我看到在 Azure 发布管道中,我们可以通过在库中创建基于密钥库的变量组或在管道中使用任务“Azure Key vault”来读取机密。它们都做同样的事情,即从密钥库中读取秘密值,不同之处在于我们可以将变量组与多个管道链接,并且“Azure 密钥库”任务将保持在一个管道中。
我想了解从发布管道中的 Azure 密钥保管库读取机密时的最佳做法。这里推荐这两种方法中的哪一种,为什么?
我看到在 Azure 发布管道中,我们可以通过在库中创建基于密钥库的变量组或在管道中使用任务“Azure Key vault”来读取机密。它们都做同样的事情,即从密钥库中读取秘密值,不同之处在于我们可以将变量组与多个管道链接,并且“Azure 密钥库”任务将保持在一个管道中。
我想了解从发布管道中的 Azure 密钥保管库读取机密时的最佳做法。这里推荐这两种方法中的哪一种,为什么?
这里推荐这两种方法中的哪一种,为什么?
可复用性是它们之间最大的区别,也是你决定选择哪种方式的依据。
如果您确认您的作业是一次性作业,则可以选择 Azure 密钥保管库任务。在这种情况下,您不需要在库中配置变量组并将库链接到发布管道。
但如果您需要重用它或计划将来重用它,则选择库中的变量组,这样您就不需要在每个管道中添加 Azure 密钥保管库任务。
但是,当我们已经在 Azure 密钥保管库中拥有这些机密时,您是否建议使用管道变量。在这种情况下,是否不会在 Azure Key Vault 和管道变量中复制这些机密。
我不建议你在管道变量中使用已在 Azure 密钥保管库中设置的那些变量。因为管道中的变量会覆盖你在 Azure 密钥保管库中设置的变量的值。