我们将在Azure DevOps中创建构建/部署管道,以使用Terraform在Google Cloud Platform(GCP)中配置基础架构。为了执行Terraform设置脚本,我们必须提供GCP凭据,以便它可以连接到我们的GCP帐户。我有一个可在Terraform脚本中引用的凭证文件(JSON)。但是,由于是构建/部署管道的新手,因此我不清楚如何处理凭证文件。那是我们不想在TF脚本中进行硬编码的事情,我们也不想让只有访问TF脚本的任何人都可以使用它。在将凭证文件提供给构建管道的同时,我将凭证放在哪里以防止其被撬开?我可以将它放在实际的构建服务器上吗?
答案 0 :(得分:1)
我可能会在密钥库中使用构建变量或存储变量,并在部署时将其拉出。将机密存储在构建代理上的情况更糟,因为这意味着您已锁定到该构建代理。
https://docs.microsoft.com/en-us/azure/devops/pipelines/tasks/deploy/azure-key-vault?view=azure-devops
https://docs.microsoft.com/en-us/azure/devops/pipelines/process/variables?view=azure-devops&tabs=yaml%2Cbatch