Sdílet prostřednictvím


Použití zabezpečených souborů

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Tento článek popisuje zabezpečené soubory a způsob jejich použití v Azure Pipelines. Zabezpečené soubory představují způsob, jak ukládat soubory, které můžete používat v kanálech, aniž byste je museli zadávat do úložiště.

Knihovnu zabezpečených souborů můžete použít k ukládání souborů, jako jsou:

  • Podpisové certifikáty.
  • Zřizovací profily Apple.
  • Soubory úložiště klíčů Androidu.
  • Klíče SSH.

Limit velikosti každého zabezpečeného souboru je 10 MB.

Zabezpečené soubory se ukládají na server v šifrované podobě a dají se využívat jenom z úlohy kanálu. Zabezpečené soubory jsou chráněným prostředkem. K omezení přístupu k souborům můžete použít schválení, kontroly a oprávnění kanálu. Zabezpečené soubory také používají role modelu zabezpečení knihovny.

Požadavky

  • Projekt Azure DevOps, ve kterém máte oprávnění vytvářet kanály a přidávat položky knihovny.
  • Certifikát, úložiště klíčů nebo zřizovací soubor, který chcete v kanálu bezpečně používat.

Přidání zabezpečeného souboru

  1. V projektu Azure DevOps přejděte do knihovny Pipelines>a vyberte kartu Zabezpečené soubory .

    Snímek obrazovky s výběrem karty Zabezpečené soubory

  2. Pokud chcete nahrát zabezpečený soubor, vyberte + Zabezpečený soubor a pak přejděte k nahrání nebo přetažení souboru.

    Snímek obrazovky s nahráním souboru

  3. Vyberte OK. Jakmile soubor nahrajete, můžete ho odstranit, ale nenahrazovat.

Definování rolí a oprávnění zabezpečení

Můžete definovat omezení a oprávnění role zabezpečení pro všechny položky v knihovně nebo pro jednotlivé položky.

  • Pokud chcete přiřadit role zabezpečení pro všechny položky v knihovně, vyberte Na stránce Knihovna možnost Zabezpečení.

  • Definování oprávnění pro jednotlivé soubory:

    1. V seznamu Zabezpečených souborů vyberte soubor.
    2. V horní části stránky Zabezpečený soubor vyberte:
      • Zabezpečení pro nastavení uživatelů a rolí zabezpečení, které mají přístup k souboru.
      • Oprávnění kanálu pro výběr kanálů YAML, které mají přístup k souboru.
      • Schválení a kontroly pro nastavení schvalovatelů a dalších kontrol použití souboru Další informace najdete v tématu Schválení a kontroly.

    Nastavte zabezpečení kanálu pro zabezpečené soubory.

Autorizace kanálu YAML pro použití zabezpečeného souboru

Pokud chcete v kanálech YAML používat zabezpečený soubor, musíte kanál autorizovat, aby ho používal. Všechny klasické kanály mají přístup k zabezpečeným souborům.

Autorizace kanálu nebo všech kanálů pro použití zabezpečeného souboru:

  1. V horní části stránky pro zabezpečený soubor vyberte oprávnění kanálu.
  2. Na obrazovce Oprávnění kanálu vyberte +a pak vyberte kanál projektu, který chcete autorizovat. Pokud chcete autorizovat všechny kanály pro použití souboru, vyberte ikonu Další akce , vyberte Otevřít přístup a znovu vyberte Otevřít přístup a potvrďte to .

Využívání zabezpečeného souboru v kanálu

Pokud chcete využívat zabezpečené soubory v kanálu, použijte úlohu Stáhnout zabezpečený soubor . Agent kanálu musí mít verzi 2.182.1 nebo vyšší. Další informace najdete v tématu Verze a upgrady agenta.

Následující příklad kanálu YAML stáhne zabezpečený soubor certifikátu a nainstaluje ho do linuxového prostředí.

- task: DownloadSecureFile@1
  name: caCertificate
  displayName: 'Download CA certificate'
  inputs:
    secureFile: 'myCACertificate.pem'

- script: |
    echo Installing $(caCertificate.secureFilePath) to the trusted CA directory...
    sudo chown root:root $(caCertificate.secureFilePath)
    sudo chmod a+r $(caCertificate.secureFilePath)
    sudo ln -s -t /etc/ssl/certs/ $(caCertificate.secureFilePath)

Poznámka:

Pokud se při stahování zabezpečeného souboru s místním Azure DevOps Serverem Invalid Resource zobrazí chyba, ujistěte se, že je na serveru zakázané základní ověřování služby IIS.