Azure DevOps Pipelines

Question

Я новичок в работе с DevOps Azure, пытаюсь создать конвейер, используя DevOps Azure для развертывания моего кода terraform на AWS, для аутентификации я знаю, что мы можем использовать принципы обслуживания, но это будет означать, что мне нужно будет указатьмой доступ и секретные ключи в Azure DevOps, которые я не хочу делать, поэтому я хотел проверить, есть ли другие способы сделать это?

Answer 1

вы можете записывать переменные в файл сценария powershell и использовать задачу powershell в своем конвейере.Теперь укажите путь к файлу powershell в этой задаче и просто дайте имена переменных.Это будет работать как шарм.

Answer 2

Вы можете использовать

1. Переменные или группы переменных Secure Azure DevOps
2. Хранилище ключей Azure
3. Если вы используете принципала, то вам нужен пароль /сертификат, а также для проверки подлинности.Возможно, вы также можете попробовать работать с MSI (Managed Service Identity).В этом случае AAD позаботится о секретном хранилище.

Answer 3

1 - вам нужно создать закрытый ключ для конвейера Devops с ограниченными услугами на вашем компьютере AWS. 2 - сохранить ключ в защищенной библиотеке Devops Pipeline 3 - на брандмауэре AWS отключить соединение SSH от неизвестных IP-адресов ибелый список IP-адресов агентов Devops, чтобы получить список ips, проверьте эту ссылку https://docs.microsoft.com/en-us/azure/devops/pipelines/agents/hosted?view=vsts&tabs=yaml#agent-ip-ranges

Answer 4

Для доступа к таким секретам и их хранения вы можете попробовать хранилище ключей Azure

. Хранить все свои секреты в секретах хранилища ключей Azure.

Когдавы хотите получить доступ к секретам:

• Убедитесь, что подключение службы Azure имеет как минимум разрешения Get и List для хранилища.Вы можете установить эти разрешения на портале Azure
  :

  • Откройте блейд Настройки для хранилища, выберите «Политики доступа», затем добавьте новое.

  • В колонке Добавить политику доступа выберите Выбрать принципала и выберите субъект службы для своей учетной записи клиента.

  • В колонке Добавить политику доступа выберите Секретные разрешения и убедитесь, что Получить иСписок проверен (отмечен галочкой).

  • Выберите ОК, чтобы сохранить изменения.

Ссылка

Answer 5

Принципы обслуживания - отраслевой стандарт для этого случая.Вы должны создать отдельного субъекта службы для DevOps Azure и ограничить его область действия только тем, что необходимо.

Answer 6

Возможно, используйте библиотеку Azure Devops> Группы переменных для безопасного хранения ключей.

В качестве альтернативы вы можете использовать Параметры проекта> Подключение к службе.Возможно использование учетных данных подключения или общего на.