Delen via

Een variabelegroep koppelen aan geheimen in Azure Key Vault

Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022

U kunt een variabelegroep maken die is gekoppeld aan bestaande Azure-sleutelkluizen en geselecteerde sleutelkluisgeheimen toewijzen aan de variabelegroep. Alleen de geheime namen horen bij de variabelegroep, niet de geheime waarden. Wanneer pijplijnen worden uitgevoerd, worden ze gekoppeld aan de variabelegroep om de meest recente geheime waarden op te halen uit de kluis tijdens runtime.

Wijzigingen die zijn aangebracht in bestaande geheimen in de sleutelkluis, zijn automatisch beschikbaar voor alle pijplijnen die gebruikmaken van de variabelegroep. Als geheimen echter worden toegevoegd aan of verwijderd uit de kluis, worden de gekoppelde variabelegroepen niet automatisch bijgewerkt. U moet de geheimen expliciet bijwerken om deze op te nemen in de variabelegroep.

Hoewel Key Vault ondersteuning biedt voor het opslaan en beheren van cryptografische sleutels en certificaten in Azure, biedt Azure Pipelines-variabelegroepintegratie alleen ondersteuning voor het toewijzen van Key Vault-geheimen. Cryptografische sleutels en certificaten worden niet ondersteund.

Vereisten

Product Eisen
Azure DevOps - Een Azure DevOps-project.
- Een Azure Resource Manager-serviceverbinding voor uw project.
- Toestemmingen:
    - Als u serviceverbindingen wilt gebruiken: zorg ervoor dat u minstens de gebruikersrol heeft voor de serviceverbinding .
    - Als u een variabelegroep wilt maken: u hebt ten minste Creatorbibliotheekmachtiging.
Azuur - Een Azure-account met een actief abonnement. Gratis een account maken
- Toestemmingen:
    Een sleutelkluis maken: zorg ervoor dat je ten minste de -eigenaar rol hebt voor het abonnement.

Maak een cryptografische sleutelsopslag aan.

Als u nog geen sleutelkluis hebt, kunt u er als volgt een maken:

  1. Selecteer in het Azure-portaal een resource maken.
  2. Zoek en selecteer Key Vault en selecteer vervolgens Maken.
  3. Selecteer uw abonnement.
  4. Selecteer een bestaande resourcegroep of maak een nieuwe.
  5. Voer een naam in voor de sleutelkluis.
  6. Selecteer een regio.
  7. Selecteer het tabblad Access en configuratie .
  8. Selecteer Toegangsbeleid.
  9. Selecteer uw account als hoofdgebruiker.
  10. Selecteer Controleren en maken en vervolgens Maken.

Maak de variabelegroep gekoppeld aan de sleutelkluis.

  1. Selecteer in uw Azure DevOps-project Pipelines>Library>+ Variabelengroep.

  2. Voer op de pagina Variabelengroepen een naam en een optionele beschrijving in voor de variabelegroep.

  3. Schakel de schakeloptie Koppelingsgeheimen uit een Azure-sleutelkluis in als variabelen .

  4. Selecteer uw serviceverbinding en selecteer Autoriseren.

  5. Selecteer de naam van uw sleutelkluis en schakel Azure DevOps in voor toegang tot de sleutelkluis door Autoriseren naast de kluisnaam te selecteren.

  6. Selecteer + Toevoegen en selecteer op het scherm Geheimen kiezen de geheimen uit uw kluis om toe te wijzen aan deze variabelegroep en selecteer vervolgens OK.

  7. Selecteer Opslaan om de geheime variabelegroep op te slaan.

    Schermopname van een variabele groep met Azure Key Vault-integratie.

RBAC-sleutelkluizen

Belangrijk

Vereisten voor netwerktoegang voor RBAC-sleutelkluizen:

  • Openbaar eindpunt: Sleutelkluizen met RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) worden ondersteund wanneer de sleutelkluis toegankelijk is via een openbaar eindpunt.
  • Privé-eindpunt: RBAC-sleutelkluizen achter privé-eindpunten worden niet ondersteund door Azure DevOps. Privé-eindpunttoegang voor RBAC-sleutelkluizen is alleen beschikbaar voor vertrouwde Azure-services en Azure DevOps is momenteel geen vertrouwde service.

Als u een sleutelkluis achter een privé-eindpunt wilt gebruiken, stelt u uw sleutelkluismachtigingsmodel in op Het toegangsbeleid van de kluis in plaats van op RBAC.

Een RBAC-sleutelkluis koppelen (met openbare eindpunttoegang) aan uw variabelegroep:

  1. Maak een ARM-serviceverbinding.

  2. Navigeer naar de Azure Portal, zoek uw key vault en ga naar >, ken de serviceverbinding vervolgens de juiste RBAC-rol toe (Key Vault Secrets User of Key Vault Secrets Officer, op basis van uw scenario).

    Notitie

    Zorg ervoor dat u de rol Key Vault-beheerder hebt om geheimen te maken.

  3. Ga terug naar uw Azure DevOps-project en selecteer Pipelines>Library.

  4. Selecteer + Variabele groep en voer vervolgens een naam in voor uw variabelegroep.

  5. Selecteer de koppelingsgeheimen in een Azure-sleutelkluis als variabelen om deze in te schakelen.

  6. Selecteer uw serviceverbinding en selecteer Autoriseren.

  7. Selecteer de naam van uw sleutelkluis in de vervolgkeuzelijst.

  8. Selecteer + Toevoegen, kies uw geheim en selecteer vervolgens OK.

  9. Selecteer Opslaan wanneer u klaar bent.

    Een schermopname van het koppelen van een RBAC-sleutelkluisgeheim aan een variabelegroep.

Notitie

Uw serviceverbinding moet ten minste machtigingen voor Ophalen en Weergeven hebben voor de sleutelkluis, die u in de voorgaande stappen kunt autoriseren. U kunt deze machtigingen ook opgeven vanuit Azure Portal door de volgende stappen uit te voeren:

  1. Open Instellingen voor de sleutelkluis en kies vervolgens Toegangsconfiguratie>Go voor toegangsbeleid.
  2. Als op de pagina Toegangsbeleid uw Azure Pipelines-project niet wordt vermeld onder Toepassingen met ten minste de Ophalen en Lijst machtigingen, selecteer Maken.
  3. Selecteer Onder Geheime machtigingen de optie Ophalen en weergeven en selecteer vervolgens Volgende.
  4. Selecteer uw hoofdelement en klik vervolgens op Volgende.
  5. Selecteer Volgende opnieuw, controleer vervolgens de instellingen en selecteer Maken.

Verwante inhoud

  • Last updated on