セキュリティで保護されたパイプラインをサポートするようにプロジェクトとリポジトリの構造を構成する

このラボでは、セキュリティで保護されたパイプラインをサポートするように Azure DevOps でプロジェクトとリポジトリの構造を構成する方法について学習します。 このラボでは、プロジェクトとリポジトリの編成、アクセス許可の割り当て、セキュリティで保護されたファイルの管理に関するベスト プラクティスについて説明します。

これらの演習の所要時間は約 30 分です。

開始する前に

ラボの演習を行うには、Azure サブスクリプション、Azure DevOps 組織、eShopOnWeb アプリケーションが必要です。

手順

演習 1:セキュリティで保護されたプロジェクト構造を構成する

この演習では、新しいプロジェクトを作成し、プロジェクトのアクセス許可を割り当てることで、セキュリティで保護されたプロジェクト構造を構成します。 責任とリソースを、特定のアクセス許可を持つ異なるプロジェクトまたはリポジトリに分離することで、セキュリティがサポートされます。

タスク 1:新しいチーム プロジェクトを作成する

  1. Azure DevOps ポータル (https://aex.dev.azure.com) に移動し、自分の組織を開きます。

  2. ポータルの左下隅にある組織の設定を開き、[全般] セクションで [プロジェクト] を選択します。

  3. [新しいプロジェクト] オプションを選び、次の設定を使用します。

    • name: eShopSecurity
    • 可視性: プライベート
    • 詳細設定: バージョン コントロール: Git
    • 詳細設定: 作業項目プロセス: スクラム

    指定した設定を含む新しいプロジェクト ダイアログのスクリーンショット。

  4. [作成] を選択して、新しいプロジェクトを作成します。

  5. これで、Azure DevOps ポータルの左上隅にあるAzure DevOps アイコンをクリックして、さまざまなプロジェクトを切り替えることができるようになりました。

    Azure DevOps チーム プロジェクト eShopOnWeb と eShopSecurity のスクリーンショット。

各プロジェクトのアクセス許可と設定を個別に管理するには、[プロジェクトの設定] メニューに移動して、該当するチーム プロジェクトを選択します。 複数のユーザーまたはチームがさまざまなプロジェクトで作業している場合は、各プロジェクトに個別にアクセス許可を割り当てることもできます。

タスク 2:新しいリポジトリを作成し、プロジェクトのアクセス許可を割り当てる

  1. Azure DevOps ポータルの左上隅にある組織名を選択し、新しい eShopSecurity プロジェクトを選択します。

  2. [Repos] メニューを選択します。

  3. README.md ファイルを追加し、[初期化] ボタンを選択して新しいリポジトリを初期化します。

  4. ポータルの左下隅にある [プロジェクトの設定] メニューを開き、[Repos] セクションで [リポジトリ] を選択します。

  5. 新しい eShopSecurity リポジトリを選択し、[セキュリティ] タブを選択します。

    : プロジェクト内のすべてのリポジトリではなく、特定のリポジトリでのみ [セキュリティ] タブを選択していることを確認します。 すべてのリポジトリを選択すると、プロジェクト内の他のリポジトリにアクセスできなくなる可能性があります。

  6. [継承] トグル ボタンをオフにして、親からのアクセス許可継承を削除します。

  7. [共同作成者] グループを選択し、[アクセス許可の管理][読み取り] を除くすべてのアクセス許可に対して [拒否] ドロップダウンを選択します。 これにより、共同作成者グループのすべてのユーザーがリポジトリにアクセスできなくなります。

    : 実際のシナリオでは、共同作成者グループに対するアクセス許可の管理も拒否します。 このラボでは、共同作成者グループがアクセス許可を管理して、ラボを完了できるようにします。

  8. [ユーザー] でご自身のユーザーを選択し、[許可] ボタンを選択して、すべてのアクセス許可を許可します。

    : [ユーザー] セクションに自分の名前が表示されない場合は、[ユーザーまたはグループの検索] テキスト ボックスに自分の名前を入力し、結果の一覧でそれを選択します。

    読み取りを許可し、その他のアクセス許可すべてを拒否するリポジトリ セキュリティ設定のスクリーンショット。

  9. 変更は自動的に保存されます。

これで、アクセス許可を割り当てたユーザーと管理者のみがリポジトリにアクセスできるようになりました。 これは、特定のユーザーがリポジトリにアクセスし、eShopOnWeb プロジェクトからパイプラインを実行できるようにする場合に便利です。

演習 2:セキュリティで保護されたパイプラインをサポートするようにパイプラインとテンプレートの構造を構成する

タスク 1: CI パイプラインをインポートして実行する

まず、eshoponweb-ci.yml という CI パイプラインをインポートします。

  1. Azure DevOps ポータル (https://aex.dev.azure.com) に移動し、自分の組織を開きます。

  2. Azure DevOps で eShopOnWeb プロジェクトを開きます。

  3. [パイプライン] > [パイプライン] に移動します。

  4. [パイプラインを作成] ボタンを選択します。

  5. [Azure Repos Git (Yaml)] を選びます。

  6. eShopOnWeb リポジトリを選びます。

  7. [既存の Azure Pipelines YAML ファイル] を選びます。

  8. /.ado/eshoponweb-ci.yml ファイルを選び、 [続行] をクリックします。

  9. [実行] ボタンを選んでパイプラインを実行します。

    : パイプラインには、プロジェクト名に基づく名前が付けられます。 パイプラインを特定しやすいように名前を変更します。

  10. [パイプライン] > [パイプライン] に移動し、先ほど作成したパイプラインを選択します。 省略記号を選択し、[名前の変更/移動] オプションを選択します。

  11. eshoponweb-ci という名前を付けて、[保存] を選択します。

タスク 2: CD パイプラインをインポートして実行する

: このタスクでは、eshoponweb-cd-webapp-code.yml という名前の CD パイプラインをインポートして実行します。

  1. [パイプライン] > [パイプライン] に移動します。

  2. [新しいパイプライン] ボタンを選択します。

  3. [Azure Repos Git (Yaml)] を選びます。

  4. eShopOnWeb リポジトリを選びます。

  5. [既存の Azure Pipelines YAML ファイル] を選びます。

  6. /.ado/eshoponweb-cd-webapp-code.yml ファイルを選び、[続行] を選びます。

  7. YAML パイプライン定義で、変数セクションを次のように設定します。

    variables:
  resource-group: 'YOUR-RESOURCE-GROUP-NAME'
  location: 'centralus'
  templateFile: 'infra/webapp.bicep'
  subscriptionid: 'YOUR-SUBSCRIPTION-ID'
  azureserviceconnection: 'YOUR-AZURE-SERVICE-CONNECTION-NAME'
  webappname: 'YOUR-WEB-APP-NAME'

  8. 変数の値を実際の環境の値に置き換えます。

    • YOUR-RESOURCE-GROUP-NAME を、このラボで使用するリソース グループの名前 (たとえば、rg-eshoponweb-secure) に置き換えます。
    • location 変数の値を、リソースをデプロイする Azure リージョンの名前 (たとえば、centralus) に設定します。
    • YOUR-SUBSCRIPTION-ID を、お使いの Azure サブスクリプション ID に置き換えます。
    • YOUR-AZURE-SERVICE-CONNECTION-NAME を、azure subs に置き換えます
    • YOUR-WEB-APP-NAME を、デプロイする Web アプリのグローバル一意識別子 (たとえば、文字列 eshoponweb-lab-multi-123456 の後にランダムな 6 桁の数字) に置き換えます。

  9. [保存および実行] を選択し、メイン ブランチに直接コミットすることを選択します。

  10. もう一度 [保存および実行] を選択します。

  11. パイプライン実行を開きます。 “この実行を続行して [Web アプリへのデプロイ] に進む前に、リソースにアクセスするためのアクセス許可がこのパイプラインに必要です” というメッセージが表示された場合は、[表示][許可]、さらにもう一度 [許可] を選択します。 この操作は、パイプラインで Azure App Service リソースを作成するために必要です。

    YAML パイプラインからのアクセス許可のスクリーンショット。

  12. デプロイが完了するまでに数分かかる場合があります。パイプラインが実行されるまで待ちます。 パイプラインは、CI パイプラインの完了後にトリガーされ、次のタスクが含まれます。

    • AzureResourceManagerTemplateDeployment: bicep テンプレートを使用して Azure App Service Web アプリをデプロイします。
    • AzureRmWebAppDeployment: Web サイトを Azure App Service Web アプリに公開します。

    : デプロイに失敗した場合は、パイプライン実行ページに移動し、[失敗したジョブの再実行] を選択して別のパイプライン実行を呼び出します。

    : パイプラインには、プロジェクト名に基づく名前が付けられます。 パイプラインを識別しやすくするために、名前を変更しましょう。

  13. [パイプライン] > [パイプライン] に移動し、先ほど作成したパイプラインを選択します。 省略記号を選択し、[名前の変更/移動] オプションを選択します。

  14. eshoponweb-cd-webapp-code という名前を付け、 [保存] をクリックします。

これで 2 つのパイプラインが eShopOnWeb プロジェクトで実行されているはずです。

正常に実行された CI/CD パイプラインのスクリーンショット。

タスク 3:CD パイプライン変数を YAML テンプレートに移動する

このタスクでは、CD パイプラインで使用される変数を保存する YAML テンプレートを作成します。 これにより、他のパイプラインでテンプレートを再利用できるようになります。

  1. [Repos] に移動し、次に [ファイル] に移動します。

  2. .ado フォルダーを展開し、[新しいファイル] を選択します。

  3. eshoponweb-secure-variables.yml ファイルに名前を付け、[作成] を選択します。

  4. CD パイプラインで使用される変数セクションを新しいファイルに追加します。 ファイルは次のようになります。

    variables:
  resource-group: 'rg-eshoponweb-secure'
  location: 'southcentralus' #the name of the Azure region you want to deploy your resources
  templateFile: 'infra/webapp.bicep'
  subscriptionid: 'YOUR-SUBSCRIPTION-ID'
  azureserviceconnection: 'azure subs' #the name of the service connection to your Azure subscription
  webappname: 'eshoponweb-lab-secure-XXXXXX' #the globally unique name of the web app

    重要: 変数の値を環境の値 (リソース グループ、場所、サブスクリプション ID、Azure サービス接続、Web アプリ名) に置き換えます。

  5. [コミット] を選択し、コミットの [コメント] テキスト ボックスに「[skip ci]」と入力し、[コミット] を選択します。

    : [skip ci] コメントをコミットに追加すると、パイプラインが自動実行されなくなります。この時点では、パイプラインは既定でリポジトリへの変更が発生するたびに実行されています。

  6. リポジトリ内のファイルの一覧から、eshoponweb-cd-webapp-code.yml パイプライン定義を開き、変数セクションを次のように置き換えます。

    variables:
  - template: eshoponweb-secure-variables.yml

  7. [コミット] を選択し、既定のコメントをそのまま使用してから、もう一度 [コミット] を選択してパイプラインを実行します。

  8. パイプライン実行が正常に完了したことを確認します。

これで、CD パイプラインで使用される変数を含む YAML テンプレートが作成されました。 このテンプレートは、同じリソースをデプロイする必要があるシナリオの他のパイプラインで再利用できます。 また、運用チームは、テンプレートの値で、リソース グループ、リソースがデプロイされる場所などの情報を制御できます。パイプライン定義を変更する必要はありません。

タスク 4:YAML テンプレートを別のリポジトリとプロジェクトに移動する

このタスクでは、YAML テンプレートを別のリポジトリとプロジェクトに移動します。

  1. eShopSecurity プロジェクトで、[Repos] > [ファイル] に移動します。

  2. eshoponweb-secure-variables.yml という名前の新しいファイルを作成します。

  3. .ado/eshoponweb-secure-variables.yml ファイルの内容を eShopOnWeb リポジトリから新しいファイルにコピーします。

  4. 変更をコミットします。

  5. eShopOnWeb リポジトリで、eshoponweb-cd-webapp-code.yml パイプライン定義を開きます。

  6. パイプライン定義で variables セクションの前の resources セクションに以下を追加します。

      repositories:
    - repository: eShopSecurity
      type: git
      name: eShopSecurity/eShopSecurity #name of the project and repository

  7. 変数セクションを以下に置き換えます。

    variables:
  - template: eshoponweb-secure-variables.yml@eShopSecurity #name of the template and repository

    新しい変数セクションとリソース セクションを含むパイプライン定義のスクリーンショット。

  8. [コミット] を選択し、既定のコメントをそのまま使用してから、もう一度 [コミット] を選択してパイプラインを実行します。

  9. パイプライン実行に移動し、パイプラインで eShopSecurity リポジトリの YAML ファイルが使用されていることを確認します。

    eShopSecurity リポジトリの YAML テンプレートが使用されているパイプライン実行のスクリーンショット。

これで YAML テンプレートが別のリポジトリとプロジェクトに移動されました。 このファイルは、同じリソースをデプロイする必要があるシナリオの他のパイプラインで再利用できます。 また、運用チームは、YAML ファイルの値を変更することで、リソース グループ、場所、セキュリティ、リソースがデプロイされる場所などの情報を制御できます。パイプライン定義を変更する必要はありません。

[!IMPORTANT] 不要な料金が発生しないように、Azure portal で作成されたリソースを必ず削除してください。

確認

このラボでは、Azure DevOps でセキュリティで保護されたプロジェクトとリポジトリの構造を構成する方法について学習しました。 アクセス許可を効果的に管理することで、DevOps パイプラインとプロセスのセキュリティと整合性を維持しながら、適切なユーザーが必要なリソースにアクセスできることを保証できます。