Použití tajných klíčů ze služby Azure Key Vault v kanálů Azure

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Azure Key Vault umožňuje vývojářům bezpečně ukládat a spravovat citlivé informace, jako jsou klíče rozhraní API, přihlašovací údaje nebo certifikáty. Služba Azure Key Vault podporuje dva typy kontejnerů: trezory a spravované fondy HSM (Hardware Security Module). Trezory můžou ukládat klíče, tajné kódy a certifikáty založené na softwaru i HSM, zatímco spravované fondy HSM podporují výhradně klíče založené na HSM.

V tomto kurzu se naučíte, jak:

• Vytvoření služby Azure Key Vault pomocí Azure CLI
• Přidání tajného kódu a konfigurace přístupu ke službě Azure Key Vault
• Použití tajných kódů v kanálu

Požadavky

• Organizace Azure DevOps a projekt Pokud jste to ještě neudělali, vytvořte organizaci nebo projekt.

• Předplatné Azure. Pokud ho ještě nemáte, vytvořte si bezplatný účet Azure.

Vytvoření úložiště

Pokud už máte vlastní úložiště, přejděte k dalšímu kroku. V opačném případě inicializujete úložiště podle následujících pokynů. K nastavení kanálu použijeme toto úložiště Azure.

1. Přihlaste se ke své organizaci Azure DevOps a přejděte k projektu.

2. Vyberte Úložiště a pak vyberte Inicializovat a inicializovat hlavní větev pomocí souboru README.

   

Vytvoření služby Azure Key Vault

1. Přihlaste se k webu Azure Portal a pak vyberte tlačítko Cloud Shell v pravém horním rohu.

2. Pokud máte k vašemu účtu přidružené více než jedno předplatné Azure, zadejte výchozí předplatné pomocí následujícího příkazu. Můžete použít az account list k vygenerování seznamu vašich předplatných.

   az account set --subscription <YOUR_SUBSCRIPTION_NAME_OR_ID>
   

3. Nastavte výchozí oblast Azure. Můžete použít az account list-locations k vygenerování seznamu dostupných oblastí.

   az config set defaults.location=<YOUR_REGION>
   

4. Vytvoříte novou skupinu prostředků.

   az group create --name <YOUR_RESOURCE_GROUP_NAME>
   

5. Vytvořte novou službu Azure Key Vault.

   az keyvault create \
     --name <YOUR_KEY_VAULT_NAME> \
     --resource-group <YOUR_RESOURCE_GROUP_NAME>
   

6. Vytvořte v trezoru klíčů Azure nový tajný klíč.

   az keyvault secret set \
     --name <YOUR_SECRET_NAME> \
     --value <YOUR_ACTUAL_SECRET> \
     --vault-name <YOUR_KEY_VAULT_NAME>
   

Nastavení zásad přístupu trezoru klíčů

Abychom mohli získat přístup ke službě Azure Key Vault, musíme nastavit instanční objekt pro udělení přístupu ke službě Azure Pipelines. Podle tohoto průvodce vytvořte instanční objekt pomocí Azure CLI a pokračujte dalšími kroky v této části.

1. Přejděte na web Azure Portal a pak pomocí panelu hledání vyhledejte trezor klíčů, který jste vytvořili dříve.

   

2. Vyberte Zásady přístupu a pak vyberte Vytvořit a vytvořte novou zásadu.

3. V části Oprávnění tajných kódů vyberte Získat a Seznam.

4. Vyberte Další a pak vyberte instanční objekt, který jste vytvořili dříve. Instanční objekt je objekt, který představuje aplikaci nebo službu, která požaduje přístup k prostředkům Azure.

5. Vyberte Další a pak další ještě jednou.

6. Zkontrolujte zásady a pak vyberte Vytvořit , až budete hotovi.

Poznámka:

Služby Azure Key Vault, které používají řízení přístupu na základě role v Azure (Azure RBAC), se nepodporují.

Přidat přiřazení role

V dalším kroku vytvoříme připojení služby ARM pomocí instančního objektu. Než budeme moct připojení ověřit, musíme instančnímu objektu udělit přístup pro čtení na úrovni předplatného:

1. Přechod na web Azure Portal

2. Na levém navigačním panelu vyberte Předplatná a pak vyhledejte a vyberte své předplatné.

3. Vyberte Řízení přístupu a pak vyberte Přidat>přiřazení role.

   

4. Na kartě Role vyberte Čtenářa pak vyberte Další.

5. Vyberte Uživatele, skupinu nebo instanční objekt a pak vyberte Vybrat členy.

   

6. Pomocí vyhledávacího panelu vyhledejte instanční objekt a pak ho vyberte znaménko +a pak klikněte na tlačítko Vybrat .

7. Vyberte Zkontrolovat a přiřadit, zkontrolujte nastavení a pak znovu vyberte Zkontrolovat a přiřadit , abyste potvrdili své volby a přidali přiřazení role.

Vytvoření připojení služby

1. Přihlaste se ke své organizaci Azure DevOps a přejděte k projektu.

2. Vyberte připojení Služby nastavení projektu>a pak výběrem možnosti Nové připojení služby vytvořte nové připojení služby.

3. Vyberte Azure Resource Manager a pak vyberte Další.

4. Vyberte instanční objekt (ruční) a pak vyberte Další.

5. Jako úroveň rozsahu vyberte Azure Cloud for Environment a Předplatné a pak zadejte ID předplatného a název předplatného.

6. Vyplňte následující pole informacemi, které jste získali při vytváření instančního objektu, a po dokončení vyberte Ověřit :

   • ID instančního objektu: ID vaší aplikace instančního objektu.
   • Klíč instančního objektu: Heslo instančního objektu.
   • ID tenanta: Tenant instančního objektu.

7. Po úspěšném ověření zadejte název a popis (volitelné) připojení ke službě a zaškrtněte políčko Udělit přístup všem kanálům .

8. Vyberte Ověřit a až skončíte, uložte ho.

   

Vytvoření nového kanálu

Klasické

1. Přihlaste se ke své organizaci Azure DevOps a přejděte k projektu.

2. Vyberte Kanály a pak vyberte Nový kanál.

3. Vyberte Použít klasický editor k vytvoření klasického kanálu.

4. Vyberte Git Azure Repos, vyberte úložiště a výchozí větev a pak vyberte Pokračovat.

5. Vyberte šablonu kanálu .Net Desktopu.

6. V tomto příkladu budeme potřebovat jenom poslední dva úkoly. Stiskněte klávesu CTRL a pak vyberte prvních pět úkolů, klikněte pravým tlačítkem myši a zvolte Odebrat vybrané úkoly a odstraňte je.

   

7. Vyberte + , pokud chcete přidat nový úkol. Vyhledejte úlohu příkazového řádku , vyberte ji a pak ji vyberte Přidat a přidejte ji do kanálu. Po přidání ho nakonfigurujte následujícím způsobem:

   • Zobrazovaný název: Vytvoření souboru
   • Skript: echo $(YOUR_SECRET_NAME) > secret.txt

   

8. Vyberte + , pokud chcete přidat nový úkol. Vyhledejte úlohu služby Azure Key Vault , vyberte ji a pak ji výběrem možnosti Přidat* přidejte do kanálu. Po přidání ho nakonfigurujte následujícím způsobem:

   • Zobrazovaný název: Azure Key Vault
   • Předplatné Azure: Vyberte připojení instančního objektu, které jste vytvořili dříve.
   • Trezor klíčů: Výběr trezoru klíčů
   • Filtr tajných kódů: Čárkami oddělený seznam názvů tajných kódů nebo nechte * pro stažení všech tajných kódů z vybraného trezoru klíčů.

   

9. Vyberte úlohu Kopírovat soubory a vyplňte požadovaná pole následujícím způsobem:

   • Zobrazovaný název: Kopírovat soubor
   • Obsah: secret.txt
   • Cílová složka: $(build.artifactstagingdirectory)

   

10. Vyberte úlohu Publikovat artefakty a vyplňte požadovaná pole následujícím způsobem:

    • Zobrazovaný název: Publikování artefaktu
    • Cesta k publikování: $(build.artifactstagingdirectory)
    • Název artefaktu: drop
    • Umístění publikování artefaktů: Azure Pipelines

    

11. Vyberte Uložit a frontu a pak vyberte Spustit , aby se spustil kanál.

12. Po dokončení spuštění kanálu se vraťte do souhrnu kanálu a vyberte publikovaný artefakt.

13. Výběrem rozevíracího>seznamu secret.txt stáhněte publikovaný artefakt.

    

14. Otevřete textový soubor, který jste právě stáhli, měl by textový soubor obsahovat tajný kód z trezoru klíčů Azure.

YAML

1. Přihlaste se ke své organizaci Azure DevOps a přejděte k projektu.

2. Vyberte Kanály a pak vyberte Nový kanál.

3. Vyberte Git Azure Repos (YAML) a pak vyberte své úložiště.

4. Vyberte šablonu úvodního kanálu .

5. Výchozí kanál bude obsahovat skript, který spouští příkazy echo. Ty nejsou potřeba, abychom je mohli odstranit.

6. Přidejte úlohu AzureKeyVault a nahraďte zástupné symboly názvem připojení služby, které jste vytvořili dříve, a názvem trezoru klíčů. Soubor YAML by se měl podobat následujícímu fragmentu kódu:

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'YOUR_SERVICE_CONNECTION_NAME'
       KeyVaultName: 'YOUR_KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   

7. Pojďme přidat následující úlohy pro kopírování a publikování tajného kódu. Tento příklad je určený pouze pro demonstrační účely a neměl by být implementován v produkčním prostředí.

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'YOUR_SERVICE_CONNECTION_NAME'
       KeyVaultName: 'YOUR_KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   
   - task: CmdLine@2
     displayName: Create file
     inputs:
       script: 'echo $(YOUR_SECRET_NAME) > secret.txt'
   
   - task: CopyFiles@2
     displayName: Copy file
     inputs:
       Contents: secret.txt
       targetFolder: '$(Build.ArtifactStagingDirectory)'
   
   - task: PublishBuildArtifacts@1
     displayName: Publish Artifact
     inputs:
       PathtoPublish: '$(Build.ArtifactStagingDirectory)'
       ArtifactName: 'drop'
       publishLocation: 'Container'
   

8. Vyberte Uložit a spusťte a pak ho ještě jednou vyberte, aby se změny potvrďi a aktivovaly kanál. Pokud se zobrazí výzva k povolení přístupu kanálu k prostředkům Azure, může se zobrazit výzva k povolení. Kanál budete muset schválit jenom jednou.

9. Vyberte úlohu CmdLine a zobrazte protokoly.

   

10. Po dokončení spuštění kanálu se vraťte do souhrnu kanálu a vyberte publikovaný artefakt.

    

11. Vyberte rozevírací>secret.txt a stáhněte si ho.

    

12. Otevřete textový soubor, který jste právě stáhli, měl by textový soubor obsahovat tajný kód z trezoru klíčů Azure.

Upozorňující

Tento kurz je určen pouze pro vzdělávací účely. Osvědčené postupy zabezpečení a způsob bezpečné práce s tajnými kódy najdete v tématu Správa tajných kódů v serverových aplikacích pomocí služby Azure Key Vault.

Vyčištění prostředků

Pomocí následujícího postupu odstraňte prostředky, které jste vytvořili:

1. Pokud jste vytvořili novou organizaci pro hostování projektu, podívejte se, jak odstranit organizaci, jinak projekt odstraňte.

2. Všechny prostředky Azure vytvořené během tohoto kurzu jsou hostované v jedné skupině prostředků. Spuštěním následujícího příkazu odstraňte skupinu prostředků a všechny její prostředky.

   az group delete --name <YOUR_RESOURCE_GROUP_NAME>
   

Často kladené dotazy

Otázka: Zobrazuje se mi následující chyba: "Uživatel nebo skupina nemá oprávnění k seznamu tajných kódů", co mám dělat?

A: Pokud dojde k chybě, která značí, že uživatel nebo skupina nemá oprávnění k seznamu tajných kódů pro trezor klíčů, spusťte následující příkazy pro autorizaci aplikace pro přístup ke klíči nebo tajnému kódu ve službě Azure Key Vault:

$ErrorActionPreference="Stop";
$Credential = Get-Credential;
Connect-AzAccount -SubscriptionId <YOUR_SUBSCRIPTION_ID> -Credential $Credential;
$spn=(Get-AzureRmADServicePrincipal -SPN <YOUR_SERVICE_PRINCIPAL_ID>);
$spnObjectId=$spn.Id;
Set-AzureRmKeyVaultAccessPolicy -VaultName key-vault-tutorial -ObjectId $spnObjectId -PermissionsToSecrets get,list;

Související články

• Publikování a stahování artefaktů kanálu
• Uvolnění artefaktů a zdrojů artefaktů
• Řízení nasazení pomocí bran a schválení