在 GitHub Actions 中使用 Azure 金鑰保存庫 驗證 Azure Spring Apps
注意
Azure Spring Apps 是 Azure Spring Cloud 服務的新名稱。 雖然服務有新的名稱,但是您暫時還是會在某些位置看到舊的名稱。我們正在致力更新螢幕擷取畫面、影片和圖表等資產。
本文適用於: ✔️ Java ✔️ C#
本文適用於: ✔️基本/標準✔️企業
本文說明如何使用 金鑰保存庫 搭配 Azure Spring Apps 搭配 GitHub Actions 的 CI/CD 工作流程。
金鑰儲存庫是儲存金鑰的安全位置。 企業用戶必須在其控制的範圍內儲存 CI/CD 環境的認證。 金鑰保存庫中要取得認證的金鑰應受限於資源範圍。 它只能存取金鑰保存庫範圍,而非整個 Azure 範圍。 就像一個鑰匙,只能打開一個堅強的盒子,而不是一個主鍵,可以打開大樓中的所有門。 這是使用另一個密鑰取得密鑰的方法,這在 CICD 工作流程中很有用。
產生認證
若要產生金鑰以存取金鑰保存庫,請在本機電腦上執行下列命令:
az ad sp create-for-rbac --role contributor --scopes /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.KeyVault/vaults/<KEY_VAULT> --json-auth
參數所 --scopes 指定的範圍會限制資源的密鑰存取權。 它只能存取強方塊。
結果為:
{
"clientId": "<GUID>",
"clientSecret": "<GUID>",
"subscriptionId": "<GUID>",
"tenantId": "<GUID>",
"activeDirectoryEndpointUrl": "https://login.microsoftonline.com",
"resourceManagerEndpointUrl": "https://management.azure.com/",
"sqlManagementEndpointUrl": "https://management.core.windows.net:8443/",
"galleryEndpointUrl": "https://gallery.azure.com/",
"managementEndpointUrl": "https://management.core.windows.net/"
}
然後,將結果儲存至 GitHub 秘密,如設定 GitHub 存放庫並使用 Azure 進行驗證中所述。
新增認證存取原則
您在上面建立的認證只能取得 金鑰保存庫 的一般資訊,而不是儲存的內容。 若要取得儲存在 金鑰保存庫 中的秘密,您需要設定認證的存取原則。
移至 Azure 入口網站 中的 金鑰保存庫 儀錶板,選取 [訪問控制] 功能表,然後開啟 [角色指派] 索引標籤。選取 [類型] 和 This resource [範圍的應用程式]。 您應該會看到您在上一個步驟中建立的認證:
![顯示 [存取控制] 頁面的 Azure 入口網站 螢幕快照,其中已醒目提示 [角色指派] 索引標籤。](media/github-actions-key-vault/key-vault1.png#lightbox)
複製認證名稱,例如 azure-cli-2020-01-19-04-39-02。 開啟 [ 存取原則] 功能表,然後選取 [ 新增存取原則 ] 連結。 選取 Secret Management [ 範本],然後選取 [ 主體]。 在 [主體/選取輸入] 方塊中貼上認證名稱:
![顯示 [新增存取原則] 頁面並開啟 [主體] 窗格之 Azure 入口網站 的螢幕快照。](media/github-actions-key-vault/key-vault2.png#lightbox)
選取 [新增存取原則] 對話框中的 [新增] 按鈕,然後選取 [儲存]。
產生完整範圍的 Azure 認證
這是打開大樓里所有門的主要鑰匙。 此程式與上一個步驟類似,但在這裡我們將範圍變更為產生主要密鑰:
az ad sp create-for-rbac --role contributor --scopes /subscriptions/<SUBSCRIPTION_ID> --json-auth
同樣地,結果:
{
"clientId": "<GUID>",
"clientSecret": "<GUID>",
"subscriptionId": "<GUID>",
"tenantId": "<GUID>",
"activeDirectoryEndpointUrl": "https://login.microsoftonline.com",
"resourceManagerEndpointUrl": "https://management.azure.com/",
"sqlManagementEndpointUrl": "https://management.core.windows.net:8443/",
"galleryEndpointUrl": "https://gallery.azure.com/",
"managementEndpointUrl": "https://management.core.windows.net/"
}
複製整個 JSON 字串。 返回 金鑰保存庫 儀錶板。 開啟 [ 秘密] 功能表,然後選取 [ 產生/匯 入] 按鈕。 輸入秘密名稱,例如 AZURE-CREDENTIALS-FOR-SPRING。 將 JSON 認證字串貼到 [ 值 ] 輸入方塊。 您可能會注意到值輸入方塊是一行文字欄位,而不是多行文字區域。 您可以在該處貼上完整的 JSON 字串。
![顯示 [建立秘密] 頁面之 Azure 入口網站 的螢幕快照。](media/github-actions-key-vault/key-vault3.png#lightbox)
在 GitHub Actions 中結合認證
設定 CICD 管線執行時所使用的認證:
on: [push]
jobs:
build:
runs-on: ubuntu-latest
steps:
- uses: azure/login@v1
with:
creds: ${{ secrets.AZURE_CREDENTIALS }} # Strong box key you generated in the first step
- uses: Azure/get-keyvault-secrets@v1.0
with:
keyvault: "<Your Key Vault Name>"
secrets: "AZURE-CREDENTIALS-FOR-SPRING" # Master key to open all doors in the building
id: keyvaultaction
- uses: azure/login@v1
with:
creds: ${{ steps.keyvaultaction.outputs.AZURE-CREDENTIALS-FOR-SPRING }}
- name: Azure CLI script
uses: azure/CLI@v1
with:
azcliversion: 2.0.75
inlineScript: |
az extension add --name spring # Spring CLI commands from here
az spring list
下一步
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: