Доступ к Azure хранилищу ключей из Azure конвейеров сборки / выпуска

Question

У нас есть несколько модульных тестов / интеграционных тестов, работающих на Azure конвейерах сборки / выпуска. Есть несколько тестов, которые извлекают секреты из хранилища ключей, и они не работают, потому что код написан для извлечения секретов из хранилища ключей с использованием MSI и Azure функции проверки подлинности приложений. Поскольку конвейеры не включены для MSI, вызовы keyvault не работают и, следовательно, тесты также не работают. Какая альтернатива существует для этого сценария, когда конвейеры могут успешно получить доступ к keyvault?

Примечание: Я уже просматривал статьи, предлагающие использовать группы переменных и azure задачи keyvault, но не помогли в моем сценарии. Ищу альтернативы.

Answer 1

Примечание: я уже просматривал статьи, предлагающие использовать группы переменных и azure задачи keyvault, но не помогли в моем сценарии. Ищу альтернативы.

Вы можете попробовать два направления :

1. Настройте собственный агент для запуска конвейера в локальной среде. Конечно, агент должен быть настроен с вашим управляемым удостоверением.

2. Согласно шагу 5 из этого блога :

   AzureServiceTokenProvider будет использовать контекст безопасности разработчика, чтобы получить токен для аутентификации в Key Vault. Это избавляет от необходимости создавать субъект-службу и делиться им с командой разработчиков. Это также предотвращает регистрацию учетных данных в исходном коде. AzureServiceTokenProvider будет использовать Azure CLI или встроенную проверку подлинности Active Directory для проверки подлинности в Azure AD для получения токена. Этот токен будет использоваться для получения секрета из Azure Key Vault.

Вы можете использовать задачу Azure Cli для запуска ваших тестов в командная строка. Проверьте эту аналогичную проблему .