使用Azure devops中的Azure Powershell任务向Azure Keyvault添加/获取秘密
我正在尝试使用Azure DevOps中的Azure Powershell任务在Azure Keyvault中设置秘密。 我使用以下代码:
Set-AzureKeyVaultSecret -VaultName $KeyvaultName -Name $SecretName -SecretValue $secretvalue
将名称和值全部设置在变量内部,并尝试在不使用变量的情况下使用它。
该值使用以下代码保存为安全字符串。ConvertTo-SecureString
但是当我在Azure DevOps Release管道中运行此powershell代码时,我不断收到以下错误消息:
Cannot retrieve access token for resource 'AzureKeyVaultServiceEndpointResourceId'. Please ensure that you have provided the appropriate access tokens when using access token login.
因此,我通过使用get,list,set secrets权限将它们添加到访问策略中,从而确保了服务主体和构建服务器对密钥库具有正确的访问权限。
我还添加了以下代码行,以确保配置文件正确加载
########################################################################################
$azureRmProfile = [Microsoft.Azure.Commands.Common.Authentication.Abstractions.AzureRmProfileProvider]::Instance.Profile
$profileClient = New-Object -TypeName Microsoft.Azure.Commands.ResourceManager.Common.RMProfileClient -ArgumentList ($azureRmProfile)
$context = Get-AzureRmContext
$AzureToken = $profileClient.AcquireAccessToken($context.Tenant.Id)
Add-AzureRmAccount -AccessToken $AzureToken.AccessToken -AccountId $AzureToken.UserId
########################################################################################
通过在内联脚本的开头添加此代码,并将配置文件与commando一起用作-DefaultProfile的变量。
我还启用了启用脚本访问Oauth令牌的选项。
是否有人尝试从Azure DevOps中的powershell任务设置秘密。或者知道为什么Powershell脚本无法访问密钥库。 azurermContext突击队为我提供了正确的输出,甚至尝试了Get-AzureRmKeyvault命令来确定与环境的连接是否已经正确建立。而且这也没有带来任何问题。
3 个答案:
答案 0 :(得分:2)
确定可以正常工作(定期使用)
Set-AzContext -SubscriptionId $SubscriptionId
## $SubscriptionId is a subscription ID where is the target KV
$Secretvalue = ConvertTo-SecureString $SecretValuePlainText -AsPlainText -Force
## $SecretValuePlainText is the secret to store
Set-AzKeyVaultSecret -VaultName $KeyVaultName -Name $SecretName -SecretValue $Secretvalue -ErrorVariable setSecretError -Expires $ExpirationDate -NotBefore $ActivationDate
## $SecretName, $ExpirationDate, $ActivationDate - obvious :)
当然,如果您不是从脚本或内联中引用变量,而是从发布中引用$(variable_name)
我们用于此目的的服务主体/服务连接是目标订阅(或由您决定的密钥库)的所有者的临时身份。
答案 1 :(得分:1)
我遇到了完全相同的问题。 发现问题是缺少访问令牌。
呼叫-KeyVaultAccessToken时就是Add-AzureRmAccount。
在这里找到解决方案:https://github.com/Azure/azure-powershell/issues/4818#issuecomment-376155173
答案 2 :(得分:0)
我用以下内容解决了我的问题。
我使用了基于托管身份的服务连接。这需要一些变通办法来访问密钥库(如@john所述)。但这是不必要的。通过基于服务主体创建新的服务连接。此解决方法不是必需的,因此可以解决此问题。
- 如何使用带有证书身份验证的powershell获取Azure密钥保管库的秘密?
- 使用Azure Key Vault进行Terraform以获取机密值
- 如何从Azure DevOps管道向Azure密钥库写入机密?
- 您可能已禁用此机密,或者您没有“获取”机密权限
- 使用证书对Azure Keyvault进行身份验证并获得秘密
- 是否可以通过证书运行此Azure Key Vault任务(在Azure DevOps中)?
- 从Azure部署任务授予对数据工厂的Keyvault访问
- 使用Azure devops中的Azure Powershell任务向Azure Keyvault添加/获取秘密
- 在Azure DevOps Powershell脚本中动态获取KeyVault秘密
- 如何在Azure DevOps中获取密钥仓库秘密输出
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?