Azure-docs: Azure DevOps Build Pipelineは、vnetとファイアウォールで保護されている場合、KeyVaultからシークレットを取得できません

@ aspnet4youフィードバックありがとうございます。
私たちは積極的に調査を行っており、すぐにご連絡いたします。

@ KalyanChanumolu-MSFT-問題を調査していただきありがとうございます。 Key Vaultは重要なインフラストラクチャコンポーネントであり、そのビジネスの性質上、信頼できないネットワークに公開したくありません。 ベントにマシンを構築していれば問題ありませんでしたが、目標はCI / CDにAzureDevOpsを使用することです。 キーとシークレットを保管し、安全に取得できるようにする必要があります。

@ aspnet4you 、クエリを共有していただきありがとうございます。 IPをホワイトリストに登録することは効率的な方法ではありませんが、確実に回避策です。 私たちは製品チームと協力して、Azure KeyVaultの信頼できるサービスとしてAzureDev Opsを取得しています。これは、すべての点で完全な修正になります。 いつか私たちを許可してください。次のアップデートをあなたと共有します。

ビルド定義にステップを追加してエージェントのIPアドレスをホワイトリストに登録し、ビルドの最後にホワイトリストから削除できます。 これは解決策ではありませんが、Azure製品チームがAzureDevOpsを信頼できるサービスとして追加するまでの回避策です。 @のおかげでダニエル・マンのアイデアを提供するため。

解決策は簡単ですが、ビルドエージェントのIPアドレスを取得するためのRESTAPIエンドポイントとしてipify.orgを信頼するつもりはありませんでした。 代わりに、Azure Function-GetClientIPで独自の（信頼できる）サービスを作成しました。 DevOpsは私の日常業務ではなく、ユーザー定義変数を割り当てて使用し、パイプラインの次のステップ/タスク/ステージに渡す方法を理解するのに苦労していました。 変数の使用法に関するMicrosoftのドキュメントは私を十分に助けていませんでしたが、実行が何度も失敗した後、私はそれを理解しました！

私のブログで完全なソリューションを参照してください-AzureDevOps Build Pipeline -KeyVaultの

@ aspnet4you 、

現在、唯一の回避策は、DevOpsマシンのIPアドレスをAKVファイアウォールに追加することであるように思われます。 これはデータセンターのすべてのIPよりも小さいサブセットであり、127のIPルールの制限に適合します。

現在、IPの取得に取り組んでおり、まもなくスレッドを更新します。

@ aspnet4you 、以下のIPに関する詳細をご覧ください。

AzureDevopsサービスをホワイトリストに登録する場合-https ： //docs.microsoft.com/en-us/azure/devops/organizations/security/allow-list-ip-url？view = azure -

ホストされているエージェントをホワイトリストに登録する場合-https ： //docs.microsoft.com/en-us/azure/devops/pipelines/agents/hosted ＆ tabs = yaml＃agent-ip-ranges

お役に立てれば。

@ aspnet4you 、これがお役に立て

@ souravmishra-msftは、ホワイトリストに登録されているazure devopsサービスを継ぎ合わせており、リンク内のIPは十分ではありません。
たとえば、devopsからの変数グループをkeyvaultからのシークレットにリンクしようとすると、ip：52.236.xxも追加する必要がありました（意図的にlat 2バイトを非表示にしました）。 これらのIPがどこにあるか知っていますか？ devops変数グループリンケージのIPの全範囲を提供できますか？

@ aspnet4you 、クエリを共有していただきありがとうございます。 IPをホワイトリストに登録することは効率的な方法ではありませんが、確実に回避策です。 私たちは製品チームと協力して、Azure KeyVaultの信頼できるサービスとしてAzureDev Opsを取得しています。これは、すべての点で完全な修正になります。 いつか私たちを許可してください。次のアップデートをあなたと共有します。

この機能に関する更新はありますか？ 機能「AzureKeyVaultの信頼できるサービスとしてのAzureDevOps」を追跡するためのリンクはありますか

他のVNETサービスエンドポイントPAASオファリングに対する同じリクエスト-https ： //feedback.azure.com/forums/217298-storage/suggestions/35850511-make-azuredevops-a-trusted-microsoft-services-to

@ aspnet4you 、関連するKey Vaultアクセスポリシーなしでシークレット/キーを取得するのに十分なIPだけをホワイトリストに登録するにはどうすればよいですか？

@ oviliz-非常に良い質問です。 IPのホワイトリストへの登録は、ボールトへの不正アクセスに対する最後の防御策の1つです。 キーとシークレットを一覧表示して取得するには、サービスプリンシパルにKeyVaultアクセスポリシーを設定する必要があります。 私の投稿（ Azure DevOps Build Pipeline）で述べられているように、これは2番目の要件です

こんにちは@ KalyanChanumolu-MSFTの更新はありますか？ 今日、私は同じ問題に直面しました。 リリースパイプライン（Azure DevOps）のAzure KeyVaultステップでKVからシークレットを取得できません。 上記のIPとのリンクが壊れています...では、パイプラインでシークレットを取得するにはどうすればよいですか？ 信頼できるMicrosoftサービスがこのファイアウォールをバイパスすることを許可しますか？ （はい）-あまり役に立たなかった。

私もこの問題に直面しており、どのIPをホワイトリストに登録する必要があるかは明らかです。 さらに、これは私たちが制御していないサービスに私たちの金庫を開放しているので、私はこのソリューションにかなり不満を持っています。

ちなみに、上記の記事では、IP範囲は毎週変更される可能性があると述べています。 ファイアウォールを毎週更新し、変更を追跡しようとすることを提案することは、かなりばかげています。

私は同じ問題に直面しており、IPを毎週ホワイトリストに登録することはまったく選択肢ではありません。

VM内にビルドパイプライン用のセルフホストエージェントを配置し、このVMをVNet内にセットアップしてから、Key Vault内でのアクセスを許可することは可能でしょうか？ 私は決してプロではないので、このアプローチはどれほどばかげていますか？

FWIW私はここでこのソリューションに触発されました： https ：

リストに追加してください。 ADOがKeyVaultの信頼できるサービスではないのはどうしてですか？

毎週のファイルでdevopsまたはホストされているエージェントを検索しても、ipsは強調表示されません。 https://www.microsoft.com/en-us/download/confirmation.aspx?id=56519で使用しているIPは何ですか？ データセンターで検索すると、appservice、devspacesなどがありますが、devopsとホストエージェントには何が関連していますか？

@ ShaneBala-keyvault、要求に応じて、このスレッドにあなたを追加します。

リストに追加してください。 ADOがKeyVaultの信頼できるサービスではないのはどうしてですか？

あなたと一緒に、多くのプロジェクトをAZ Devopsに移行しようとしていますが、これは問題です

+1、これはできるだけ早く修正する必要があります。 秘密のパイプライン変数をリリースに使用できる場合でも、信頼できる唯一の情報源が必要です。 シークレットパイプライン変数の値は、保存後に再度表示することはできないため、どのような方法でも、情報を別の場所に保存する必要があります。

この問題に関する質問：

https://stackoverflow.com/q/61411653/3850405

+1これは本当に重要です。 それについてマイクロソフトからのコメントはありますか？

@ souravmishra-msftこれを再開する必要がありますか？

@Ogglasこれは間違いなく再開する必要があります。 Azure Keyvault Firewallをバイパスするには、IPを一覧表示するか、サービスにタグを付ける必要があります。 彼らは他のサービスのためにそれをします、なぜ紺碧のdevopsではないのですか？

+1、ここでも同じ問題

+1

また、山に参加します..私にとっても大きな問題

いったいこれはどれくらい近いのか???? 「回避策」のリンクリンクも機能しません:)

@ jsburckhardt-参照している回避策は
https://blogs.aspnet4you.com/2019/09/20/azure-devops-build-pipeline-use-keys-and-secrets-from-key-vault/

このために新しい問題を作成する必要がありますか、それともそれを再度開く方法を見つける必要がありますか、@ souravmishra-msft？

@captainbrown 、私はこのスレッドを再開しました。 また、このスレッドが最初に開かれたときから内部スレッドが製品チームで作成されたため、プログラムマネージャーを内部でもう一度更新しました。

また、このスレッドをプログラムマネージャーに割り当てています。 この変更が製品側で必要になる可能性がある複雑さについてはよくわからないため、このスレッドで応答するまでに時間がかかる場合があります。

また、このgithubスレッドに対して進行中の内部スレッドを強化し、進捗状況を最新の状態に保ちます。

また、このスレッドの前半のコメントの1つで言及されたURLを修正したことも述べておきます。 その間に一度もそれらを見て、それらがあなたのソリューションに役立つかどうかを知らせてください。そうでない場合は、それについても更新してください。

@ souravmishra-msftこの問題を再開していただき、ありがとうございます。 devopsサービスの範囲を許可しても、キーボールトへのアクセスが許可されません（おそらく、範囲がWebサイトで古くなっています）。また、可能なサブネットのリストが長すぎて、キーボールトのネットワークアクセス制御に追加できません。

私のチームと私はあなたのプログラムマネージャーからの連絡を熱心に待っています

再開していただきありがとうございます... @ captainbrown同じ問題が発生しました明らかに

同意しました。再開していただきありがとうございます。 これは、私たちが本当に対処してもらいたい問題です。

@ souravmishra-msftありがとうございます、これがすぐに優先されることを願っています。

+1、これも私たちの問題です。 Azure DevOpsがKey-vaultにアクセスするだけでなく、DevOpsパイプラインを使用していくつかのファイルを生成し、ファイアウォールで保護されたストレージアカウントにアップロードする必要がありますが、AzureDevOpsが信頼できるサービスではないという同じ問題に直面しています。回避策は、毎週最大250個のIPアドレスをホワイトリストに登録することであるため、非常に醜いものになります（さらに、ストレージアカウントファイアウォールに追加できるIPアドレスの数に制限があるかどうかもわかりません）。 これに対処できれば素晴らしいです！

現在、この問題の回避策があります。

セルフホストエージェントを使用して、次のIPv4範囲をキーボールトファイアウォールの許可リストに追加できます。 詳細はこちら： https ：

（Azure DevOpsチームはこの問題を認識しており、恒久的な修正のための作業が現在進行中です）

この機能は現在プレビュー中です。

これは別の回避策です...スケールセットを使用して独自のvnetをセットアップできます。

https://docs.microsoft.com/en-us/azure/devops/pipelines/agents/scale-set-agents?view=azure-devops

別のトリック...私はこのトリックの所有権を取りません、誰かが私に見せました。
エンタープライズdevopsアカウントをお持ちの場合は、devopsがライブラリのkeyvaultシークレットを読み取れるようにする方法があります。
個人アカウントをお持ちの場合、これは機能しません。

Azure / 11ネットワークへのファイアウォールを開き、キーボールトを使用してdevopsからazureへの接続をセットアップできます。 変数ライブラリをセットアップし、シークレットを追加します。 シークレットが追加されたら、ファイアウォールルールを削除して、シークレットを追加してみてください。 エラーメッセージは、ファイアウォールに配置できるIPを渡します。 1か月間変更されていないことがわかり、変更される可能性があることは理解しています。 この時点で、他のすべての人と同じように回避策を探しています。 ビルドとリリースでさらにテストを行いますが、これにより、ネイティブDevopsGUIがKeyvaultと直接対話できるようになります。

繰り返しますが、これは個人アカウントでは機能しません。

+1プライベートリンク/エンドポイントを介してSQLサーバーにAzDOを使用する場合にも同様の問題があります。

+1同様の問題がここにあります。

回避策はここにあります。 ドキュメント自体には問題ありません。 これは回避策ですhttps://docs.microsoft.com/en-us/azure/devops/pipelines/agents/v2-linux?view=azure-devops＃please-closeここに機能リクエストを投稿することもできますhttps：// developmentcommunity.visualstudio.com/spaces/21/index.html

ここでの機能リクエスト：

https://developercommunity.visualstudio.com/idea/1152209/azure-devops-build-pipeline-cant-get-secrets-from-1.html

+1、今日この問題にぶつかる。

MicrosoftがAzureDevOpsのサービスタグを有効にする場合、Keyvaultファイアウォールで何らかの方法で使用できますか？ https://devblogs.microsoft.com/devops/new-ip-address-ranges-with-service-tags-for-azure-devops-services/

@ JQUINONES82ホストされているエージェントではないのではないかと思います。 あなたのリンクから：

サービスタグは、Microsoft HostedAgentには適用されません。

+1、過去2年間これを打つ

+1、今日この問題にぶつかる。

これはクローズされていますが、どうすれば修正できますか？

セキュリティは機能の要求ではなく、クラウドコンポーネントにとって必要不可欠です。 これが修正されていない場合、再度開くことはできますか？ 何かがプレビューされているという言及を見ました...プレビュー機能を使用します。 これを行うために紺碧のVMをスピンアップするためにさらに多くのお金を費やしたくないので、これは私たちの展開を遅らせるでしょう...

@ jsburckhardt-参照している回避策は
https://blogs.aspnet4you.com/2019/09/20/azure-devops-build-pipeline-use-keys-and-secrets-from-key-vault/

こんにちは仲間、良い回避策です。 残念ながら、セキュリティ上の制限のため。 チームは、KV / vNetのホワイトリストに登録されたIPを制御できません。