Compartilhar via

Vincular um grupo de variáveis a segredos no Azure Key Vault

Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022

Você pode criar um grupo de variáveis vinculado a cofres de chaves existentes do Azure e mapear segredos selecionados destes cofres para o grupo de variáveis. Somente os nomes de segredo são mapeados para o grupo de variáveis, não os valores de segredo. Quando os pipelines são executados, eles são vinculados ao grupo de variáveis para buscar os valores secretos mais recentes do cofre no runtime.

Todas as alterações feitas em segredos existentes no cofre de chaves ficam automaticamente disponíveis para todos os pipelines que usam o grupo de variáveis. No entanto, se os segredos forem adicionados ou excluídos do cofre, os grupos de variáveis associados não são atualizados automaticamente. Você deve atualizar explicitamente os segredos a serem incluídos no grupo de variáveis.

Embora o Key Vault dê suporte ao armazenamento e ao gerenciamento de chaves criptográficas e de certificados no Azure, a integração de grupo de variáveis do Azure Pipelines só dá suporte ao mapeamento de segredos de cofre de chaves. Não há suporte para chaves criptográficas e certificados.

Pré-requisitos

Produto Requisitos
Azure DevOps - Um projeto do Azure DevOps.
- Uma conexão de serviço do Azure Resource Manager para seu projeto.
- Permissões:
    – Para usar conexões de serviço: tenha pelo menos a função de Usuário para a conexão de serviço.
    – Para criar um grupo de variáveis: tenha pelo menos a permissão de biblioteca de Criador.
Azul - Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
- Permissões:
    Para criar um cofre de chaves: tenha pelo menos a função Proprietário para a assinatura.

Criar um cofre de chaves

Se você ainda não tiver um cofre de chaves, poderá criar um da seguinte maneira:

  1. No portal do Azure, selecione Criar um recurso.
  2. Pesquise e selecione Key Vault e, em seguida, selecione Criar.
  3. Selecione sua assinatura.
  4. Selecione um grupo de recursos existente ou crie um novo.
  5. Insira um nome para o cofre de chaves.
  6. Selecione uma região.
  7. Selecione a guia Acesso e configuração.
  8. Selecione Política de acesso do cofre.
  9. Selecione sua conta como principal.
  10. Selecione Examinar + criar e depois Criar.

Criar o grupo de variáveis vinculado ao cofre de chaves

  1. No projeto do Azure DevOps, selecione Pipelines>Biblioteca>+ Grupo de variáveis.

  2. Na página Grupos de variáveis, insira um nome e uma descrição opcional para o grupo de variáveis.

  3. Habilite a alternância Vincular segredos de um Azure Key Vault como variáveis.

  4. Selecione sua conexão de serviço e selecione Autorizar.

  5. Selecione o nome do cofre de chaves e habilite o Azure DevOps para acessar o cofre de chaves selecionando Autorizar ao lado do nome do cofre.

  6. Selecione + Adicionar e na tela Escolher segredos, selecione segredos específicos do cofre para mapeamento para esse grupo de variáveis e selecione OK.

  7. Selecione Salvar para salvar o grupo de variáveis secretas.

    Captura de tela do grupo de variáveis com a integração do Azure Key Vault.

Não há suporte para cofres de chaves com permissões de RBAC (controle de acesso baseado em função). O modelo de permissão do cofre de chaves deve ser definido como política de acesso ao cofre. Se você estiver usando um cofre de chaves com permissões RBAC, poderá usar a seguinte solução alternativa para vincular seu cofre de chaves ao seu grupo de variáveis:

  1. Criar uma conexão de serviço do ARM

  2. Navegue até o portal do Azure, localize o cofre de chaves >Controle de Acesso (IAM) e conceda à conexão de serviço a função RBAC apropriada (Usuário de Segredos do Key Vault ou Oficial de Segredos do Key Vault, dependendo do seu cenário).

    Observação

    Verifique se você tem a função administrador do Key Vault para criar segredos.

  3. Navegue de volta para seu projeto do Azure DevOps, selecione Pipelines>Biblioteca.

  4. Selecione + Grupo de variáveis e, em seguida, insira um nome para o grupo de variáveis.

  5. Selecione a opção Vincular segredos de um cofre de chaves do Azure como variáveis para alternar e habilitá-la.

  6. Selecione sua conexão de serviço e selecione Autorizar.

  7. Selecione o nome do cofre de chaves no menu suspenso.

  8. Selecione + Adicionar, escolha seu segredo e selecione Ok.

  9. Selecione Salvar ao terminar.

    Uma captura de tela mostrando como vincular um segredo do cofre de chaves RBAC a um grupo de variáveis.

Observação

Sua conexão de serviço deve ter pelo menos as permissões Obter e Listar no cofre de chaves, que você pode autorizar nas etapas anteriores. Você também pode fornecer essas permissões do portal do Azure seguindo estas etapas:

  1. Abra as Configurações do cofre de chaves e escolha Configuração de acesso>Ir para políticas de acesso.
  2. Na página Políticas de acesso, se o seu projeto do Azure Pipelines não estiver listado em Aplicativos com pelo menos as permissões Obter e Listar, selecione Criar.
  3. Em Permissões secretas, selecione Obter e Listar e, em seguida, selecione Avançar.
  4. Selecione sua entidade e Avançar.
  5. Selecione Avançar novamente, revise as configurações e, em seguida, selecione Criar.

Conteúdo relacionado

  • Last updated on