Usar segredos do Azure Key Vault em seu pipeline

Serviços de DevOps do Azure | Azure DevOps Server | Azure DevOps Server 2022

Os Cofres de Chaves do Azure permitem que os desenvolvedores armazenem e gerenciem com segurança informações confidenciais, como senhas, chaves de API e certificados. Este artigo orienta você sobre como consultar e usar segredos de um Cofre de Chaves do Azure em seu pipeline.

Pré-requisitos

Produto	Requisitos
Azure DevOps	- Um projeto Azure DevOps. - Permissões: - Para conceder acesso a todos os pipelines no projeto: Você deve ser membro do grupo Administradores de Projeto. - Para criar conexões de serviço: Deve ter a função de Administrador ou Criador para conexões de serviço.
GitHub	- Uma conta GitHub e um repositório GitHub. - Uma ligação de serviço do GitHub para autorizar o Azure Pipelines.
Azure	- Uma assinatura do Azure.

Entre no portal do Azure e selecione Criar um recurso.
Em Cofre da Chave, selecione Criar para criar um novo Cofre da Chave do Azure.
Selecione a sua Subscrição no menu suspenso e, em seguida, selecione um grupo de Recursos existente ou crie um novo. Insira um nome de cofre de chaves, selecione uma região, escolha um nível de preço e selecione Avançar se quiser configurar propriedades adicionais. Caso contrário, selecione Rever + criar para manter as definições padrão.
Quando a implantação estiver concluída, selecione Ir para o recurso.

Primeiro, defina sua região padrão e a assinatura do Azure:

Definir subscrição predefinida:

az account set --subscription <your_subscription_name_or_subscription_ID>

Definir região padrão:

az config set defaults.location=<your_region>

Crie um novo grupo de recursos para hospedar seu Cofre de Chaves do Azure. Um grupo de recursos é um contêiner que contém recursos relacionados para uma solução do Azure:
```
az group create --name <your-resource-group>
```

Crie um novo Cofre da Chave do Azure:

az keyvault create \
  --name <your-key-vault-name> \
  --resource-group <your-resource-group>

Configurar a autenticação

Identidade Gerenciada
Principal de Serviço

Criar uma identidade gerida atribuída pelo utilizador

Entre no portal do Azure e procure o serviço Identidades Gerenciadas na barra de pesquisa.
Selecione Criar e preencha os campos obrigatórios da seguinte forma:
- Assinatura: selecione sua assinatura no menu suspenso.
- Grupo de recursos: selecione um grupo de recursos existente ou crie um novo.
- Região: selecione uma região no menu suspenso.
- Nome: introduza um nome para a sua identidade gerida atribuída pelo utilizador.
Selecione Rever e Criar quando terminar.
Quando a implantação estiver concluída, selecione Ir para o recurso e, em seguida, copie a Assinatura e a ID do cliente, você precisará delas nas próximas etapas.
Navegue até Configurações>Propriedades, e copie o ID de Inquilino da sua identidade gerida para usar mais tarde.

Configurar políticas de acesso ao cofre de chaves

Navegue até o portal do Azure e use a barra de pesquisa para localizar o cofre de chaves criado anteriormente.
Selecione Políticas de acesso e, em seguida, selecione Criar para adicionar uma nova política.
Em Permissões secretas, marque as caixas de seleção Obter e Listar .
Selecione Avançar e cole a ID do Cliente da identidade gerenciada criada anteriormente na barra de pesquisa.
Selecione sua identidade gerenciada, selecione Avançar e Avançar mais uma vez.
Reveja a sua nova política e, em seguida, selecione Criar quando terminar.

Criar uma conexão de serviço

Entre em sua organização do Azure DevOps e navegue até seu projeto.
Selecione Configurações do> projetoConexões de serviço e, em seguida, selecione Nova conexão de serviço.
Selecione Azure Resource Manager e, em seguida, selecione Next.
Em Tipo de identidade, selecione Identidade gerenciada no menu suspenso.
Para a Etapa 1: Detalhes da identidade gerenciada, preencha os campos da seguinte maneira:
- Subscrição para identidade gerida: selecione a subscrição que contém a sua identidade gerida.
- Grupo de recursos para identidade gerenciada: selecione o grupo de recursos onde sua identidade gerenciada está hospedada.
- Identidade Gerida: selecione a sua identidade gerida no menu pendente.
Para Etapa 2: Escopo do Azure, preencha os campos da seguinte maneira:
- Nível de escopo para conexão de serviço: Selecione Assinatura.
- Assinatura para conexão de serviço: selecione a assinatura que sua identidade gerenciada acessará.
- Grupo de recursos para conexão de serviço: (Opcional) Especifique isso se quiser restringir o acesso a um grupo de recursos específico.
Para Etapa 3: Detalhes da conexão de serviço:
- Nome da conexão de serviço: forneça um nome para sua conexão de serviço.
- Referência de gerenciamento de serviços: (Opcional) Inclua informações de contexto de um banco de dados ITSM.
- Descrição: (Opcional) Adicione uma descrição.
Em Segurança, marque a caixa Conceder permissão de acesso a todos os pipelines para permitir que todos os pipelines usem essa conexão de serviço. Caso deixe isso desselecionado, precisará conceder acesso manualmente para cada pipeline.
Selecione Salvar para validar e criar a conexão de serviço.

Criar um principal de serviço

Nesta etapa, irá criar um novo principal de serviço no Azure para que os seus Pipelines do Azure possam aceder ao Azure Key Vault.

Navegue até o portal do Azure e selecione o >ícone _ no menu superior para abrir o Cloud Shell.
Selecione PowerShell ou Bash , dependendo da sua preferência.
Execute o seguinte comando para criar um novo principal de serviço:
```
az ad sp create-for-rbac --name YOUR_SERVICE_PRINCIPAL_NAME
```

Depois que o comando for executado, você obterá uma saída semelhante à seguinte. Copie e salve a saída, você precisará dela para criar uma conexão de serviço na próxima etapa.

{
  "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
  "displayName": "MyServicePrincipal",
  "password": "***********************************",
  "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
}

Criar uma conexão de serviço

Entre em sua organização do Azure DevOps e navegue até seu projeto.
Selecione Configurações do projeto e, em seguida, selecione Conexões de serviço.
Selecione Nova conexão de serviço, selecione Gerenciador de Recursos do Azure e selecione Avançar.
Selecione Service principal (manual) e, em seguida, selecione Avançar.
Em Tipo de identidade, selecione Registro de aplicativo ou identidade gerenciada (manual).
Em Credencial, selecione Federação de identidades de carga de trabalho.
Forneça um nome para sua conexão de serviço e selecione Avançar.
Copie os valores do identificador Emissor e Assunto . Você precisará deles na próxima etapa.
Para Ambiente, selecione Nuvem do Azure e, para Escopo da Assinatura , selecione Assinatura.
Introduza o ID da Subscrição do Azure e o nome da Subscrição.
Em Autenticação, cole a ID do aplicativo (cliente) e a ID do diretório (locatário) da entidade de serviço
Na seção Segurança , marque a caixa Conceder permissão de acesso a todos os pipelines para permitir que todos os pipelines usem essa conexão de serviço. Se ignorar isto, precisará conceder acesso manualmente para cada canal de integração.
Deixe esta página aberta. Irá voltar a esta página para a concluir depois de (1) criar a credencial federada no Azure e (2) conceder permissão de Leitura à principal de serviço ao nível da subscrição.

Criar uma credencial federada no Azure

Navegue até o portal do Azure e use a barra de pesquisa para localizar sua entidade de serviço inserindo sua ID do Cliente. Selecione o aplicativo correspondente nos resultados.
Em Gerir, selecione Certificados & segredos>Credenciais federadas.
Selecione Adicionar credencial e, em seguida, para Cenário de credenciais federadas, selecione Outro emissor.
No campo Emissor, cole o valor do Emissor que copiou da sua conexão de serviço anteriormente.
No campo Identificador de assunto , cole o identificador de assunto copiado anteriormente.
Introduza um Nome para a sua credencial federada e, em seguida, selecione Adicionar quando terminar.

Adicionar atribuição de função à sua subscrição

Antes de poder verificar a conexão, é necessário conceder ao principal de serviço acesso de leitura ao nível da subscrição.

Navegue até o portal do Azure
Em Serviços do Azure, selecione Subscrições e, em seguida, localize e selecione a sua subscrição.
Selecione Controle de acesso (IAM) e, em seguida, selecione Adicionar>atribuição de função.
No separador Função , selecione Leitor e, em seguida, selecione Seguinte.
Selecione Utilizador, grupo ou entidade de serviço e, em seguida, selecione Selecionar membros.
Na barra de pesquisa, cole o ID do objeto do principal do serviço, selecione-o e clique em Selecionar.
Selecione Rever + atribuir, rever as suas definições e, em seguida, selecione Rever + atribuir novamente para confirmar.
Uma vez que a atribuição de função é adicionada. volte para sua conexão de serviço no Azure DevOps e selecione Verificar e Salvar para salvar sua conexão de serviço.

Configurar políticas de acesso ao Cofre de Chaves

Navegue até o portal do Azure, localize o cofre de chaves criado anteriormente e selecione Políticas de acesso.
Selecione Criar e, em seguida, em Permissões secretas , adicione as permissões Obter e Listar e, em seguida, selecione Avançar.
Em Principal, cole o ID do objeto do principal de serviço, selecione-o e clique em Avançar.
Selecione Seguinte novamente, reveja as definições e, em seguida, selecione Guardar para aplicar a nova política.

Consultar e usar segredos em seu pipeline

Usando a tarefa Cofre da Chave do Azure, agora você pode consultar e buscar segredos do Cofre da Chave do Azure e usá-los em tarefas subsequentes em seu pipeline. Observe que os segredos devem ser explicitamente mapeados para variáveis de ambiente, conforme mostrado no exemplo a seguir:

pool:
  vmImage: 'ubuntu-latest'

steps:
- task: AzureKeyVault@2                                # Download Azure Key Vault secrets.
  inputs:
    azureSubscription: 'SERVICE_CONNECTION_NAME'       # Name of the service connection. Alias: ConnectedServiceName.
    KeyVaultName: 'KEY_VAULT_NAME'                     # Name of the key vault.
    SecretsFilter: '*'                                 # Secrets filter. Default: *.

- bash: |
    echo "Secret Found! $MY_MAPPED_ENV_VAR"        
  env:
    MY_MAPPED_ENV_VAR: $(SECRET_NAME)

A saída da última etapa bash deve ter esta aparência:

Secret Found! ***

Nota

Para consultar vários segredos do seu Cofre de Chaves do Azure, use a entrada e forneça uma lista separada por vírgulas SecretsFilter de nomes secretos, como: 'secret1, secret2'.

Feedback

Esta página foi útil?

Last updated on 2025-12-17

Partilhar via

Usar segredos do Azure Key Vault em seu pipeline

Pré-requisitos

Criar um Key Vault

Configurar a autenticação

Criar uma identidade gerida atribuída pelo utilizador

Configurar políticas de acesso ao cofre de chaves

Criar uma conexão de serviço

Consultar e usar segredos em seu pipeline

Conteúdos relacionados

Feedback

Recursos adicionais