Использование секретов Azure Key Vault в Azure Pipelines

Создание управляемой идентичности, назначенной пользователем

1. Перейдите на портал Azure, а затем найдите Управляемые Удостоверения в строке поиска.

2. Выберите "Создать" и укажите следующие сведения:

   • Подписка. Выберите подписку Azure в раскрывающемся меню.
   • Группа ресурсов: выберите существующую группу ресурсов или создайте новую.
   • Регион: выберите регион, в котором будет создано управляемое удостоверение.
   • Имя: Введите имя управляемой идентичности, назначенной пользователем.

3. Выберите "Просмотр и создание", а затем нажмите кнопку "Создать ", чтобы начать развертывание.

4. После завершения развертывания выберите "Перейти к ресурсу" и скопируйте значения идентификатора подписки и идентификатора клиента . Эти значения потребуются в последующих шагах.

5. В разделе "Параметры" выберите "Свойства и скопируйте значение идентификатора арендатора вашего управляемого удостоверения для последующего использования.

Настройка политик доступа к хранилищу ключей

1. Перейдите на портал Azure и используйте панель поиска, чтобы найти хранилище ключей Azure, созданное ранее.

2. Выберите политики доступа, затем выберите Создать, чтобы добавить новую политику.

3. В разделе "Разрешения секрета" установите флажки "Получить" и "Список".

4. Нажмите кнопку "Далее", вставьте идентификатор клиента управляемого удостоверения, созданного ранее, в строку поиска, а затем выберите управляемое удостоверение.

5. Нажмите кнопку "Далее", а затем еще раз.

6. Просмотрите сведения о политике доступа и нажмите кнопку "Создать ", чтобы применить политику.

Создание подключения службы

1. Войдите в Azure DevOps, а затем перейдите к проекту.

2. Выберите параметры проекта>подключения службы, а затем выберите Создать подключение службы.

3. Выберите Azure Resource Manager, а затем нажмите кнопку "Далее".

4. Для Типа удостоверения выберите Управляемое удостоверение.

5. В разделе "Шаг 1. Сведения об управляемом удостоверении" укажите следующие сведения:

   • Подписка для управляемого удостоверения: выберите подписку, содержащую управляемое удостоверение.

   • Группа ресурсов для управляемой идентичности: выберите группу ресурсов, в которой размещено ваше управляемое удостоверение.

   • Управляемое удостоверение: Выберите ваше управляемое удостоверение из раскрывающегося списка.

6. Для шага 2. Область Azure укажите следующие сведения:

   • Уровень области подключения к службе: выбор подписки.

   • Подписка на подключение к службе: выберите подписку, к которой будет доступ управляемая идентичность.

   • Группа ресурсов для подключения к службе: (необязательно) Укажите группу ресурсов, чтобы ограничить доступ управляемого удостоверения к одной группе ресурсов.

7. На шаге 3. Сведения о подключении к службе приведены ниже.

   • Имя подключения службы: введите имя подключения к службе.

   • Справочник по управлению службами: (необязательно) сведения о контексте из базы данных ITSM.

   • Описание: (необязательно) Введите описание.

8. В разделе "Безопасность" опция предоставления разрешения на доступ всем пайплайнам позволяет всем пайплайнам использовать это подключение к службе. Этот параметр использовать не рекомендуется. Вместо этого авторизуйте каждый конвейер по отдельности для использования подключения к службе.

9. Нажмите кнопку "Сохранить", чтобы проверить и создать подключение к службе.

   

Настройка политик доступа к хранилищу ключей

Чтобы получить доступ к Azure Key Vault, необходимо сначала настроить учетную запись обслуживания, чтобы предоставить доступ к Azure Pipelines.

1. Создать учетную запись службы

2. Перейдите на портал Azure и используйте панель поиска, чтобы найти хранилище ключей Azure, созданное ранее.

3. Выберите политики доступа и нажмите кнопку "Создать".

4. В разделе "Разрешения секрета" добавьте разрешения "Получить " и "Список " и нажмите кнопку "Далее".

5. Для субъекта вставьте идентификатор объекта субъекта-службы, выберите субъект-службу и нажмите кнопку "Далее".

6. Снова нажмите кнопку "Далее ", просмотрите политику доступа и нажмите кнопку "Сохранить".

Добавление назначения роли

На следующем шаге вы создадите подключение службы ARM для субъекта-службы. Перед проверкой подключения необходимо выполнить следующие действия.

• Предоставьте служебному субъекту доступ уровня читателя на уровне подписки
• Создание федеративных учетных данных для основного объекта службы

Выполните следующие действия, чтобы предоставить читателю доступ на уровне подписки:

1. Перейдите на портал Azure, выберите подписки и выберите свою подписку.

2. Выберите Управление доступом (IAM), а затем Добавить>Добавить назначение ролей.

3. На вкладке "Роль" выберите "Читатель" и нажмите кнопку "Далее".

4. Выберите "Пользователь", "Группа" или "Субъект-служба", а затем выберите "Выбрать участников".

5. Вставьте идентификатор объекта субъекта-службы в строку поиска, выберите его и нажмите кнопку "Выбрать".

6. Выберите "Проверка и назначение", проверьте параметры и нажмите кнопку "Проверить и назначить " еще раз, чтобы применить назначение роли.

Создание подключения службы

1. Войдите в Azure DevOps, а затем перейдите к проекту.

2. Выберите параметры проекта, а затем выберите подключения службы.

3. Выберите новое подключение к службе, выберите Azure Resource Manager и нажмите кнопку "Далее".

4. Выберите субъект-службу (вручную) и нажмите кнопку "Далее".

5. Для типа удостоверения выберите регистрацию приложения или управляемое удостоверение (вручную).

6. Для учетных данных выберите федерацию удостоверений для рабочих нагрузок.

7. Введите имя подключения к службе и нажмите кнопку "Далее".

8. Для среды выберите Azure Cloud, а для области подписки выберите Подписка.

9. Введите идентификатор подписки Azure и имя подписки.

10. Для проверки подлинности вставьте идентификатор приложения (клиента) субъекта-службы и идентификатор каталога (клиента)

11. В разделе "Безопасность" опция предоставления разрешения на доступ всем пайплайнам позволяет всем пайплайнам использовать это подключение к службе. Этот параметр не рекомендуется. Вместо этого авторизуйте каждый конвейер по отдельности для использования подключения к службе.

12. Оставьте это окно открытым. Позже вы вернетесь, чтобы проверить и сохранить подключение службы после создания федеративных учетных данных.

Создание федеративных учетных данных для служебного субъекта

1. Перейдите на портал Azure, введите идентификатор клиента субъекта-службы в строке поиска и выберите приложение.

2. В разделе "Управление" выберите сертификаты и секреты>федеративные учетные данные.

3. Выберите Добавить учетную запись, а затем выберите Другой издатель для сценария федеративных учетных данных.

4. Для Эмитента вставьте значение Эмитента, скопированное из подключения к службе.

5. Для идентификатора субъекта вставьте значение идентификатора субъекта , скопированное из подключения службы.

6. Введите имя федеративных учетных данных и нажмите кнопку "Добавить".

7. Вернитесь в окно подключения службы, нажмите кнопку "Проверить и сохранить ", чтобы сохранить подключение к службе.

1. Войдите в Azure DevOps, а затем перейдите к проекту.

2. Выберите "Конвейеры", а затем нажмите кнопку "Создать конвейер".

3. Выберите Azure Repos Git (YAML) и выберите репозиторий.

4. Выберите шаблон Starter pipeline конвейера.

5. Поток по умолчанию включает примеры команд echo. Они не нужны и могут быть удалены.

6. Добавьте задачу Azure Key Vault в конвейер. Замените заполнители именем подключения к службе, которое вы создали ранее, и именем вашего Key Vault. Файл YAML должен выглядеть примерно так:

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   

7. Добавьте следующие задачи для копирования и публикации секрета. Этот пример предназначен только для демонстрационных целей и не должен использоваться в рабочей среде.

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   
   - task: CmdLine@2
     displayName: Create file
     inputs:
       script: 'echo $(SECRET_NAME) > secret.txt'
   
   - task: CopyFiles@2
     displayName: Copy file
     inputs:
       Contents: secret.txt
       targetFolder: '$(Build.ArtifactStagingDirectory)'
   
   - task: PublishBuildArtifacts@1
     displayName: Publish Artifact
     inputs:
       PathtoPublish: '$(Build.ArtifactStagingDirectory)'
       ArtifactName: 'drop'
       publishLocation: 'Container'
   

8. Нажмите кнопку "Сохранить и запустить", а затем еще раз выберите ее, чтобы зафиксировать изменения и активировать конвейер. Если появится запрос, выберите "Разрешить предоставить доступ конвейера к ресурсам Azure".

9. После запуска конвейера выберите задачу CmdLine , чтобы просмотреть журналы.

   

10. По завершении выполнения конвейера вернитесь к сводке конвейера и выберите опубликованный артефакт.

    

11. Выберите перетащите>secret.txt, чтобы скачать файл.

    

12. Откройте скачанный текстовый файл. Он должен содержать секрет, полученный из Azure Key Vault.

1. Войдите в Azure DevOps, а затем перейдите к проекту.

2. Выберите Пайплайны и затем выберите Новый пайплайн.

3. Выберите "Использовать классический редактор" для создания классического конвейера.

4. Выберите Azure Repos Git, выберите репозиторий и ветвь по умолчанию, а затем нажмите кнопку "Продолжить".

5. Выберите шаблон конвейера .Net Desktop .

6. В этом примере требуются только последние две задачи. Удерживайте клавишу CTRL , а затем выберите первые пять задач, щелкните правой кнопкой мыши и выберите " Удалить выбранные задачи" , чтобы удалить их.

   

7. Выберите + , чтобы добавить новую задачу. Найдите задачу командной строки , выберите ее и нажмите кнопку "Добавить". Настройте задачу следующим образом.

   • Отображаемое имя: создание файла
   • Скрипт: echo $(SECRET_NAME) > secret.txt

   

8. Выберите + , чтобы добавить новую задачу. Найдите задачу Azure Key Vault , выберите ее и нажмите кнопку "Добавить". Настройте задачу следующим образом.

   • Отображаемое имя: Azure Key Vault
   • Подписка Azure. Выберите подключение службы, созданное ранее
   • Хранилище ключей: Выберите ваше хранилище ключей
   • Фильтр секретов: введите разделенный запятыми список имен секретов или используйте *, чтобы скачать все секреты

   

9. Выберите задачу копирования файлов и настройте следующие поля:

   • Отображаемое имя: Копировать файл
   • Содержимое: secret.txt
   • Целевая папка: $(build.artifactstagingdirectory)

   

10. Выберите задачу "Опубликовать артефакты" и настройте следующие поля:

    • Отображаемое имя: Опубликовать артефакт
    • Путь к публикации: $(build.artifactstagingdirectory)
    • Имя артефакта: drop
    • Расположение публикации артефактов: Azure Pipelines

    

11. Выберите "Сохранить" и "Очередь", а затем нажмите кнопку "Запустить ", чтобы запустить конвейер.

12. После завершения конвейера вернитесь к сводке конвейера и выберите опубликованный артефакт.

13. Выберите загрузить>secret.txt, чтобы скачать файл.

    

14. Откройте скачанный текстовый файл. Он должен содержать секрет, полученный из Azure Key Vault.