Configurazione di Key Protect
Continuous Delivery sarà interrotto nelle seguenti regioni il 10 aprile 2026: eu-es e jp-osa. Questa interruzione si applica anche a tutte le funzionalità fornite all'interno del servizio, tra cui Code Risk Analyzer e DevOps Insights. Ulteriori informazioni
Continuous Delivery sarà interrotto nelle seguenti regioni il 12 febbraio 2027: au-syd, ca-mon, ca-tor, us-east. Anche Code Risk Analyzer e DevOps Insights saranno deprecati in tutte le regioni a partire da quella data. Tuttavia, se una regione non ha un utilizzo attivo di queste funzioni, le funzioni in quella regione possono essere interrotte prima e smettere di accettare nuove istanze. Ulteriori informazioni
IBM® Key Protect for IBM Cloud® ti aiuta ad archiviare e applicare in modo sicuro i segreti per le applicazioni nei servizi IBM Cloud.
Un segreto è qualsiasi cosa che fornisce accesso a informazioni sensibili, come una chiave API. Se archivi i segreti come chiavi standard in Key Protect, puoi utilizzare questa integrazione dello strumento per accedere ai segreti ovunque siano necessari nel flusso di lavoro della toolchain. Per ulteriori informazioni sulle chiavi standard in Key Protect, vedi Tipi di chiave.
Prima di configurare un'integrazione di strumenti Key Protect, assicurarsi di disporre di un'istanza del servizio Key Protect nella regione e nel gruppo di risorse in cui si desidera creare l'integrazione di strumenti. In alcuni scenari, è possibile generare automaticamente un'istanza del servizio Key Protect. Ad esempio, se si sta coniando una nuova chiave API e si sceglie di memorizzarla come segreto per un uso successivo, si genera automaticamente l'istanza del servizio Key Protect. Per istruzioni per l'esecuzione del provisioning di un'istanza del servizio Key Protect, vedi Provisioning del servizio.
Configura Key Protect per gestire in modo sicuro i segreti che fanno parte della tua toolchain:
-
Se stai configurando questa integrazione dello strumento mentre crei la toolchain, nella sezione Integrazioni configurabili, fai clic su Key Protect. Se Key Protect è definito come integrazione dello strumento facoltativa, si trova in Altri strumenti. Per creare un'autorizzazione tra la toolchain e l'istanza del servizio Key Protect selezionare l'opzione Crea un'autorizzazione per questa toolchain dal menu a discesa Tipo di autorizzazione. Questo concede alla toolchain l'accesso al materiale segreto memorizzato nell'istanza del servizio Key Protect.
-
Se si dispone di una catena di strumenti e vi si sta aggiungendo questa integrazione di strumenti, dalla console IBM Cloud, fare clic sull'icona Menu
Platform Automation > Toolchains. Nella pagina Toolchains, fai clic sulla toolchain per aprirne la pagina di panoramica. In alternativa, nella pagina Panoramica dell'applicazione, nella scheda Continuous Delivery, fare clic su Visualizza catena di strumenti.
Fai quindi clic su Overview.a. Fai clic su Add tool.
b. Nella sezione Integrazioni strumento, fai clic su Key Protect.
-
Specifica un nome per questa istanza dell'integrazione dello strumento Key Protect da utilizzare nella tua toolchain. Il nome specificato viene utilizzato negli strumenti dell'IU che selezionano i segreti Key Protect. Viene utilizzata anche come parte del riferimento che risolve i valori segreti quando viene eseguita la toolchain. Questo nome istanza viene visualizzato anche nel riquadro di integrazione dello strumento Key Protect all'interno dello spazio di lavoro della toolchain.
-
Riesamina i valori predefiniti per Region e Resource-Group e aggiornali, se necessario.
-
Seleziona l'istanza del servizio Key Protect che desideri utilizzare.
-
Per creare un'autorizzazione tra la toolchain e l'istanza del servizio Key Protect fai clic sul pulsante Crea autorizzazione. Questo concede alla toolchain l'accesso al materiale segreto memorizzato nell'istanza del servizio Key Protect.
-
Fai clic su Crea integrazione.
-
Nella pagina Panoramica della toolchain, nella scheda Strumenti di terze parti, fai clic su Key Protect.
Applicazione dei segreti
Una volta configurata l'integrazione dello strumento Key Protect, puoi utilizzarla per applicare i segreti ovunque siano necessari alla toolchain. Il seguente esempio applica un segreto memorizzato in Key Protect a una chiave API IBM Cloud richiesta dall'integrazione dello strumento Pipeline. Puoi seguire la stessa procedura per applicare i segreti a qualsiasi integrazione dello strumento Continuous Delivery che richiede valori segreti.
È necessario salvare i segreti di terze parti, come un webhook Slack o un token API Artifactory, in Key Protect prima di creare una nuova toolchain. Si possono coniare e memorizzare in Key Protect solo i segreti gestiti da IBM, come le chiavi API di IBM Cloud, mentre si lavora con la propria toolchain.
-
Fai clic sull'icona della chiave per richiamare i segreti dagli archivi sicuri come Key Protect per la chiave dell'API IBM Cloud.
-
Nel campo Provider, specifica il provider e il nome dell'integrazione dello strumento Key Protect che utilizzi per gestire i tuoi segreti della toolchain. Ad esempio, per utilizzare l'integrazione dello strumento Key Protect, seleziona
Key Project: ibm-keyprotect-secrets-1. È possibile utilizzare altri fornitori per gestire i segreti della propria toolchain, come ad esempio HashiCorp Vault. -
Selezionare un nome segreto e fare clic su OK per applicare il segreto memorizzato al campo ad esso associato.
Il nome del segreto selezionato viene visualizzato in forma di capsula. Non è possibile modificare il nome segreto in linea, ma è possibile fare clic su 
per eliminare il nome.
È anche possibile sostituire il nome segreto utilizzando nuovamente il controllo Selezionatore segreti. Se si immette o si incolla manualmente un nome segreto nel campo Segreti, questo viene visualizzato in un formato diverso:
Il formato in cui viene visualizzato il segreto indica se il valore fa riferimento a un segreto memorizzato in un vault di backend o se è un segreto memorizzato nella tua toolchain. Utilizzando i riferimenti ai segreti gestiti dai provider di segreti come Key Protect, i tuoi valori segreti vengono centralizzati e archiviati in modo sicuro in una singola ubicazione. Questo approccio risolve l'espansione e la proliferazione dei segreti e significa che puoi aggiornare i segreti senza aggiornare la tua toolchain. Quando utilizzi i riferimenti segreti, il valore del segreto effettivo viene risolto quando la toolchain viene eseguita richiamandola dinamicamente da Key Protect. Questo approccio è utile quando devi ruotare periodicamente il valore dei tuoi segreti della toolchain.
Aggiunta di un'integrazione dello strumento Key Protect al tuo template della toolchain
Puoi aggiungere un'integrazione dello strumento Key Protect al tuo template della toolchain aggiungendo una definizione del servizio al file toolchain.yml nel tuo repository del template. Questo file è il blueprint di progettazione per la tua toolchain e include tutte le integrazioni dello strumento disponibili quando crei un'istanza della toolchain basata su tale template. Per personalizzare un template di toolchain esistente per includere un'integrazione dello strumento Key Protect, inserisci una definizione YAML.
kp-tool:
service_id: keyprotect
parameters:
name: kp-compliance-secrets
region: us-south
resource-group: default
instance-name: ffs-secrets
setup-authorization-type: create
In alcuni scenari, è possibile aggiungere un'integrazione dello strumento Key Protect in modo dinamico durante la creazione di una catena di strumenti. Ad esempio, se si fa clic su Nuovo per coniare una nuova chiave API, è possibile selezionare la casella di controllo Salva questa chiave in un archivio di segreti per riutilizzarla per salvare la chiave API in un'istanza di Key Protect e utilizzarla nuovamente in seguito. Se non si dispone già di un'istanza di Key Protect, viene creata una nuova istanza.
Autorizzazione della tua toolchain per accedere ai segreti
I riferimenti ai segreti memorizzati in Key Protect vengono risolti dinamicamente quando viene eseguita la toolchain. Per accedere ai segreti richiesti, devi autorizzare la tua toolchain ad accedere all'istanza Key Protect. Se stai creando una toolchain da un template, utilizza il menu a discesa Tipo di autorizzazione durante la configurazione dell'integrazione Key Protect. Se stai aggiungendo un'integrazione Key Protect a una toolchain esistente, utilizza il pulsante Crea autorizzazione.
Per visualizzare le tue autorizzazioni in IBM Cloud, completa la seguente procedura:
- Dalla console IBM Cloud, fare clic su Gestione > Accesso (IAM).
- Fare clic su Autorizzazioni.
Puoi anche accedere alle tue autorizzazioni nella pagina Gestisci autorizzazioni.
È possibile creare l'autorizzazione manualmente, se necessario. Per risolvere correttamente i riferimenti segreti, la tua istanza della toolchain deve avere sia accesso Viewer che ReaderPlus all'istanza del servizio
Key Protect corretta.
Configurazione di Key Protect utilizzando l'API
L'integrazione dello strumento Key Protect supporta i seguenti parametri di configurazione che possono essere utilizzati con l'API e gli SDK di Toolchain HTTP quando si creano, leggono e aggiornano le integrazioni degli strumenti.
È necessario specificare la proprietà tool_type_id nel corpo della richiesta con il valore keyprotect.
| Parametro | Utilizzo | Immettere | Argomento Terraform | Descrizione |
|---|---|---|---|---|
| nome-istanza | richiesto, aggiornabile | Stringa | instance_name | Il nome dell'istanza del servizio Key Protect. |
| nome | richiesto, aggiornabile | Stringa | nome | Il nome di questa integrazione dello strumento. I riferimenti segreti includono questo nome per identificare l'archivio dei segreti in cui risiedono i segreti. Tutti gli strumenti dell'archivio dei segreti integrati in una toolchain devono avere un nome univoco per consentire il corretto funzionamento della risoluzione dei segreti. |
| regione | richiesto, aggiornabile | Stringa | ubicazione | La regione IBM Cloud in cui si trova l'istanza del servizio Key Protect. |
| gruppo di risorse | richiesto, aggiornabile | Stringa | nome_gruppo_risorse | Il nome del gruppo di risorse in cui si trova l'istanza del servizio Key Protect. |
Ulteriori informazioni su Key Protect
Per ulteriori informazioni su Key Protect, vedi Panoramica del servizio.