Использование секретов Azure Key Vault в Azure Pipelines

Создание управляемого удостоверения, назначаемого пользователем

1. Войдите в портал Azure, а затем найдите службу управляемых удостоверений в строке поиска.

2. Выберите "Создать" и заполните обязательные поля следующим образом:

   • Подписка: выберите подписку в раскрывающемся меню.
   • Группа ресурсов: выберите существующую группу ресурсов или создайте новую.
   • Регион: выберите регион в раскрывающемся меню.
   • Имя. Введите имя управляемого удостоверения, назначаемого пользователем.

3. Нажмите кнопку "Рецензирование" и "Создать " после завершения.

4. После завершения развертывания выберите "Перейти к ресурсу", а затем скопируйте значения подписки и идентификатора клиента, которые будут использоваться в предстоящих шагах.

5. Перейдите к свойствам> параметров и скопируйте значение идентификатора клиента управляемого удостоверения для последующего использования.

Настройка политик доступа к хранилищу ключей

1. Перейдите к портал Azure и используйте строку поиска, чтобы найти созданное ранее хранилище ключей.

2. Выберите политики access, а затем нажмите кнопку "Создать ", чтобы добавить новую политику.

3. В разделе "Разрешения секрета" установите флажки "Получить " и "Список ".

4. Нажмите кнопку "Далее", а затем вставьте идентификатор клиента управляемого удостоверения, созданного ранее, в строку поиска. Выберите управляемое удостоверение.

5. Нажмите кнопку "Далее", а затем еще раз.

6. Просмотрите новые политики и нажмите кнопку "Создать " после завершения.

Создание подключения службы

1. Войдите в организацию Azure DevOps и перейдите к проекту.

2. Выберите "Параметры> службы проекта" и выберите "Создать подключение службы", чтобы создать новое подключение к службе.

3. Выберите Azure Resource Manager, а затем нажмите кнопку "Далее".

4. Для типа удостоверения выберите управляемое удостоверение в раскрывающемся меню.

5. Для шага 1. Сведения об управляемом удостоверении заполните поля следующим образом:

   • Подписка для управляемого удостоверения: выберите подписку, содержащую управляемое удостоверение.

   • Группа ресурсов для управляемого удостоверения: выберите группу ресурсов, на котором размещено управляемое удостоверение.

   • Управляемое удостоверение: выберите управляемое удостоверение в раскрывающемся меню.

6. Для шага 2. Область Azure заполните поля следующим образом:

   • Уровень области подключения к службе: выбор подписки.

   • Подписка на подключение к службе: выберите подписку, к которым будет обращаться управляемое удостоверение.

   • Группа ресурсов для подключения к службе: (необязательно) Укажите, чтобы ограничить доступ к управляемому удостоверению одной группе ресурсов.

7. Для шага 3. Сведения о подключении к службе:

   • Имя подключения службы: укажите имя подключения к службе.

   • Справочник по управлению службами: (необязательно) сведения о контексте из базы данных ITSM.

   • Описание: (необязательно) Добавьте описание.

8. В разделе "Безопасность" установите флажок "Предоставить доступ ко всем конвейерам ", чтобы разрешить всем конвейерам использовать это подключение к службе. Если этот параметр не выбран, необходимо вручную предоставить доступ к каждому конвейеру, использующего это подключение к службе.

9. Нажмите кнопку "Сохранить", чтобы проверить и создать подключение к службе.

   

Настройка политик доступа к хранилищу ключей

Чтобы получить доступ к Azure Key Vault, необходимо сначала настроить субъект-службу для предоставления доступа к Azure Pipelines:

1. Создание субъекта-службы

2. Перейдите к портал Azure, а затем используйте строку поиска, чтобы найти созданное ранее хранилище ключей.

3. Выберите политики доступа и нажмите кнопку "Создать".

4. В разделе "Разрешения секрета" добавьте разрешения "Получить " и "Список " и нажмите кнопку "Далее".

5. Для субъекта вставьте идентификатор объекта субъекта-службы, выберите его и нажмите кнопку "Далее".

6. Нажмите кнопку "Далее еще раз", просмотрите политики и нажмите кнопку "Сохранить " после завершения.

Добавление назначения роли

На следующем шаге вы создадите подключение службы ARM для субъекта-службы. Перед проверкой подключения необходимо: (1) предоставьте субъекту-службе доступ на чтение на уровне подписки и (2) создайте федеративные учетные данные для субъекта-службы.

Ниже описано, как предоставить доступ на чтение на уровне подписки:

1. Перейдите к портал Azure, выберите "Подписки", а затем найдите и выберите свою подписку.

2. Выберите элемент управления доступом и нажмите кнопку Добавить>назначение ролей.

3. Выберите читатель на вкладке "Роль " и нажмите кнопку "Далее".

4. Выберите "Пользователь", "Группа" или "Субъект-служба", а затем выберите "Выбрать участников".

5. Вставьте идентификатор объекта субъекта-службы в строку поиска, выберите его и выберите.

6. Выберите "Рецензирование и назначение", просмотрите параметры, а затем нажмите кнопку "Проверить и назначить еще раз", чтобы подтвердить выбор и добавить назначение роли.

Создание подключения службы

1. Войдите в организацию Azure DevOps и перейдите к проекту.

2. Выберите параметры проекта и выберите "Подключения службы".

3. Выберите новое подключение к службе, выберите Azure Resource Manager и нажмите кнопку "Далее".

4. Выберите субъект-службу (вручную) и нажмите кнопку "Далее".

5. Для типа удостоверения выберите регистрацию приложения или управляемое удостоверение (вручную) в раскрывающемся меню.

6. Для учетных данных выберите федерацию удостоверений рабочей нагрузки.

7. Укажите имя подключения к службе и нажмите кнопку "Далее".

8. Выберите Облако Azure для среды и подписку для области подписки.

9. Введите идентификатор подписки Azure и имя подписки.

10. Для проверки подлинности вставьте идентификатор приложения (клиента) субъекта-службы и идентификатор каталога (клиента)

11. В разделе "Безопасность" установите флажок "Предоставить доступ ко всем конвейерам ", чтобы разрешить всем конвейерам использовать это подключение к службе. Если этот параметр не выбран, необходимо вручную предоставить доступ к каждому конвейеру, использующего это подключение к службе.

12. Оставьте это окно открытым, вы вернетесь, чтобы проверить и сохранить подключение службы после создания федеративных учетных данных в Azure.

Создание федеративных учетных данных субъекта-службы

1. Перейдите к портал Azure, а затем введите идентификатор клиента субъекта-службы в строке поиска и выберите приложение.

2. В разделе "Управление" выберите сертификаты и секреты>федеративных учетных данных.

3. Выберите "Добавить учетные данные", а затем для сценария федеративных учетных данных выберите "Другой издатель".

4. Для издателя вставьте издатель , скопированный из подключения к службе ранее.

5. Для идентификатора субъекта вставьте идентификатор субъекта, скопированный из подключения службы ранее.

6. Укажите имя федеративных учетных данных и нажмите кнопку "Добавить" после завершения.

7. Вернитесь в окно подключения службы, нажмите кнопку "Проверить и сохранить ", чтобы сохранить подключение к службе.

1. Войдите в организацию Azure DevOps и перейдите к проекту.

2. Выберите конвейеры и нажмите кнопку "Создать конвейер".

3. Выберите Azure Repos Git (YAML) и выберите репозиторий.

4. Выберите шаблон конвейера Starter.

5. Конвейер по умолчанию будет включать скрипт, выполняющий команды эхо. Они не нужны, чтобы мы могли их удалить.

6. Добавьте задачу AzureKeyVault, заменив заполнители именем созданного ранее подключения к службе и именем хранилища ключей. Файл YAML должен выглядеть следующим фрагментом кода:

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   

7. Давайте добавим следующие задачи для копирования и публикации секрета. Этот пример предназначен только для демонстрационных целей и не должен быть реализован в рабочей среде.

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   
   - task: CmdLine@2
     displayName: Create file
     inputs:
       script: 'echo $(SECRET_NAME) > secret.txt'
   
   - task: CopyFiles@2
     displayName: Copy file
     inputs:
       Contents: secret.txt
       targetFolder: '$(Build.ArtifactStagingDirectory)'
   
   - task: PublishBuildArtifacts@1
     displayName: Publish Artifact
     inputs:
       PathtoPublish: '$(Build.ArtifactStagingDirectory)'
       ArtifactName: 'drop'
       publishLocation: 'Container'
   

8. Нажмите кнопку "Сохранить и запустить", а затем еще раз выберите ее, чтобы зафиксировать изменения и активировать конвейер. Возможно, вам будет предложено разрешить доступ конвейера к ресурсам Azure, если появится запрос на выбор разрешения. Вам придется утвердить конвейер только один раз.

9. Выберите задачу CmdLine, чтобы просмотреть журналы.

   

10. После завершения выполнения конвейера вернитесь к сводке конвейера и выберите опубликованный артефакт.

    

11. Выберите удалить>secret.txt , чтобы скачать его.

    

12. Откройте только что скачанный текстовый файл, текстовый файл должен содержать секрет из хранилища ключей Azure.

1. Войдите в организацию Azure DevOps и перейдите к проекту.

2. Выберите конвейеры и нажмите кнопку "Создать конвейер".

3. Выберите "Использовать классический редактор " для создания классического конвейера.

4. Выберите Azure Repos Git, выберите репозиторий и ветвь по умолчанию, а затем нажмите кнопку "Продолжить".

5. Выберите шаблон конвейера .Net Desktop .

6. В этом примере потребуется только две последние задачи. Нажмите клавиши CTRL, а затем выберите первые пять задач, щелкните правой кнопкой мыши и выберите " Удалить выбранные задачи" , чтобы удалить их.

   

7. Выберите + , чтобы добавить новую задачу. Найдите задачу командной строки , выберите ее, а затем нажмите кнопку "Добавить ", чтобы добавить ее в конвейер. После добавления настройте его следующим образом:

   • Отображаемое имя: создание файла
   • Скрипт: echo $(SECRET_NAME) > secret.txt

   

8. Выберите + , чтобы добавить новую задачу. Найдите задачу Azure Key Vault, выберите ее и нажмите кнопку "Добавить*", чтобы добавить ее в конвейер. После добавления настройте его следующим образом:

   • Отображаемое имя: Azure Key Vault
   • Подписка Azure: выберите подключение службы, созданное ранее
   • Хранилище ключей: выбор хранилища ключей
   • Фильтр секретов: разделенный запятыми список имен секретов или оставьте *, чтобы скачать все секреты из выбранного хранилища ключей

   

9. Выберите задачу "Копировать файлы" и заполните необходимые поля следующим образом:

   • Отображаемое имя: копирование файла
   • Содержимое: secret.txt
   • Целевая папка: $(build.artifactstagingdirectory)

   

10. Выберите задачу "Опубликовать артефакты" и заполните обязательные поля следующим образом:

    • Отображаемое имя: публикация артефакта
    • Путь к публикации: $(build.artifactstagingdirectory)
    • Имя артефакта: drop
    • Расположение публикации артефактов: Azure Pipelines

    

11. Выберите "Сохранить" и "Очередь", а затем нажмите кнопку "Выполнить ", чтобы запустить конвейер.

12. После завершения выполнения конвейера вернитесь к сводке конвейера и выберите опубликованный артефакт.

13. Выберите удалить>secret.txt , чтобы скачать опубликованный артефакт.

    

14. Откройте только что скачанный текстовый файл, текстовый файл должен содержать секрет из хранилища ключей Azure.