Azure DevOps拡張機能

KeeperシークレットマネージャーのAzure DevOpsへの統合によるシークレットの動的な取得

機能

Azure DevOpsパイプラインからKeeperボルトのシークレットを取得
ビルド引数または環境変数としてシークレット認証情報を設定
Keeperボルトからセキュリティで保護されたファイルをコピー

Keeperシークレットマネージャーの機能一覧については、概要をご参照ください。

前提条件

本ページでは、シークレットマネージャーとAzure DevOpsの連携について取り扱います。本連携を利用するには、以下が必要です。

Keeperシークレットマネージャーへのアクセス（クイックスタートガイドをご参照ください）
- Keeperのサブスクリプションでシークレットマネージャーアドオンが有効になっていること
- シークレットマネージャーポリシーが有効なロールに所属していること
シークレットが共有されているKeeper シークレットマネージャーアプリケーション
- アプリケーションの作成手順については、クイックスタートガイドをご参照ください
初期化済みのKeeper シークレットマネージャー構成
- Azure DevOps連携では、JSON形式とBase64形式の構成を使用できます

インストール

Keeperシークレットマネージャー拡張機能のインストール

Visual Studio Marketplaceからダウンロードするか、「Keeper Secrets Manager」で検索してください。

ソースコードはGitHubリポジトリで公開されています。

組織を選択して [Download] をクリックし、Azure組織で拡張機能を有効にします。

Azure Pipelinesからシークレットにアクセス

Keeperボルトのシークレットにアクセスするには、Azure PipelinesのYAML設定ファイルにタスクを追加し、レコードから必要なフィールドを取得します。

シークレットのクエリには Keeper表記法を使用し、構文は KeeperNotation > destination です。代入先はプレフィックス var:、out:、file: で指定します。以下の例をご参照ください。

v1.0.4以降の拡張機能では、UIDの代わりにレコードタイトルによる検索構文を使用できます。タイトルを使用する場合は、Keeper表記法のルールに従ってエスケープし、YAML形式の特殊文字エスケープ仕様にも従う必要があります。

Keeperシークレットマネージャータスクの作成

Keeperシークレットマネージャーのタスクは以下のとおりです。

- task: ksmazpipelinetask@1
  inputs:
    keepersecretconfig: $(secret_config)
    secrets: |
      6ya_fdc6XTsZ7i4x9Jcodg/field/password > var:var_password
      6ya_fdc6XTsZ7i4x9Jcodg/field/password > out:out_password
      6ya_fdc6XTsZ7i4x9Jcodg/field/password > out_password2
      6ya_fdc6XTsZ7i4x9Jcodg/file/cert.pem > file:/tmp/mycert.pem

この例では、6ya_fdc6XTsZ7i4x9Jcodg がレコードUIDです。タスクはタスクフォームで作成するか、手動で追加できます。

タスクフォームを使用したタスクの追加

タスクメニューで「Keeper Secrets Manager」を検索し、タスクフォームを開きます。

タスクフォームに入力してKeeperシークレットマネージャータスクを作成するには、以下が必要です。

Keeperシークレットマネージャー構成
- Azure DevOps拡張機能では、JSON形式とBase64形式の構成を使用できます
1つ以上のシークレットクエリ（以下のクエリ構文をご参照ください）

Keeperシークレットマネージャー構成をパイプラインに直接コピーすることもできますが、Azure Pipelineからアクセス可能なAzure Key Vaultに構成を保管することをお勧めします。Azure Key Vaultの詳細は、Microsoftのドキュメントをご参照ください。

フォームを送信すると、設定にタスクが自動的に追加されます。

タスクを手動で追加

パイプライン設定にタスクを手動で追加するには、以下の構文に従います。

- task: <Task Name>
  inputs:
    keepersecretconfig: <Secrets Manager Configuration>
    secrets: |
      <Secrets Queries>

- task: ksmazpipelinetask@1
  inputs:
    keepersecretconfig: $(secret_config)
    secrets: |
      6ya_fdc6XTsZ7i7x9Jcodg/field/password > pazzword
      6ya_fdc6XTsZ7i7x9Jcodg/field/login > LOGIN
      6ya_fdc6XTsZ7i7x9Jcodg/file/build-vsix.sh > file:/tmp/build-vsix.sh

Keeperシークレットクエリ

Keeperボルトのシークレットに対するクエリでは、以下の構文を使います。

標準フィールド値を取得

構文

[UID]/field/[FIELD NAME] > [VARIABLE NAME]

例

6ya_fdc6XTsZ7i7x9Jcodg/field/password > my_password

カスタムフィールド値を取得

構文

[UID]/custom_field/[FIELD NAME] > [VARIABLE NAME]

例

6ya_fdc6XTsZ7i7x9Jcodg/custom_field/notes > MyNotes

二要素コードを取得

構文

[UID]/field/oneTimeCode > [VARIABLE NAME]

例

6ya_fdc6XTsZ7i7x9Jcodg/field/oneTimeCode > MyOneTimeCode

ファイルを取得

構文

[UID]/file/[SECRET FILE NAME] > file:[OUTPUT FILE NAME]

例

6ya_fdc6XTsZ7i7x9Jcodg/file/cert.pem > file:secret-cert.pem

変数の型

Keeperボルトのシークレットをパイプラインの変数として保存する場合、用途に応じて以下の方法を選択できます。

OUT

out（デフォルト）を使うと、パイプライン内のすべてのジョブから参照できる変数にシークレットを設定できます。変数の型を指定しない場合は、デフォルトで out が使われます。

6ya_fdc6XTsZ7i7x9Jcodg/field/password > pazzword
6ya_fdc6XTsZ7i7x9Jcodg/field/password > out:my_password

VAR

var を使うと、同じパイプラインジョブ内でのみ使用できるローカル変数にシークレットを設定できます。

6ya_fdc6XTsZ7i7x9Jcodg/field/password > var:my_password

FILE

file を使うと、ファイルにコンテンツが書き込まれます。Keeperボルトから証明書などを取得するときに使います。

6ya_fdc6XTsZ7i7x9Jcodg/file/build-vsix.sh > file:/tmp/build-vsix.sh

環境変数

env を使うと、ビルドマシンから参照できる環境変数としてシークレットを設定できます。

まずシークレットをパイプライン変数に設定し、bashタスクの環境変数としてマッピングします。

- task: ksmazpipelinetask@1
  name: getKeeperSecrets
  inputs:
    keepersecretconfig: $(sm-config)
    secrets: |
      6ya_fdc6XTsZ7i7x9Jcodg/field/password > var:var_password
      
- bash: |
        echo "Using the mapped env variable: $MY_MAPPED_ENV_VAR_PASSWORD"
    env:
        $MY_MAPPED_ENV_VAR_PASSWORD: $(var_password)

使用例

Keeperからシークレットを取得

このパイプライン例では、Keeperボルトのシークレットを変数に設定して表示します。表示されるパスワードはマスクされます。

trigger:
- master

pool:
  vmImage: ubuntu-latest

steps:

- task: ksmazpipelinetask@1
  name: setKsmSecretsStep
  inputs:
    keepersecretconfig: $(sm-config)
    secrets: |
      6ya_fdc6XTsZ7i7x4Jcodg/field/password > var:var_password
      6ya_fdc6XTsZ7i7x4Jcodg/field/password > out_password2
      6ya_fdc6XTsZ7i7x4Jcodg/field/password > out:out_password
      6ya_fdc6XTsZ7i7x4Jcodg/field/oneTimeCode > var:MyOneTimeCode
      6ya_fdc6XTsZ7i7x4Jcodg/file/build-vsix.sh > file:/tmp/build-vsix.sh

- bash: |
    echo "Using an input-macro works                : $(var_password)"
    echo "Using an output variable (default method) : $(setKsmSecretsStep.out_password2)"
    echo "Using an output variable                  : $(setKsmSecretsStep.out_password)"
    echo "Using an output variable for totp         : $(setKsmSecretsStep.out_password)"
    echo "Using the mapped env var                  : $(MyOneTimeCode)"
    echo "Check injected secret file                : $(file /tmp/build-vsix.sh)"
  env:
    MY_MAPPED_ENV_VAR_PASSWORD: $(var_password) # 環境変数にマッピングするための推奨方法
  name: display_secret_values

複数のジョブでシークレットを使用

この例では、Keeperからパスワードとファイルを取得し、別のジョブで利用します。

trigger:
- master

pool:
  vmImage: ubuntu-latest

jobs:
- job: ksmSecrets
  displayName: "Inject KSM Secrets"

  steps:

  - task: ksmazpipelinetask@1
    name: setKsmSecretsStep
    inputs:
      keepersecretconfig: $(sm-config)
      secrets: |
        6ya_fdc6XTsZ7i7x9Jcodg/field/password > var:var_password
        6ya_fdc6XTsZ7i7x9Jcodg/field/password > out:out_password
        6ya_fdc6XTsZ7i7x9Jcodg/field/password > out_password2
        6ya_fdc6XTsZ7i7x9Jcodg/file/mykey.pub > file:/tmp/public_key.pem
        6ya_fdc6XTsZ7i7x9Jcodg/file/mykey.pem > file:/tmp/private_key.pem

  - bash: |
      echo "Using an input-macro works                : $(var_password)"
      echo "Using an output variable (default method) : $(setKsmSecretsStep.out_password2)"
      echo "Using an output variable                  : $(setKsmSecretsStep.out_password)"
      echo "Using the mapped env var                  : $MY_MAPPED_ENV_VAR_PASSWORD"
      echo "Check injected secret file                : $(file /tmp/public_key.pem)"
    env:
      MY_MAPPED_ENV_VAR_PASSWORD: $(var_password) # 環境変数にマッピングするための推奨方法
    name: display_secret_values

  - bash: |
      cat << EOF > decrypted.txt
      This is a decrypted message
      EOF
    name: create_text_file

  - bash: cat decrypted.txt
    name: view_decrpyted_content


  - bash: openssl rsautl -encrypt -inkey /tmp/public_key.pem -pubin -in decrypted.txt -out ecrypted.bin
    name: encrypte_file

  - bash: cat ecrypted.bin
    name: view_encrpyted_content

  - bash: openssl rsautl -decrypt -inkey /tmp/private_key.pem -in ecrypted.bin -out decrypted2.txt
    name: decrpyt_content

  - bash: cat decrypted2.txt
    name: view_decrpyted2_content


- job: encryptFileTest
  dependsOn: ksmSecrets
  variables:
    # ジョブAの出力変数をこのジョブにマッピング
    # 注意:
    # ジョブ間でファイルを共有できないため、各エージェントは一度に1つのジョブしか実行できません。
    # 1つのジョブは独立した実行単位であり、異なるジョブ間で通信するには
    # 変数や中間生成物などの「ミドルウェア」を使用する必要があります。
    pwdFromKsmSecrets: $[ dependencies.ksmSecrets.outputs['setKsmSecretsStep.out_password'] ]

  steps:
    - bash: |
        echo "password retrieved from job 'ksmSecrets', step 'pwdFromKsmSecrets', out variable 'setKsmSecretsStep.out_password':$(pwdFromKsmSecrets)"

前へAWS KMSでの暗号化次へAzure Key Vaultとの同期

最終更新 5 日前