Jenkins的凭证管理

最新推荐文章于 2025-08-17 20:12:39 发布
原创 最新推荐文章于 2025-08-17 20:12:39 发布 · 5.1k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了Jenkins的凭证管理,包括凭证的概念、创建流程、不同类型的凭证(如Secret text、Username with password等)及其使用。文章还讨论了如何在pipeline中安全使用凭证,如使用credentials helper方法,以及在日志中隐藏敏感信息的策略,如Masked Password插件的应用。

Jenkins的凭证管理

什么是凭证?

凭证(cridential)是Jenkins进行受限操作时的凭据。比如使用SSH登录远程机器时,用户名和密码或SSH key就是凭证。而这些凭证不可能以明文写在Jenkinsfile中。Jenkins凭证管理指的就是对这些凭证进行管理。

为了最大限度地提高安全性,在Jenkins master节点上对凭证进行加密存储(通过Jenkins实例ID加密),只有通过它们的凭证ID才能在pipeline中使用,并且限制了将证书从一个Jenkins实例复制到另一个Jenkins实例的能力。

也因为所有的凭证都被存储在Jenkins master上,所以在Jenkins master上最好不要执行任务,以免被pipeline非法读取出来。那么在哪里执行pipeline呢?应该分配到Jenkins agent上执行。

创建凭证

首先确保当前用户有添加凭证的权限。我们使用超级管理员的身份登录。单击Jenkins首页左侧的Credentials→System

file

然后单击“Global credentials (unrestricted)”链接,再单击“Add Credentials”

file

凭证的类型

Jenkins默认支持以下凭证类型:Secret text、Username with password、Secret file、SSHUsername with private key、Certificate:PKCS#12、Docker Host CertificateAuthentication credentials。

​ Secret text是一串需要保密的文本,比如GitLab的API token。 file

​ Username with password指用户和密码凭证。

file

​ Secret file指需要保密的文本文件。使用Secret file时,Jenkins会将文件复制到一个临时目录中,再将文件路径设置到一个变量中。构建结束后,所复制的Secret file会被删除。

file

​ SSH Username with private key指一对SSH用户名和密钥。

file

添加凭证后,安装Credentials Binding Plugin插件,通过其提供的withCredentials步骤就可以在pipeline中使用凭证了。

​ Secret text

file

​ Username with password

file

​ Secret file

file

​ SSH Username with private key

file

​ sshUserPrivateKey函数还支持以下参数。

​ • usernameVariable:SSH用户名的变量名。

​ • passphraseVariable:SSH key密码的变量名。

credentials helper方法使用凭证

​ Secret text:

file

​ AWS-SECRET-KEY-ID和AWS-SECRET-ACCESS-KEY是我们预先定义的凭证ID。creden-tials方法将凭证的值赋给变量后,我们就可以像使用普通环境变量一样使用它们了,如:echo"${AWS ACCESS KEY ID}"。

Username with password:

file

​ 与 Secret text 不同的是,我们需要通过 BITBUCKET CREDS USR 拿到用户名的值,通过BITBUCKET CREDS PSW拿到密码的值。而变量BITBUCKET CREDS的值则是一个字符串,格式为:<用户名>:<密码>。

Secret file:

file

credentials helper方法只支持Secret text、Username with password、Secretfile三种凭证。

使用HashiCorp Vault

(1)安装HashiCorp Vault插件

file

(2)添加Vault Token凭证

file

(3)配置Vault插件

file

(4) 在pipeline中读取

file

我们可以在environment和steps中使用vault步骤。推荐在environment中使用。

vault步骤的参数如下:

• path,存储键值对的路径。

• key,存储内容的键。

• vaultUrl(可选),vault服务地址。

• credentialsId(可选),vault服务认证的凭证。

如果不填vaultUrl与credentialsId参数,则使用系统级别的配置。

在Jenkins日志中隐藏敏感信息

​ 如果使用的是credentials helper方法或者withCredentials步骤为变量赋值的,那么这个变量的值是不会被明文打印到Jenkins日志中的。除非使用以下方法:

file

在没有使用credential的场景下,我们又该如何在日志中隐藏变量呢?可以使用Masked Pass-word插件。通过该插件提供的包装器,可以隐藏我们指定的敏感信息。

file

初次使用 Masked Password 插件很容易以为是使用 s1 和 s2 作为变量的,如 echo"被隐藏的密文:${s1} 和 ${s2}"。实际上,var参数只是用于方便在自由风格的Jenkins项目中区分不同的需要隐藏的密文。在pipeline中使用,它就没有存在的意义了。但是即使这样也不能省略它,必须传一个值。password参数传的是真正要隐藏的密文。

那么,为什么echo "secret1"这条语句中并没有使用预定义的变量,secret1也会被隐藏呢?这是由Masked Password插件的实现方式决定的。

Jenkins 提供了 ConsoleLogFilter 接口,可以在日志打印阶段实现我们自己的业务逻辑。Masked Password 插件实现了 ConsoleLogFilter 接口,然后利用正则表达式将匹配到的文本replaceAll成****

MaskPasswordsBuildWrapper包装器除了支持varPasswordPairs参数,还支持varMaskRegexes参数,使用自定义的正则表达式匹配需要隐藏的文本。写法如下:

file

通过Masked Password插件还可以设置全局级别的密文隐藏,在Manage Jenkins→ConfigureSystem页中可以找到,具体配置如图 file

昂蒂梵德
关注
Jenkins】持续集成与交付 (八):Jenkins凭证管理(实现使用 SSH 、HTTP克隆Gitlab代码)
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!✨
04-29 2万+
🟣【Jenkins】持续集成与交付 (八):Jenkins凭证管理(实现使用 SSH 、HTTP克隆Gitlab代码)
Jenkins 配置 Credentials 凭证
lq
02-20 3571
Jenkins 配置 Credentials 凭证
Jenkins凭证管理
qq_29860591的博客
01-26 3407
凭据可以用来存储需要密文保护的数据库密码、Gitlab密码信息、Docker私有仓库密码等,以便Jenkins可以和这些第三方的应用进行交互。安装Credentials Binding插件要在Jenkins使用凭证管理功能,需要安装Credentials Binding插件 安装插件后,左边多了"凭证"菜单,在这里管理所有凭证 可以添加的凭证有5种: ...
Jenkins配置(插件/角色/凭证
蓝影铁哥的博客
05-27 2972
Jenkins
jenkins-凭证管理
jll126的博客
06-04 1423
目录1、安装Credentials Binding插件。2、结合git上拉取代码,演示凭证管理。 2.1、jenkins上安装git插件 2.2、CentOS7上安装Git工具3、用户密码类型创建凭证 3.1、添加http凭据3.1.1、使用凭证 3.1.2、使用Jenkins构建,拉取代码 3.2、添加ssh凭据 3.2.1、使用root用户生成公钥和私钥3.2.2、把生成的公钥放在gitlab上凭证可以用来存储需要密文保护的数据库密码、Gitlab密码信息、Docker私有仓库密码等,以便Jenki
Jenkins凭证/凭据管理详解
运维@小兵的博客
01-08 9569
Jenkins凭证/凭据管理详解
Jenkins凭证管理Credentials Binding
桀骜浮沉的博客
07-23 616
Jenkins凭证管理Credentials Binding 插件安装 重启Jenkins可以看到插件已经安装 使用凭证 用户密码方式 1.添加凭证 2.复制gitlab的http访问路径 创建项目 SSH方式 生成公钥和私钥 ssh-keygen -t 随便取的秘钥名 秘钥存放在/root/.ssh 查看公钥,将公钥复制到gitlab中使用 cat id_rsa.pub 查看私钥,将私钥复制到Jenkins中使用 cat id_rsa gitlab项目路径使用S
jenkins凭证管理
小小螺丝钉
08-06 365
凭据可以用来存储需要密文保护的数据库密码,gitlab密码信息,docker私有仓库密码等,以便jenkins可以和这些第三方应用进行交互。 安装 Credentials Binding Plugin 插件 安装完成之后:系统管理——>安全——>ManageCredentials 添加凭据 以下实验是从gitlab 以 密码及免密的方式拉取代码。 安装git插件和git工具 为了让jenkins支持从Gitlab上拉取代码,需要安装git插件及在linux上安装git工具。 linux
jenkins 创建全局凭证,拉取代码
ZHH的博客
02-01 1823
配置 jenkins 流水线时,需要从远程仓库拉取代码,因此需要在 jenkins 所在机器上创建全局凭证
Java操作Jenkins操作凭证(Credential)信息方式
08-19
主要介绍了Java操作Jenkins操作凭证(Credential)信息方式,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Jenkins凭证管理
上海一九四三
05-30 900
凭据可以用来存储需要密文保护的数据库密码、Gitlab密码、Docker私有仓库密码等等,以便Jenkins可以和这些第三方的应用进行交互。今天的目标是使用凭据实现与Gitlab的交互。 1. 安装插件 要在Jenkins使用凭证管理功能,需要安装Credentials Binding插件。 安装成功之后,首页左边多了"凭据"菜单,在这里管理所有凭证。可以添加的凭证有5种: Username with password:用户名和密码。(常用) SSH Username with private key
Jenkins的Credentials(证书)管理
xiaokanfuchen86的博客
06-29 3924
1. 操作环境 1. Windows: win10 2. Jenkins Jenkins 2.75 3. Java JDK_1.8.0_64bit.exe 2. 中文理解 Jenkins的“Credentials”直译为“证书”,“文凭”在这里,尽管说Jenkins界面中有相当一部分的文字经过了官方汉化,但是对于这个“Credentials”却仍然没有被汉化,可见对于其汉化之后对应的中文翻译,官方也是一脸懵逼的状态,在这里,我们可以把它直译为“证书”,如果通过意译,那它的理解就是“钥...
Jenkins基础篇--凭据(Credential)管理
实践出真知
01-11 6009
Jenkins的Credentials直译为证书、文凭,我们可以理解为它是钥匙,用来做某些事情的认证。如Jenkins 和 GitLab交互时,需要添加GitLab的API令牌和登录凭证。如Jenkins 添加从节点时,需要添加从节点的登录凭证或者Jenkins主机的密钥。我们通过凭据来认证是合法用户。在jenkins中,我们通过凭据来管理这些相关的凭据,方便后续的使用。
Jenkins系列之Credentials(证书)管理
weixin_45005677的博客
02-19 9872
当你jenkins访问gitlab仓库时使用的是http://host/source/project_one.git这种方式 你可以添加如下Credentials: 进入证书管理: 配置信息: 在这里“Kind”表示的是钥匙的种类,可自行按需使用;默认“Username with password”选项,这里的“Scope”表示的是作用域,,下面的“Username”,这里填写对应远程仓库用户名,下面的“Password”就是账号所对应的密码,下面的“ID”这个不需要我们去填写,这个是Jenki
使用Jenkins Credentials来使用Username和password
yiluoseraph的技术博客
03-03 3330
1,在Jenkins Credentials中加入自己的Username、password。 2, 在groovy 文件中,获取Credentials withCredentials([[$class: 'UsernamePasswordMultiBinding', credentialsId: '<ID>', usernameVariable: 'USERNAME', passwordVariable: 'PASSWORD']]) {
Jenkins - CICD 注入环境变量避免明文密码暴露
最新发布
wumingxiaoyao的博客
08-17 1503
Jenkins 如何注入环境变量避免明文密码暴露
jenkins凭据管理(配置github密钥)
u014694915的博客
04-17 1446
添加两种类型的凭据,Username with password和Secret text(填的token)Username with password是github登录的用户名和密码,Secret text填的github生成的token,权限的限制更细,安全性更高一些Dashboard -> Manage Jenkins -> 凭据 -> 全局 -> Add Credentials。
Jenkins 敏感信息实战指南
探索云原生与智能化驱动下的安全运维新范式。关注DevSecOps、可观测性、AIOps等前沿领域,与您共赴技术前沿。
01-17 1008
Jenkins 中,安全地管理敏感信息对于构建和部署过程至关重要。本实战指南将详细介绍如何添加凭据、使用 HashiCorp Vault 插件,并通过创建 Pipeline 脚本、在 shell 脚本中使用,以及在 Python 脚本中使用来管理敏感信息。
Jenkins凭证管理是自带功能还是属于外部插件,具体使用规范是什么, 并列出常用的API 信息。
03-12
<think>好的,我需要回答用户关于Jenkins凭证管理的问题,包括功能来源、使用规范和常用API。首先,我需要确认凭证管理是内置功能还是通过插件实现的。根据之前的知识,Jenkins凭证管理最初是通过插件引入的,后来可能被集成到核心中。需要验证这一点,可能需要查阅官方文档或可靠资料。 接下来,用户询问使用规范。这部分应包括如何安全地存储和管理凭证,比如避免硬编码、权限控制等。同时,需要提到最佳实践,如使用Credentials Binding插件或Role-Based Access Control插件来增强安全性。 关于常用API,用户可能需要知道如何在Pipeline脚本中调用凭证,比如使用`withCredentials`绑定环境变量,或者使用`usernamePassword`等类来获取凭证。此外,可能需要提到Jenkins提供的Java API和REST API相关的方法。 需要确保回答结构清晰,分点说明,并且引用来源。例如,引用Jenkins官方文档或插件页面。同时,根据用户提供的引用,需要检查是否有相关部分可以引用,但用户提供的引用是关于HBase测试的内容,可能不相关,因此可能需要忽略。 最后,生成相关问题,这些问题应围绕用户可能进一步询问的方向,如安全性、插件推荐、API使用示例等。 现在需要组织这些信息,确保符合格式要求,使用中文,正确应用行内公式(如果有的话,但这里可能不需要),独立公式单独成段,语法正确,并且引用标识自然添加。由于用户提供的引用可能与当前问题无关,可能需要查找其他引用来源,但如果没有,则可能不添加引用,或者说明引用来自Jenkins官方文档。</think>### Jenkins凭证管理功能解析 #### 一、功能来源 Jenkins凭证管理系统是**通过插件逐步发展为内置功能**的。早期版本中凭证管理需通过`Credentials Plugin`实现,自Jenkins 2.0版本后该功能被集成到核心系统中[^1]。当前核心功能支持基础凭证类型,而高级功能仍需插件扩展。 #### 二、使用规范 1. **凭证类型支持** - 基础类型:用户名/密码、SSH密钥、Secret文本、文件凭证(内置支持) - 扩展类型:Vault凭据、X.509证书等(需安装`Hashicorp Vault Plugin`等插件) 2. **安全准则** - 禁止在Pipeline脚本中硬编码敏感信息 - 采用最小权限原则,通过`Role-based Authorization Strategy`插件控制访问权限 - 使用`Credentials Binding Plugin`安全注入环境变量 3. **存储管理** - 默认加密存储于`JENKINS_HOME/secrets`目录 - 支持外部存储系统集成(需`Credentials Plugin 2.5+`) #### 三、常用API 1. **Pipeline语法** ```groovy withCredentials([usernamePassword(credentialsId: 'aws-creds', usernameVariable: 'AWS_USER', passwordVariable: 'AWS_PSWD')]) { sh 'aws configure --profile default --username $AWS_USER --password $AWS_PSWD' } ``` 2. **Java API** ```java CredentialsProvider.lookupCredentials(StandardUsernamePasswordCredentials.class, Jenkins.instance, ACL.SYSTEM, Collections.emptyList()) ``` 3. **REST API** - 凭证查询:`GET /credentials/store/system/domain/_/api/json` - 凭证创建:`POST /credentials/store/system/domain/_/createCredentials` #### 四、安全增强建议 1. 定期轮换凭证(通过`Credentials Plugin`的自动更新功能) 2. 使用`Credentials Masking Plugin`防止日志泄露 3. 集成密钥管理系统(如HashiCorp Vault)
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值