Condividi tramite

Collegare un gruppo di variabili ai segreti in Azure Key Vault

Questo articolo mostra come creare un gruppo di variabili che si collega ai segreti archiviati in un key vault di Azure. Collegando il gruppo di variabili al vault delle chiavi, è possibile assicurarsi che i segreti vengano archiviati in modo sicuro e che le pipeline abbiano sempre accesso ai valori segreti più recenti durante l'esecuzione.

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

È possibile creare un gruppo di variabili che si collega a Azure Key Vault esistenti e mappa i segreti selezionati dei Key Vault al gruppo di variabili. Solo i nomi dei segreti sono associati al gruppo di variabili, non i valori dei segreti. Quando le pipeline vengono lanciate, si collegano al gruppo di variabili per recuperare i valori dei segreti più recenti dalla cassaforte in fase di esecuzione.

Tutte le modifiche apportate ai segreti esistenti nel Key Vault sono automaticamente disponibili per tutte le pipeline che utilizzano il gruppo di variabili. Tuttavia, se i segreti vengono aggiunti o rimossi dal deposito, i gruppi di variabili associati non si aggiornano automaticamente. È necessario aggiornare in modo esplicito i segreti da includere nel gruppo di variabili.

Sebbene Key Vault supporti l'archiviazione e la gestione di chiavi crittografiche e certificati in Azure, l'integrazione dei gruppi di variabili di Azure Pipelines supporta solo il mapping dei segreti dell'insieme di credenziali delle chiavi. Le chiavi crittografiche e i certificati non sono supportati.

Nota

Gli archivi di chiavi che usano il controllo degli accessi in base al ruolo di Azure (Azure RBAC) non sono supportati.

Prerequisiti

Prodotto Requisiti
Azure DevOps - Un progetto Azure DevOps.
- Una connessione al servizio Azure Resource Manager per il tuo progetto.
autorizzazioni - :
    - Per usare le connessioni al servizio: è necessario avere almeno il ruolo di utente per la connessione al servizio .
    - Per creare un gruppo di variabili: avere almeno l'autorizzazione libreria Creator .
Azzurro - Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
autorizzazioni - :
    Per creare un insieme di credenziali: avere almeno il ruolo di proprietario per la sottoscrizione.

Creare un caveau delle chiavi

Crea un Azure Key Vault.

  1. Nel portale di Azure selezionare Crea una risorsa.
  2. Cercare e selezionare Key Vault e quindi selezionare Crea.
  3. Selezionare la propria sottoscrizione.
  4. Selezionare un gruppo di risorse esistente oppure creane uno nuovo.
  5. Inserisci un nome per la cassaforte delle chiavi.
  6. Scegliere un'area.
  7. Selezionare la scheda Accesso e configurazione .
  8. Selezionare Politica di accesso al Vault.
  9. Seleziona il tuo account come principale.
  10. Selezionare Rivedi e crea e quindi Crea.

Creare il gruppo di variabili collegato al key vault

  1. Nel progetto Azure DevOps, seleziona Pipelines>Library>+ Gruppo di variabili.
  2. Nella pagina Gruppi di variabili immettere un nome e una descrizione facoltativa per il gruppo di variabili.
  3. Abilita l'opzione Collegare segreti da un insieme di credenziali di Azure come variabili.
  4. Selezionare la connessione al servizio e selezionare Autorizza.
  5. Selezionare il nome dell'insieme di credenziali e abilitare Azure DevOps ad accedere ad esso selezionando Autorizza accanto al nome dell'insieme.
  6. Selezionare + Aggiungi e, nella schermata Scegli segreti, selezionare i segreti dal tuo vault per la mappatura a questo gruppo di variabili, quindi selezionare OK.
  7. Selezionare Salva per salvare il gruppo di variabili segrete.

Screenshot del gruppo di variabili con l'integrazione di Azure Key Vault.

Nota

La connessione al servizio deve avere almeno le autorizzazioni Get e List per il vault delle chiavi, che è possibile autorizzare nei passaggi spiegati in precedenza. È anche possibile fornire queste autorizzazioni dal portale di Azure seguendo questa procedura:

  1. Aprire Impostazioni per il Key Vault e quindi scegliere Configurazione di accesso>Vai ai criteri di accesso.
  2. Nella pagina Criteri di accesso , se il progetto di Azure Pipelines non è elencato in Applicazioni con almeno autorizzazioni Get ed List , selezionare Crea.
  3. In Autorizzazioni segrete selezionare Recupera ed Elenco e quindi selezionare Avanti.
  4. Selezionare il principale e quindi selezionare Avanti.
  5. Selezionare di nuovo Avanti , rivedere le impostazioni e quindi selezionare Crea.

Per ulteriori informazioni, vedere Utilizzare i segreti di Azure Key Vault.