Archives de catégorie : Visual Studio

Consommer des secrets Azure Key Vault depuis Visual Studio 2015

Parfois, il y a des mises à jour qu’on voit pas passer et qui nous sauvent la vie quand on les découvre. Je dis découvre car c’est tellement petit en taille sur mon écran qu’on se rend pas compte qu’on passe devant tous les jours. La dernière mise à jour de Visual Studio Community Edition 2015 (L’update 2) est de celle-là. Je passe par là tellement souvent que c’est devenu un réflexe.

clip_image001

 

J’allais renseigner mes paramètres sans réfléchir, jusqu’à ce que ce petit icône attire mon attention.

clip_image002

 

Oh magie, une intégration cachée de l’Azure Key Vault. Premier point qui attire mon attention, une indication d’avertissement sur mon Key Vault.

clip_image003

 

C’est que mon instance du service Key Vault n’est pas encore configurée pour être utilisable pendant les déploiements. Recherche rapide, la configuration actuelle ne permet pas d’utiliser le Key Vault lors d’un déploiement de templates.

clip_image004

 

Je me disais que cela allait être une formalité mais on est toujours en Preview. L’aide de la commande New-AzureRmKeyVault nous indique que c’est pas encore possible de le configurer en PowerShell.

clip_image005

 

En attendant le passage en General Availability, je triche, moi propriétaire du précieux coffre-fort numérique va corriger cela en déclarant un secret directement depuis Visual Studio Community 2015.

clip_image006

 

Y a plus qu’à laisser Visual Studio mettre à jour les fonctionnalités de mon coffre-fort numérique.

clip_image007

 

Par ce que je ne suis pas préteur de mes précieux, je ne donne l’accès qu’au précieux secrets dont mon développeur a besoin. Et encore, uniquement le droit de les consommer­. La subtilité, c’est qu’il doit pouvoir accéder aux clés et aux secrets. Pas plus que la permission Get. C’est suffisant.

Set-AzureRmKeyVaultAccessPolicy -VaultName ‘MyKeyVaultHSM’ -UserPrincipalName ‘test@XXXXXXXXXX.onMicrosoft.com’ -PermissionsToKeys ‘Get’ -PermissionsToSecrets ‘Get’

clip_image008

 

Une évolution intéressante serait de pouvoir filtrer précisément la clé concernée. C’est pas encore possible à ce jour.Après, y a plus qu’à shooter comme d’habitude. On remarquera qu’on fait référence à une secret qui vient juste d’être mis au coffre-fort numérique.

clip_image009

 

Pour ceux que cela intéresse, le détail de mes paramètres de déploiement. Cela fait bien référence à la variable nouvellement créée.

clip_image010

 

Conclusion, mes développeurs peuvent provisionner des machines virtuelles sans connaitre le mot de passe Administrateur de la machine virtuelle. On peut même pousser la mécanique pour réaliser la jointure au domaine. Combiné avec un truc comme LAPSI alias ADMPWD, c’est parfait.

BenoîtS – Simple and secure by design but Business compliant (with disruptive flag enabled)