Jenkins administración de credenciales
¿Cuál es la evidencia?
Documento (cridential) es credenciales Jenkins de funcionamiento restringido. Por ejemplo, la máquina remota usando entrada SSH, nombre de usuario y contraseña o clave SSH es una prueba. Estas credenciales no se pueden escribir en texto claro en Jenkinsfile. Jenkins administración de credenciales se refiere a la gestión de estas credenciales.
Para maximizar la seguridad, el almacenamiento, la encripta credenciales (ID cifrada por ejemplo Jenkins) en el Maestro nodo Jenkins, utiliza sólo en la tubería con el fin por sus credenciales de identificación, y restringe el certificado de una instancia replicada a otro Jenkins Jenkins ejemplo de una capacidad.
Debido a todos los documentos se almacenan en el maestro Jenkins, así que es mejor no es para realizar tareas en un maestro Jenkins, para evitar ser ilegalmente leer fuera de la tubería. A continuación, la ejecución de tuberías dónde? agente Jenkins se asigne a la ejecución.
Creación de credenciales
En primer lugar asegúrese de que el usuario actual tiene permiso para añadir credenciales. Utilizamos el inicio de sesión de administrador super. Jenkins lado izquierdo de la página principal, haga clic en Credenciales → Sistema
A continuación, haga clic en "credenciales Global (sin restricciones)" enlace, y luego haga clic en "Agregar credenciales"
El certificado de tipo
Jenkins por defecto soporta los siguientes tipos de documentos: texto secreto, nombre de usuario con contraseña, archivo secreto, SSHUsername con la clave privada, Certificado: PKCS # 12, acoplables al anfitrión credenciales CertificateAuthentication.
texto secreto es una cadena de texto confidencial, como GitLab de token de API.
Nombre de usuario con contraseña se refiere a las credenciales de usuario y contraseña.
archivo secreto se refiere a un archivo de texto confidencial. Cuando se utiliza el archivo secreto, Jenkins copiará los archivos en un directorio temporal, entonces el conjunto de ruta de archivo a una variable. Tras el final de la construcción, se eliminará el archivo secreto copiado.
SSH nombre de usuario con la clave privada se refiere a un par de nombre de usuario y clave SSH.
Después de que el certificado de adición, las credenciales de instalación de unión de enchufe Plugin, etapa que se lleva a cabo por withCredentials proporcionadas credenciales se pueden utilizar en la tubería.
texto secreto
Nombre de usuario con contraseña
archivo secreto
SSH nombre de usuario con la clave privada
función sshUserPrivateKey también es compatible con los siguientes parámetros.
• usernameVariable: variable de nombre de SSH nombre de usuario.
• passphraseVariable: nombre de variable clave SSH contraseña.
credenciales de ayuda credencial método
secreto texto:
AWS-clave secreta-ID y credenciales de identificación AWS-secreto-ACCESS-CLAVE son nuestra predefinido. Después de credenciales método credenciales asignadas al valor de la variable, podemos usarlos como una variable de entorno normales, como por ejemplo: echo "$ {AWS CLAVE DE ACCESO ID}".
Nombre de usuario con contraseña:
Y el texto secreto es diferente, es necesario para obtener el valor del nombre de usuario por Bitbucket Creds USR, obtener el valor de la contraseña por Bitbucket Creds PSW. Bitbucket Creds el valor de la variable es una cadena en el formato: <nombre de usuario>: <contraseña>.
archivo secreto:
credenciales método de ayuda sólo es compatible con el texto secreto, nombre de usuario con contraseña, Secretfile tres tipos de credenciales.
Uso HashiCorp Bóveda
(1) instalación HashiCorp Bóveda plug-in
(2) añadir credenciales Bóveda Token
(3) Configuración Plug-Bóveda
(4) lee en la tubería
Podemos utilizar el entorno de los pasos de la bóveda y los pasos en. Se recomienda su uso en el entorno.
parámetros Paso bóveda son los siguientes:
• camino, el camino a almacenar pares clave-valor.
• clave, el contenido de la clave de almacenamiento.
• vaultUrl (opcional), la dirección del servicio bóveda.
• credentialsId (opcional), las credenciales de autenticación de servicio de la bóveda.
Si usted no llena los parámetros vaultUrl y credentialsId, se utiliza la configuración a nivel de sistema.
Jenkins ocultar la información sensible en el registro
Si las credenciales del ayudante withCredentials etapas de un procedimiento o la asignación de variables, entonces el valor de esta variable no se imprimirá en formato de texto en el registro de Jenkins. A menos que utilice el método siguiente:
En ausencia de la utilización de la escena de credenciales, ¿cómo debemos ocultarlo en el registro de variables en? Puede utilizar enmascarados y seña plug-ins. Por envoltorios proporcionados por el plug-in, puede ocultar información sensible especificamos.
Enmascarado contraseña widget de uso inicial es muy fácil de usar que S1 y S2 como una variable, como echo "texto cifrado oculta: $ {s1} y {s2} $." De hecho, el parámetro var se utiliza solamente para la conveniencia de distinguir entre diferentes texto cifrado que se oculta en el proyecto Jenkins estilo libre. En la tubería, lo que significa que no tiene existencia de. Pero incluso entonces no se puede omitir, un valor debe pasar. parámetros de contraseña se pasan a ocultar el verdadero texto cifrado.
Entonces, ¿por echo "secret1" esta declaración no utiliza variables predefinidas, secret1 se ocultará ella? Esto se determina por la aplicación enmascarado contraseña plug-in.
Jenkins proporciona una interfaz ConsoleLogFilter, podemos implementar nuestra propia lógica de negocio en la fase de impresión de registro. Enmascarado contraseña ConsoleLogFilter plug-in implementa la interfaz, y luego usar expresiones regulares para que coincida con replaceAll texto para ********.
MaskPasswordsBuildWrapper envoltorio además de apoyar parámetros varPasswordPairs, también es compatible con los parámetros varMaskRegexes, utilizando una costumbre expresiones regulares para ocultar el texto. Redactado como sigue:
Contraseña enmascarada a través del tapón se puede proporcionar en el nivel global de texto cifrado oculta, la página Administrar Jenkins → ConfigureSystem se puede encontrar, la configuración específica en la figura.
