Uso de secretos de Azure Key Vault en Azure Pipelines

Creación de una identidad administrada asignada por el usuario

1. Vaya al portal Azure y busque Administrar identidades en la barra de búsqueda.

2. Seleccione Crear y proporcione la siguiente información:

   • Suscripción: seleccione la suscripción de Azure en el menú desplegable.
   • Grupo de recursos: seleccione un grupo de recursos existente o cree uno nuevo.
   • Región: seleccione la región donde se crea la identidad administrada.
   • Nombre: escriba un nombre para la identidad administrada asignada por el usuario.

3. Seleccione Revisar y crear y, a continuación, seleccione Crear para iniciar la implementación.

4. Una vez finalizada la implementación, seleccione Ir al recurso y copie los valores id. de suscripción e Id. de cliente . Necesitará estos valores en pasos posteriores.

5. En Configuración, seleccione Propiedades y copie el valor de Id. de inquilino de la identidad administrada para su uso posterior.

Configurar directivas de acceso a la bóveda de claves

1. Vaya al portal Azure y use la barra de búsqueda para buscar el almacén de claves que creó anteriormente.

2. Seleccione Directivas de acceso y, a continuación, seleccione Crear para agregar una nueva directiva.

3. En Permisos secretos, active las casillas Obtener y Enumerar .

4. Seleccione Siguiente. Pegue el identificador de cliente de la identidad administrada que creó anteriormente en la barra de búsqueda y, a continuación, seleccione la identidad administrada.

5. Seleccione Siguiente y luego seleccione Siguiente otra vez.

6. Revise los detalles de la directiva de acceso y, a continuación, seleccione Crear para aplicar la directiva.

Creación de una conexión de servicio

1. Inicie sesión en Azure DevOps y vaya al proyecto.

2. Seleccione Configuración del proyecto>Conexiones de servicio>Nueva conexión de servicio.

3. Seleccione Azure Resource Manager y, a continuación, haga clic en Siguiente.

4. En Tipo de identidad, seleccione Identidad administrada.

5. En paso 1: Detalles de la identidad administrada, proporcione la siguiente información:

   • Suscripción para identidad administrada: seleccione la suscripción que contiene la identidad administrada.
   • Grupo de recursos para identidad administrada: seleccione el grupo de recursos que hospeda la identidad administrada.
   • Identidad administrada: seleccione la identidad administrada en la lista desplegable.

6. Para el paso 2: Ámbito de Azure, proporcione la siguiente información:

   • Nivel de ámbito para la conexión de servicio: seleccione Suscripción.
   • Suscripción para la conexión de servicio: seleccione la suscripción a la que accede la identidad administrada.
   • Grupo de recursos para la conexión de servicio: (Opcional) Especifique un grupo de recursos para limitar el acceso de la identidad administrada a un grupo de recursos.

7. Para el paso 3: Detalles de conexión del servicio, proporcione la siguiente información:

   • Nombre de la conexión de servicio: escriba un nombre para la conexión de servicio.
   • Referencia de administración de servicios: (opcional) Incluir información de contexto de una base de datos ITSM.
   • Descripción: (Opcional) Escriba una descripción.

8. En Seguridad, la opción Conceder permiso de acceso a todas las canalizaciones permite que todas las canalizaciones usen esta conexión de servicio. No se recomienda esta opción. En su lugar, autorice cada canalización individualmente para usar la conexión de servicio.

9. Seleccione Guardar para validar y crear la conexión de servicio.

   

Configurar directivas de acceso a la bóveda de claves

Para acceder a su almacén de claves, primero debe configurar una entidad de servicio para conceder acceso a Azure Pipelines.

1. Cree una entidad de servicio.

2. Vaya al portal Azure y use la barra de búsqueda para buscar el almacén de claves que creó anteriormente.

3. Seleccione Directivas de acceso y, a continuación, seleccione Crear.

4. En Permisos secretos, agregue los permisos Get y List, y luego seleccione Siguiente.

5. En Principal, pegue el identificador de objeto de su principal de servicio, seleccione el principal de servicio y, a continuación, seleccione Siguiente.

6. Seleccione Siguiente de nuevo, revise la directiva de acceso y, a continuación, seleccione Guardar.

Agregar asignación de roles

En el siguiente paso, cree una conexión de servicio de Azure Resource Manager para su entidad de servicio. Antes de comprobar la conexión, debe:

• Conceda a la entidad de servicio acceso de lector a nivel de suscripción.
• Cree una credencial federada para el principal de servicio.

Para conceder acceso de Lector en el nivel de suscripción, siga estos pasos:

1. Vaya al portal Azure, seleccione Subscriptions y seleccione la suscripción.

2. Seleccione Control de acceso (IAM) y, después, seleccione Agregar> asignación de roles.

3. En la pestaña Rol , seleccione Lector y, a continuación, seleccione Siguiente.

4. Seleccione Usuario, grupo o entidad de servicio y, después, escoja Seleccionar miembros.

5. Pegue el ID de objeto de su entidad de servicio en la barra de búsqueda, selecciónelo y, a continuación, elija Seleccionar.

6. Seleccione Revisar y asignar, revise la configuración y, a continuación, seleccione Revisar y asignar de nuevo para aplicar la asignación de roles.

Creación de una conexión de servicio

1. Inicie sesión en Azure DevOps y vaya al proyecto.

2. Seleccione Project settings>Service connections.

3. Seleccione Nueva conexión de servicio>Azure Resource Manager y seleccione Siguiente.

4. Seleccione Principal del servicio (manual), y a continuación, seleccione Siguiente.

5. En Tipo de identidad, seleccione Registro de aplicaciones o identidad administrada (manual).

6. En Credencial, seleccione Federación de identidades para cargas de trabajo.

7. Escriba un nombre para la conexión de servicio y, a continuación, seleccione Siguiente.

8. Para Environment, seleccione Azure Cloud y para Subscription scope, seleccione Suscripción.

9. Escriba el identificador de suscripción y el nombre de la suscripción de Azure.

10. En Autenticación, pegue el ID de aplicación (cliente) y el ID de directorio (cliente) de su entidad de servicio.

11. En Seguridad, la opción Conceder permiso de acceso a todas las canalizaciones permite que todas las canalizaciones usen esta conexión de servicio. No se recomienda esta opción. En su lugar, autorice cada canalización individualmente para usar la conexión de servicio.

12. Deja abierta esta ventana. Vuelva más adelante para comprobar y guardar la conexión de servicio después de crear la credencial federada.

Crear una credencial federada de entidad de servicio

1. Vaya al portal Azure, escriba el identificador de cliente de la entidad de servicio en la barra de búsqueda y seleccione la aplicación.

2. En Administrar, seleccione Certificados y secretosCredenciales federadas.

3. Seleccione Agregar credencial y, después, en Escenario de credenciales federadas, seleccione Otro emisor.

4. En Emisor, pegue el valor Emisor que ha copiado de la conexión de servicio.

5. En Identificador del sujeto, pegue el valor del identificador del sujeto que copió de la conexión de servicio.

6. Escriba un nombre para la credencial federada y, a continuación, seleccione Agregar.

7. Vuelva a la ventana de conexión del servicio y seleccione Comprobar y guardar para guardar la conexión de servicio.

1. Inicie sesión en Azure DevOps y vaya al proyecto.

2. Seleccione Canalizaciones>nueva canalización.

3. Seleccione Git de Azure Repos (YAML) y, a continuación, seleccione el repositorio.

4. Seleccione la plantilla Pipeline de inicio.

5. La canalización predeterminada incluye comandos de eco de ejemplo. No necesita estos comandos, por lo que puede quitarlos.

6. Agregue la tarea Azure Key Vault a la canalización. Sustituya los marcadores de posición por el nombre de la conexión de servicio que ha creado anteriormente y el nombre de su almacén de claves. El archivo YAML debe tener un aspecto similar al del ejemplo siguiente:

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   

7. Añada las siguientes tareas para copiar y publicar el secreto. Este ejemplo es solo para fines de demostración. No lo use en un entorno de producción.

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   
   - task: CmdLine@2
     displayName: Create file
     inputs:
       script: 'echo $(SECRET_NAME) > secret.txt'
   
   - task: CopyFiles@2
     displayName: Copy file
     inputs:
       Contents: secret.txt
       targetFolder: '$(Build.ArtifactStagingDirectory)'
   
   - task: PublishBuildArtifacts@1
     displayName: Publish Artifact
     inputs:
       PathtoPublish: '$(Build.ArtifactStagingDirectory)'
       ArtifactName: 'drop'
       publishLocation: 'Container'
   

8. Seleccione Guardar y ejecutar y, a continuación, selecciónelo una vez más para confirmar los cambios y desencadenar la canalización. Si se le solicita, seleccione Permitir para conceder a la canalización acceso a los recursos de Azure.

9. Una vez iniciada la canalización, seleccione la tarea CmdLine para ver los registros.

   

10. Cuando finalice la ejecución de la canalización, vuelva al resumen de la canalización y seleccione el artefacto publicado.

    

11. Seleccione descargar>secret.txt para descargar el archivo.

    

12. Abra el archivo de texto descargado. Debe contener el secreto recuperado del almacén de claves.

1. Inicie sesión en Azure DevOps y vaya al proyecto.

2. Seleccione Canalizaciones y elija Nueva canalización.

3. Seleccione Usar el editor clásico para crear una canalización clásica.

4. Seleccione Git de Azure Repos, seleccione el repositorio y la rama predeterminada y, a continuación, seleccione Continuar.

5. Seleccione la plantilla de canalización de .NET para escritorio.

6. En este ejemplo, solo se requieren las dos últimas tareas. Mantenga presionada la tecla Ctrl y, a continuación, seleccione las cinco primeras tareas. Haga clic con el botón derecho y, a continuación, seleccione Quitar tareas seleccionadas para eliminarlas.

   

7. Seleccione + para agregar una nueva tarea. Busque la tarea Línea de comandos , selecciónela y, a continuación, seleccione Agregar. Configure la tarea:

   • Nombre para mostrar: escriba Crear archivo.
   • Script: Escriba echo $(SECRET_NAME) > secret.txt.

   

8. Seleccione + para agregar una nueva tarea. Busque la tarea Azure Key Vault , selecciónela y, a continuación, seleccione Agregar. Configure la tarea:

   • Nombre para mostrar: escriba Azure Key Vault.
   • Suscripción de Azure: seleccione la conexión de servicio que creó anteriormente.
   • Almacén de claves: seleccione el almacén de claves.
   • Filtro de secretos: escriba una lista separada por comas de nombres secretos o use un asterisco (*) para descargar todos los secretos.

   

9. Seleccione la tarea Copiar archivos y configure los siguientes campos:

   • Nombre para mostrar: escriba Copiar archivo.
   • Contenido: escriba secret.txt.
   • Carpeta de destino: escriba $(build.artifactstagingdirectory).

   

10. Seleccione la tarea Publicar artefactos y configure los siguientes campos:

    • Nombre para mostrar: escriba Publish Artifact (Publicar artefacto).
    • Ruta de acceso para publicar: escriba $(build.artifactstagingdirectory)..
    • Nombre del artefacto: escriba drop.
    • Ubicación de publicación del artefacto: Introduzca Azure Pipelines.

    

11. Seleccione Guardar y poner en cola y, a continuación, seleccione Ejecutar para iniciar la canalización.

12. Una vez finalizada la canalización, vuelva al resumen de la canalización y seleccione el artefacto publicado.

13. Seleccione drop>secret.txt para descargar el artefacto.

    

14. Abra el archivo de texto descargado. Debería contener el secreto que se recuperó de su almacén de claves.