Použití zabezpečených souborů

Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022

Tento článek vysvětluje, jak bezpečně ukládat a používat citlivé soubory, jako jsou certifikáty a klíče, ve službě Azure Pipelines s knihovnou zabezpečených souborů. Zabezpečené soubory pomáhají chránit citlivá data šifrováním neaktivních uložených souborů na serveru. K zabezpečeným souborům mají přístup pouze kanály, které explicitně autorizujete, což pomáhá zajistit, aby vaše přihlašovací údaje a další důležité soubory zůstaly v bezpečí.

Tento článek se zabývá přidáváním zabezpečených souborů, konfigurací oprávnění a používáním zabezpečených souborů v pipelině.

Použijte knihovnu zabezpečených souborů k ukládání souborů, jako jsou například:

Podpisové certifikáty
Zřizovací profily Apple
Soubory úložiště klíčů Androidu
Klíče SSH

Limit velikosti každého zabezpečeného souboru je 10 MB.

Zabezpečené soubory jsou uloženy na serveru v šifrované podobě a lze je použít pouze z úlohy kanálu. Zabezpečené soubory jsou chráněným prostředkem. K omezení přístupu k souborům můžete použít schválení, kontroly a oprávnění kanálu. Zabezpečené soubory také používají role modelu zabezpečení knihovny.

Požadavky

Projekt Azure DevOps .
Oprávnění k vytváření pipelin a přidávání položek knihovny
Jedna z následujících rolí:
- Správce projektu, přispěvatel nebo vlastní role s oprávněními ke správě položek knihovny
- Ke správě zabezpečení a oprávnění knihovny potřebujete správce projektu nebo ekvivalentní oprávnění.
Vaše organizace Azure DevOps umožňuje přístup k prostředkům kanálu a nastavení kanálu projektu neomezují používání zabezpečených souborů.
Certifikát, úložiště klíčů nebo zřizovací soubor, který chcete v potrubí bezpečně používat. Velikost souboru nesmí překročit 10 MB.

Přidání zabezpečeného souboru

V projektu Azure DevOps přejděte z levé nabídky na Pipelines>Library.
Vyberte kartu Zabezpečené soubory .
Vyberte a zabezpečte soubor a nahrajte zabezpečený soubor. Přejděte a nahrajte nebo přetáhněte soubor.
Vyberte OK.
Ověřte, že se nový soubor zobrazí v seznamu zabezpečených souborů . Po nahrání zabezpečeného souboru nemůžete upravovat ani nahrazovat jeho obsah. Pokud chcete aktualizovat zabezpečený soubor, odstraňte existující soubor a pak nahrajte novou verzi. Možná budete muset aktualizovat všechny kanály, které odkazují na soubor, pokud se název souboru změní.

Definujte role a oprávnění zabezpečení

Můžete definovat omezení a oprávnění role zabezpečení pro všechny položky v knihovně nebo pro jednotlivé položky.

Pokud chcete přiřadit role zabezpečení pro všechny položky v knihovně, přejděte v nabídce vlevo do knihovny Pipelines>a pak vyberte Zabezpečení.
Definování oprávnění pro jednotlivé soubory:
1. Vknihovně> z levé nabídky vyberte kartu Zabezpečené soubory a pak vyberte soubor.
2. V horní části stránky podrobností o zabezpečeném souboru vyberte:
  - Zabezpečení pro nastavení uživatelů a rolí zabezpečení, které mají přístup k souboru.
  - Oprávnění kanálu pro výběr kanálů YAML, které mají přístup k souboru.
  - Schválení a kontroly pro nastavení schvalovatelů a dalších kontrol použití souboru Další informace najdete v tématu Schválení a kontroly.

Autorizace kanálu YAML pro použití zabezpečeného souboru

Pokud chcete v kanálech YAML použít zabezpečený soubor, povolte kanál tak, aby ho používal. Všechny klasické kanály mají přístup k zabezpečeným souborům.

Autorizace kanálu nebo všech kanálů pro použití zabezpečeného souboru:

Vknihovně> z levé nabídky vyberte kartu Zabezpečené soubory a pak vyberte soubor.
V horní části stránky podrobností o zabezpečeném souboru vyberte oprávnění kanálu.
Na obrazovce Oprávnění kanálu vyberte +a pak vyberte kanál projektu, který chcete autorizovat. Pokud chcete autorizovat všechny kanály pro použití souboru, vyberte ikonu Další akce , vyberte Otevřít přístup a znovu vyberte Otevřít přístup a potvrďte to .

Použití zabezpečeného souboru v pipeline

Chcete-li používat zabezpečené soubory v kanálu, použijte úlohu Stáhnout zabezpečený soubor . Než začnete, nezapomeňte do knihovny přidat zabezpečený soubor a autorizovat pipeline, aby soubor používal. Agent kanálu musí mít verzi 2.182.1 nebo vyšší. Další informace najdete v tématu Verze a upgrady agenta.

Následující příklad kanálu YAML stáhne zabezpečený soubor certifikátu a nainstaluje ho do linuxového prostředí.

- task: DownloadSecureFile@1
  name: caCertificate
  displayName: 'Download CA certificate'
  inputs:
    secureFile: 'myCACertificate.pem'

- script: |
    echo Installing $(caCertificate.secureFilePath) to the trusted CA directory...
    sudo chown root:root $(caCertificate.secureFilePath)          # Change file ownership to root
    sudo chmod a+r $(caCertificate.secureFilePath)                # Make the file readable by all users
    sudo ln -s -t /etc/ssl/certs/ $(caCertificate.secureFilePath) # Create a symbolic link in the trusted certificates directory

Poznámka:

Pokud se při stahování zabezpečeného souboru s místním Azure DevOps Serverem Invalid Resource zobrazí chyba, ujistěte se, že je na serveru zakázané základní ověřování služby IIS.

Pokud chcete vytvořit vlastní úlohu, která používá zabezpečené soubory, použijte vstupy s typem secureFile v task.json. Další informace najdete v tématu Informace o tom, jak vytvořit vlastní úlohu.
Úloha Instalace zřizovacího profilu Apple je příklad jednoduchého použití, které využívá zabezpečený soubor. Zdrojový kód najdete v tématu InstallAppleProvisioningProfileV1.
Pokud chcete zpracovávat zabezpečené soubory během úloh sestavení nebo vydání, podívejte se na modul Common pro úlohy.

Váš názor

Byla tato stránka užitečná?

Last updated on 2026-03-14