Azure Key Vault-geheimen gebruiken in Azure-pipelines

Een door de gebruiker toegewezen beheerde identiteit maken

1. Ga naar de Azure portal en zoek naar Beheerde identiteiten in de zoekbalk.

2. Selecteer Maken en geef de volgende informatie op:

   • Abonnement: Selecteer uw Azure-abonnement in de vervolgkeuzelijst.
   • Resourcegroep: Selecteer een bestaande resourcegroep of maak een nieuwe.
   • Regio: Selecteer de regio waarin de beheerde identiteit is gemaakt.
   • Naam: Voer een naam in voor de door de gebruiker toegewezen beheerde identiteit.

3. Selecteer Beoordelen en maken en selecteer Vervolgens Maken om de implementatie te starten.

4. Nadat de implementatie is voltooid, selecteert u Ga naar de resource en kopieert u de waarden voor abonnements-id en client-id. U hebt deze waarden in latere stappen nodig.

5. Selecteer Eigenschappen onder Instellingen en kopieer de tenant-id-waarde van uw beheerde identiteit voor later gebruik.

Toegangsbeleid voor key vault instellen

1. Ga naar de Azure portal en gebruik de zoekbalk om de sleutelkluis te zoeken die u eerder hebt gemaakt.

2. Selecteer Toegangsbeleid en selecteer Maken om een nieuw beleid toe te voegen.

3. Schakel onder Geheime machtigingen de selectievakjesOphalen en Lijst in.

4. Kies Volgende. Plak de client-id van de beheerde identiteit die u eerder hebt gemaakt in de zoekbalk en selecteer vervolgens de beheerde identiteit.

5. Selecteer Volgende en daarna nog eens Volgende.

6. Controleer de details van het toegangsbeleid en selecteer Maken om het beleid toe te passen.

Een serviceverbinding maken

1. Meld u aan bij Azure DevOps en ga naar uw project.

2. Selecteer Projectinstellingen>Serviceverbindingen>Nieuwe serviceverbinding.

3. Selecteer Azure Resource Manager en selecteer vervolgens Volgende.

4. Selecteer Beheerde identiteit voor identiteitstype.

5. Geef onder Stap 1: Details van beheerde identiteit de volgende informatie op:

   • Abonnement voor beheerde identiteit: selecteer het abonnement dat uw beheerde identiteit bevat.
   • Resourcegroep voor beheerde identiteit: selecteer de resourcegroep die als host fungeert voor uw beheerde identiteit.
   • Beheerde identiteit: selecteer uw beheerde identiteit in de vervolgkeuzelijst.

6. Geef voor stap 2: Azure Scope de volgende informatie op:

   • Bereikniveau voor serviceverbinding: Selecteer Abonnement.
   • Abonnement voor serviceverbinding: selecteer het abonnement waartoe de beheerde identiteit toegang heeft.
   • Resourcegroep voor serviceverbinding: (Optioneel) Geef een resourcegroep op om de toegang van de beheerde identiteit tot één resourcegroep te beperken.

7. Geef voor stap 3: Serviceverbindingsgegevens de volgende informatie op:

   • Serviceverbindingsnaam: Voer een naam in voor de serviceverbinding.
   • Naslaginformatie over servicebeheer: (optioneel) Neem contextinformatie op uit een ITSM-database.
   • Beschrijving: (Optioneel) Voer een beschrijving in.

8. Onder Beveiliging kan met de optie Toegang verlenen aan alle pijplijnen alle pijplijnen deze serviceverbinding gebruiken. We raden deze optie niet aan. In plaats daarvan moet u elke pijplijn afzonderlijk autoriseren om de serviceverbinding te gebruiken.

9. Selecteer Opslaan om de serviceverbinding te valideren en te maken.

   

Toegangsbeleid voor key vault instellen

Voor toegang tot uw sleutelkluis moet u eerst een service-principal instellen om toegang te verlenen tot Azure-pipelines.

1. Maak een service-principal.

2. Ga naar de Azure portal en gebruik de zoekbalk om de sleutelkluis te zoeken die u eerder hebt gemaakt.

3. Selecteer Toegangsbeleid en klik vervolgens op Maken.

4. Voeg onder Geheime machtigingen de machtigingen Ophalen en Lijst toe en selecteer vervolgens Volgende.

5. Plak voor Principal de object-id van uw service-principal, selecteer de service-principal en selecteer vervolgens Volgende.

6. Selecteer Volgende opnieuw, controleer het toegangsbeleid en selecteer Opslaan.

Roltoewijzing toevoegen

In de volgende stap maakt u een Azure Resource Manager serviceverbinding voor uw service-principal. Voordat u de verbinding verifieert, moet u het volgende doen:

• Geef de service-principal Reader-toegang bij het abonnementsniveau.
• Maak federatieve inloggegevens voor uw serviceprincipal.

Voer de volgende stappen uit om lezer toegang te verlenen op abonnementsniveau:

1. Ga naar de Azure portal, selecteer Subscriptions en selecteer vervolgens uw abonnement.

2. Selecteer Toegangsbeheer (IAM) en selecteer vervolgens Toevoegen>Roltoewijzing toevoegen.

3. Selecteer Op het tabblad Rolde optie Lezer en selecteer vervolgens Volgende.

4. Selecteer Gebruiker, groep of service-principal en kies leden selecteren.

5. Plak de object-id van uw service-principal in de zoekbalk, selecteer deze en kies vervolgens Selecteren.

6. Selecteer Beoordelen en toewijzen, controleer de instellingen en selecteer vervolgens Beoordelen en opnieuw toewijzen om de roltoewijzing toe te passen.

Een serviceverbinding maken

1. Meld u aan bij Azure DevOps en ga naar uw project.

2. Selecteer Projectinstellingen>Serviceconnecties.

3. Selecteer Nieuwe serviceverbinding>Azure Resource Manager en selecteer vervolgens Next.

4. Selecteer Service-principal (handmatig) en klik vervolgens op Volgende.

5. Voor identiteitstype selecteert u App-registratie of beheerde identiteit (handmatig).

6. Voor Referentie selecteer Workload-identiteitsfederatie.

7. Voer een naam in voor de serviceverbinding en selecteer daarna Volgende.

8. Voor Omgeving selecteert u Azure Cloud en selecteert u voor SubscriptiebereikSubscription.

9. Voer uw Azure abonnements-id en abonnementsnaam in.

10. Voor verificatie plakt u de toepassings-id van uw service-principal (client) en de directory-id (tenant).

11. Onder Beveiliging kan met de optie Toegang verlenen aan alle pijplijnen alle pijplijnen deze serviceverbinding gebruiken. We raden deze optie niet aan. In plaats daarvan moet u elke pijplijn afzonderlijk autoriseren om de serviceverbinding te gebruiken.

12. Laat dit venster open. U keert later terug om de serviceverbinding te controleren en op te slaan nadat u de federatieve referentie hebt gemaakt.

Een federatieve referentie maken voor een service-principal

1. Ga naar de Azure portal, voer de client-id van uw service-principal in de zoekbalk in en selecteer vervolgens uw toepassing.

2. Onder Beheren selecteert u Certificaten en geheimen en >.

3. Selecteer Referentie toevoegen en selecteer vervolgens voor Federatief-referentiescenario de optie Andere verstrekker.

4. Voor Issuer, plak de Issuer waarde die u hebt gekopieerd uit de serviceverbinding.

5. Plak voor onderwerp-id de waarde van de onderwerp-id die u hebt gekopieerd uit de serviceverbinding.

6. Voer een naam in voor de federatieve referentie en selecteer Vervolgens Toevoegen.

7. Ga terug naar het venster serviceverbinding en selecteer Verifiëren en Opslaan om uw serviceverbinding op te slaan.

1. Meld u aan bij Azure DevOps en ga naar uw project.

2. Selecteer Pijplijnen>Nieuwe Pijplijn.

3. Selecteer Azure-opslagplaatsen Git (YAML) en selecteer vervolgens uw opslagplaats.

4. Selecteer de Starter-pijplijnsjabloon .

5. De standaardpijplijn bevat voorbeeld-echoopdrachten. U hebt deze opdrachten niet nodig, zodat u ze kunt verwijderen.

6. Voeg de Azure Key Vault-taak toe aan uw pijplijn. Vervang de tijdelijke aanduidingen door de naam van de serviceverbinding die u eerder hebt gemaakt en de naam van de sleutelkluis. Uw YAML-bestand moet er ongeveer uitzien als in het volgende voorbeeld:

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   

7. Voeg de volgende taken toe om het geheim te kopiëren en te publiceren. Dit voorbeeld is alleen bedoeld voor demonstratiedoeleinden. Gebruik deze niet in een productieomgeving.

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   
   - task: CmdLine@2
     displayName: Create file
     inputs:
       script: 'echo $(SECRET_NAME) > secret.txt'
   
   - task: CopyFiles@2
     displayName: Copy file
     inputs:
       Contents: secret.txt
       targetFolder: '$(Build.ArtifactStagingDirectory)'
   
   - task: PublishBuildArtifacts@1
     displayName: Publish Artifact
     inputs:
       PathtoPublish: '$(Build.ArtifactStagingDirectory)'
       ArtifactName: 'drop'
       publishLocation: 'Container'
   

8. Selecteer Opslaan en uitvoeren en selecteer deze vervolgens nogmaals om uw wijzigingen door te voeren en de pijplijn te activeren. Als u hierom wordt gevraagd, selecteert u Toestaan om de pijplijn toegang te verlenen tot Azure-resources.

9. Nadat de pijplijn is gestart, selecteert u de CmdLine-taak om de logboeken weer te geven.

   

10. Wanneer de pijplijnuitvoering is voltooid, gaat u terug naar het pijplijnoverzicht en selecteert u het gepubliceerde artefact.

    

11. Selecteer drop>secret.txt om het bestand te downloaden.

    

12. Open het gedownloade tekstbestand. Het moet het geheim bevatten dat is opgehaald uit uw sleutelkluis.

1. Meld u aan bij Azure DevOps en ga naar uw project.

2. Selecteer Pijplijnen en selecteer vervolgens Nieuwe pijplijn.

3. Selecteer De klassieke editor gebruiken om een klassieke pijplijn te maken.

4. Selecteer Azure-opslagplaatsen Git, selecteer uw opslagplaats en standaardvertakking, en klik vervolgens op Doorgaan.

5. Selecteer de .Net Desktop-pijplijnsjabloon .

6. In dit voorbeeld zijn alleen de laatste twee taken vereist. Houd Ctrl ingedrukt en selecteer vervolgens de eerste vijf taken. Klik met de rechtermuisknop en selecteer Geselecteerde taken verwijderen om ze te verwijderen.

   

7. Selecteer + deze optie om een nieuwe taak toe te voegen. Zoek de opdrachtregel-taak, selecteer deze en selecteer daarna Toevoegen. Configureer de taak:

   • Weergavenaam: Voer Een bestand maken in.
   • Script: Voer echo $(SECRET_NAME) > uit naar secret.txt.

   

8. Selecteer + deze optie om een nieuwe taak toe te voegen. Zoek de Azure Key Vault-taak , selecteer deze en selecteer vervolgens Toevoegen. Configureer de taak:

   • Display name: Voer Azure Key Vault in.
   • Azure-abonnement: selecteer de serviceverbinding die u eerder hebt gemaakt.
   • Sleutelkluis: selecteer uw sleutelkluis.
   • Geheimenfilter: Voer een door komma's gescheiden lijst met geheime namen in of gebruik een sterretje (*) om alle geheimen te downloaden.

   

9. Selecteer de taak Bestanden kopiëren en configureer de volgende velden:

   • Weergavenaam: Voer Bestand kopiëren in.
   • Inhoud: Voer secret.txtin.
   • Doelmap: Voer $(build.artifactstagingdirectory) in.

   

10. Selecteer de taak Artefacten publiceren en configureer de volgende velden:

    • Weergavenaam: Typ 'Publish Artifact' in.
    • Pad voor publiceren: Voer $(build.artifactstagingdirectory) in.
    • Naam van artefact: Voer drop in.
    • Artifact-publicatielocatie: Voer Azure-pipelines in.

    

11. Selecteer Opslaan en wachtrijen en selecteer vervolgens Uitvoeren om de pijplijn te starten.

12. Nadat de pijplijn is voltooid, gaat u terug naar het pijplijnoverzicht en selecteert u het gepubliceerde artefact.

13. Selecteer drop>secret.txt om het artefact te downloaden.

    

14. Open het gedownloade tekstbestand. Het moet het geheim bevatten dat is opgehaald uit uw sleutelkluis.