Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
Sie können eine variable Gruppe erstellen, die mit vorhandenen Azure-Schlüsseltresorn verknüpft ist und ausgewählte Schlüsseltresorschlüssel der Variablengruppe zuordnet. Der Variablengruppe werden nur die vertraulichen Namen zugeordnet, nicht die vertraulichen Werte. Wenn Pipelines laufen, werden sie mit der Variablengruppe verbunden, um die neuesten geheimen Schlüsselwerte vom Tresor zur Laufzeit abzurufen.
Alle Änderungen für vorhandene Geheimnissen im Schlüsseltresor sind automatisch für alle Pipelines verfügbar, die diese Variablengruppe verwenden. Wenn dem Schlüsseltresor jedoch Geheimnisse hinzugefügt werden oder wenn Geheimnisse aus dem Schlüsseltresor gelöscht werden, werden die zugeordneten Variablengruppen nicht automatisch aktualisiert. Sie müssen die Geheimnisse explizit aktualisieren, damit sie in die Variablengruppe aufgenommen werden.
Auch wenn Key Vault das Speichern und Verwalten kryptografischer Schlüssel und Zertifikate auf Azure unterstützt, unterstützt die Azure Pipelines-Variablengruppenintegration nur die Zuordnung von Schlüsseltresorgeheimnissen. Kryptografische Schlüssel und Zertifikate werden nicht unterstützt.
Voraussetzungen
| Produkt | Anforderungen |
|---|---|
| Azure DevOps | - Ein Azure DevOps-Projekt. – Eine Azure Resource Manager-Dienstverbindung für Ihr Projekt. - Berechtigungen: - Zum Verwenden von Dienstverbindungen: Sie müssen für die Dienstverbindung mindestens die Rolle Benutzer haben. - Zum Erstellen einer Variablengruppe: Sie müssen mindestens die Berechtigung Ersteller zum Erstellen einer Bibliothek haben. |
| Azurblau | – Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen. - Berechtigungen: Zum Erstellen eines Schlüsseltresors: Sie müssen für das Abonnement mindestens die Rolle Besitzer haben. |
Erstellen eines Schlüsseltresors
Wenn Sie noch keine Schlüsselverwaltung haben, können Sie eine wie folgt erstellen:
- Klicken Sie im Azure-Portal auf Ressource erstellen.
- Suchen Sie nach Key Vault und wählen Sie dann Erstellen aus.
- Wählen Sie Ihr Abonnement aus.
- Wählen Sie eine vorhandene Ressourcengruppe aus, oder erstellen Sie eine neue.
- Geben Sie einen Namen für den Schlüsseltresor ein.
- Wählen Sie eine Region aus.
- Wählen Sie die Registerkarte "Zugriff und Konfiguration" aus.
- Wählen Sie Zugriffsrichtlinie für den Tresor aus.
- Wählen Sie Ihr Konto als Hauptkonto aus.
- Wählen Sie Überprüfen + erstellen und danach Erstellen aus.
Erstellen Sie die Variablengruppe, die mit dem Key Vault verknüpft ist.
Wählen Sie im Azure DevOps-Projekt Pipelines>Bibliothek>+ Variablengruppe aus.
Geben Sie auf der Seite Variablengruppen einen Namen und optional eine Beschreibung für die Variablengruppe ein.
Aktivieren Sie die Umschaltfläche Geheimnisse von einem Azure Key Vault als Variablen verknüpfen.
Wählen Sie Ihre Dienstverbindung aus, und wählen Sie "Autorisieren" aus.
Wählen Sie Ihren Schlüsseltresornamen aus, und aktivieren Sie Azure DevOps, um auf den Schlüsseltresor zuzugreifen, indem Sie "Autorisieren" neben dem Tresornamen auswählen.
Wählen Sie +Hinzufügen aus, und wählen Sie auf dem Bildschirm "Geheime Schlüssel auswählen" die geheimen Schlüssel aus Ihrem Tresor aus, um dieser Variablengruppe zuzuordnen, und wählen Sie dann "OK" aus.
Wählen Sie Speichern aus, um die geheime Variablengruppe zu speichern.
Schlüsselverwaltungen mit Berechtigungen zur rollenbasierten Zugriffssteuerung (RBAC) werden nicht unterstützt. Ihr Schlüsseltresor-Berechtigungsmodell muss auf die Tresorzugriffsrichtlinie festgelegt werden. Wenn Sie einen Schlüsseltresor mit RBAC-Berechtigungen verwenden, können Sie den folgenden Workaround nutzen, um Ihren Schlüsseltresor mit Ihrer Variablengruppe zu verknüpfen:
Navigieren Sie zum Azure-Portal, finden Sie Ihren Schlüsseltresor > und dann Zugriffssteuerung (IAM). Gewähren Sie anschließend der Dienstverbindung die entsprechende RBAC-Rolle (Benutzer von Key Vault Secrets oder Beauftragter für Key Vault Secrets) oder basierend auf Ihrem Szenario.
Hinweis
Stellen Sie sicher, dass Sie über die Rolle " Key Vault Administrator " verfügen, um geheime Schlüssel zu erstellen.
Navigieren Sie zurück zu Ihrem Azure DevOps-Projekt, und wählen Sie "Pipelines>Library" aus.
Wählen Sie +Variable Gruppe aus, und geben Sie dann einen Namen für die Variable gruppe ein.
Wählen Sie den Umschalter Geheimnisse aus einem Azure Key Vault als Variablen verknüpfen aus, um ihn zu aktivieren.
Wählen Sie Ihre Dienstverbindung aus, und wählen Sie "Autorisieren" aus.
Wählen Sie im Dropdown-Menü Ihren Schlüsseltresornamen aus.
Wählen Sie +Hinzufügen, wählen Sie Ihren geheimen Schlüssel und dann "OK" aus.
Wählen Sie "Speichern" aus, wenn Sie fertig sind.
Hinweis
Ihre Dienstverbindung muss mindestens die Berechtigungen "Get" und "List" im Schlüsselbund haben, die Sie in den vorherigen Schritten autorisieren können. Sie können diese Berechtigungen auch über das Azure-Portal gewähren, indem Sie die folgenden Schritte ausführen:
- Öffnen Sie Einstellungen für den Schlüsseltresor, und wählen Sie dann Zugriffskonfiguration>Zu den Zugriffsrichtlinien aus.
- Wenn Ihr Azure Pipelines-Projekt auf der Seite Zugriffsrichtlinien nicht unter Anwendungen mit mindestens den Berechtigungen für Abrufen und Auflisten aufgeführt wird, wählen Sie Erstellen aus.
- Wählen Sie unter Geheimnisberechtigungen die Optionen Abrufen und Auflisten und dann Weiter aus.
- Wählen Sie Ihren Hauptakteur aus und klicken Sie anschließend auf Weiter.
- Wählen Sie erneut Weiter aus, überprüfen Sie die Einstellungen, und wählen Sie dann Erstellen aus.