Partilhar via

Vincular um grupo de variáveis a segredos no Azure Key Vault

Serviços de DevOps do Azure | Azure DevOps Server | Azure DevOps Server 2022

Você pode criar um grupo de variáveis que se liga aos cofres de chaves existentes do Azure e associa segredos selecionados dos cofres de chaves ao grupo de variáveis. Apenas os nomes secretos são mapeados para o grupo de variáveis, não os valores secretos. Quando os pipelines são executados, eles se vinculam ao grupo de variáveis para buscar os valores secretos mais recentes do vault em tempo de execução.

Quaisquer alterações feitas em segredos existentes no cofre de chaves tornam-se automaticamente disponíveis para todos os pipelines que utilizam o grupo de variáveis. No entanto, se segredos forem adicionados ou excluídos do cofre, os grupos de variáveis associados não serão atualizados automaticamente. Você deve atualizar explicitamente os segredos a serem incluídos no grupo de variáveis.

Embora o Cofre de Chaves ofereça suporte ao armazenamento e gerenciamento de chaves criptográficas e certificados no Azure, a integração de grupos de variáveis do Azure Pipelines dá suporte apenas ao mapeamento de segredos do cofre de chaves. Não há suporte para chaves criptográficas e certificados.

Pré-requisitos

Produto Requerimentos
Azure DevOps - Um projeto Azure DevOps.
- Uma conexão de serviço do Azure Resource Manager para seu projeto.
- Permissões:
    - Para usar conexões de serviço: Tenha pelo menos a função de utilizador para a conexão de serviço .
    - Para criar um grupo de variáveis: Tenha pelo menos Criadorpermissão de biblioteca.
Azure - Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
- Permissões:
    Para criar um cofre de chaves: tenha pelo menos a função Proprietário para a assinatura.

Criar um cofre de chaves

Se ainda não tens um cofre de chaves, podes criar um da seguinte forma:

  1. No portal do Azure, selecione Criar um recurso.
  2. Pesquise e selecione Cofre de Chaves e, em seguida, selecione Criar.
  3. Selecione a sua subscrição.
  4. Selecione um grupo de recursos existente ou crie um novo.
  5. Insira um nome para o cofre de chaves.
  6. Selecione uma região.
  7. Selecione a guia Acesso e configuração .
  8. Selecione Política de acesso ao Cofre.
  9. Selecione a sua conta como a principal.
  10. Selecione Rever + criar e, em seguida, Criar.

Criar grupo de variáveis associado ao cofre de chaves

  1. No seu projeto do Azure DevOps, selecione Pipelines>Biblioteca>+ Grupo de variáveis.

  2. Na página Grupos de variáveis , insira um nome e uma descrição opcional para o grupo de variáveis.

  3. Ative a alternância de Ligar segredos de um cofre de chaves do Azure como variáveis.

  4. Selecione sua conexão de serviço e selecione Autorizar.

  5. Selecione o nome do cofre de chaves e habilite o Azure DevOps para acessar o cofre de chaves selecionando Autorizar ao lado do nome do cofre.

  6. Selecione + Adicionar e, no ecrã Escolher segredos, selecione os segredos do seu cofre para associar a este grupo de variáveis e, em seguida, selecione OK.

  7. Selecione Salvar para salvar o grupo de variáveis secretas.

    Captura de ecrã do grupo de variáveis com a integração do cofre de chaves do Azure.

Os cofres de chaves com permissões de controlo de acesso baseado em funções (RBAC) não são suportados. O seu modelo de permissões do cofre de chaves deve estar definido para a política de acesso ao cofre. Se estiver a usar um cofre de chaves com permissões RBAC, pode usar a seguinte solução alternativa para ligar o seu cofre de chaves ao seu grupo de variáveis:

  1. Criar uma ligação de serviço ARM

  2. Navegue até ao portal do Azure, localize o seu cofre de chaves na seção de >Controlo de Acesso (IAM), e, em seguida, atribua à ligação de serviço o papel RBAC apropriado (Utilizador de Segredos de Cofre de Chaves ou Oficial de Segredos de Cofre de Chaves, ou conforme o seu cenário).

    Nota

    Certifica-te de que tens o papel de Administrador do Cofre de Chaves para criar segredos.

  3. Navegue de volta ao seu projeto Azure DevOps, selecione Biblioteca de Pipelines>.

  4. Selecione + Grupo de variáveis, depois introduza um nome para o seu grupo de variáveis.

  5. Seleciona a opção ligar segredos de um cofre de chaves do Azure como variáveis para ativá-la.

  6. Selecione sua conexão de serviço e selecione Autorizar.

  7. Selecione o nome do seu cofre de chaves no menu suspenso.

  8. Seleciona + Adicionar, escolhe o teu segredo e depois seleciona Ok.

  9. Quando terminar, selecione Guardar.

    Uma captura de ecrã que mostra como ligar um segredo do cofre de chaves RBAC a um grupo de variáveis.

Nota

A sua ligação de serviço deve ter pelo menos permissões de Obtenção e Listagem no cofre de chaves, que pode autorizar nas etapas anteriores. Você também pode fornecer essas permissões do portal do Azure seguindo estas etapas:

  1. Abra Configurações para o cofre de chaves e escolha Configuração de acesso>. Ir para políticas de acesso.
  2. Na página Políticas de acesso, se o seu projeto do Azure Pipelines não estiver listado em Aplicativos com pelo menos as permissões Obter e Listar, selecione Criar.
  3. Em Permissões secretas, selecione Obter e Listar e, em seguida, selecione Avançar.
  4. Selecione o principal e, em seguida, selecione Seguinte.
  5. Selecione Seguinte novamente, reveja as definições e, em seguida, selecione Criar.

Conteúdo relacionado

  • Last updated on