Использование секретов Azure Key Vault в конвейере

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

Azure Key Vault позволяет разработчикам безопасно хранить конфиденциальные сведения и управлять ими, такими как пароли, ключи API и сертификаты. В этой статье описывается, как запрашивать и использовать секреты из Azure Key Vault в конвейере.

Предварительные условия

Продукт	Требования
Azure DevOps	- Проект Azure DevOps. Разрешения - :     — Чтобы предоставить доступ ко всем конвейерам в проекте: необходимо быть членом группы администраторов проектов.     — Для создания подключений к службам необходимо иметь роль администратора или создателя для подключений служб.
GitHub	— учетная запись GitHub и репозиторий GitHub. - Подключение службы GitHub для авторизации Azure Pipelines.
Лазурный	— подписка Azure.

Создайте хранилище ключей.

Портал Azure

1. Войдите в портал Azure и нажмите кнопку "Создать ресурс".

2. В разделе Key Vault выберите "Создать", чтобы создать azure Key Vault.

3. Выберите свою подписку в раскрывающемся меню, а затем выберите существующую группу ресурсов или создайте новую. Введите имя хранилища ключей, выберите регион, выберите ценовую категорию и нажмите кнопку "Далее", если требуется настроить дополнительные свойства. В противном случае нажмите кнопку "Проверить и создать ", чтобы сохранить параметры по умолчанию.

4. По завершении развертывания выберите элемент Перейти к ресурсу.

Azure CLI

1. Сначала задайте регион по умолчанию и подписку Azure:

   • Задайте подписку по умолчанию:

   az account set --subscription <your_subscription_name_or_subscription_ID>
   

   • Задайте регион по умолчанию:

   az config set defaults.location=<your_region>
   

2. Создайте новую группу ресурсов для размещения Azure Key Vault. Группа ресурсов — это контейнер, содержащий связанные ресурсы для решения Azure:

   az group create --name <your-resource-group>
   

3. Создайте новое Хранилище ключей Azure:

   az keyvault create \
     --name <your-key-vault-name> \
     --resource-group <your-resource-group>
   

Настройка проверки подлинности

управляемая идентичность

Создание назначаемого пользователем управляемого удостоверения

1. Войдите в портал Azure, а затем найдите в строке поиска службу Управляемые удостоверения.

2. Выберите "Создать" и заполните обязательные поля следующим образом:

   • Подписка: выберите подписку в раскрывающемся меню.
   • Группа ресурсов: выберите существующую группу ресурсов или создайте новую.
   • Регион: выберите регион в раскрывающемся меню.
   • Имя: Введите имя для назначенной пользователем управляемой идентичности.

3. Нажмите кнопку "Рецензирование" и "Создать " после завершения.

4. После завершения развертывания выберите "Перейти к ресурсу", а затем скопируйте идентификатор подписки и клиента, вам потребуется выполнить следующие действия.

5. Перейдите ксвойствам>параметрови скопируйте идентификатор клиента управляемого удостоверения, чтобы использовать его позже.

Настройка политик доступа к хранилищу ключей

1. Перейдите к портал Azure и используйте строку поиска, чтобы найти созданное ранее хранилище ключей.

2. Выберите политики доступа, а затем нажмите Создать, чтобы добавить новую политику.

3. В разделе "Разрешения секрета" установите флажки "Получить " и "Список ".

4. Нажмите «Далее», затем вставьте идентификатор клиента управляемого удостоверения, созданного ранее, в поле поиска.

5. Выберите управляемое удостоверение, нажмите кнопку "Далее", а затем еще раз.

6. Просмотрите новую политику и нажмите кнопку "Создать " после завершения.

Создать подключение к службе

1. Войдите в организацию Azure DevOps и перейдите к проекту.

2. Выберите параметры проекта>подключения службы, а затем выберите Создать подключение службы.

3. Выберите Azure Resource Manager, а затем нажмите кнопку "Далее".

4. В разделе "Тип удостоверения" выберите управляемое удостоверение в раскрывающемся меню.

5. Для шага 1: сведения об управляемом удостоверении заполните поля следующим образом:

   • Подписка для управляемого удостоверения: выберите подписку, содержащую управляемое удостоверение.

   • Группа ресурсов для управляемого удостоверения: выберите группу ресурсов, в которой размещено управляемое удостоверение.

   • Управляемое удостоверение: выберите управляемое удостоверение в раскрывающемся меню.

6. Для Шага 2: Область Azure заполните поля следующим образом:

   • Уровень области подключения к службе: выбор подписки.

   • Подписка на подключение к службе: выберите подписку, к которой будет обращаться управляемое удостоверение.

   • Группа ресурсов для подключения к службе: (необязательно) Укажите это, если требуется ограничить доступ к определенной группе ресурсов.

7. Для шага 3. Сведения о подключении к службе:

   • Имя подключения службы: укажите имя для вашего подключения к службе.

   • Справочник по управлению службами: (необязательно) включите сведения о контексте из базы данных ITSM.

   • Описание: (необязательно) Добавьте описание.

8. В разделе Безопасность установите флажок Предоставить разрешение на доступ ко всем потокам, чтобы позволить всем потокам пользоваться этим подключением к службе. Если этот флажок не установлен, необходимо вручную предоставить доступ для каждого конвейера.

9. Нажмите кнопку "Сохранить", чтобы проверить и создать подключение к службе.

   

Служебный принципал

Создание сервисного субъекта

На этом шаге вы создадите в Azure новую учетную запись службы, чтобы Azure Pipelines могли получить доступ к Azure Key Vault.

1. Перейдите на портал Azure, а затем щелкните > значок _ в верхнем меню, чтобы открыть Cloud Shell.

2. Выберите PowerShell или Bash в зависимости от вашего предпочтения.

3. Выполните следующую команду, чтобы создать новую учетную запись службы.

   az ad sp create-for-rbac --name YOUR_SERVICE_PRINCIPAL_NAME
   

4. После выполнения команды вы получите выходные данные, аналогичные приведенному ниже. Скопируйте и сохраните выходные данные, вам потребуется создать подключение к службе на следующем шаге.

   {
     "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "displayName": "MyServicePrincipal",
     "password": "***********************************",
     "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
   }
   

Создать подключение к службе

1. Войдите в организацию Azure DevOps и перейдите к проекту.

2. Выберите параметры проекта и выберите "Подключения службы".

3. Выберите новое подключение к службе, выберите Azure Resource Manager и нажмите кнопку "Далее".

4. Выберите Service principal (вручную), а затем выберите Далее.

5. В разделе "Тип удостоверения" выберите регистрацию приложения или управляемое удостоверение (вручную).

6. В разделе "Учетные данные" выберите федерацию удостоверений рабочей нагрузки.

7. Укажите имя подключения к службе и нажмите кнопку "Далее".

8. Скопируйте значения издателя и идентификатора субъекта . Они потребуются на следующем шаге.

9. Для среды выберите Azure Cloud, а для области подписки выберите подписку.

10. Введите идентификатор подписки Azure и имя подписки.

11. В разделе "Проверка подлинности" вставьте идентификатор приложения (клиента) и идентификатор каталога (арендатора) вашего субъекта-службы.

12. В разделе "Безопасность" установите флажок "Предоставить доступ ко всем конвейерам ", чтобы разрешить всем конвейерам использовать это подключение к службе. Если пропустить эту часть, вам придется вручную предоставить доступ для каждого конвейера.

13. Оставьте эту страницу открытой, вы вернетесь к ней, чтобы завершить, как только (1) создадите федеративные учетные данные в Azure и (2) предоставите вашему служебному принципалу доступ на чтение на уровне подписки.

    

Создание федеративных учетных данных в Azure

1. Перейдите на портал Azure, а затем используйте панель поиска, чтобы найти субъект-службу, введя идентификатор клиента. Выберите соответствующее приложение из результатов.

2. В разделе "Управление" выберите сертификаты и секреты>федеративные учетные данные.

3. Выберите "Добавить учетные данные", а затем для сценария федеративных учетных данных выберите "Другой издатель".

4. В поле издателя вставьте значение издателя , скопированное из подключения к службе ранее.

5. В поле идентификатора субъекта вставьте скопированный ранее идентификатор субъекта .

6. Введите имя федеративных учетных данных и нажмите кнопку "Добавить " после завершения.

   

Добавьте назначение ролей в свою подписку

Прежде чем проверить подключение, необходимо предоставить служебному принципалу доступ на чтение на уровне подписки:

1. Перейдите к портал Azure

2. В разделе "Службы Azure" выберите "Подписки", а затем найдите и выберите свою подписку.

3. Выберите Управление доступом (IAM), а затем Добавить>Добавить назначение ролей.

4. На вкладке "Роль" выберите "Читатель" и нажмите кнопку "Далее".

5. Выберите "Пользователь", "Группа" или "Субъект-служба", а затем выберите "Выбрать участников".

6. В строке поиска вставьте идентификатор объекта субъекта-службы, выберите его, а затем нажмите кнопку "Выбрать".

7. Выберите "Проверить и назначить", просмотрите параметры, а затем нажмите кнопку "Проверить и назначить " еще раз, чтобы подтвердить.

8. После добавления ролевого назначения. Вернитесь к подключению к службе в Azure DevOps и выберите "Проверить и сохранить ", чтобы сохранить подключение к службе.

Настройка политик доступа Key Vault

1. Перейдите на портал Azure, найдите хранилище ключей, созданное ранее, а затем выберите политики Access.

2. Выберите "Создать", а затем в разделе "Секретные разрешения " добавьте разрешения "Получить " и " Список ", а затем нажмите кнопку "Далее".

3. В разделе "Принципал" вставьте Объект ID вашего принципала службы, выберите его и нажмите "Далее".

4. Снова нажмите кнопку "Далее ", просмотрите параметры и нажмите кнопку "Сохранить ", чтобы применить новую политику.

Получение и использование секретов в вашем конвейере

С помощью задачи Azure Key Vault теперь можно запрашивать и получать секреты из Azure Key Vault и использовать их в последующих задачах в конвейере. Обратите внимание, что секреты должны быть явно сопоставлены с переменными среды, как показано в следующем примере:

pool:
  vmImage: 'ubuntu-latest'

steps:
- task: AzureKeyVault@1
  inputs:
    azureSubscription: 'SERVICE_CONNECTION_NAME'
    KeyVaultName: 'KEY_VAULT_NAME'
    SecretsFilter: '*'

- bash: |
    echo "Secret Found! $MY_MAPPED_ENV_VAR"        
  env:
    MY_MAPPED_ENV_VAR: $(SECRET_NAME)

Выходные данные последнего шага bash должны выглядеть следующим образом:

Secret Found! ***

Примечание.

Чтобы запросить несколько секретов из Azure Key Vault, используйте SecretsFilter входные данные и укажите разделенный запятыми список имен секретов, например secret1, secret2.

Связанный контент

• Защита секретов в Azure Pipelines

• Получите доступ к хранилищу секретных ключей из вашего конвейера

• Управление безопасностью в Azure Pipelines