다음을 통해 공유

Azure Key Vault의 비밀에 변수 그룹 연결

Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022 | Azure DevOps Server 2020

기존 Azure Key Vault에 연결하고 선택한 키 자격 증명 모음 비밀을 변수 그룹에 매핑하는 변수 그룹을 만들 수 있습니다. 비밀 이름만 비밀 값이 아니라 변수 그룹에 매핑됩니다. 파이프라인이 실행되면 변수 그룹에 연결되어 런타임에 자격 증명 모음에서 최신 비밀 값을 가져옵니다.

키 자격 증명 모음에 있는 기존의 비밀에 대한 변경 사항은 변수 그룹을 사용하는 모든 파이프라인에서 자동으로 사용할 수 있습니다. 비밀이 비밀 창고에 추가되거나 삭제되는 경우, 연관된 변수 그룹은 자동으로 업데이트되지 않습니다. 변수 그룹에 포함할 비밀을 명시적으로 업데이트해야 합니다.

Key Vault는 Azure에서 암호화 키 및 인증서 저장 및 관리를 지원하지만 Azure Pipelines 변수 그룹 통합은 키 자격 증명 모음 비밀 매핑만 지원합니다. 암호화 키 및 인증서는 지원되지 않습니다.

필수 조건

제품 요구 사항
Azure DevOps - Azure DevOps 프로젝트.
- 프로젝트에 대한 Azure Resource Manager 서비스 연결.
- 권한:
    - 서비스 연결을 사용하려면: 서비스 연결에 대해 사용자 역할을 가지고 있어야 합니다.
    - 변수 그룹을 만들려면, 작성자라이브러리 권한이 최소한있어야 합니다.
애저 (Azure) - 활성 구독이 있는 Azure 계정입니다. 체험 계정을 만듭니다.
- 권한:
    키 자격 증명 모음을 만들려면 구독에 대해 소유자 역할 이상을 보유하고 있어야 합니다.

키 저장소 만들기

키 자격 증명 모음이 아직 없는 경우, 다음 단계로 만들 수 있습니다.

  1. Azure Portal에서 리소스 만들기를 선택합니다.
  2. Key Vault를 검색하여 선택한 후, 만들기를 선택합니다.
  3. 구독을 선택합니다.
  4. 기존 리소스 그룹을 선택하거나 새 리소스 그룹을 만듭니다.
  5. 키 자격 증명 모음의 이름을 입력합니다.
  6. 지역을 선택합니다.
  7. 액세스 및 구성 탭을 선택합니다.
  8. Vault 액세스 정책을 선택합니다.
  9. 계정을 기본 사용자로 선택합니다.
  10. 검토 + 만들기를 선택한 다음, 만들기를 선택합니다.

키 자격 증명 모음에 연결된 변수 그룹을 생성합니다.

  1. Azure DevOps 프로젝트에서 Pipelines를 선택한 다음, >를 선택하고, + Variable group을 선택합니다.

  2. 변수 그룹 페이지에서 변수 그룹에 대한 이름 및 선택적 설명을 입력합니다.

  3. Azure Key Vault에서 비밀을 변수로 연결하는 기능을 토글하여 활성화합니다.

  4. 서비스 연결을 선택하고 권한 부여를 선택합니다.

  5. 키 자격 증명 모음 이름을 선택한 후, 권한 부여를 선택하여 Azure DevOps가 해당 키 자격 증명 모음에 액세스할 수 있도록 합니다.

  6. + 추가를 선택하고 비밀 선택 화면에서 자격 증명 모음에서 이 변수 그룹에 매핑할 비밀을 선택한 다음 확인을 선택합니다.

  7. 저장을 선택하여 비밀 변수 그룹을 저장합니다.

    Azure Key Vault 통합을 사용한 변수 그룹의 스크린샷.

키 자격 증명 모음은 역할 기반 액세스 제어(RBAC) 권한과 함께 사용할 수 없습니다. 키 자격 증명 모음 권한 모델을 자격 증명 모음 액세스 정책으로 설정해야 합니다. RBAC 권한이 있는 키 자격 증명 모음을 사용하는 경우 다음 해결 방법을 사용하여 키 자격 증명 모음을 변수 그룹에 연결할 수 있습니다.

  1. ARM 서비스 연결 만들기

  2. Azure Portal로 이동한 후 >키 자격 증명 모음 액세스 제어(IAM)을 찾아 서비스 연결에 적절한 RBAC 역할(Key Vault Secrets User 또는 Key Vault Secrets Officer 또는 시나리오에 따라)을 부여합니다.

    참고

    비밀을 만들 Key Vault 관리자 역할이 있는지 확인합니다.

  3. Azure DevOps 프로젝트로 돌아가서 파이프라인>를 선택합니다.

  4. + 변수 그룹을 선택한 다음 변수 그룹의 이름을 입력합니다.

  5. Azure Key Vault의 비밀을 변수로 연결하는 토글을 선택하여 사용하도록 설정합니다.

  6. 서비스 연결을 선택하고 권한 부여를 선택합니다.

  7. 드롭다운 메뉴에서 키 볼트 이름을 선택합니다.

  8. + 추가를 선택하고 비밀을 선택한 다음 확인을 선택합니다.

  9. 완료되면 저장을 선택합니다.

    RBAC 키 자격 증명 보관소 비밀 정보를 변수 그룹에 연결하는 방법을 보여주는 스크린샷

참고

서비스 연결에는 이전 단계에서 권한을 부여할 수 있는 키 자격 증명 모음에 대한 가져오기나열 권한이 있어야 합니다. 다음 단계를 수행하여 Azure Portal에서 이러한 권한을 제공할 수도 있습니다.

  1. 설정을 열고 키 자격 증명 모음을 위한 액세스 구성을 선택한 다음 >합니다.
  2. 액세스 정책 페이지에서 Azure Pipelines 프로젝트가 최소한 가져오기나열 권한이 있는 애플리케이션 아래에 나열되지 않은 경우 만들기를 선택합니다.
  3. 비밀 권한에서 가져오기목록을 선택한 다음, 다음을 선택합니다.
  4. 주체를 선택한 후 다음을 선택하십시오.
  5. 다음을 다시 선택하고 설정을 검토한 다음 만들기를 선택합니다.

관련 콘텐츠

  • Last updated on