Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
Tento článek popisuje funkce zabezpečení, které pomáhají chránit chráněné prostředky ve službě Azure Pipelines. Kanály můžou během spuštění potřebovat přístup k otevřeným nebo chráněným prostředkům.
Artefakty, kanály, testovací plány a pracovní položky jsou otevřené prostředky. Kanály mohou volně přistupovat k těmto prostředkům a plně automatizovat pracovní postupy přihlášením k odběru událostí triggerů prostředků. Další informace o ochraně otevřených prostředků naleznete v tématu Ochrana projektů.
Chráněné prostředky , jako jsou úložiště a prostředí, potřebují větší omezení přístupu. Pokud chcete chránit chráněné prostředky, můžete vyžadovat oprávnění, kontroly a schválení kanálů pro přístup k chráněným prostředkům.
Tento článek je součástí série, která vám pomůže implementovat bezpečnostní opatření pro Azure Pipelines. Další informace najdete v tématu Zabezpečení služby Azure Pipelines.
Požadavky
| Kategorie | Požadavky |
|---|---|
| Azure DevOps | – Implementujte doporučení z Zabezpečte svůj Azure DevOps a Zabezpečte Azure Pipelines. – Základní znalost YAML a Azure Pipelines. Další informace najdete v tématu Vytvoření první pipeline. |
| Oprávnění | - Úprava oprávnění kanálů: Člen skupiny Správci projektu. - Úprava oprávnění organizace: Člen skupiny Správci kolekce projektů. |
Chráněné prostředky
Mezi chráněné prostředky Azure Pipelines patří následující položky:
- Sklady
- Prostředí
- Připojení služeb
- Fondy agentů
- Zabezpečené soubory
- Tajné proměnné ve skupinách proměnných
Oprávnění můžete nastavit tak, aby přístup k chráněným prostředkům měli jenom konkrétní uživatelé a kanály v projektu. Můžete také definovat kontroly a schválení, které musí úspěšně proběhnout před zahájením fáze potrubí, jež využívá zdroj. Například můžete požadovat ruční schválení předtím, než etapa potrubí může využít prostředí. Neúspěšné kontroly můžou pozastavit nebo selhat spuštění kanálu.
Prostředky repozitáře
Přidání úložiště do pipeliny vyžaduje autorizaci od uživatele s přístupem Contribute k úložišti. Prostředky úložiště můžete také chránit omezením rozsahu přístupového tokenu Azure Pipelines jenom na úložiště explicitně uvedená v části kanálu resources . Další informace najdete v tématu Bezpečný přístup k úložištím z kanálů a ochrana prostředku úložiště.
Oprávnění
Pro chráněné prostředky můžete nastavit uživatelská oprávnění a oprávnění pipeline.
Udělte uživatelům oprávnění pouze uživatelům, kteří je vyžadují. Členové role Uživatel nad prostředkem mohou spravovat schválení a kontroly.
Oprávnění kanálu chrání před kopírováním chráněných prostředků do jiných kanálů. Pokud chcete spravovat oprávnění kanálu, explicitně udělte přístup jenom konkrétním kanálům, kterým důvěřujete.
Abyste umožnili přístup k chráněnému zdroji ve všech kanálech v projektu, musíte mít roli správce projektu . Kvůli lepšímu zabezpečení nepovolujte Open access, který umožňuje všem kanálům v projektu používat prostředek. Další informace najdete v tématu Přidání role správce do chráněného prostředku.
Šeky
Pokud chcete v pipelinách lépe zabezpečit chráněné prostředky, přidejte kontroly, které musí být splněny, aby pipeliny mohly využít chráněné prostředky. Můžete vyžadovat konkrétní schválení nebo jiná kritéria. Další informace najdete v tématu Definování schválení a kontrol.
Schválení
Můžete blokovat žádosti o kanály pro chráněné prostředky čekající na ruční schválení zadanými uživateli nebo skupinami. Tato kontrola poskytuje další vrstvu zabezpečení povolením revize kódu před spuštěním automatizovaného procesu.
Řízení větví
Řízení větví zajišťuje, že k chráněným prostředkům mají přístup jenom autorizované větve. Kontrola chráněné větve prostředku brání automatickému spuštění kanálů na neautorizovaných větvích. Pomocí řízení větví můžete rozšířit požadavky na ruční kontrolu kódu specifického pro větev.
Pracovní doba
Pomocí této kontroly se ujistěte, že se nasazení kanálu spustí v zadaném denním a časovém intervalu.
Zobrazit všechny kontroly
Výběrem možnosti Zobrazit všechny kontroly zobrazíte a použijete další kontroly, jako jsou požadované šablony.