Använd Azure Key Vault-hemligheter i Azure-pipelines

Skapa en användartilldelad hanterad identitet

1. Gå till Azure-portalen och sök sedan efter Hanterade identiteter i sökfältet.

2. Välj Skapa och ange följande information:

   • Prenumeration: Välj din Azure-prenumeration på den nedrullningsbara menyn.
   • Resursgrupp: Välj en befintlig resursgrupp eller skapa en ny.
   • Region: Välj den region där den hanterade identiteten skapas.
   • Namn: Ange ett namn för den användartilldelade hanterade identiteten.

3. Välj Granska + skapa och välj sedan Skapa för att starta distributionen.

4. När distributionen är klar väljer du Gå till resurs och kopierar värdena för prenumerations-ID och klient-ID . Du behöver dessa värden i senare steg.

5. Under Inställningar väljer du Egenskaper och kopierar den hanterade identitetens klient-ID-värde för senare användning.

Konfigurera åtkomstprinciper för key vault

1. Gå till Azure-portalen och använd sökfältet för att hitta nyckelvalvet som du skapade tidigare.

2. Välj Åtkomstprinciper och välj sedan Skapa för att lägga till en ny princip.

3. Under Hemliga behörigheter markerar du kryssrutorna Hämta och Lista .

4. Klicka på Nästa. Klistra in klient-ID för den hanterade identitet som du skapade tidigare i sökfältet och välj sedan den hanterade identiteten.

5. Välj Nästa och Nästa igen.

6. Granska informationen om åtkomstprincipen och välj sedan Skapa för att tillämpa principen.

Skapa en tjänstanslutning

1. Logga in på Azure DevOps och gå sedan till projektet.

2. Välj Projektinställningar>Tjänstanslutningar>Ny tjänstanslutning.

3. Välj Azure Resource Manager och välj sedan Nästa.

4. Som Identitetstyp väljer du Hanterad identitet.

5. Under Steg 1: Hanterad identitetsinformation anger du följande information:

   • Prenumeration för hanterad identitet: Välj den prenumeration som innehåller din hanterade identitet.
   • Resursgrupp för hanterad identitet: Välj den resursgrupp som är värd för din hanterade identitet.
   • Hanterad identitet: Välj din hanterade identitet i listrutan.

6. För steg 2: Azure-omfång anger du följande information:

   • Omfångsnivå för tjänstanslutning: Välj Prenumeration.
   • Prenumeration för tjänstanslutning: Välj den prenumeration som den hanterade identiteten har åtkomst till.
   • Resursgrupp för tjänstanslutning: (Valfritt) Ange en resursgrupp för att begränsa den hanterade identitetens åtkomst till en resursgrupp.

7. För steg 3: Information om tjänstanslutning anger du följande information:

   • Tjänstanslutningsnamn: Ange ett namn för tjänstanslutningen.
   • Referens för tjänsthantering: (Valfritt) Inkludera kontextinformation från en ITSM-databas.
   • Beskrivning: (Valfritt) Ange en beskrivning.

8. Under Säkerhet tillåter alternativet Bevilja åtkomstbehörighet till alla pipelines att alla pipelines använder den här tjänstanslutningen. Vi rekommenderar inte det här alternativet. Auktorisera i stället varje pipeline individuellt för att använda tjänstanslutningen.

9. Välj Spara för att verifiera och skapa tjänstanslutningen.

   

Konfigurera åtkomstprinciper för key vault

För att få åtkomst till ditt nyckelvalv måste du först konfigurera ett huvudnamn för tjänsten för att ge åtkomst till Azure-pipelines.

1. Skapa ett huvudnamn för tjänsten.

2. Gå till Azure-portalen och använd sökfältet för att hitta nyckelvalvet som du skapade tidigare.

3. Välj Åtkomstprinciper och välj sedan Skapa.

4. Under Hemliga behörigheter lägger du till behörigheterna Hämta och Lista och väljer sedan Nästa.

5. För Huvudnamn klistrar du in objekt-ID:t för tjänstens huvudnamn, väljer tjänstens huvudnamn och väljer sedan Nästa.

6. Välj Nästa igen, granska åtkomstprincipen och välj sedan Spara.

Lägg till rolltilldelning

I nästa steg skapar du en Azure Resource Manager tjänstanslutning för tjänstens huvudnamn. Innan du verifierar anslutningen måste du:

• Ge serviceprincipalen läsarbehörighet på prenumerationsnivå.
• Skapa ett federerat autentiseringsbevis för din tjänsteprincipal.

Följ dessa steg för att ge läsare åtkomst på prenumerationsnivå:

1. Gå till Azure-portalen, välj Prenumerationer och välj sedan din prenumeration.

2. Välj Åtkomstkontroll (IAM) och välj sedan Lägg till>rolltilldelning.

3. På fliken Roll väljer du Läsare och sedan Nästa.

4. Välj Användare, grupp eller tjänstens huvudnamn och välj sedan Välj medlemmar.

5. Klistra in objekt-ID:t för tjänstens huvudnamn i sökfältet, markera det och välj sedan Välj.

6. Välj Granska + tilldela, granska inställningarna och välj sedan Granska + tilldela igen för att tillämpa rolltilldelningen.

Skapa en tjänstanslutning

1. Logga in på Azure DevOps och gå sedan till projektet.

2. Välj projektinställningar>tjänstanslutningar.

3. Välj Ny tjänstanslutning>Azure Resource Manager och välj sedan Nästa.

4. Välj Tjänstens huvudnamn (manuell) och välj sedan Nästa.

5. För Identitetstyp väljer du Appregistrering eller hanterad identitet (manuell).

6. För Autentiseringsuppgifter väljer du Arbetsbelastningsidentitetsfederation.

7. Ange ett namn för tjänstanslutningen och välj sedan Nästa.

8. För Environment väljer du Azure Cloud och för Prenumerationsomfång väljer du Subscription.

9. Ange ditt Azure prenumerations-ID och prenumerationsnamn.

10. För autentisering klistrar du in tjänsthuvudmannens applikations-ID (klient) och katalog-ID (hyresgäst).

11. Under Säkerhet tillåter alternativet Bevilja åtkomstbehörighet till alla pipelines att alla pipelines använder den här tjänstanslutningen. Vi rekommenderar inte det här alternativet. Auktorisera i stället varje pipeline individuellt för att använda tjänstanslutningen.

12. Låt det här fönstret vara öppet. Du kommer tillbaka senare för att verifiera och spara tjänstanslutningen när du har skapat den federerade autentiseringsuppgiften.

Skapa en federerad autentiseringsmetod för tjänstehuvudnamn

1. Gå till Azure-portalen, ange klient-ID för tjänstens huvudnamn i sökfältet och välj sedan ditt program.

2. Under Hantera väljer du Certifikat och hemligheter>Federerade autentiseringsuppgifter.

3. Välj Lägg till autentiseringsuppgifter och välj sedan Annan utfärdare för federerade autentiseringsuppgifter.

4. För Utfärdare klistrar du in det utfärdarvärde som du kopierade från tjänstanslutningen.

5. För Ämnesidentifierare klistrar du in värdet ämnesidentifierare som du kopierade från tjänstanslutningen.

6. Ange ett namn på den federerade autentiseringsuppgiften och välj sedan Lägg till.

7. Gå tillbaka till tjänstanslutningsfönstret och välj Verifiera och Spara för att spara tjänstanslutningen.

1. Logga in på Azure DevOps och gå sedan till projektet.

2. Välj Pipelines>Ny pipeline.

3. Välj Azure-lagringsplatser Git (YAML) och välj sedan din lagringsplats.

4. Välj mallen Startpipeline .

5. Standardpipelinen innehåller exempel på ekokommandon. Du behöver inte dessa kommandon, så du kan ta bort dem.

6. Lägg till Azure Key Vault-aktiviteten i din pipeline. Ersätt platshållarna med namnet på tjänstanslutningen som du skapade tidigare och ditt nyckelvalvnamn. YAML-filen bör se ut ungefär som i följande exempel:

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   

7. Lägg till följande steg för att kopiera och publicera den hemliga informationen. Det här exemplet är endast i demonstrationssyfte. Använd den inte i en produktionsmiljö.

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   
   - task: CmdLine@2
     displayName: Create file
     inputs:
       script: 'echo $(SECRET_NAME) > secret.txt'
   
   - task: CopyFiles@2
     displayName: Copy file
     inputs:
       Contents: secret.txt
       targetFolder: '$(Build.ArtifactStagingDirectory)'
   
   - task: PublishBuildArtifacts@1
     displayName: Publish Artifact
     inputs:
       PathtoPublish: '$(Build.ArtifactStagingDirectory)'
       ArtifactName: 'drop'
       publishLocation: 'Container'
   

8. Välj Spara och kör och välj det sedan en gång till för att checka in ändringarna och utlösa pipelinen. Om du uppmanas till det väljer du Tillåt för att bevilja pipelineåtkomst till Azure-resurser.

9. När pipelinen har startat väljer du aktiviteten CmdLine för att visa loggarna.

   

10. När pipelinekörningen är klar går du tillbaka till pipelinesammanfattningen och väljer den publicerade artefakten.

    

11. Välj släpp>secret.txt för att ladda ned filen.

    

12. Öppna den nedladdade textfilen. Den ska innehålla hemligheten som hämtats från ditt nyckelvalv.

1. Logga in på Azure DevOps och gå sedan till projektet.

2. Välj Pipelines, och välj sedan Ny pipeline.

3. Välj Använd den klassiska redigeraren för att skapa en klassisk pipeline.

4. Välj Azure-lagringsplatser Git, välj din lagringsplats och standardgren och välj sedan Fortsätt.

5. Välj mallen .Net Desktop för pipeline.

6. I det här exemplet krävs endast de två sista aktiviteterna. Håll ned Ctrl och välj sedan de fem första aktiviteterna. Högerklicka och välj sedan Ta bort markerade aktiviteter för att ta bort dem.

   

7. Välj + för att lägga till en ny aktivitet. Sök efter kommandoradsaktiviteten , välj den och välj sedan Lägg till. Konfigurera uppgiften:

   • Visningsnamn: Ange Skapa fil.
   • Skript: Ange echo $(SECRET_NAME) > secret.txt.

   

8. Välj + för att lägga till en ny aktivitet. Sök efter Azure Key Vault-aktiviteten , välj den och välj sedan Lägg till. Konfigurera uppgiften:

   • Display name: Ange Azure Key Vault.
   • Azure-prenumeration: Välj den tjänstanslutning som du skapade tidigare.
   • Nyckelvalv: Välj ditt nyckelvalv.
   • Hemlighetsfilter: Ange en kommaavgränsad lista med hemliga namn eller använd en asterisk (*) för att ladda ned alla hemligheter.

   

9. Välj aktiviteten Kopiera filer och konfigurera följande fält:

   • Visningsnamn: Ange Kopiera fil.
   • Innehåll: Ange secret.txt.
   • Målmapp: Ange $(build.artifactstagingdirectory).

   

10. Välj aktiviteten Publicera artefakter och konfigurera följande fält:

    • Visningsnamn: Ange Publicera artefakt.
    • Sökväg för publicering: Ange $(build.artifactstagingdirectory).
    • Artefaktnamn: Ange drop.
    • Artifact publiceringsplats: Ange Azure-pipelines.

    

11. Välj Spara och köa och välj sedan Kör för att starta pipelinen.

12. När pipelinen är klar går du tillbaka till pipelinesammanfattningen och väljer den publicerade artefakten.

13. Välj dra>secret.txt för att ladda ned artefakten.

    

14. Öppna den nedladdade textfilen. Den bör innehålla hemligheten som hämtades från ditt nyckelvalv.