• 在 CI/CD 作业中使用 Azure Key Vault secret
• 故障排查
  • JWT token is invalid or malformed 消息
  • Caller is not authorized to perform action on resource 消息
• The secrets provider can not be found. Check your CI/CD variables and try again. 消息

在极狐GitLab CI/CD 中使用 Azure Key Vault secret

• 引入于极狐GitLab 和极狐GitLab Runner 16.3。
• 在极狐GitLab Runner 16.6 中 GA。

您可以在极狐GitLab CI/CD 流水线中使用存储在 Azure Key Vault 中的 secret。

先决条件：

• 在 Azure 上有一个 key vault。
  • 针对指派给 Key Vault 的 群组资源，您的 IAM 用户必须被授予 Key Vault Administrator 角色指派。否则，您无法在 key Vault 内创建密钥。
• 在 Azure 中配置 OpenID Connect 以检索临时凭据。
• 将 CI/CD 变量添加到您的项目以提供有关 Vault 服务器的详细信息：
  • AZURE_KEY_VAULT_SERVER_URL：Azure Key Vault 服务器的 URL，例如 https://vault.example.com。
  • AZURE_CLIENT_ID：Azure 应用程序的客户端 ID。
  • AZURE_TENANT_ID：Azure 应用程序的租户 ID。

在 CI/CD 作业中使用 Azure Key Vault secret

您可以通过使用 azure_key_vault 关键字进行定义来使用存储在作业的 Azure Key Vault 中的 secret：

job:
  id_tokens:
    AZURE_JWT:
      aud: 'https://gitlab.com'
  secrets:
    DATABASE_PASSWORD:
      token: $AZURE_JWT
      azure_key_vault:
        name: 'test'
        version: '00000000000000000000000000000000'

在此示例中：

• aud 是 audience，必须与创建联合身份凭据时使用的 audience 匹配。
• name 是 Azure Key Vault 中的密钥名称。
• version 是 Azure Key Vault 中密钥的版本。版本是一个生成的 GUID，没有破折号，可以在 Azure Key Vault 密钥页面上找到。
• 极狐GitLab 从 Azure Key Vault 中获取密钥，并将值存储在临时文件中。此文件的路径存储在 DATABASE_PASSWORD CI/CD 变量中，类似于文件类型 CI/CD 变量。

故障排查

当设置 Azure OIDC 设置时候，如遇到问题，可参考 Azure OIDC 故障排查。

JWT token is invalid or malformed 消息

当从 Azure Key Vault 获取密钥时，您可能会接收到此错误：

RESPONSE 400 Bad Request
AADSTS50027: JWT token is invalid or malformed.

此错误是由一个已知问题（JWT 无法被正确解析）引起。要解决此问题，升级极狐GitLab Runner 到 16.6 或更新版本。

Caller is not authorized to perform action on resource 消息

当从 Azure Key Vault 获取密钥时，您可能会接收到此错误：

RESPONSE 403: 403 Forbidden
ERROR CODE: Forbidden
Caller is not authorized to perform action on resource.\r\nIf role assignments, deny assignments or role definitions were changed recently, please observe propagation time.
ForbiddenByRbac

如果您的 Azure Key Vault 在使用 RBAC，您必须将 Key Vault Secrets User 角色指派添加到您的 Azure AD 应用程序。

比如：

appId=$(az ad app list --display-name gitlab-oidc --query '[0].appId' -otsv)
az role assignment create --assignee $appId --role "Key Vault Secrets User" --scope /subscriptions/<subscription-id>

您可以在如下内容中找到您的订阅 ID：

• Azure Portal
• Azure CLI

The secrets provider can not be found. Check your CI/CD variables and try again. 消息

当您尝试启动一个配置了访问 Azure Key Vault 的作业时，可能会收到此错误：

The secrets provider can not be found. Check your CI/CD variables and try again.

作业无法被创建，因为缺少一个或多个所需的变量：

• AZURE_KEY_VAULT_SERVER_URL
• AZURE_CLIENT_ID
• AZURE_TENANT_ID