• CI/CD 작업에서 Azure Key Vault 비밀 사용하기
• 문제 해결
  • JWT token is invalid or malformed 메시지
  • Caller is not authorized to perform action on resource 메시지

GitLab CI/CD에서 Azure Key Vault 비밀을 사용하기

• GitLab 및 GitLab Runner 16.3에서 도입되었습니다. Issue 424746로 인해이 기능이 예상대로 작동하지 않았습니다.
• Issue 424746가 해결되었으며 이 기능은 GitLab Runner 16.6에서 일반적으로 사용할 수 있습니다.

GitLab CI/CD 파이프라인에서 Azure Key Vault에 저장된 비밀을 사용할 수 있습니다.

선행 조건:

• Azure에 Key Vault가 있어야합니다.
  • IAM 사용자는 Key Vault에 할당된 리소스 그룹에 대한 Key Vault 관리자 역할 할당을 받아야합니다. 그렇지 않으면 Key Vault 내에서 비밀을 생성할 수 없습니다.
• Azure에서 일시적인 자격 증명을 검색하기 위해 OpenID Connect를 구성합니다](../../ci/cloud_services/azure/index.md). 이러한 단계에는 Key Vault 액세스용 Azure AD 애플리케이션을 만드는 방법에 대한 지침이 포함되어 있습니다.
• 프로젝트에 CI/CD 변수를 추가하여 Vault 서버에 대한 세부 정보를 제공합니다:
  • AZURE_KEY_VAULT_SERVER_URL: https://vault.example.com과 같은 Azure Key Vault 서버의 URL입니다.
  • AZURE_CLIENT_ID: Azure 애플리케이션의 클라이언트 ID입니다.
  • AZURE_TENANT_ID: Azure 애플리케이션의 테넌트 ID입니다.

CI/CD 작업에서 Azure Key Vault 비밀 사용하기

작업에서 Azure Key Vault에 저장된 비밀을 azure_key_vault 키워드를 사용하여 정의하여 사용할 수 있습니다:

job:
  id_tokens:
    AZURE_JWT:
      aud: 'https://gitlab.com'
  secrets:
    DATABASE_PASSWORD:
      token: $AZURE_JWT
      azure_key_vault:
        name: 'test'
        version: '00000000000000000000000000000000'

이 예에서:

• aud는 청중으로, 페더레이션 ID 자격 증명을 생성할 때 사용한 청중과 일치해야합니다.
• name은 Azure Key Vault에서 비밀의 이름입니다.
• version은 Azure Key Vault에서 비밀의 버전입니다. 버전은 생성된 GUID이며 이것은 Azure Key Vault 비밀 페이지에서 찾을 수 있습니다.
• GitLab은 Azure Key Vault에서 비밀을 검색하고 값을 임시 파일에 저장합니다. 이 파일의 경로는 파일 타입 CI/CD 변수와 유사하게 DATABASE_PASSWORD CI/CD 변수에 저장됩니다.

문제 해결

Azure와 OIDC를 설정할 때 일반적으로 발생하는 문제에 대한 자세한 내용은 Azure용 OIDC 문제 해결을 참조하십시오.

JWT token is invalid or malformed 메시지

Azure Key Vault에서 비밀을 검색할 때이 오류를 받을 수 있습니다:

RESPONSE 400 Bad Request
AADSTS50027: JWT token is invalid or malformed.

이는 JWT 토큰이 GitLab Runner에서 올바르게 구문 분석되지 않아 발생하는 알려진 문제로, GitLab Runner 16.6 이상으로 업그레이드하여 해결할 수 있습니다.

Caller is not authorized to perform action on resource 메시지

Azure Key Vault에서 비밀을 검색할 때이 오류를 받을 수 있습니다:

RESPONSE 403: 403 Forbidden
ERROR CODE: Forbidden
Caller is not authorized to perform action on resource.\r\nIf role assignments, deny assignments or role definitions were changed recently, please observe propagation time.
ForbiddenByRbac

Azure Key Vault에서 RBAC를 사용하고 있다면 Azure AD 애플리케이션에 Key Vault Secrets User 역할 할당을 추가해야합니다.

예시:

appId=$(az ad app list --display-name gitlab-oidc --query '[0].appId' -otsv)
az role assignment create --assignee $appId --role "Key Vault Secrets User" --scope /subscriptions/<subscription-id>

구독 ID는 다음 위치에서 찾을 수 있습니다:

• Azure 포털.
• Azure CLI.