Compartir a través de

Vinculación de un grupo de variables a secretos en Azure Key Vault

Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022

Puede crear un grupo de variables que vincule a almacenes de claves de Azure existentes y asigne los secretos seleccionados del almacén de claves al grupo de variables. Solo los nombres secretos se asignan al grupo de variables, no los valores secretos. Cuando se ejecutan canalizaciones, se vinculan al grupo de variables para recuperar los valores de secretos más recientes del almacén en tiempo de ejecución.

Cualquier cambio realizado en los secretos existentes en la bóveda de claves está disponible automáticamente para todas las canalizaciones que utilizan el grupo de variables. Sin embargo, si se agregan o eliminan secretos del almacén, los grupos de variables asociados no se actualizan automáticamente. Debe actualizar explícitamente los secretos para incluirlos en el grupo de variables.

Aunque Key Vault admite el almacenamiento y administración de claves criptográficas y certificados en Azure, la integración de grupos de variables de Azure Pipelines solo admite la asignación de secretos del almacén de claves. No se admiten claves criptográficas ni certificados.

Requisitos previos

Producto Requisitos
Azure DevOps - Un proyecto de Azure DevOps .
- Una conexión de servicio de Azure Resource Manager para su proyecto.
- Permisos:
    - Para usar conexiones de servicio: tenga al menos el rol de usuario para la conexión de servicio.
    - Para crear un grupo de variables: tenga al menos permiso deCreador de biblioteca.
Azur - Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
- Permisos:
    Para crear un almacén de claves, debe tener al menos el rol de propietario para la suscripción.

Creación de un almacén de claves

Si aún no tiene un almacén de claves, puede crear uno como se indica a continuación:

  1. En Azure Portal, haga clic en Crear un recurso.
  2. Busque y seleccione Key Vault y, a continuación, seleccione Crear.
  3. Selecciona tu suscripción.
  4. Seleccione un grupo de recursos existente o cree uno nuevo.
  5. Escriba un nombre para el almacén de claves.
  6. Seleccione una región.
  7. Seleccione la pestaña Acceso y configuración.
  8. Seleccione Directiva de acceso de Key Vault.
  9. Seleccione su cuenta como principal.
  10. Seleccione Revisar y crear y, a continuación, Crear.

Creación del grupo de variables vinculado al almacén de claves

  1. En tu proyecto de Azure DevOps, selecciona Pipelines>Biblioteca>+ Grupo de variables.

  2. En la página Grupos de variables, escriba un nombre y una descripción opcional para el grupo de variables.

  3. Habilite el conmutador Vincular secretos desde una instancia de Azure Key Vault como variables.

  4. Seleccione la conexión de servicio y seleccione Autorizar.

  5. Seleccione el nombre del almacén de claves y habilite Azure DevOps para acceder al almacén de claves; para ello, seleccione Autorizar junto al nombre del almacén.

  6. Seleccione + Agregar y, en la pantalla Elegir secretos, seleccione los secretos de su bóveda para asignarlos a este grupo de variables, y luego seleccione Aceptar.

  7. Seleccione Guardar para guardar el grupo de variables secretas.

    Captura de pantalla del grupo de variables con la integración del almacén de claves de Azure.

No se admiten almacenes de claves con permisos de control de acceso basado en rol (RBAC). El modelo de permisos del almacén de claves debe establecerse en Directiva de acceso al almacén. Si usa un almacén de claves con permisos de RBAC, puede usar la siguiente solución alternativa para vincular el almacén de claves al grupo de variables:

  1. Crear una conexión de servicio de ARM

  2. Vaya al portal de Azure, busque su almacén de claves >Control de acceso (IAM), y luego, conceda a la conexión del servicio el rol RBAC apropiado (Usuario de secretos de Key Vault o Oficial de secretos de Key Vault o según su escenario).

    Nota:

    Asegúrese de que tiene el rol Administrador de Key Vault para crear secretos.

  3. Vuelva al proyecto de Azure DevOps, seleccione Canalizaciones>Biblioteca.

  4. Seleccione + Grupo de variables y escriba un nombre para el grupo de variables.

  5. Seleccione la opción Vincular secretos de un almacén de claves de Azure como variables para activarla.

  6. Seleccione la conexión de servicio y seleccione Autorizar.

  7. Seleccione el nombre del almacén de claves en el menú desplegable.

  8. Seleccione + Agregar, elija el secreto y, a continuación, seleccione Aceptar.

  9. Cuando haya terminado, haga clic en Guardar.

    Captura de pantalla que muestra cómo vincular un secreto del almacén de claves RBAC a un grupo de variables.

Nota:

La conexión de servicio debe tener al menos permisos Get y List en el almacén de claves, que puede autorizar en los pasos anteriores. También puede proporcionar los permisos siguientes desde Azure Portal mediante estos pasos:

  1. Abra Configuración para el almacén de claves y, a continuación, elija Configuración de acceso>Ir a directivas de acceso.
  2. En la página Directivas de acceso, si el proyecto de Azure Pipelines no aparece en Aplicaciones con al menos permisos Get y List, seleccione Crear.
  3. En Permisos para secretos, seleccione Obtener y Listar y, a continuación, seleccione Siguiente.
  4. Seleccione su entidad principal y, a continuación, seleccione Siguiente.
  5. Vuelva a seleccionar Siguiente, revise la configuración y seleccione Crear.

Contenido relacionado

  • Last updated on