以前、 Azure CLIコマンドをdocker runと同時に実行して、実行が終わったらコンテナを破棄する という記事を書いて、Azure CLIをDockerイメージ化しました。
このDockerイメージを使って、JenkinsからVMの起動/停止をしたかったんですが、AzureサービスプリンシパルのTokenやアプリケーションIDをどうやって隠蔽しようか悩みました。
Jenkins Secret Textが非常に使い勝手が良かったので紹介したいと思います。
Azureを例にしてますが、この仕組みはなんにでも使えます。
環境
- Jenkins : 2.150.1
Azure CLI Dockerイメージ実行方法
- 以下のようなコマンドレットで実行します。
$ docker run --rm -e AZURE_APPLICATION_ID=[Your Application ID] \
-e AZURE_SECRET=[Your Secret] \
-e AZURE_TENANT_ID=[Your Tenant ID] \
-e CMD="/usr/local/bin/az vm start -g [ResourceGroup] -n [VM Name]" azurecli:v1.0
ここのSecretとかをどうにか隠蔽したいですね。
Jenkins環境変数で可能では?
- [Jenkinsの管理]→[システムの設定]→[グローバルプロパティ]から環境変数を設定できます。
Jenkinsジョブからはいきなり${AZURE_SECRET}といった形で利用できるので非常に便利ですが、2つ問題点がありました。
- Jenkinsを複数人で利用している場合、誰でもキーが使える上に設定値が丸見え
- ジョブ実行後のコンソール出力に設定値が丸見え
ということでこのやり方は不採用
Jenkins認証情報
Jenkins認証情報を活用することで先程の2つの問題点が解消できました。
それぞれどのように対策したか見ていきます。
Jenkinsを複数人で利用している場合、誰でもキーが使える上に設定値が丸見え
まずは適当にフォルダを作ります。
作成したフォルダ配下で、[認証情報]を選択します。
[Stores scoped to]の箇所で、[Add credentials]を選択します。
種類に[Secret text]を選択し、まずはAZURE_APPLICATION_IDを設定して保存します。
同じ要領でAZURE_SECRETとAZURE_TENANT_IDのSecret Textも作成します。
これでこの3つのSecretはこのフォルダに紐付いた認証情報ということになりました。
Role-based Authorization Strategyプラグイン を使い、このフォルダにアクセス可能な人を絞ることで、誰でもキーが使えるという問題点が解決しました。
ジョブ実行後のコンソール出力に設定値が丸見え
それでは先程作ったフォルダ配下にジョブを作ります。
[ビルド環境]→[秘密テキストや秘密ファイルを使用する]にチェックを入れます。
バインディングという項目が追加されるので、[秘密テキスト]を選択します。
先程作った認証情報が選べるので選択します。変数名は任意の値でよいですが分かりやすいものを付けましょう。
同じ要領でAZURE_SECRETとAZURE_TENANT_IDの秘密テキストも作成します。
ビルドで[シェルの実行]を選択します。
先程設定した秘密テキストはシェル変数の形式で使うことができます。
ジョブを保存して実行します。
コンソール出力画面を見ると、設定したSecret情報が隠蔽されていることが分かります。
