Utilizzare i segreti di Azure Key Vault nelle Azure Pipelines

Creare un'identità gestita assegnata dall'utente

1. Passare al portale Azure e quindi cercare Managed Identities nella barra di ricerca.

2. Selezionare Crea e specificare le informazioni seguenti:

   • Sottoscrizione: selezionare la sottoscrizione di Azure dal menu a discesa.
   • Gruppo di risorse: selezionare un gruppo di risorse esistente o crearne uno nuovo.
   • Area: selezionare l'area in cui viene creata l'identità gestita.
   • Nome: immettere un nome per l'identità gestita assegnata dall'utente.

3. Selezionare Rivedi e crea e quindi crea per avviare la distribuzione.

4. Al termine della distribuzione, selezionare Vai alla risorsa e copiare i valori ID sottoscrizione e ID client . Questi valori sono necessari nei passaggi successivi.

5. In Impostazioni selezionare Proprietà e copiare il valore dell'ID tenant dell'identità gestita per usarlo in un secondo momento.

Configurare le politiche di accesso del Key Vault

1. Accedi al portale di Azure e usa la barra di ricerca per individuare il Key Vault creato in precedenza.

2. Selezionare Criteri di accesso e quindi Crea per aggiungere un nuovo criterio.

3. In Autorizzazioni segrete selezionare le caselle di controllo Recupera ed Elenco .

4. Seleziona Avanti. Incollare l'ID client dell'identità gestita creata in precedenza nella barra di ricerca e quindi selezionare l'identità gestita.

5. Selezionare Avanti, quindi di nuovo Avanti.

6. Esaminare i dettagli dei criteri di accesso e quindi selezionare Crea per applicare il criterio.

Creare una connessione al servizio

1. Accedere a Azure DevOps e quindi passare al progetto.

2. Selezionare > al servizio.

3. Selezionare Azure Resource Manager, quindi selezionare Avanti.

4. Per Tipo di identità selezionare Identità gestita.

5. In Passaggio 1: Dettagli identità gestita specificare le informazioni seguenti:

   • Sottoscrizione per l'identità gestita: selezionare la sottoscrizione che contiene l'identità gestita.
   • Gruppo di risorse per l'identità gestita: selezionare il gruppo di risorse che ospita l'identità gestita.
   • Identità gestita: selezionare l'identità gestita dall'elenco a discesa.

6. Per il passaggio 2: Ambito di Azure, specificare le informazioni seguenti:

   • Livello di ambito per la connessione al servizio: selezionare Sottoscrizione.
   • Sottoscrizione per la connessione al servizio: selezionare la sottoscrizione a cui accede l'identità gestita.
   • Gruppo di risorse per la connessione al servizio: (facoltativo) Specificare un gruppo di risorse per limitare l'accesso dell'identità gestita a un gruppo di risorse.

7. Per Passaggio 3: Dettagli connessione al servizio, specificare le informazioni seguenti:

   • Nome connessione al servizio: immettere un nome per la connessione al servizio.
   • Informazioni di riferimento sulla gestione dei servizi: (facoltativo) Includere informazioni di contesto da un database ITSM.
   • Descrizione: (facoltativo) Immettere una descrizione.

8. In Sicurezza l'opzione Concedi l'autorizzazione di accesso a tutte le pipeline consente a tutte le pipeline di usare questa connessione al servizio. Questa opzione non è consigliata. Invece, autorizzare ogni singola pipeline a utilizzare la connessione al servizio.

9. Selezionare Salva per convalidare e creare la connessione al servizio.

   

Configurare le politiche di accesso del Key Vault

Per accedere all'insieme di credenziali, è prima necessario configurare un oggetto servizio per concedere l'accesso ad Azure Pipelines.

1. Creare un'entità servizio.

2. Vai al portale Azure e usa la barra di ricerca per individuare il Key Vault che hai creato in precedenza.

3. Selezionare Criteri di accesso e quindi Crea.

4. In Autorizzazioni segrete aggiungere le autorizzazioni Recupera ed Elenco e quindi selezionare Avanti.

5. Per Entità incollare l'ID oggetto dell'entità servizio, selezionare l'entità servizio e quindi selezionare Avanti.

6. Selezionare di nuovo Avanti , esaminare i criteri di accesso e quindi selezionare Salva.

Aggiungi assegnazione di ruolo

Nel passaggio successivo si crea una connessione al servizio di Azure Resource Manager per l'entità del servizio. Prima di verificare la connessione, è necessario:

• Concedere al principale del servizio l'accesso da lettore a livello di sottoscrizione.
• Crea una credenziale federata per il servizio principale.

Per concedere l'accesso del lettore a livello di sottoscrizione, seguire questa procedura:

1. Passare al portale Azure, selezionare Subscriptions e quindi selezionare la sottoscrizione.

2. Selezionare Controllo di accesso (IAM) e quindi Aggiungi>Aggiungi assegnazione di ruolo.

3. Nella scheda Ruolo selezionare Lettore e quindi avanti.

4. Selezionare Utente, gruppo o entità servizio, quindi scegliere Seleziona membri.

5. Incollare l'ID oggetto del servizio principale nella barra di ricerca, selezionarlo e quindi scegliere Seleziona.

6. Selezionare Rivedi e assegna, rivedere le impostazioni e quindi selezionare di nuovo Rivedi e assegna per applicare l'assegnazione di ruolo.

Creare una connessione al servizio

1. Accedere a Azure DevOps e quindi passare al progetto.

2. Selezionare Project settings>Service connections.

3. Selezionare Nuova connessione al servizio>Azure Resource Manager e quindi selezionare Next.

4. Selezionare Entità servizio (manuale) e quindi selezionare Avanti.

5. Per Tipo di identità selezionare Registrazione app o identità gestita (manuale).

6. Per Credenziali, selezionare Federazione dell'identità del carico di lavoro.

7. Immettere un nome per la connessione al servizio e quindi selezionare Avanti.

8. Per Environment, selezionare Azure Cloud e per l'ambito Subscription, selezionare Subscription.

9. Immettere l'ID sottoscrizione Azure e il nome della sottoscrizione.

10. Per Autenticazione, incollare l'ID dell'applicazione (client) del tuo principale servizio e l'ID della directory (tenant) tuo.

11. In Sicurezza l'opzione Concedi l'autorizzazione di accesso a tutte le pipeline consente a tutte le pipeline di usare questa connessione al servizio. Questa opzione non è consigliata. Invece, autorizzare ogni singola pipeline a utilizzare la connessione al servizio.

12. Lasciare aperta questa finestra. Tornare in un secondo momento per verificare e salvare la connessione al servizio dopo aver creato le credenziali federate.

Creare una credenziale federata dell'entità servizio

1. Passare al portale Azure, inserisci l'ID client del principale del servizio nella barra di ricerca e quindi seleziona l'applicazione.

2. In Gestisci, selezionare Certificati e segreti>Credenziali federate.

3. Selezionare Aggiungi credenziali e quindi per Scenario di credenziali federate selezionare Altro emittente.

4. Per Issuer, incollare il valore Issuer copiato dalla connessione al servizio.

5. Per Identificatore oggetto incollare il valore dell'identificatore oggetto copiato dalla connessione al servizio.

6. Immettere un nome per le credenziali federate e quindi selezionare Aggiungi.

7. Tornare alla finestra di connessione del servizio e selezionare Verifica e salva per salvare la connessione al servizio.

1. Accedere a Azure DevOps e quindi passare al progetto.

2. Selezionare Pipeline>nuova pipeline.

3. Selezionare Azure Repos Git (YAML) e quindi selezionare il repository.

4. Selezionare il modello Starter pipeline.

5. La pipeline predefinita include comandi echo di esempio. Questi comandi non sono necessari, quindi è possibile rimuoverli.

6. Aggiungere l'attività Azure Key Vault alla pipeline. Sostituisci i segnaposto con il nome della connessione al servizio che hai creato in precedenza e il nome del tuo Key Vault. Il file YAML dovrebbe essere simile all'esempio seguente:

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   

7. Aggiungere i seguenti compiti per copiare e pubblicare il segreto. Questo esempio è solo a scopo dimostrativo. Non usarlo in un ambiente di produzione.

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   
   - task: CmdLine@2
     displayName: Create file
     inputs:
       script: 'echo $(SECRET_NAME) > secret.txt'
   
   - task: CopyFiles@2
     displayName: Copy file
     inputs:
       Contents: secret.txt
       targetFolder: '$(Build.ArtifactStagingDirectory)'
   
   - task: PublishBuildArtifacts@1
     displayName: Publish Artifact
     inputs:
       PathtoPublish: '$(Build.ArtifactStagingDirectory)'
       ArtifactName: 'drop'
       publishLocation: 'Container'
   

8. Selezionare Salva ed esegui e quindi selezionarlo ancora una volta per eseguire il commit delle modifiche e attivare la pipeline. Se richiesto, selezionare Consenti di concedere alla pipeline l'accesso alle risorse di Azure.

9. Dopo l'avvio della pipeline, selezionare l'attività CmdLine per visualizzare i log.

   

10. Al termine dell'esecuzione della pipeline, torna alla pagina del riepilogo e seleziona l'artefatto pubblicato.

    

11. Selezionare drop>secret.txt per scaricare il file.

    

12. Aprire il file di testo scaricato. Deve contenere il segreto recuperato dal Key Vault.

1. Accedere a Azure DevOps e quindi passare al progetto.

2. Selezionare Pipeline e quindi Nuova pipeline.

3. Selezionare Usa l'editor classico per creare una pipeline classica.

4. Selezionare Azure Repos Git, selezionare il repository e il ramo predefinito e quindi selezionare Continua.

5. Selezionare il modello di pipeline .Net Desktop .

6. Per questo esempio sono necessarie solo le ultime due attività. Tenere premuto CTRL e quindi selezionare le prime cinque attività. Fare clic con il pulsante destro del mouse e quindi scegliere Rimuovi attività selezionate per eliminarle.

   

7. Selezionare questa opzione + per aggiungere una nuova attività. Cercare l'attività Riga di comando , selezionarla e quindi selezionare Aggiungi. Configurare l'attività:

   • Nome visualizzato: immettere Crea file.
   • Script: immettere echo $(SECRET_NAME) > secret.txt.

   

8. Selezionare questa opzione + per aggiungere una nuova attività. Cercare l'attività Azure Key Vault , selezionarla e quindi selezionare Aggiungi. Configurare l'attività:

   • Nome visualizzato: immettere Azure Key Vault.
   • Sottoscrizione di Azure: Selezionare la connessione al servizio creata in precedenza.
   • Key vault: seleziona il tuo key vault.
   • Filtro segreti: immettere un elenco delimitato da virgole di nomi segreti oppure usare un asterisco (*) per scaricare tutti i segreti.

   

9. Selezionare l'attività Copia file e configurare i campi seguenti:

   • Nome visualizzato: inserire Copia file.
   • Contenuto: immettere secret.txt.
   • Cartella Destinazione: immettere $(build.artifactstagingdirectory).

   

10. Selezionare l'attività Pubblica artefatti e configurare i campi seguenti:

    • Nome visualizzato: Inserisci Pubblica artefatto.
    • Percorso di pubblicazione: immettere $(build.artifactstagingdirectory).
    • Nome artefatto: immettere drop.
    • Posizione di pubblicazione dell'artifact: immettere Azure Pipelines.

    

11. Selezionare Salva e Accoda e quindi Esegui per avviare la pipeline.

12. Al termine della pipeline, tornare al riepilogo della pipeline e selezionare l'artefatto pubblicato.

13. Selezionare drop>secret.txt per scaricare l'artefatto.

    

14. Aprire il file di testo scaricato. Deve contenere il segreto recuperato dall'archivio delle chiavi.