问题描述
我看到在 Azure 发布管道中,我们可以通过在库中创建基于密钥保管库的变量组或在管道中使用任务“Azure Key Vault”来读取机密。它们都做同样的事情,即从密钥保管库中读取秘密值,不同之处在于我们可以将变量组与多个管道链接起来,而“Azure 密钥保管库”任务将仍然局限于一个管道。
我想了解在发布管道中从 Azure 密钥保管库读取机密时的最佳做法是什么。这里推荐这两种方法中的哪一种,为什么?
解决方法
这里推荐这两种方法中的哪一种,为什么?
可重用性是它们之间最大的区别,也是您决定选择哪种方式的基础。
如果您确认您的作业是一次性作业,则可以选择 Azure Key Vault 任务。在这种情况下,您不需要在库中配置变量组并将库链接到发布管道。
但是如果以后需要复用或者打算复用,那么就在library中选择变量组,这样就不需要在每个管道中添加Azure Key Vault任务了。
但是当我们已经 将这些机密保存在 Azure Key Vault 中。这不会重复这些吗 在这种情况下,Azure Key Vault 中的机密和管道变量。
我不建议您在管道变量中使用已在 Azure 密钥保管库中设置的那些变量。因为管道中的变量会覆盖你在 Azure Key Vault 中设置的变量的值。