Använd Azure Key Vault-hemligheter i Azure Pipelines
Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019
Med Azure Key Vault kan utvecklare lagra och hantera känslig information på ett säkert sätt, till exempel API-nycklar, autentiseringsuppgifter eller certifikat. Azure Key Vault-tjänsten stöder två typer av containrar: valv och hanterade HSM-pooler (maskinvarusäkerhetsmodul). Valv kan lagra både programvaru- och HSM-säkerhetskopierade nycklar, hemligheter och certifikat, medan hanterade HSM-pooler endast stöder HSM-säkerhetskopierade nycklar.
I den här självstudien får du lära dig hur man:
- Skapa ett Azure Key Vault med Hjälp av Azure CLI
- Lägga till en hemlighet och konfigurera åtkomst till Azure Key Vault
- Använda hemligheter i pipelinen
Förutsättningar
En Azure DevOps-organisation och ett projekt. Skapa en organisation eller ett projekt om du inte redan har gjort det.
En Azure-prenumeration Skapa ett Azure-konto kostnadsfritt om du inte redan har ett.
Skapa en lagringsplats
Om du redan har en egen lagringsplats går du vidare till nästa steg. Annars följer du anvisningarna nedan för att initiera lagringsplatsen. Vi använder den här Azure-lagringsplatsen för att konfigurera vår pipeline.
Logga in på din Azure DevOps-organisation och navigera sedan till projektet.
Välj Lagringsplatser och välj sedan Initiera för att initiera huvudgrenen med ett README.
Skapa ett Azure Key Vault
Logga in på Azure-portalen och välj sedan knappen Cloud Shell i det övre högra hörnet.
Om du har fler än en Azure-prenumeration associerad med ditt konto använder du kommandot nedan för att ange en standardprenumeration. Du kan använda
az account list
för att generera en lista över dina prenumerationer.az account set --subscription <YOUR_SUBSCRIPTION_NAME_OR_ID>
Ange din azure-standardregion. Du kan använda
az account list-locations
för att generera en lista över tillgängliga regioner.az config set defaults.location=<YOUR_REGION>
Skapa en ny resursgrupp.
az group create --name <YOUR_RESOURCE_GROUP_NAME>
Skapa ett nytt Azure Key Vault.
az keyvault create \ --name <YOUR_KEY_VAULT_NAME> \ --resource-group <YOUR_RESOURCE_GROUP_NAME>
Skapa en ny hemlighet i ditt Azure-nyckelvalv.
az keyvault secret set \ --name <YOUR_SECRET_NAME> \ --value <YOUR_ACTUAL_SECRET> \ --vault-name <YOUR_KEY_VAULT_NAME>
Konfigurera åtkomstprinciper för key vault
För att få åtkomst till vårt Azure Key Vault måste vi konfigurera ett huvudnamn för tjänsten för att ge åtkomst till Azure Pipelines. Följ den här guiden för att skapa ett huvudnamn för tjänsten med Azure CLI och fortsätt sedan med nästa steg i det här avsnittet.
Gå till Azure Portal och använd sedan sökfältet för att hitta nyckelvalvet som du skapade tidigare.
Välj Åtkomstprinciper och sedan Skapa för att skapa en ny princip.
Under Hemliga behörigheter väljer du Hämta och Lista.
Välj Nästa och välj sedan tjänstens huvudnamn som du skapade tidigare. Ett huvudnamn för tjänsten är ett objekt som representerar ett program eller en tjänst som begär åtkomst till Azure-resurser.
Välj Nästa och sedan Nästa en gång till.
Granska dina principer och välj sedan Skapa när du är klar.
Lägg till rolltilldelning
I nästa steg skapar vi en ARM-tjänstanslutning med tjänstens huvudnamn. Innan vi kan verifiera anslutningen måste vi bevilja tjänstens huvudnamn läsbehörighet på prenumerationsnivå:
Gå till Azure Portal
Välj Prenumerationer i den vänstra navigeringspanelen och leta sedan upp och välj din prenumeration.
Välj Åtkomstkontroll och välj sedan Lägg till lägg till>rolltilldelning.
Välj Läsare under fliken Roll och välj sedan Nästa.
Välj Användare, grupp eller tjänstens huvudnamn och välj sedan Välj medlemmar.
Använd sökfältet för att hitta tjänstens huvudnamn och välj sedan tecknet "+" för att välja det och klicka sedan på knappen Välj .
Välj Granska + tilldela, granska inställningarna och välj sedan Granska + tilldela en gång till för att bekräfta dina val och lägga till rolltilldelningen.
Skapa en tjänstanslutning
Logga in på din Azure DevOps-organisation och navigera sedan till projektet.
Välj Projektinställningar>Tjänstanslutningar och välj sedan Ny tjänstanslutning för att skapa en ny tjänstanslutning.
Välj Azure Resource Manager och välj sedan Nästa.
Välj Tjänstens huvudnamn (manuell) och välj sedan Nästa.
Välj Azure Cloud för miljö och prenumeration för omfångsnivån och ange sedan ditt prenumerations-ID och ditt prenumerationsnamn.
Fyll i följande fält med den information du fick när du skapade tjänstens huvudnamn och välj sedan Verifiera när du är klar:
- Tjänstens huvudnamns-ID: Ditt appId för tjänstens huvudnamn.
- Nyckel för tjänstens huvudnamn: Lösenordet för tjänstens huvudnamn.
- Klientorganisations-ID: Din klientorganisation för tjänstens huvudnamn.
När verifieringen har slutförts anger du ett namn och en beskrivning (valfritt) för tjänstanslutningen och markerar sedan kryssrutan Bevilja åtkomstbehörighet till alla pipelines .
Välj Verifiera och spara när du är klar.
Logga in på din Azure DevOps-samling och navigera sedan till projektet.
Välj Projektinställningar>Tjänstanslutningar>Ny tjänstanslutning och välj sedan Azure Resource Manager för att skapa en ny ARM-tjänstanslutning.
Ge tjänstanslutningen ett namn och välj sedan Azure Cloud for Environment och Subscription för omfångsnivån.
Ange ditt prenumerations-ID och ditt prenumerationsnamn.
Fyll i följande fält med den information du fick när du skapade tjänstens huvudnamn och välj sedan Verifiera anslutning när du är klar:
- Klient-ID för tjänstens huvudnamn: Ditt appId för tjänstens huvudnamn.
- Nyckel för tjänstens huvudnamn: Lösenordet för tjänstens huvudnamn.
- Klientorganisations-ID: Din klientorganisation för tjänstens huvudnamn.
Markera kryssrutan Tillåt alla pipelines att använda den här anslutningen och välj sedan Ok när du är klar.
Skapa en ny pipeline
Logga in på din Azure DevOps-organisation och navigera sedan till projektet.
Välj Pipelines och välj sedan Ny pipeline.
Välj Använd den klassiska redigeraren för att skapa en klassisk pipeline.
Välj Azure Repos Git, välj din lagringsplats och standardgren och välj sedan Fortsätt.
Välj pipelinemallen .Net Desktop .
I det här exemplet behöver vi bara de två sista uppgifterna. Tryck på CTRL och välj sedan de första fem aktiviteterna, högerklicka och välj Ta bort markerade aktiviteter för att ta bort dem.
Välj + för att lägga till en ny aktivitet. Sök efter kommandoradsaktiviteten, välj den och välj sedan Lägg till för att lägga till den i pipelinen. När du har lagt till det konfigurerar du det på följande sätt:
- Visningsnamn: Skapa fil
- Skript:
echo $(YOUR_SECRET_NAME) > secret.txt
Välj + för att lägga till en ny aktivitet. Sök efter Azure Key Vault-aktiviteten , välj den och välj sedan Lägg till* för att lägga till den i din pipeline. När du har lagt till det konfigurerar du det på följande sätt:
- Visningsnamn: Azure Key Vault
- Azure-prenumeration: välj tjänstanslutningen för tjänstens huvudnamn som du skapade tidigare
- Nyckelvalv: välj ditt nyckelvalv
- Hemligt filter: En kommaavgränsad lista med hemliga namn eller lämna * för att ladda ned alla hemligheter från det valda nyckelvalvet
Välj aktiviteten Kopiera filer och fyll i de obligatoriska fälten enligt följande:
- Visningsnamn: Kopiera fil
- Innehåll: secret.txt
- Målmapp: $(build.artifactstagingdirectory)
Välj aktiviteten Publicera artefakter och fyll i de obligatoriska fälten enligt följande:
- Visningsnamn: Publicera artefakt
- Sökväg för att publicera: $(build.artifactstagingdirectory)
- Artefaktnamn: släpp
- Artefaktpublicera plats: Azure Pipelines
Välj Spara och köa och välj sedan Kör för att köra pipelinen.
När pipelinekörningen är klar går du tillbaka till pipelinesammanfattningen och väljer den publicerade artefakten.
Välj släpp>secret.txt för att ladda ned den publicerade artefakten.
Öppna textfilen som du precis laddade ned. Textfilen ska innehålla hemligheten från ditt Azure-nyckelvalv.
Logga in på din Azure DevOps-samling och navigera sedan till projektet.
Välj Pipelines och välj sedan Byggen.
Välj Ny>ny bygg-pipeline.
Välj Använd den klassiska redigeraren för att skapa en ny klassisk bygg-pipeline.
Välj Azure Repos Git, välj din lagringsplats och din standardgren och välj sedan Fortsätt.
Välj pipelinemallen .Net Desktop och välj sedan Använd.
I det här exemplet behöver vi bara de två sista uppgifterna. Tryck på CTRL och välj sedan de första fem aktiviteterna, högerklicka och välj Ta bort markerade aktiviteter för att ta bort dem.
Välj + för att lägga till en ny aktivitet. Sök efter kommandoradsaktiviteten, välj den och välj sedan Lägg till för att lägga till den i pipelinen. När du har lagt till det konfigurerar du det på följande sätt:
- Visningsnamn: Skapa fil
- Skript:
echo $(YOUR_SECRET_NAME) > secret.txt
Välj + för att lägga till en ny aktivitet. Sök efter Azure Key Vault-aktiviteten , välj den och välj sedan Lägg till* för att lägga till den i din pipeline. När du har lagt till det konfigurerar du det på följande sätt:
- Visningsnamn: Azure Key Vault
- Azure-prenumeration: välj tjänstanslutningen för tjänstens huvudnamn som du skapade tidigare
- Nyckelvalv: välj ditt nyckelvalv
- Hemligt filter: En kommaavgränsad lista med hemliga namn eller lämna * för att ladda ned alla hemligheter från det valda nyckelvalvet
Välj aktiviteten Kopiera filer och fyll i de obligatoriska fälten enligt följande:
- Visningsnamn: Kopiera fil
- Innehåll: secret.txt
- Målmapp: $(build.artifactstagingdirectory)
Välj aktiviteten Publicera artefakter och fyll i de obligatoriska fälten enligt följande:
- Visningsnamn: Publicera artefakt
- Sökväg för att publicera: $(build.artifactstagingdirectory)
- Artefaktnamn: släpp
- Artefaktpublicera plats: Azure Pipelines
Välj Spara och kö och välj sedan Spara och kö för att köra bygg-pipelinen.
När pipelinekörningen är klar väljer du Artefakter och väljer sedan släpp.
I det nyligen öppnade fönstret väljer du släpp>secret.txt, väljer ellipsikonen (...) och väljer sedan ladda ned för att spara textfilen.
Öppna textfilen som du precis laddade ned. Den bör innehålla hemligheten från ditt Azure-nyckelvalv.
Varning
Den här självstudien är endast i utbildningssyfte. Metodtips för säkerhet och hur du arbetar säkert med hemligheter finns i Hantera hemligheter i dina serverappar med Azure Key Vault.
Rensa resurser
Följ stegen nedan för att ta bort de resurser som du skapade:
Om du har skapat en ny organisation som värd för projektet kan du läsa om hur du tar bort din organisation, annars tar du bort projektet.
Alla Azure-resurser som skapas under den här självstudien finns under en enda resursgrupp. Kör följande kommando för att ta bort resursgruppen och alla dess resurser.
az group delete --name <YOUR_RESOURCE_GROUP_NAME>
Vanliga frågor
F: Jag får följande fel: "Användaren eller gruppen har inte behörighet att visa hemligheter" vad ska jag göra?
S: Om det uppstår ett fel som anger att användaren eller gruppen inte har behörighet att visa hemligheter i nyckelvalvet kör du följande kommandon för att ge programmet behörighet att komma åt nyckeln eller hemligheten i Azure Key Vault:
$ErrorActionPreference="Stop";
$Credential = Get-Credential;
Connect-AzAccount -SubscriptionId <YOUR_SUBSCRIPTION_ID> -Credential $Credential;
$spn=(Get-AzureRmADServicePrincipal -SPN <YOUR_SERVICE_PRINCIPAL_ID>);
$spnObjectId=$spn.Id;
Set-AzureRmKeyVaultAccessPolicy -VaultName key-vault-tutorial -ObjectId $spnObjectId -PermissionsToSecrets get,list;