Administrar grupos de variables

Artículo
08/06/2024

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

En este artículo se explica cómo crear y usar grupos de variables en Azure Pipelines. Los grupos de variables almacenan valores y secretos que puede pasar a una canalización de YAML o que estén disponibles en varias canalizaciones en un proyecto.

Las variables secretas de los grupos de variables son recursos protegidos. Puede agregar combinaciones de aprobaciones, comprobaciones y permisos de canalización para limitar el acceso a variables secretas en un grupo de variables. El acceso a variables no secretas está limitado por aprobaciones, comprobaciones o permisos de canalización.

Los grupos de variables siguen el modelo de seguridad de la biblioteca para roles y permisos.

Creación de un grupo de variables

Puede crear grupos de variables para las ejecuciones de canalización en el proyecto.

Nota:

Para crear un grupo de variables secretas para vincular secretos desde un almacén de claves de Azure como variables, siga las instrucciones de Vinculación de secretos desde un almacén de claves de Azure.

IU de Azure Pipelines
CLI de Azure DevOps

Puede crear un grupo de variables en la interfaz de usuario de Azure Pipelines.

Requisitos previos

Una organización y un proyecto de Azure DevOps donde tiene permisos para crear canalizaciones y variables.

Creación del grupo de variables

En su proyecto Azure DevOps, seleccione Canalizaciones>Biblitoeca en el menú izquierdo.
En la página Biblioteca, seleccione + Grupo de variables.
En la página de nuevo grupo de variables, en Propiedades, escriba un nombre y una descripción opcional para el grupo de variables.
En Variables, seleccione + Agregar y escriba un nombre y un valor de variable para incluir en el grupo. Si desea cifrar y almacenar de forma segura el valor, seleccione el icono de candado junto a la variable.
Seleccione + Agregar para agregar cada nueva variable. Cuando haya terminado de agregar variables, seleccione Guardar.

Ahora puede usar este grupo de variables en canalizaciones de proyecto.

En Azure DevOps Services, puede crear grupos de variables mediante la CLI de Azure DevOps.

Los comandos de la CLI de Azure DevOps no son compatibles con Azure DevOps Server.

Requisitos previos

Una organización y un proyecto de Azure DevOps donde tiene permisos para crear canalizaciones y variables.
CLI de Azure, versión 2.30.0 o superior con la extensión de la CLI de Azure DevOps. Para más información, consulte Introducción a la CLI de Azure DevOps.

La extensión de la CLI de Azure DevOps instala automáticamente la primera vez que ejecuta un comando az pipelines variable-group.

En los comandos de la CLI de Azure DevOps, puede establecer la organización predeterminada mediante az devops configure --defaults organization=<YourOrganizationURL> o usar el parámetro --detect true para detectar automáticamente la organización.

Puede configurar el proyecto predeterminado mediante az devops configure -d project=<Project Name or ID>.

Si no detecta la organización o configura un proyecto u organización predeterminado, debe especificar los parámetros org y project en los comandos.

Creación del grupo de variables

Para crear un grupo de variables, use el comando az pipelines variable-group create.

Por ejemplo, el comando siguiente crea un grupo de variables denominado home-office-config, agrega las variables app-location=home-office y app-name=contoso y genera resultados en formato YAML.

az pipelines variable-group create --name home-office-config
                                   --variables app-location=home-office app-name=contoso
                                   --output yaml

Salida:

authorized: false
description: null
id: 5
name: home-office-config
providerData: null
type: Vsts
variables:
  app-location:
    isSecret: null
    value: home-office
  app-name:
    isSecret: null
    value: contoso

Vínculo de secretos desde un almacén de claves de Azure

Puede crear un grupo de variables que se enlace a un almacén de claves de Azure existente y asignar los secretos del almacén de claves seleccionados al grupo de variables. Solo los nombres de secreto se asignan al grupo de variables, no a los valores secretos. Las ejecuciones de canalización que se vinculan al grupo de variables obtienen los valores secretos más recientes del almacén.

Cualquier cambio realizado en los secretos existentes en el almacén de claves está disponible automáticamente para todas las canalizaciones en las que se usa el grupo de variables. Sin embargo, si se agregan o eliminan secretos del almacén, los grupos de variables asociados no se actualizan automáticamente. Debe actualizar explícitamente los secretos para incluirlos en el grupo de variables.

Aunque Key Vault admite el almacenamiento y administración de claves criptográficas y certificados en Azure, la integración de grupos de variables de Azure Pipelines solo admite la asignación de secretos del almacén de claves. No se admiten claves criptográficas ni certificados.

Nota:

No se admiten almacenes de claves que usan el control de acceso basado en roles de Azure (RBAC de Azure).

Requisitos previos

Un almacén de claves de Azure que contiene los secretos. Puede crear un almacén de claves mediante Azure Portal.
Una conexión de servicio de Azure para el proyecto.

Creación del grupo de variables

En el proyecto de Azure DevOps, seleccione Canalizaciones>Biblioteca>+ Grupo de variables.
En la página Grupos de variables, escriba un nombre y una descripción opcional para el grupo de variables.
Habilite el conmutador Vincular secretos desde una instancia de Azure Key Vault como variables.
Seleccione el punto de conexión de la suscripción de Azure y el nombre del almacén de claves.
Habilite Azure DevOps para acceder al almacén de claves; para ello, seleccione Autorizar junto al nombre del almacén.
En la pantalla Elegir secretos, seleccione secretos específicos del almacén para asignarlos a este grupo de variables y, a continuación, seleccione Aceptar.
Seleccione Guardar para guardar el grupo de variables secretas.

Captura de pantalla del grupo de variables con la integración del almacén de claves de Azure.

Nota:

La conexión de servicio de Azure debe tener al menos permisos Get y List en el almacén de claves, que puede autorizar en los pasos anteriores. También puede proporcionar los permisos siguientes desde Azure Portal mediante estos pasos:

Abra Configuración para el almacén de claves y, a continuación, elija Configuración de acceso>Ir a directivas de acceso.
En la página Directivas de acceso, si el proyecto de Azure Pipelines no aparece en Aplicaciones con al menos permisos Get y List, seleccione Crear.
En Permisos de secretos, seleccione Get y List y, a continuación, seleccione Siguiente.
Seleccione la entidad de servicio y, después, Siguiente.
Vuelva a seleccionar Siguiente, revise la configuración y seleccione Crear.

Para obtener más información, consulte Usar secretos de Azure Key Vault.

Puede actualizar grupos de variables mediante la interfaz de usuario de Azure Pipelines.

En su proyecto Azure DevOps, seleccione Canalizaciones>Biblitoeca en el menú izquierdo.
En la página Biblioteca, seleccione el grupo de variables que desea actualizar. También puede mantener el puntero sobre la lista de grupos de variables, seleccionar el icono Más opciones y seleccionar Editar en el menú.
En la página de grupo de variables, cambie cualquiera de las propiedades y, a continuación, seleccione Guardar.

En Azure DevOps Services, puede actualizar grupos de variables mediante la CLI de Azure DevOps.

Los comandos de la CLI de Azure DevOps no son compatibles con Azure DevOps Server.

Enumerar grupos de variables

Para actualizar un grupo de variables o las variables que contiene mediante la CLI de Azure DevOps, use el grupo de variables group-id.

Puede obtener el valor del identificador de grupo de variables de la salida del comando de creación del grupo de variables o usar el comando 1az pipelines variable-group list.

Por ejemplo, el siguiente comando enumera los tres primeros grupos de variables del proyecto en orden ascendente y devuelve los resultados, incluido el ID de grupo de variables, en formato de tabla.

az pipelines variable-group list --top 3 --query-order Asc --output table

Salida:

ID    Name               Type    Number of Variables
----  -----------------  ------  ---------------------
1     myvariables        Vsts    2
2     newvariables       Vsts    4
3     new-app-variables  Vsts    3

Actualizar un grupo de variables

Para actualizar un grupo de variables, use el comando az pipelines variable-group update.

Por ejemplo, el siguiente comando actualiza el grupo de variables con el identificador 4 para cambiar el name y la description y genera los resultados en formato de tabla.

az pipelines variable-group update --group-id 4
                                   --name my-new-variables
                                   --description "New home office variables"
                                   --output table

Salida:


ID    Name              Description               Is Authorized  Number of Variables
----  ----------------  ------------------------- -------------  -------------------
4     my-new-variables  New home office variables false          2

Mostrar detalles de un grupo de variables

Puede usar el comando az pipelines variable-group show para mostrar los detalles de un grupo de variables. Por ejemplo, el siguiente comando muestra los detalles del grupo de variables con el ID 4 y devuelve los resultados en formato YAML.

az pipelines variable-group show --group-id 4 --output yaml

Salida:

authorized: false
description: Variables for my new app
id: 4
name: my-new-variables
providerData: null
type: Vsts
variables:
  app-location:
    isSecret: null
    value: home-office
  app-name:
    isSecret: null
    value: contoso

Eliminar un grupo de variables

IU de Azure Pipelines
CLI de Azure DevOps

Puede eliminar grupos de variables en la interfaz de usuario de Azure Pipelines.

En su proyecto Azure DevOps, seleccione Canalizaciones>Biblitoeca en el menú izquierdo.
En la página Biblioteca, mantenga el puntero sobre el grupo de variables que desea eliminar y seleccione el icono Más opciones.
Seleccione Eliminar en el menú y, a continuación, seleccione Eliminar en la pantalla de confirmación.

En Azure DevOps Services, puede eliminar grupos de variables mediante la CLI de Azure DevOps.

Los comandos de la CLI de Azure DevOps no son compatibles con Azure DevOps Server.

Para eliminar un grupo de variables, use el comando az pipelines variable-group delete. Por ejemplo, el siguiente comando elimina el grupo de variables con el ID 1 y no solicita confirmación.

az pipelines variable-group delete --group-id 1 --yes

Administración de variables en grupos de variables

IU de Azure Pipelines
CLI de Azure DevOps

Puede cambiar, agregar o eliminar variables en grupos de variables mediante la interfaz de usuario de Azure Pipelines.

En su proyecto Azure DevOps, seleccione Canalizaciones>Biblitoeca en el menú izquierdo.
En la página Biblioteca, seleccione el grupo de variables que desea actualizar. También puede mantener el puntero sobre la lista de grupos de variables, seleccionar el icono Más opciones y seleccionar Editar en el menú.
En la página de grupo de variables, puede hacer lo siguiente:
- Cambiar cualquiera de los nombres o valores de las variables.
- Eliminar cualquiera de las variables, para ello, seleccione el icono de elementos no utilizados situado junto al nombre de la variable.
- Cambiar las variables a secretos o no secretos seleccionando el icono de bloqueo situado junto al valor de variable.
- Para agregar nuevas variables, seleccione + Agregar.
Seleccione Guardar después de hacer los cambios.

En Azure DevOps Services, puede administrar variables en grupos de variables mediante la CLI de Azure DevOps.

Los comandos de la CLI de Azure DevOps no son compatibles con Azure DevOps Server.

Enumerar variables en un grupo de variables

Para enumerar las variables de un grupo de variables, use el comando az pipelines variable-group variable list. Por ejemplo, el siguiente comando enumera todas las variables del grupo de variables con el ID 4 y muestra el resultado en formato de tabla.

az pipelines variable-group variable list --group-id 4 --output table

Salida:

Name            Is Secret    Value
--------------  -----------  -----------
app-location    False        home-office
app-name        False        contoso

Agregar variables a un grupo de variables

Para agregar una variable a un grupo de variables, use el comando az pipelines variable-group create.

Por ejemplo, el comando siguiente crea una nueva variable denominada requires-login con un valor predeterminado de true en el grupo de variables con ID 4. El resultado se muestra en formato de tabla.

az pipelines variable-group variable create --group-id 4
                                            --name requires-login
                                            --value true
                                            --output table

Salida:

Name            Is Secret    Value
--------------  -----------  -------
requires-login  False        true

Enumerar variables en un grupo de variables

Para actualizar las variables de un grupo de variables, use el comando az pipelines variable-group update.

Por ejemplo, el siguiente comando actualiza la variable requires-login con el nuevo valor false en el grupo de variables con ID 4 y muestra el resultado en formato YAML. El comando especifica que la variable es un secret

az pipelines variable-group variable update --group-id 4
                                            --name requires-login
                                            --value false
                                            --secret true
                                            --output yaml

La salida muestra el valor como null en lugar de false porque es un valor oculto de secreto.

requires-login:
  isSecret: true
  value: null

Administración de variables secretas

Para administrar variables secretas, use el comando az pipelines variable-group variable update con los parámetros siguientes:

secret: establézcalo en true para indicar que el valor de la variable se mantiene en secreto.
prompt-value: establézcalo en true para actualizar el valor de una variable de secreto mediante una variable de entorno o un símbolo del sistema mediante la entrada estándar.
value: en el caso de las variables secretas, use el parámetro prompt-value para que se le pida que escriba el valor a través de la entrada estándar. En el caso de las consolas no interactivas, puede seleccionar la variable de entorno con el prefijo AZURE_DEVOPS_EXT_PIPELINE_VAR_. Por ejemplo, puede introducir una variable denominada MySecret usando la variable de entorno AZURE_DEVOPS_EXT_PIPELINE_VAR_MySecret.

Eliminar variables de un grupo de variables

Para eliminar una variable de un grupo de variables, use el comando az pipelines variable-group variable delete. Por ejemplo, el siguiente comando elimina la variable requires-login del grupo de variables con ID 4.

az pipelines variable-group variable delete --group-id 4 --name requires-login

El comando solicita confirmación porque es el valor predeterminado.

Are you sure you want to delete this variable? (y/n): y
Deleted variable 'requires-login' successfully.

Uso de grupos de variables en canalizaciones

Puede usar grupos de variables en canalizaciones YAML o clásicas. Los cambios realizados en un grupo de variables están disponibles automáticamente para todas las definiciones o fases a las que se vincula el grupo de variables.

Uso de grupos de variables en canalizaciones YAML

Una vez que autorice una canalización YAML para que use un grupo de variables, puede usar el grupo de variables o las variables que contiene en la canalización.

Autorización de la canalización YAML para usar el grupo de variables

Si solo asigna un nombre al grupo de variables en canalizaciones YAML, cualquier persona que pueda insertar código en el repositorio podría extraer el contenido de los secretos en el grupo de variables. Por lo tanto, para usar un grupo de variables con canalizaciones YAML, debe autorizar la canalización para que use el grupo. Las canalizaciones clásicas pueden usar grupos de variables sin autorización independiente.

IU de Azure Pipelines
CLI de Azure DevOps

Puede autorizar las canalizaciones para que usen los grupos de variables mediante la interfaz de usuario de Azure Pipelines.

En su proyecto Azure DevOps, seleccione Canalizaciones>Biblitoeca en el menú izquierdo.
En la página Biblioteca, seleccione el grupo de variables que desea autorizar.
En la página del grupo de variables, seleccione la pestaña Permisos de canalización.
En la pantalla Permisos de canalización, seleccione + y, luego, seleccione una canalización para autorizar. O bien, seleccione el icono Más acciones, seleccione Abrir acceso y vuelva a seleccionar Abrir acceso para confirmar.

Al seleccionar una canalización se autoriza a esa canalización a usar el grupo de variables. Para autorizar otra canalización, vuelva a seleccionar el icono +. Al seleccionar Abrir acceso, se autorizan todas las canalizaciones de proyecto para que usen el grupo de variables. Abrir el acceso podría ser una buena opción si no tiene ningún secreto en el grupo.

Otra forma de autorizar un grupo de variables es seleccionar la canalización, seleccionar Editar y, a continuación, poner en cola una compilación manualmente. Verá un error de autorización de recursos y, a continuación, puede agregar explícitamente la canalización como usuario autorizado del grupo de variables.

En Azure DevOps Services, puede autorizar grupos de variables mediante la CLI de Azure DevOps.

Los comandos de la CLI de Azure DevOps no son compatibles con Azure DevOps Server.

Para autorizar a todas las canalizaciones de proyecto para que usen el grupo de variables, establezca el parámetro authorize en el comando az pipelines variable-group create en true. Abrir el acceso podría ser una buena opción si no tiene ningún secreto en el grupo.

Uso del grupo de variables en la canalización YAML

Para usar una variable de un grupo de variables, agregue una referencia al nombre del grupo en el archivo de canalización YAML. Puede usar las variables del grupo de variables en el archivo.

variables:
- group: my-variable-group

Puede hacer referencia a varios grupos de variables en la misma canalización. Si varios grupos de variables incluyen la misma variable, el último grupo de variables que usa la variable en el archivo establece el valor de la variable. Para obtener más información sobre la prioridad de las variables, consulte Expansión de variables.

También puede hacer referencia a un grupo de variables en una plantilla. El siguiente archivo de plantilla variables.yml hace referencia al grupo de variables my-variable-group. El grupo de variables incluye una variable denominada myhello.

variables:
- group: my-variable-group

La canalización YAML hace referencia a la plantilla variables.yml y usa la variable $(myhello) del grupo de variables my-variable-group.

stages:
- stage: MyStage
  variables:
  - template: variables.yml
  jobs:
  - job: Test
    steps:
    - script: echo $(myhello)

Uso de variables de grupo de variables en canalizaciones YAML

Puede acceder a los valores de variable de un grupo de variables vinculados de la misma manera que accede a las variables que defina dentro de la canalización. Por ejemplo, para acceder al valor de una variable denominada customer en un grupo de variables vinculado a la canalización, puede usar $(customer) en un parámetro de tarea o un script.

Si usa variables independientes y grupos de variables en el archivo de canalización, use la sintaxis name-value de las variables independientes.

variables:
- group: my-variable-group
- name: my-standalone-variable
  value: 'my-standalone-variable-value'

Para hacer referencia a una variable de un grupo de variables, puede usar la sintaxis de macros o una expresión en tiempo de ejecución. En los ejemplos siguientes, el grupo my-variable-group tiene una variable llamada myhello.

Para usar una expresión en tiempo de ejecución:

variables:
- group: my-variable-group
- name: my-passed-variable
  value: $[variables.myhello]
- script: echo $(my-passed-variable)

Para usar la sintaxis de macro:

variables:
- group: my-variable-group

steps:
- script: echo $(myhello)

No se puede acceder a las variables secretas, incluidas las variables cifradas y las variables de Key Vault, directamente en los scripts. Debe pasar estas variables como argumentos a una tarea. Para obtener más información, consulte Variables secretas.

Uso de grupos de variables en canalizaciones clásicas

Las canalizaciones clásicas pueden usar grupos de variables sin autorización independiente. Para usar un grupo de variables:

Abra la canalización clásica.
Seleccione Variables>Grupos de variables y, a continuación, seleccione Vincular grupo de variables.
En una canalización de compilación, verá una lista de grupos disponibles. Vincule un grupo de variables a la canalización. Todas las variables del grupo están disponibles para su uso en la canalización.

En una canalización de versión, también verá una lista desplegable de las fases en la canalización. Vincule el grupo de variables a la propia canalización o a una o más fases específicas de la canalización de versión. Si vincula a una o varias fases, las variables del grupo de variables se limitan a estas fases y no son accesibles en las demás fases de la misma versión.

Cuando se establece una variable con el mismo nombre en varios ámbitos, se aplica la prioridad siguiente, más alta primero:

Variable establecida en tiempo de cola
Variable establecida en la canalización
Conjunto de variables en el grupo de variables

Para obtener más información sobre la prioridad de las variables, consulte Expansión de variables.

Nota:

Las variables de distintos grupos vinculados a una canalización en el mismo ámbito (por ejemplo, trabajo o fase) colisionarán y el resultado puede ser impredecible. Asegúrese de usar nombres diferentes para las variables en todos los grupos de variables.

Compartir a través de

Administrar grupos de variables

Creación de un grupo de variables

Requisitos previos

Creación del grupo de variables

Requisitos previos

Creación del grupo de variables

Vínculo de secretos desde un almacén de claves de Azure

Requisitos previos

Creación del grupo de variables

Actualización de grupos de variables

Enumerar grupos de variables

Actualizar un grupo de variables

Mostrar detalles de un grupo de variables

Eliminar un grupo de variables

Administración de variables en grupos de variables

Enumerar variables en un grupo de variables

Agregar variables a un grupo de variables

Enumerar variables en un grupo de variables

Administración de variables secretas

Eliminar variables de un grupo de variables

Uso de grupos de variables en canalizaciones

Uso de grupos de variables en canalizaciones YAML

Autorización de la canalización YAML para usar el grupo de variables

Uso del grupo de variables en la canalización YAML

Uso de variables de grupo de variables en canalizaciones YAML

Uso de grupos de variables en canalizaciones clásicas

Comentarios

Recursos adicionales

Compartir a través de

Administrar grupos de variables

Creación de un grupo de variables

Requisitos previos

Creación del grupo de variables

Vínculo de secretos desde un almacén de claves de Azure

Requisitos previos

Creación del grupo de variables

Actualización de grupos de variables

Eliminar un grupo de variables

Administración de variables en grupos de variables

Uso de grupos de variables en canalizaciones

Uso de grupos de variables en canalizaciones YAML

Autorización de la canalización YAML para usar el grupo de variables

Uso del grupo de variables en la canalización YAML

Uso de variables de grupo de variables en canalizaciones YAML

Uso de grupos de variables en canalizaciones clásicas

Artículos relacionados

Comentarios

Recursos adicionales