Использование секретов Azure Key Vault в Azure Pipelines

Создание управляемой идентичности, назначенной пользователем

1. Перейдите на портал Azure, а затем найдите Managed Identities в строке поиска.

2. Выберите "Создать" и укажите следующие сведения:

   • Подписка. Выберите подписку Azure в раскрывающемся меню.
   • Группа ресурсов: выберите существующую группу ресурсов или создайте новую.
   • Регион: выберите регион, в котором создается управляемое удостоверение.
   • Имя: Введите имя управляемой идентичности, назначенной пользователем.

3. Выберите "Просмотр и создание", а затем нажмите кнопку "Создать ", чтобы начать развертывание.

4. После завершения развертывания выберите "Перейти к ресурсу" и скопируйте идентификатор подписки и значения идентификатора клиента . Эти значения потребуются на последующих шагах.

5. В разделе "Параметры" выберите "Свойства и скопируйте значение идентификатора арендатора вашего управляемого удостоверения для последующего использования.

Настройка политик доступа к хранилищу ключей

1. Перейдите на портал Azure и используйте строку поиска, чтобы найти созданное ранее хранилище ключей.

2. Выберите политики доступа, а затем нажмите Создать, чтобы добавить новую политику.

3. В разделе "Разрешения секрета" установите флажки "Получить " и "Список ".

4. Нажмите кнопку Далее. Вставьте идентификатор клиента для управляемого удостоверения, созданного ранее, в строку поиска, а затем выберите управляемое удостоверение.

5. Выберите Далее, затем снова выберите Далее.

6. Просмотрите сведения о политике доступа и нажмите кнопку "Создать ", чтобы применить политику.

Создание подключения службы

1. Войдите в Azure DevOps, а затем перейдите в проект.

2. Выберите Параметры проекта>Подключения к службам>Новое подключение к службе.

3. Выберите Azure Resource Manager и нажмите кнопку "Далее".

4. Для Типа удостоверения выберите Управляемое удостоверение.

5. В разделе "Шаг 1. Сведения об управляемом удостоверении" укажите следующие сведения:

   • Подписка для управляемого удостоверения: выберите подписку, содержащую управляемое удостоверение.
   • Группа ресурсов для управляемой идентичности: выберите группу ресурсов, в которой размещено ваше управляемое удостоверение.
   • Управляемое удостоверение: выберите его из выпадающего списка.

6. Для шага 2. Область Azure укажите следующие сведения:

   • Уровень области подключения к службе: выбор подписки.
   • Подписка на подключение к службе: выберите подписку, к которой управляемое удостоверение получает доступ.
   • Группа ресурсов для подключения к службе: (необязательно) Укажите группу ресурсов, чтобы ограничить доступ управляемого удостоверения к одной группе ресурсов.

7. На шаге 3. Сведения о подключении к службе приведены ниже.

   • Имя подключения службы: введите имя подключения к службе.
   • Справочник по управлению службами: (необязательно) Включите сведения о контексте из базы данных ITSM.
   • Описание: (необязательно) Введите описание.

8. В разделе "Безопасность" опция предоставления разрешения на доступ всем пайплайнам позволяет всем пайплайнам использовать это подключение к службе. Этот параметр не рекомендуется. Вместо этого авторизуйте каждый конвейер по отдельности для использования подключения к службе.

9. Нажмите кнопку "Сохранить", чтобы проверить и создать подключение к службе.

   

Настройка политик доступа к хранилищу ключей

Чтобы получить доступ к хранилищу ключей, необходимо сначала настроить учетную запись службы для предоставления доступа к Azure Pipelines.

1. Создайте служебный принципал.

2. Перейдите на портал Azure/c0> и используйте строку поиска, чтобы найти созданное ранее хранилище ключей.

3. Выберите политики доступа и нажмите кнопку "Создать".

4. В разделе "Разрешения секрета" добавьте разрешения "Получить " и "Список " и нажмите кнопку "Далее".

5. Для субъекта вставьте идентификатор объекта субъекта-службы, выберите субъект-службу и нажмите кнопку "Далее".

6. Снова нажмите кнопку "Далее ", просмотрите политику доступа и нажмите кнопку "Сохранить".

Добавление назначения роли

На следующем шаге вы создадите подключение к службе Azure Resource Manager для служебного принципала. Прежде чем проверить подключение, необходимо выполнить следующие действия.

• Предоставьте читателю субъекта-службы доступ на уровне подписки.
• Создайте федеративные учетные данные для субъекта-службы.

Чтобы предоставить доступ читателя на уровне подписки, выполните следующие действия.

1. Перейдите на портал Azure, выберите Subscriptions и выберите подписку.

2. Выберите Управление доступом (IAM), а затем Добавить>Добавить назначение ролей.

3. На вкладке "Роль" выберите "Читатель" и нажмите кнопку "Далее".

4. Выберите "Пользователь", "Группа" или "Субъект-служба", а затем выберите "Выбрать участников".

5. Вставьте идентификатор объекта субъекта-службы в строку поиска, выберите его и нажмите кнопку "Выбрать".

6. Выберите "Проверка и назначение", проверьте параметры и нажмите кнопку "Проверить и назначить " еще раз, чтобы применить назначение роли.

Создание подключения службы

1. Войдите в Azure DevOps, а затем перейдите в проект.

2. Выберите параметры Project>Service connections.

3. Выберите Новое подключение службы>Azure Resource Manager, затем выберите Далее.

4. Выберите субъект-службу (вручную) и нажмите кнопку "Далее".

5. Для типа удостоверения выберите регистрацию приложения или управляемое удостоверение (вручную).

6. Для учетных данных выберите федерацию удостоверений для рабочих нагрузок.

7. Введите имя подключения к службе и нажмите кнопку "Далее".

8. Для Environment выберите Azure Cloud и для области Subscription выберите Subscription.

9. Введите идентификатор подписки Azure и имя подписки.

10. Для проверки подлинности вставьте идентификатор приложения (клиента) субъекта-службы и идентификатор каталога (клиента).

11. В разделе "Безопасность" опция предоставления разрешения на доступ всем пайплайнам позволяет всем пайплайнам использовать это подключение к службе. Этот параметр не рекомендуется. Вместо этого авторизуйте каждый конвейер по отдельности для использования подключения к службе.

12. Оставьте это окно открытым. Позже вы вернеесь, чтобы проверить и сохранить подключение к службе после создания федеративных учетных данных.

Создание федеративных учетных данных для служебного субъекта

1. Перейдите на портал Azure, введите идентификатор клиента субъекта-службы в строке поиска и выберите приложение.

2. В разделе "Управление" выберите сертификаты и секреты>федеративные учетные данные.

3. Выберите «Добавить учетные данные», а затем для сценария федеративных учетных данных выберите «Другой издатель».

4. Для Эмитента вставьте значение Эмитента, скопированное из подключения к службе.

5. Для идентификатора субъекта вставьте значение идентификатора субъекта , скопированное из подключения службы.

6. Введите имя федеративных учетных данных и нажмите кнопку "Добавить".

7. Вернитесь в окно подключения к службе и нажмите кнопку "Проверить и сохранить ", чтобы сохранить подключение к службе.

1. Войдите в Azure DevOps, а затем перейдите в проект.

2. Выберите Пайплайны>Новый пайплайн.

3. Выберите Azure Repos Git (YAML) и выберите репозиторий.

4. Выберите шаблон Starter pipeline конвейера.

5. Поток по умолчанию включает примеры команд echo. Вам не нужны эти команды, поэтому их можно удалить.

6. Добавьте задачу Azure Key Vault в конвейер. Замените заполнители именем созданного ранее подключения к службе и именем хранилища ключей. Файл YAML должен выглядеть примерно так:

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   

7. Добавьте следующие задачи для копирования и публикации секрета. Этот пример предназначен только для демонстрационных целей. Не используйте его в рабочей среде.

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   
   - task: CmdLine@2
     displayName: Create file
     inputs:
       script: 'echo $(SECRET_NAME) > secret.txt'
   
   - task: CopyFiles@2
     displayName: Copy file
     inputs:
       Contents: secret.txt
       targetFolder: '$(Build.ArtifactStagingDirectory)'
   
   - task: PublishBuildArtifacts@1
     displayName: Publish Artifact
     inputs:
       PathtoPublish: '$(Build.ArtifactStagingDirectory)'
       ArtifactName: 'drop'
       publishLocation: 'Container'
   

8. Нажмите кнопку "Сохранить и запустить", а затем еще раз выберите ее, чтобы зафиксировать изменения и активировать конвейер. Если появится запрос, выберите "Разрешить предоставить доступ конвейера к ресурсам Azure".

9. После запуска конвейера выберите задачу CmdLine , чтобы просмотреть журналы.

   

10. По завершении выполнения конвейера вернитесь в сводку конвейера и выберите опубликованный артефакт.

    

11. Выберите перетащите>secret.txt, чтобы скачать файл.

    

12. Откройте скачанный текстовый файл. Он должен содержать секрет, полученный из хранилища ключей.

1. Войдите в Azure DevOps, а затем перейдите в проект.

2. Выберите Пайплайны и затем выберите Новый пайплайн.

3. Выберите "Использовать классический редактор " для создания классического конвейера.

4. Выберите Azure Repos Git, выберите репозиторий и ветвь по умолчанию, а затем нажмите кнопку "Продолжить".

5. Выберите шаблон конвейера .Net Desktop .

6. В этом примере требуются только последние две задачи. Удерживайте клавишу CTRL , а затем выберите первые пять задач. Щелкните правой кнопкой мыши и выберите "Удалить выбранные задачи" , чтобы удалить их.

   

7. Выберите + , чтобы добавить новую задачу. Найдите задачу командной строки , выберите ее и нажмите кнопку "Добавить". Настройте задачу:

   • Отображаемое имя: введите Создать файл.
   • Скрипт: Введите echo $(SECRET_NAME) > secret.txt.

   

8. Выберите + , чтобы добавить новую задачу. Найдите задачу Azure Key Vault , выберите ее и нажмите кнопку "Добавить". Настройте задачу:

   • Отображаемое имя: введите Azure Key Vault.
   • Azure подписка: Выберите подключение службы, которое вы создали ранее.
   • Хранилище ключей. Выберите хранилище ключей.
   • Фильтр секретов: введите разделенный запятыми список имен секретов или используйте звездочку (*), чтобы скачать все секреты.

   

9. Выберите задачу "Копировать файлы" и настройте следующие поля:

   • Отображаемое имя: введите файл копирования.
   • Содержимое: введите secret.txt.
   • Целевая папка: введите $(build.artifactstagingdirectory).

   

10. Выберите задачу "Опубликовать артефакты" и настройте следующие поля:

    • Отображаемое имя: введите Публикация артефакта.
    • Путь к публикации: Введите $(build.artifactstagingdirectory).
    • Имя артефакта: введите drop.
    • Место публикации артефакта: Введите Azure Pipelines.

    

11. Выберите "Сохранить" и "Очередь", а затем нажмите кнопку "Запустить ", чтобы запустить конвейер.

12. После завершения конвейера вернитесь к сводке конвейера и выберите опубликованный артефакт.

13. Выберите загрузить>secret.txt, чтобы скачать файл.

    

14. Откройте скачанный текстовый файл. Он должен содержать секрет, полученный из хранилища ключей.