Azure DevOps 服務 |Azure DevOps Server |Azure DevOps Server 2022
您可以建立變數群組,以連結至現有的 Azure 金鑰保存庫,並將選取的金鑰保存庫秘密對應至變數群組。 只有秘密名稱會對應至變數群組,而不是秘密值。 當管道執行時,它們會連結至變數群組,以在執行時從保存庫擷取最新的秘密參數。
對密鑰保存庫中現有秘密所做的任何變更,都會自動提供給所有使用變數群組的管線使用。 不過,如果從保存庫新增或刪除秘密,則相關聯的變數群組不會自動更新。 您必須明確地更新秘密,以包含在變數群組中。
雖然 金鑰保存庫 支援在 Azure 中儲存和管理密碼編譯密鑰和憑證,但 Azure Pipelines 變數群組整合僅支持對應密鑰保存庫秘密。 不支援密碼編譯金鑰和憑證。
必要條件
| 產品 | 要求 |
|---|---|
| Azure DevOps | - Azure DevOps 專案。 - 專案的 Azure Resource Manager 服務連線。 - 權限: - 若要使用服務連線:至少具有 使用者 角色來連線 服務連線。 - 若要以便建立變數群組:至少擁有 Creator庫文件許可權。 |
| 天藍色 | - 具有有效訂閱的 Azure 帳號。
免費建立帳戶。 - 權限: 若要建立金鑰保存庫:至少擁有訂用帳戶的 擁有者 角色。 |
建立金鑰保存庫
如果你還沒有鑰匙庫,可以這樣建立一個:
- 在 Azure 入口網站中,選取 [建立資源]。
- 搜尋並選取 [金鑰保存庫],然後選取 [建立]。
- 選取您的訂用帳戶。
- 選取現有的資源群組或建立新群組。
- 輸入金鑰保存庫的名稱。
- 選取區域。
- 選取 [ 存取和設定 ] 索引標籤。
- 選擇 金庫存取政策。
- 選取您的帳戶作為主要帳戶。
- 選取 [檢閱 + 建立],然後選取 [建立]。
建立連結至金鑰保存庫的變數群組
在您的 Azure DevOps 專案中,選取 管線>程式庫>+ 變數群組。
在 [ 變數群組] 頁面上,輸入變數群組的名稱和選擇性描述。
啟用「將 Azure 金鑰保存庫中的秘密連結為變數」的選項。
選取您的服務連線,然後選取 [ 授權]。
選取您的金鑰保存庫名稱,然後選取保存庫名稱旁的 [ 授權 ],讓 Azure DevOps 存取金鑰保存庫。
選取 + 新增,然後在 選擇秘密 畫面上,從保管庫選取秘密以對應至此變數群組,然後選取 確定。
選取 [ 儲存 ] 以儲存秘密變數群組。
不支援具有角色型存取控制(RBAC)權限的金鑰保存庫。 你的金鑰保險庫權限模型必須設定為 保險庫存取政策。 如果你使用的是帶有 RBAC 權限的金鑰保險庫,你可以用以下變通方法將金鑰金庫與變數群組連結:
進入 Azure 入口網站,找到你的金鑰庫 >存取控制(IAM),然後根據你的情境,授予服務連線適當的 RBAC 角色(金鑰庫秘密使用者 或 金鑰庫秘密官 )。
備註
確保你有 Key Vault 管理員 角色來建立秘密。
回到你的 Azure DevOps 專案,選擇 Pipelines>Library。
選擇 + 變數群組,然後輸入你的變數群組名稱。
選擇 將 Azure Key Vault 中的秘密連結為變數 的切換,以啟用它。
選取您的服務連線,然後選取 [ 授權]。
從下拉選單選擇你的金鑰保險庫名稱。
選擇 + 新增,選擇你的秘密,然後選擇 確定。
完成時,請選取 [ 儲存 ]。
備註
您的服務連線至少必須對密鑰保存庫擁有 Get 和 List 許可權,這一點您可以在上述步驟中授權。 您也可以遵循下列步驟,從 Azure 入口網站 提供這些權限:
- 開啟 金鑰保存庫設定,然後選擇 存取組態。>移至存取原則。
- 在 [存取原則] 頁面上,如果您的 Azure Pipelines 專案未列在 [至少取得和列出許可權的應用程式] 底下,請選取 [建立]。
- 在 [秘密許可權] 底下,選取 [取得和列表],然後選取 [下一步]。
- 選擇您的委託方,然後選擇 下一步。
- 再次選取 [下一步 ],檢閱設定,然後選取 [ 建立]。