите репозиторий и ветвь по умолчанию, а затем нажмите кнопку "Продолжить".

5. Выберите шаблон конвейера .Net Desktop .

6. В этом примере потребуется только две последние задачи. Нажмите клавиши CTRL, а затем выберите первые пять задач, щелкните правой кнопкой мыши и выберите " Удалить выбранные задачи" , чтобы удалить их.

   

7. Выберите + , чтобы добавить новую задачу. Найдите задачу командной строки , выберите ее, а затем нажмите кнопку "Добавить ", чтобы добавить ее в конвейер. После добавления настройте его следующим образом:

   • Отображаемое имя: создание файла
   • Скрипт: echo $(YOUR_SECRET_NAME) > secret.txt

   

8. Выберите + , чтобы добавить новую задачу. Найдите задачу Azure Key Vault, выберите ее и нажмите кнопку "Добавить*", чтобы добавить ее в конвейер. После добавления настройте его следующим образом:

   • Отображаемое имя: Azure Key Vault
   • Подписка Azure: выберите подключение к службе субъекта-службы, созданное ранее
   • Хранилище ключей: выбор хранилища ключей
   • Фильтр секретов: разделенный запятыми список имен секретов или оставьте *, чтобы скачать все секреты из выбранного хранилища ключей

   

9. Выберите задачу "Копировать файлы" и заполните необходимые поля следующим образом:

   • Отображаемое имя: копирование файла
   • Содержимое: secret.txt
   • Целевая папка: $(build.artifactstagingdirectory)

   

10. Выберите задачу "Опубликовать артефакты" и заполните обязательные поля следующим образом:

    • Отображаемое имя: публикация артефакта
    • Путь к публикации: $(build.artifactstagingdirectory)
    • Имя артефакта: drop
    • Расположение публикации артефактов: Azure Pipelines

    

11. Выберите "Сохранить" и "Очередь", а затем нажмите кнопку "Выполнить ", чтобы запустить конвейер.

12. После завершения выполнения конвейера вернитесь к сводке конвейера и выберите опубликованный артефакт.

13. Выберите удалить>secret.txt , чтобы скачать опубликованный артефакт.

    

14. Откройте только что скачанный текстовый файл, текстовый файл должен содержать секрет из хранилища ключей Azure.

YAML

1. Войдите в организацию Azure DevOps и перейдите к проекту.

2. Выберите конвейеры и нажмите кнопку "Создать конвейер".

3. Выберите Azure Repos Git (YAML) и выберите репозиторий.

4. Выберите шаблон конвейера Starter.

5. Конвейер по умолчанию будет включать скрипт, выполняющий команды эхо. Они не нужны, чтобы мы могли их удалить.

6. Добавьте задачу AzureKeyVault, заменив заполнители именем созданного ранее подключения к службе и именем хранилища ключей. Файл YAML должен выглядеть следующим фрагментом кода:

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'YOUR_SERVICE_CONNECTION_NAME'
       KeyVaultName: 'YOUR_KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   

7. Давайте добавим следующие задачи для копирования и публикации секрета. Этот пример предназначен только для демонстрационных целей и не должен быть реализован в рабочей среде.

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'YOUR_SERVICE_CONNECTION_NAME'
       KeyVaultName: 'YOUR_KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   
   - task: CmdLine@2
     displayName: Create file
     inputs:
       script: 'echo $(YOUR_SECRET_NAME) > secret.txt'
   
   - task: CopyFiles@2
     displayName: Copy file
     inputs:
       Contents: secret.txt
       targetFolder: '$(Build.ArtifactStagingDirectory)'
   
   - task: PublishBuildArtifacts@1
     displayName: Publish Artifact
     inputs:
       PathtoPublish: '$(Build.ArtifactStagingDirectory)'
       ArtifactName: 'drop'
       publishLocation: 'Container'
   

8. Нажмите кнопку "Сохранить и запустить", а затем еще раз выберите ее, чтобы зафиксировать изменения и активировать конвейер. Возможно, вам будет предложено разрешить доступ конвейера к ресурсам Azure, если появится запрос на выбор разрешения. Вам придется утвердить конвейер только один раз.

9. Выберите задачу CmdLine, чтобы просмотреть журналы.

   

10. После завершения выполнения конвейера вернитесь к сводке конвейера и выберите опубликованный артефакт.

    

11. Выберите удалить>secret.txt , чтобы скачать его.

    

12. Откройте только что скачанный текстовый файл, текстовый файл должен содержать секрет из хранилища ключей Azure.

Предупреждение

Это руководство предназначено только для образовательных целей. Рекомендации по безопасности и безопасное использование секретов см. в статье "Управление секретами" в серверных приложениях с помощью Azure Key Vault.

Очистка ресурсов

Выполните приведенные ниже действия, чтобы удалить созданные ресурсы:

1. Если вы создали новую организацию для размещения проекта, узнайте , как удалить организацию, в противном случае удалите проект.

2. Все ресурсы Azure, созданные во время этого руководства, размещаются в одной группе ресурсов. Выполните следующую команду, чтобы удалить группу ресурсов и все ее ресурсы.

   az group delete --name <YOUR_RESOURCE_GROUP_NAME>
   

Вопросы и ответы

Вопрос. Я получаю следующую ошибку: "У пользователя или группы нет разрешений на список секретов", что делать?

Ответ. Если возникла ошибка, указывающая, что у пользователя или группы нет разрешения списка секретов в хранилище ключей, выполните следующие команды, чтобы авторизовать приложение для доступа к ключу или секрету в Azure Key Vault:

$ErrorActionPreference="Stop";
$Credential = Get-Credential;
Connect-AzAccount -SubscriptionId <YOUR_SUBSCRIPTION_ID> -Credential $Credential;
$spn=(Get-AzureRmADServicePrincipal -SPN <YOUR_SERVICE_PRINCIPAL_ID>);
$spnObjectId=$spn.Id;
Set-AzureRmKeyVaultAccessPolicy -VaultName key-vault-tutorial -ObjectId $spnObjectId -PermissionsToSecrets get,list;

Связанные статьи

• Публикация и скачивание артефактов конвейера
• Артефакты выпуска и источники артефактов
• Использование шлюзов и утверждений для управления развертыванием