Zabezpečení prostředků
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
Tento článek popisuje funkce zabezpečení Azure Pipelines, které chrání vaše kanály a prostředky. Kanály mají přístup ke dvěma typům prostředků, které jsou otevřené nebo chráněné.
Artefakty, kanály, testovací plány a pracovní položky se považují za otevřené prostředky , které nemají stejná omezení jako chráněné prostředky. Pracovní postupy můžete plně automatizovat přihlášením k odběru aktivačních událostí u otevřených prostředků. Další informace o ochraně otevřených prostředků naleznete v tématu Ochrana projektů.
Oprávnění a kontroly schválení umožňují kanálům přistupovat k chráněným prostředkům během spuštění kanálu. Pokud chcete chránit chráněné prostředky, můžou kontroly pozastavit nebo selhat spuštění kanálu.
Chráněné prostředky
Chráněná znamená, že k prostředku mají přístup jenom konkrétní uživatelé a kanály v projektu. Mezi příklady chráněných prostředků patří:
- Fondy agentů
- Tajné proměnné ve skupinách proměnných
- Zabezpečené soubory
- Připojení služeb
- Prostředí
- Sklady
Můžete definovat kontroly, které musí být splněny před zahájením fáze, která využívá chráněný prostředek. Před použitím chráněného prostředku můžete například vyžadovat ruční schválení.
Ochrana úložiště
Volitelně můžete chránit úložiště omezením rozsahu přístupového tokenu Azure Pipelines. Agentům poskytnete přístupový token pouze pro úložiště výslovně uvedená v části kanálu resources
.
Přidání úložiště do kanálu vyžaduje autorizaci od uživatele, který má přístup k úložišti přispívání . Další informace najdete v tématu Ochrana prostředku úložiště.
Oprávnění
Existují dva typy oprávnění pro chráněné prostředky, uživatelská oprávnění a oprávnění kanálu.
Uživatelská oprávnění jsou front-line ochrany chráněných prostředků. Oprávnění byste měli udělit jenom uživatelům, kteří je vyžadují. Členové role Uživatele pro prostředek můžou spravovat schválení a kontroly.
Oprávnění kanálu chrání před kopírováním chráněných prostředků do jiných kanálů. Abyste povolili přístup k chráněnému prostředku ve všech kanálech v projektu, musíte mít roli Správce .
Pokud chcete spravovat oprávnění kanálu, explicitně udělte přístup ke konkrétním kanálům, kterým důvěřujete. Ujistěte se, že nepovolíte otevřený přístup, což umožňuje, aby prostředky používaly všechny kanály v projektu. Další informace najdete v tématu o prostředcích kanálu a přidání ochrany prostředků.
Šeky
Oprávnění uživatelů a kanálů v kanálech zcela nezabezpečují chráněné prostředky. Můžete také přidat kontroly , které určují podmínky, které mají být splněny, než fáze v jakémkoli kanálu může prostředek využívat. Před použitím chráněného prostředku můžete vyžadovat konkrétní schválení nebo jiná kritéria. Další informace najdete v tématu Definování schválení a kontrol.
Kontrola ručního schválení
Žádosti o kanály můžete blokovat tak, aby používaly chráněný prostředek, dokud je ručně neschválili určení uživatelé nebo skupiny. Tato kontrola vám umožní zkontrolovat kód a před pokračováním ve spuštění kanálu poskytuje další vrstvu zabezpečení.
Kontrola chráněné větve
Pokud máte procesy ruční kontroly kódu pro konkrétní větve, můžete tuto ochranu rozšířit na kanály. Řízení větví zajišťuje, že k chráněným prostředkům mají přístup jenom autorizované větve. Kontrola chráněné větve prostředku brání automatickému spuštění kanálů na neautorizovaných větvích.
Kontrola pracovní doby
Pomocí této kontroly se ujistěte, že se nasazení kanálu spustí v zadaném denním a časovém intervalu.