Utilisez des secrets Azure Key Vault dans votre pipeline

1. Connectez-vous au Portail Azure, puis sélectionnez Créer une ressource.

2. Sous Key Vault, sélectionnez Créer pour créer un coffre de clés Azure.

3. Sélectionnez votre abonnement dans le menu déroulant, puis sélectionnez un groupe de ressources existant ou créez-en un. Entrez un nom de coffre de clés, sélectionnez une région, choisissez un niveau tarifaire, puis sélectionnez Suivant si vous souhaitez configurer des propriétés supplémentaires. Sinon, sélectionnez Vérifier + créer pour conserver les paramètres par défaut.

4. Une fois le déploiement effectué, sélectionnez Accéder à la ressource.

1. Tout d’abord, définissez votre région par défaut et votre abonnement Azure :

   • Définir l’abonnement par défaut :

   az account set --subscription <your_subscription_name_or_subscription_ID>
   

   • Définir la région par défaut :

   az config set defaults.location=<your_region>
   

2. Créez un groupe de ressources pour héberger votre Azure Key Vault. Un groupe de ressources est un conteneur qui contient des ressources associées pour une solution Azure :

   az group create --name <your-resource-group>
   

3. Créez un coffre de clés Azure :

   az keyvault create \
     --name <your-key-vault-name> \
     --resource-group <your-resource-group>
   

Créer une identité managée attribuée par l’utilisateur

1. Connectez-vous au Portail Azure, puis recherchez le service Identités managées dans la barre de recherche.

2. Sélectionnez Créer, puis renseignez les champs obligatoires comme suit :

   • Abonnement : sélectionnez votre abonnement dans le menu déroulant.
   • Groupe de ressources : sélectionnez un groupe de ressources existant ou créez-en un.
   • Région : sélectionnez une région dans le menu déroulant.
   • Nom : veuillez saisir un nom pour l'identité gérée que vous avez attribuée à l'utilisateur.

3. Sélectionnez Réviser + créer lorsque vous avez terminé.

4. Une fois le déploiement terminé, sélectionnez Accéder à la ressource, puis copiez l’abonnement et l’ID client, vous en aurez besoin dans les étapes suivantes.

5. Accédez auxpropriétés des paramètres> et copiez l’ID de locataire de votre identité managée pour l’utiliser ultérieurement.

Définir des stratégies d’accès Key Vault

1. Accédez à Portail Azure et utilisez la barre de recherche pour rechercher le coffre de clés que vous avez créé précédemment.

2. Sélectionnez Stratégies d’accès, puis sélectionnez Créer pour ajouter une nouvelle stratégie.

3. Sous Autorisations secrètes, cochez les cases Obtenir et Liste .

4. Sélectionnez Suivant, puis collez l’ID client de l’identité managée que vous avez créée précédemment dans la barre de recherche.

5. Sélectionnez votre identité managée, sélectionnez Suivant, puis Suivant une fois de plus.

6. Passez en revue votre nouvelle stratégie, puis sélectionnez Créer lorsque vous avez terminé.

Créer une connexion de service

1. Connectez-vous à votre organisation Azure DevOps puis accédez à votre projet.

2. SélectionnezConnexions du service> de projet, puis nouvelle connexion de service.

3. Sélectionnez Azure Resource Manager, puis sélectionnez Suivant.

4. Sous Type d’identité, sélectionnez Identité managée dans le menu déroulant.

5. Pour l’étape 1 : Détails de l’identité managée, renseignez les champs comme suit :

   • Abonnement pour l’identité managée : sélectionnez l’abonnement qui contient votre identité managée.

   • Groupe de ressources pour l’identité managée : sélectionnez le groupe de ressources où votre identité managée est hébergée.

   • Identité managée : sélectionnez votre identité managée dans le menu déroulant.

6. Pour l’étape 2 : Azure Étendue, complétez les champs comme suit :

   • Niveau d’étendue pour la connexion de service : sélectionnez Abonnement.

   • Abonnement pour la connexion de service : sélectionnez l’abonnement auquel votre identité managée accède.

   • Groupe de ressources pour la connexion de service : (facultatif) Spécifiez cette option si vous souhaitez restreindre l’accès à un groupe de ressources spécifique.

7. Pour l’étape 3 : Détails de la connexion de service :

   • Nom de la connexion de service : indiquez un nom pour votre connexion de service.

   • Référence de gestion des services : (facultatif) Incluez des informations de contexte à partir d’une base de données ITSM.

   • Description : (facultatif) Ajoutez une description.

8. Sous Sécurité, cochez la case Accorder l’autorisation d’accès à tous les pipelines pour autoriser tous les pipelines à utiliser cette connexion de service. Si vous laissez cette case désactivée, vous devez accorder manuellement l’accès pour chaque pipeline.

9. Sélectionnez Enregistrer pour valider et créer la connexion de service.

   

Créer un principal de service

Dans cette étape, vous allez créer un principal de service dans Azure afin que vos pipelines Azure puissent accéder à Azure Key Vault.

1. Accédez au portail Azure, puis sélectionnez l’icône >_ dans le menu supérieur pour ouvrir Cloud Shell.

2. Sélectionnez PowerShell ou Bash en fonction de vos préférences.

3. Exécutez la commande suivante pour créer un principal de service :

   az ad sp create-for-rbac --name YOUR_SERVICE_PRINCIPAL_NAME
   

4. Une fois la commande exécutée, vous obtenez une sortie similaire à ce qui suit. Copiez et enregistrez la sortie, vous en aurez besoin pour créer une connexion de service à l’étape suivante.

   {
     "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "displayName": "MyServicePrincipal",
     "password": "***********************************",
     "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
   }
   

Créer une connexion de service

1. Connectez-vous à votre organisation Azure DevOps puis accédez à votre projet.

2. Sélectionnez Paramètres du projet, puis Connexions de service.

3. Sélectionnez Nouvelle connexion de service, Azure Resource Manager, puis Suivant.

4. Sélectionnez Principal du service (manuel), puis sélectionnez Suivant.

5. Sous Type d’identité, sélectionnez Inscription d’application ou identité managée (manuel).

6. Sous Informations d'identification, veuillez sélectionner Fédération d'identités de charge de travail.

7. Indiquez un nom pour votre connexion de service, puis sélectionnez Suivant.

8. Copiez les valeurs de l'émetteur et de l'identifiant du sujet. Vous en aurez besoin à l’étape suivante.

9. Pour Environnement, sélectionnez Cloud Azure et pour l’étendue de l’abonnement , sélectionnez Abonnement.

10. Entrez votre ID d’abonnement Azure et le nom de l’abonnement.

11. Sous Authentification, collez l’ID d'application (client) de votre principal du service et l’ID d'annuaire (client)

12. Dans la section Sécurité , cochez la case Accorder l’autorisation d’accès à tous les pipelines pour autoriser tous les pipelines à utiliser cette connexion de service. Si vous ignorez cette étape, vous devrez accorder manuellement l'accès pour chaque pipeline.

13. Veuillez laisser cette page ouverte, vous y reviendrez pour la compléter après avoir (1) créé l'identifiant fédéré dans Azure et (2) accordé à votre entité de service un accès en lecture au niveau de l'abonnement.

    

Créer des informations d’identification fédérées dans Azure

1. Accédez au portail Azure, puis utilisez la barre de recherche pour rechercher votre principal de service en entrant son ClientID. Sélectionnez l’application correspondante dans les résultats.

2. Sous Gérer, sélectionnez Certificats et secrets>informations d’identification fédérées.

3. Sélectionnez Ajouter des informations d’identification, puis pour le scénario d’informations d’identification fédérées, sélectionnez Autre émetteur.

4. Dans le champ Émetteur , collez la valeur de l’émetteur que vous avez copiée à partir de votre connexion de service précédemment.

5. Dans le champ Identificateur de l’objet , collez l’identificateur de l’objet que vous avez copié précédemment.

6. Entrez un nom pour vos informations d’identification fédérées, puis sélectionnez Ajouter lorsque vous avez terminé.

   

Ajouter une attribution de rôle à votre abonnement

Avant de pouvoir vérifier la connexion, il vous faut accorder l’accès en lecture au principal de service au niveau de l’abonnement :

1. Accédez au portail Azure

2. Sous Services Azure, sélectionnez Abonnements, puis recherchez et sélectionnez votre abonnement.

3. Sélectionnez Contrôle d’accès (IAM), puis Ajouter>Ajouter une attribution de rôle.

4. Sous l’onglet Rôle , sélectionnez Lecteur, puis Sélectionnez Suivant.

5. Sélectionnez Utilisateur, groupe ou principal de service, puis Sélectionner les membres.

6. Dans la barre de recherche, collez l’ID d’objet de votre principal de service, sélectionnez-le, puis cliquez sur Sélectionner.

7. Sélectionnez Vérifier + affecter, passer en revue vos paramètres, puis vérifier + attribuer à nouveau pour confirmer.

8. Une fois l’attribution de rôle ajoutée. revenez à votre connexion de service dans Azure DevOps, puis sélectionnez Vérifier et enregistrer pour enregistrer votre connexion de service.

Configurer des stratégies d’accès Key Vault

1. Accédez au portail Azure, recherchez le coffre de clés que vous avez créé précédemment, puis sélectionnez Stratégies d’accès.

2. Sélectionnez Créer, puis, sous Autorisations secrètes , ajoutez les autorisations Obtenir et Liste , puis sélectionnez Suivant.

3. Sous Principal, collez l’ID d’objet de votre principal de service, sélectionnez-le, puis sélectionnez Suivant.

4. Sélectionnez Suivant à nouveau, passez en revue vos paramètres, puis sélectionnez Enregistrer pour appliquer la nouvelle stratégie.