Partager via

Lier un groupe de variables à des secrets dans Azure Key Vault

Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022

Vous pouvez créer un groupe de variables qui lie des coffres de clés Azure existants et mappe les secrets de coffre de clés sélectionnés au groupe de variables. Seuls les noms des secrets sont mappés vers le groupe de variables, pas les valeurs des secrets. Quand les pipelines s’exécutent, ils sont liés au groupe de variables pour extraire les dernières valeurs secrètes du coffre au moment de l’exécution.

Toute modification apportée aux secrets existants dans le coffre-fort est automatiquement mise à la disposition de tous les pipelines qui utilisent le groupe de variables. Cependant, si des secrets sont ajoutés ou supprimés du coffre-fort, les groupes de variables associés ne sont pas automatiquement mis à jour. Vous devez explicitement mettre à jour les secrets à inclure dans le groupe de variables.

Bien que Key Vault prenne en charge le stockage et la gestion des clés cryptographiques et des certifications dans Azure, l'intégration des groupes de variables Azure Pipelines ne prend en charge que le mappage des secrets de coffre-fort de clés. Les clés de chiffrement et les certificats ne sont pas pris en charge.

Prérequis

Produit Exigences
Azure DevOps - Un projet Azure DevOps .
- Une Connexion de service Azure Resource Manager pour votre projet.
- Permissions :
    - Pour utiliser des connexions de service : avoir au moins le rôle Utilisateur pour la connexion de service.
    - Pour créer un groupe de variables : avoir au moins une autorisation de bibliothèqueCréateur.
Azur - Un compte Azure avec un abonnement actif. Créez un compte gratuitement.
- Permissions :
    Pour créer un coffre de clés : avoir au moins le rôle Propriétaire pour l’abonnement.

Création d’un coffre de clés

Si vous n’avez pas encore de coffre de clés, vous pouvez en créer un comme suit :

  1. Dans le portail Azure, sélectionnez Créer une ressource.
  2. Recherchez et sélectionnez Key Vault, puis sélectionnez Créer.
  3. Sélectionnez votre abonnement.
  4. Sélectionnez un groupe de ressources existant ou créez-en un.
  5. Entrez un nom pour le coffre de clés.
  6. Sélectionnez une région.
  7. Sélectionnez l’onglet Accès et configuration .
  8. Sélectionnez Stratégie d'accès au coffre.
  9. Sélectionnez votre compte comme principal.
  10. Sélectionnez Vérifier + créer, puis Créer.

Créer le groupe de variables lié au coffre de clés

  1. Dans votre projet Azure DevOps, sélectionnez Pipelines>Bibliothèque>+ Groupe de variables.

  2. Sur la page Groupes de variables, entrez un nom et une description facultative pour le groupe de variables.

  3. Activez la bascule Lier les secrets d'un coffre-fort de clés Azure en tant que variables.

  4. Sélectionnez votre connexion de service, puis sélectionnez Autoriser.

  5. Sélectionnez le nom de votre coffre de clés et activez Azure DevOps pour accéder au coffre de clés en sélectionnant Autoriser en regard du nom du coffre.

  6. Sélectionnez + Ajouter et dans l’écran Choisir des secrets , sélectionnez les secrets de votre coffre pour le mappage à ce groupe de variables, puis sélectionnez OK.

  7. Sélectionnez Enregistrer pour enregistrer le groupe de variables secrètes.

    Capture d’écran d’un groupe de variables avec l’intégration à un coffre de clés Azure.

Les coffres de clés disposant d’autorisations de contrôle d’accès en fonction du rôle (RBAC) ne sont pas pris en charge. Le modèle d’autorisation de votre coffre de clés doit être défini sur la stratégie d’accès au coffre. Si vous utilisez un coffre de clés avec des autorisations RBAC, vous pouvez utiliser la solution de contournement suivante pour lier votre coffre de clés à votre groupe de variables :

  1. Créer une connexion de service ARM

  2. Accédez au portail Azure, recherchez votre coffre de clés >contrôle d’accès (IAM), puis accordez à la connexion de service le rôle RBAC approprié (Utilisateur des secrets Key Vault ou Officier des secrets Key Vault selon votre scénario).

    Remarque

    Vérifiez que vous disposez du rôle Administrateur Key Vault pour créer des secrets.

  3. Revenez à votre projet Azure DevOps, sélectionnezBibliothèque>.

  4. Sélectionnez + Groupe de variables, puis entrez un nom pour votre groupe de variables.

  5. Sélectionnez le bouton Lier les secrets d'un coffre de clés Azure en tant que variables pour l'activer.

  6. Sélectionnez votre connexion de service, puis sélectionnez Autoriser.

  7. Sélectionnez le nom de votre coffre de clés dans le menu déroulant.

  8. Sélectionnez + Ajouter, choisissez votre secret, puis sélectionnez Ok.

  9. Lorsque vous avez terminé, sélectionnez Enregistrer.

    Capture d’écran montrant comment lier un secret de coffre de clés RBAC à un groupe de variables.

Remarque

Votre connexion de service doit disposer au moins d’autorisations Get et List sur le coffre de clés, que vous pouvez autoriser dans les étapes précédentes. Vous pouvez également fournir ces permissions à partir du portail Azure en suivant les étapes suivantes :

  1. Ouvrez Paramètres pour le coffre-fort de clés, puis sélectionnez Configuration de l'accès>Voir les stratégies d'accès.
  2. Sur la page des stratégies d'accès, si votre projet Azure Pipelines n'est pas répertorié sous Applications avec au moins les permissions Obtenir et Lister, sélectionnez Créer.
  3. Sous Permissions secrètes, sélectionnez Obtenir et Lister, puis sélectionnez Suivant.
  4. Sélectionnez votre principal, puis sélectionnez Suivant.
  5. Sélectionnez à nouveau Suivant, vérifiez les paramètres, puis sélectionnez Créer.

Contenu connexe

  • Last updated on