在管道中使用 Azure Key Vault 机密

1. 登录到Azure 门户，然后选择“创建资源”。

2. 在密钥库下，选择“创建”以创建新的 Azure 密钥库。

3. 从下拉菜单中选择订阅，然后选择现有资源组或创建新的资源组。 输入 Key Vault 名称，选择区域，选择定价层，如果想要配置其他属性，请选择“下一步”。 否则，请选择“ 查看 + 创建 ”以保留默认设置。

4. 部署完成后，选择转到资源。

1. 首先，设置默认区域和 Azure 订阅：

   • 设置默认订阅：

   az account set --subscription <your_subscription_name_or_subscription_ID>
   

   • 设置默认区域：

   az config set defaults.___location=<your_region>
   

2. 创建新的资源组来托管 Azure Key Vault。 资源组是一个容器，用于保存 Azure 解决方案的相关资源：

   az group create --name <your-resource-group>
   

3. 创建新的 Azure 密钥库：

   az keyvault create \
     --name <your-key-vault-name> \
     --resource-group <your-resource-group>
   

创建用户分配的托管标识

1. 登录到Azure 门户，然后在搜索栏中搜索托管标识服务。

2. 选择“创建”，并填写必填字段，如下所示：

   • 订阅：从下拉菜单中选择订阅。
   • 资源组：选择现有资源组或创建新资源组。
   • 区域：从下拉菜单中选择一个区域。
   • 名称：输入用户分配的托管标识的名称。

3. 完成后，选择“审阅 + 创建”。

4. 部署完成后，选择“ 转到资源”，然后复制 “订阅 ”和 “客户端 ID”，后续步骤中将需要它们。

5. 导航到“设置属性”>，并复制托管标识的租户 ID 以供以后使用。

设置密钥保管库访问策略

1. 导航到Azure 门户，并使用搜索栏查找之前创建的密钥保管库。

2. 选择“访问策略”，然后选择“创建”以添加新策略。

3. 在 “机密权限”下，选中“ 获取 ”和 “列表 ”复选框。

4. 选择“下一步”，然后将您之前创建的托管标识的客户端ID粘贴到搜索栏中。

5. 选择托管标识，依次选择下一步和下一步。

6. 查看您的新策略，然后选择创建完成操作。

创建服务连接

1. 登录到 Azure DevOps 组织，并导航到你的项目。

2. 选择 “项目设置>服务连接”，然后选择“ 新建服务连接”。

3. 选择 Azure 资源管理器，然后选择“下一步”。

4. 在 “标识类型”下，从下拉菜单中选择 “托管标识 ”。

5. 对于“步骤 1：托管标识详细信息”，按如下所示填写字段：

   • 托管标识的订阅：选择包含托管标识的订阅。

   • 托管标识的资源组：选择托管标识所在的资源组。

   • 托管标识：从下拉菜单中选择托管标识。

6. 对于 步骤 2：Azure 作用域，请按以下方式填写字段：

   • 服务连接的范围级别：选择 订阅。

   • 服务连接订阅：选择托管标识将访问的订阅。

   • 服务连接的资源组：（可选）如果要限制对特定资源组的访问，请指定此项。

7. 对于 步骤 3：服务连接详细信息：

   • 服务连接名称：提供服务连接的名称。

   • 服务管理参考：（可选）包括 ITSM 数据库中的上下文信息。

   • 说明：（可选） 添加说明。

8. 在 “安全性”下，选中“ 授予对所有管道的访问权限 ”框，以允许所有管道使用此服务连接。 如果保持此未选中状态，则需要为每个管道手动授予访问权限。

9. 选择保存以验证并创建服务连接。

   

创建服务主体

在此步骤中，你将在 Azure 中创建新的 服务主体 ，以便 Azure Pipelines 可以访问 Azure Key Vault。

1. 导航到 Azure 门户，然后>从顶部菜单中选择 _图标以打开 Cloud Shell。

2. 根据偏好选择 PowerShell 或 Bash 。

3. 运行以下命令以创建新服务主体：

   az ad sp create-for-rbac --name YOUR_SERVICE_PRINCIPAL_NAME
   

4. 命令运行后，你将获得如下所示的输出。 复制并保存输出，您将在下一步中用它来创建服务连接。

   {
     "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "displayName": "MyServicePrincipal",
     "password": "***********************************",
     "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
   }
   

创建服务连接

1. 登录到 Azure DevOps 组织，并导航到你的项目。

2. 选择“项目设置”，然后选择“服务连接”。

3. 依次选择新建服务连接、Azure 资源管理器、下一步。

4. 选择“服务主体(手动)”，然后选择“下一步”。

5. 在“标识类型”下，选择“应用注册”或“托管标识”（手动）。

6. 在凭据下，请选择工作负荷联合身份验证。

7. 提供服务连接的名称，然后选择“ 下一步”。

8. 复制颁发者和使用者标识符值。 下一步需要用到它们。

9. 对于 环境，选择 Azure 云 ，对于 订阅范围 ，请选择 “订阅”。

10. 输入 Azure 订阅 ID 和 订阅名称。

11. 在 “身份验证”下，粘贴服务主体 的应用程序（客户端）ID 和 目录（租户）ID

12. 在 “安全性 ”部分中，选中“ 授予对所有管道的访问权限 ”框，以允许所有管道使用此服务连接。 如果跳过此作，则需要为每个管道手动授予访问权限。

13. 保持此页面打开，你将 (1) 在 Azure 中创建联合凭据并 (2) 在订阅级别授予你的服务主体读取访问权限后返回完成它。

    

在 Azure 中创建联合凭据

1. 导航到 Azure 门户，然后使用搜索栏输入其 ClientID 来查找服务主体。 从结果中选择匹配 的应用程序 。

2. 在“管理”下，选择“>

3. 选择 “添加凭据”，然后选择“ 联合凭据方案”，选择 “其他颁发者”。

4. 在 “颁发者 ”字段中，粘贴之前从服务连接复制的 颁发者 值。

5. 在使用者标识符字段中，粘贴之前复制的使用者标识符。

6. 输入联合凭据的名称，然后在完成后选择添加。

   

为订阅添加角色分配

在验证连接之前，需要在订阅级别授予服务主体 读取 访问权限：

1. 导航到 Azure 门户

2. 在 Azure 服务下，选择 “订阅”，然后找到并选择订阅。

3. 选择“访问控制(IAM)”，然后选择“添加”“添加角色分配”。

4. 在“ 角色 ”选项卡下，选择“ 读取者”，然后选择“ 下一步”。

5. 选择用户、组或服务主体，然后选择选择成员。

6. 在搜索栏中，粘贴服务主体的对象 ID，将其选中，然后单击选择。

7. 选择 “审阅 + 分配”，查看设置，然后选择“ 审阅 + 分配 ”以确认。

8. 添加角色分配后。 返回到 Azure DevOps 中的服务连接，然后选择 “验证并保存 ”以保存服务连接。

配置密钥库访问策略

1. 导航到 Azure 门户，找到之前创建的密钥保管库，然后选择 “访问策略”。

2. 选择“ 创建”，然后在“ 机密”权限 下添加 “获取 ”和“ 列表 ”权限，然后选择“ 下一步”。

3. 在 “主体”下，粘贴服务主体 的对象 ID，选择它，然后选择“ 下一步”。

4. 再次选择 “下一步 ”，查看设置，然后选择“ 保存 ”以应用新策略。