Utilizar os segredos do Azure Key Vault nos Pipelines do Azure

Criar uma identidade gerida atribuída pelo utilizador

1. Vai ao portal Azure, e depois pesquisa por Identidades Geridas na barra de pesquisa.

2. Selecione Criar e forneça a seguinte informação:

   • Subscrição: Selecione a sua subscrição Azure no menu suspenso.
   • Grupo de recursos: selecione um grupo de recursos existente ou crie um novo.
   • Região: Selecione a região onde a identidade gerida é criada.
   • Nome: Introduza um nome para a identidade gerida atribuída pelo utilizador.

3. Seleciona Rever + criar e depois seleciona Criar para iniciar a implementação.

4. Após a implementação terminar, selecione Ir para o recurso e copie os valores do ID da Subscrição e do ID do Cliente . Precisas destes valores em etapas posteriores.

5. Em Definições, selecione Propriedades e copie o valor do ID de Inquilino da sua identidade gerida para uso posterior.

Configurar políticas de acesso ao cofre de chaves

1. Vai ao portal Azure, e usa a barra de pesquisa para localizar o cofre de chaves que criaste anteriormente.

2. Selecione políticas de acesso e depois selecione Criar para adicionar uma nova política.

3. Em Permissões secretas, marque as caixas de seleção Obter e Listar .

4. Selecione Avançar. Cole o ID do Cliente da identidade gerida que criou anteriormente na barra de pesquisa e depois selecione a identidade gerida.

5. Selecione Seguinte e, depois, selecione Seguinte novamente.

6. Revise os detalhes da política de acesso e selecione Criar para aplicar a política.

Criar uma conexão de serviço

1. Inicia sessão no Azure DevOps e depois vai ao teu projeto.

2. Selecione Definições do projeto>Conexões de serviço>Nova conexão de serviço.

3. Selecione Azure Resource Manager e, em seguida, selecione Next.

4. Para Tipo de Identidade, selecione Identidade Gerida.

5. No Passo 1: Detalhes de identidade geridos, forneça a seguinte informação:

   • Subscrição para identidade gerida: selecione a subscrição que contém a sua identidade gerida.
   • Grupo de recursos para identidade gerida: Selecione o grupo de recursos que aloja a sua identidade gerida.
   • Identidade gerida: Selecione a sua identidade gerida na lista suspensa.

6. Para o Passo 2: Azure Scope, forneça a seguinte informação:

   • Nível de escopo para conexão de serviço: Selecione Assinatura.
   • Subscrição para ligação ao serviço: Selecione a subscrição a que a identidade gerida acede.
   • Grupo de recursos para ligação ao serviço: (Opcional) Especifique um grupo de recursos para limitar o acesso da identidade gerida a um único grupo de recursos.

7. Para o Passo 3: Detalhes da ligação ao serviço, forneça a seguinte informação:

   • Nome da ligação de serviço: Insira um nome para a ligação de serviço.
   • Referência de gestão de serviços: (Opcional) Inclua informação de contexto de uma base de dados ITSM.
   • Descrição: (Opcional) Introduzir uma descrição.

8. Em Segurança, a opção Conceder permissão de acesso a todos os pipelines permite que todos os pipelines utilizem esta ligação de serviço. Não recomendamos esta opção. Em vez disso, autorize cada pipeline individualmente a usar a conexão de serviço.

9. Selecione Salvar para validar e criar a conexão de serviço.

   

Configurar políticas de acesso ao cofre de chaves

Para aceder ao seu cofre de chaves, deve primeiro configurar um principal de serviço para conceder acesso ao Azure Pipelines.

1. Crie um principal de serviço.

2. Vai ao portal Azure, e usa a barra de pesquisa para localizar o cofre de chaves que criaste anteriormente.

3. Selecione Políticas de acesso e, em seguida, selecione Criar.

4. Em Permissões secretas, adicione as permissões Obter e Listar e selecione Avançar.

5. Para Principal, cole o ID do objeto do seu principal de serviço, selecione o principal de serviço e depois selecione Próximo.

6. Selecione Próximo novamente, veja a política de acesso e depois selecione Guardar.

Adicionar atribuição de função

No passo seguinte, cria uma ligação de serviço Azure Resource Manager para o seu principal de serviço. Antes de verificar a ligação, precisa de:

• Conceda ao principal do serviço acesso ao leitor ao nível da subscrição.
• Crie uma credencial federada para o seu principal de serviço.

Para conceder acesso ao Leitor ao nível de subscrição, siga estes passos:

1. Vai ao portal Azure, seleciona Subscrições e depois seleciona a tua subscrição.

2. Selecione Controle de acesso (IAM) e, em seguida, selecione Adicionar>atribuição de função.

3. No separador Funções , selecione Leitor e depois selecione Próximo.

4. Selecione Usuário, grupo ou principal de serviço e, em seguida, escolha Selecionar membros.

5. Cole o ID do objeto do seu principal de serviço na barra de pesquisa, selecione-o e depois escolha Selecionar.

6. Selecione Rever + atribuir, rever as definições e depois selecionar Rever + atribuir novamente para aplicar a atribuição de funções.

Criar uma conexão de serviço

1. Inicia sessão no Azure DevOps e depois vai ao teu projeto.

2. Seleciona Definições do projeto>Ligações de serviço.

3. Selecione Nova ligação de serviço>Azure Resource Manager e depois selecione Next.

4. Selecione Entidade de serviço (manual) e, em seguida, selecione Seguinte.

5. Para Tipo de Identidade, selecione Registo de Aplicação ou Identidade gerida (manual).

6. Em Credencial, selecione Federação de identidades de carga de trabalho.

7. Introduza um nome para a ligação de serviço e depois selecione Próximo.

8. Para Ambiente, selecione Azure Cloud, e para o âmbito Subscrição, selecione Subscrição.

9. Introduza o seu ID de subscrição do Azure e o nome da subscrição.

10. Para Autenticação, cole o ID da aplicação (cliente) e o ID do diretório (inquilino) do seu principal de serviço.

11. Em Segurança, a opção Conceder permissão de acesso a todos os pipelines permite que todos os pipelines utilizem esta ligação de serviço. Não recomendamos esta opção. Em vez disso, autorize cada pipeline individualmente a usar a conexão de serviço.

12. Deixa esta janela aberta. Voltas mais tarde para verificar e guardar a ligação ao serviço depois de criares a credencial federada.

Criar uma credencial federada do principal de serviço

1. Vai ao portal Azure, insere o ID do cliente do teu principal de serviço na barra de pesquisa e depois seleciona a tua aplicação.

2. Em Gerir, selecione Certificados & segredos>Credenciais federadas.

3. Selecione Adicionar credencial e, em seguida, para Cenário de credenciais federadas, selecione Outro emissor.

4. Para o Emissor, cole o valor do Emissor que copiou da ligação de serviço.

5. Para o identificador de sujeito, cole o valor do identificador de sujeito que copiou da ligação de serviço.

6. Insira um nome para a credencial federada e depois selecione Adicionar.

7. Volte à janela da sua ligação de serviço e selecione Verificar e Guardar para guardar a sua ligação de serviço.

1. Inicia sessão no Azure DevOps e depois vai ao teu projeto.

2. Selecione Cadeias>Nova Cadeia.

3. Selecione Repositórios do Azure Git (YAML) e, em seguida, selecione seu repositório.

4. Selecione o modelo de pipeline inicial.

5. O pipeline padrão inclui comandos de eco como exemplo. Não precisas destes comandos, por isso podes removê-los.

6. Adiciona a tarefa Azure Key Vault ao teu pipeline. Substitua os marcadores pelo nome da ligação de serviço que criou anteriormente e pelo nome do cofre de chaves. O seu ficheiro YAML deve parecer semelhante ao seguinte exemplo:

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   

7. Adicione as seguintes tarefas para copiar e publicar o segredo. Este exemplo é apenas para fins demonstrativos. Não o uses num ambiente de produção.

   trigger:
   - main
   
   pool:
     vmImage: ubuntu-latest
   
   steps:
   - task: AzureKeyVault@2
     displayName: Azure Key Vault
     inputs:
       azureSubscription: 'SERVICE_CONNECTION_NAME'
       KeyVaultName: 'KEY_VAULT_NAME'
       SecretsFilter: '*'
       RunAsPreJob: false
   
   - task: CmdLine@2
     displayName: Create file
     inputs:
       script: 'echo $(SECRET_NAME) > secret.txt'
   
   - task: CopyFiles@2
     displayName: Copy file
     inputs:
       Contents: secret.txt
       targetFolder: '$(Build.ArtifactStagingDirectory)'
   
   - task: PublishBuildArtifacts@1
     displayName: Publish Artifact
     inputs:
       PathtoPublish: '$(Build.ArtifactStagingDirectory)'
       ArtifactName: 'drop'
       publishLocation: 'Container'
   

8. Selecione Salvar e executar e, em seguida, selecione-o mais uma vez para confirmar suas alterações e acionar o pipeline. Se for solicitado, selecione Permitir para conceder acesso ao pipeline aos recursos do Azure.

9. Depois de o pipeline começar, selecione a tarefa CmdLine para visualizar os registos.

   

10. Quando a execução do pipeline terminar, volte ao resumo do pipeline e selecione o artefacto publicado.

    

11. Selecione drop>secret.txt para descarregar o ficheiro.

    

12. Abre o ficheiro de texto descarregado. Deve conter o segredo recuperado do teu cofre de chaves.

1. Inicia sessão no Azure DevOps e depois vai ao teu projeto.

2. Selecione Pipelines e, em seguida, selecione New Pipeline.

3. Selecione Usar o editor clássico para criar um pipeline clássico.

4. Selecione Repositórios do Azure Git, selecione seu repositório e ramificação padrão e selecione Continuar.

5. Selecione o modelo de pipeline .Net Desktop .

6. Neste exemplo, são necessárias apenas as duas últimas tarefas. Mantém pressionado Ctrl e depois seleciona as primeiras cinco tarefas. Clique com o botão direito e depois selecione Remover tarefas selecionadas para as eliminar.

   

7. Selecione + para adicionar uma nova tarefa. Procura a tarefa de linha de comandos , seleciona-a e depois seleciona Adicionar. Configure a tarefa:

   • Nome de exibição: Insira Criar ficheiro.
   • Script: Introduza echo $(SECRET_NAME) > secret.txt.

   

8. Selecione + para adicionar uma nova tarefa. Procura a tarefa Azure Key Vault , seleciona-a e depois seleciona Adicionar. Configure a tarefa:

   • Nome de visualização: Introduza Azure Key Vault.
   • subscrição do Azure: Selecione a ligação ao serviço que criou anteriormente.
   • Cofre de chaves: Selecione o seu cofre de chaves.
   • Filtro de segredos: Introduza uma lista separada por vírgulas de nomes secretos, ou use um asterisco (*) para descarregar todos os segredos.

   

9. Selecione a tarefa Copiar ficheiros e configure os seguintes campos:

   • Nome de visualização: Introduza Copiar Ficheiro.
   • Conteúdo: Entra secret.txt.
   • Pasta alvo: Introduza $(build.artifactstagingdirectory).

   

10. Selecione a tarefa Publicar Artefactos e configure os seguintes campos:

    • Nome de visualização: Introduza Publish Artifact.
    • Caminho para publicar: Introduza $(build.artifactstagingdirectory).
    • Nome do artefacto: Introduza drop.
    • Local de publicação do artefacto: Insira Azure Pipelines.

    

11. Selecione Guardar e enfileirar e em seguida, selecione Executar para iniciar o pipeline.

12. Depois de o pipeline terminar, retorne ao resumo do pipeline e selecione o artefato publicado.

13. Seleciona drop>secret.txt para descarregar o artefato.

    

14. Abre o ficheiro de texto descarregado. Deve conter o segredo que foi recuperado do seu repositório de chaves.