在運行管線中使用 Azure Key Vault 機密

1. 登入 Azure 入口網站，然後選取 [ 建立資源]。

2. 在 [Key Vault] 底下，選取 [ 建立 ] 以建立新的 Azure Key Vault。

3. 從下拉功能表中選取您的 訂用帳戶 ，然後選取現有的資源群組或建立新的 資源群組 。 輸入 金鑰保存庫名稱、選取 區域、選擇 定價層，然後選取 [ 下一步 ] 以設定其他屬性。 否則，請選取 [檢閱 + 建立 ] 以保留預設設定。

4. 部署完成後，請選取 [移至資源]。

1. 首先，設定您的預設區域和 Azure 訂用帳戶：

   • 設定預設訂用帳戶：

   az account set --subscription <your_subscription_name_or_subscription_ID>
   

   • 設定預設區域：

   az config set defaults.location=<your_region>
   

2. 建立新的資源群組來裝載 Azure 金鑰保存庫。 資源群組是保留 Azure 解決方案相關資源的容器：

   az group create --name <your-resource-group>
   

3. 建立新的 Azure 金鑰保存庫：

   az keyvault create \
     --name <your-key-vault-name> \
     --resource-group <your-resource-group>
   

建立使用者指派的受管理的身分識別

1. 登入 Azure 入口網站，然後在搜尋列中搜尋 受控識別 服務。

2. 選取 [建立]，然後填寫必要的字段，如下所示：

   • 訂閱：從下拉功能表中選取您的訂閱項目。
   • 資源群組：選取現有的資源群組或建立新的資源群組。
   • 區域：從下拉功能表中選取區域。
   • 名稱：輸入使用者指派受控識別的名稱。

3. 完成時，請選取 [ 檢閱 + 建立 ]。

4. 部署完成後，請選取 [移至資源]，然後複製 [ 訂 用帳戶] 和 [用戶端標識符]，您將在後續步驟中用到它們。

5. 流覽至 [ 設定>屬性]，然後複製受控識別的 租使用者標識碼 以供稍後使用。

設定金鑰保存庫存取原則

1. 流覽至 Azure 入口網站，並使用搜尋列來尋找您稍早建立的密鑰保存庫。

2. 選取 [存取原則]，然後選取 [ 建立 ] 以新增原則。

3. 在 [ 秘密許可權] 底下，選取 [ 取得 ] 和 [ 列表 ] 複選框。

4. 選取 [下一步]，然後將您稍早建立之受控識別的 用戶端標識碼 貼到搜尋列中。

5. 選取您的受控識別，再選取 [ 下一步]，然後再次選取 [ 下一步 ]。

6. 查看您的新政策，然後在完成時選取建立。

建立服務連線

1. 登入您的 Azure DevOps 組織，然後瀏覽至您的專案。

2. 選取 [項目設定>服務連線]，然後選取 [ 新增服務連線]。

3. 選取 [Azure Resource Manager]，然後選取 [ 下一步]。

4. 在 [ 身分識別類型] 下，從下拉功能表中選取 [受控識別 ]。

5. 針對 步驟 1：受控識別的詳細資料，填寫欄位如下所示：

   • 受控識別的訂閱：選取包含受控識別的訂閱。

   • 受控識別的資源群組：選取裝載受控識別的資源群組。

   • 受控識別：從下拉功能表中選取您的受控識別。

6. 針對 步驟 2：Azure 範圍，填寫欄位，如下所示：

   • 服務連線的範圍層級：選取 [ 訂用帳戶]。

   • 服務連線的訂閱：選擇受管理的識別所將存取的訂閱帳戶。

   • 服務連線的資源群組:(選擇性 如果您想要限制特定資源群組的存取，請指定此專案。

7. 針對 步驟 3：服務連線詳細數據：

   • 服務連線名稱：提供服務連線的名稱。

   • 服務管理參考:(選擇性） 包含 ITSM 資料庫中的內容資訊。

   • 描述:(選擇性） 新增描述。

8. 在 [安全性] 底下，核取 [ 授與所有管線的訪問許可權 ] 方塊，允許所有管線使用此服務連線。 如果您將此保持未核取狀態，您必須手動授與每個管線的存取權。

9. 選取 [儲存 ] 以驗證並建立服務連線。

   

建立服務主體

在此步驟中，您將在 Azure 中建立新的 服務主體 ，讓您的 Azure Pipelines 可以存取 Azure Key Vault。

1. 流覽至 Azure 入口網站，然後從頂端功能表中選取 >_ 圖示，以開啟 Cloud Shell。

2. 根據您的喜好設定，選取 PowerShell 或 Bash 。

3. 執行下列命令來建立新的服務主體：

   az ad sp create-for-rbac --name YOUR_SERVICE_PRINCIPAL_NAME
   

4. 命令執行之後，您會收到類似下列的輸出。 複製並儲存輸出，您將需要在下一個步驟中建立服務連線。

   {
     "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "displayName": "MyServicePrincipal",
     "password": "***********************************",
     "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
   }
   

建立服務連線

1. 登入您的 Azure DevOps 組織，然後瀏覽至您的專案。

2. 選取 [項目設定]，然後選取 [服務連線]。

3. 選取 [新增服務連線]，選取 [Azure Resource Manager]，然後選取 [ 下一步]。

4. 選取 [服務主體][手動]，然後選取 [ 下一步]。

5. 在 [身分識別類型] 底下，選取 [應用程式註冊] 或 [受控識別] [手動]。

6. 在 [認證] 底下，選取 [工作負載身分識別同盟]。

7. 提供服務連線的名稱，然後選取 [ 下一步]。

8. 複製簽發者和主體標識碼值。 在下一個步驟中，您將需要它們。

9. 針對 [環境]，選取 [Azure 雲端 ]，然後針對 [ 訂用帳戶範圍 ] 選取 [ 訂用帳戶]。

10. 輸入您的 Azure 訂用帳戶 標識碼 和 訂用帳戶名稱。

11. 在 [驗證] 底下，貼上服務主體 的應用程式 （用戶端） 識別碼 和 目錄 （租使用者） 識別碼

12. 在 [ 安全性] 區段中，核取 [ 授與所有管線的訪問許可權 ] 方塊，允許所有管線使用此服務連線。 如果您略過此步驟，您必須手動授與每個管道的存取權。

13. 讓此頁面保持開啟狀態，您將在（1）在 Azure 中建立聯邦憑證，以及（2）在訂用帳戶層級授予您的服務主體讀取存取權之後返回完成此頁面。

    

在 Azure 中建立同盟認證

1. 流覽至 Azure 入口網站，然後使用搜尋列輸入 其 ClientID 來尋找您的服務主體。 從結果中選取相符 的應用程式 。

2. 在 [管理] 底下，選取 [憑證與祕密][同盟認證]。

3. 選取 [新增認證]，然後針對 [同盟認證案例]，選取 [其他簽發者]。

4. 在 [ 簽發者 ] 字段中，貼上您稍早從服務聯機複製的 [ 簽發者 ] 值。

5. 在 [ 主體標識符 ] 字段中，貼上您稍早複製的 [主體標識符 ]。

6. 輸入同盟認證的 [名稱 ]，然後在完成時選取 [ 新增 ]。

   

將角色指派新增至您的訂用帳戶

您必須先在訂用帳戶層級授與服務主體 讀取 存取權，才能驗證連線：

1. 流覽至 Azure 入口網站

2. 在 [Azure 服務] 底下，選取 [ 訂用帳戶]，然後尋找並選取您的訂用帳戶。

3. 選取 [存取控制 (IAM)]，然後選取 [新增]>[新增角色指派]。

4. 在 [ 角色] 索引標籤底下，選取 [ 讀取者]，然後選取 [ 下一步]。

5. 選取 [使用者、群組或服務主體]，然後選取 [ 選取成員]。

6. 在搜尋列中，貼上服務主體的物件 標識符，選取它，然後按兩下 [ 選取]。

7. 選取 [檢閱 + 指派]、檢閱您的設定，然後選取 [ 檢閱 + 指派 ] 再次確認。

8. 當角色指派被新增後。 返回 Azure DevOps 中的服務連線，然後選取 [驗證] 和 [儲存 ] 以儲存您的服務連線。

設定 金鑰保存庫 存取原則

1. 流覽至 Azure 入口網站，尋找您稍早建立的金鑰保存庫，然後選取 [ 存取原則]。

2. 選取 [建立]，然後在 [ 秘密許可權 ] 底下新增 [取得 ] 和 [ 列表 ] 許可權，然後選取 [ 下一步]。

3. 在 [主體] 底下，貼上服務主體的物件 標識符，選取它，然後選取 [ 下一步]。

4. 再次選取 [下一步 ]，檢閱您的設定，然後選取 [ 儲存 ] 以套用新的原則。