Vorherige

Nächste

Konfigurieren des Geltungsbereichs einer Dienstverbindung

Abgeschlossen

In dieser Lerneinheit erfahren Sie, wie Sie den Geltungsbereich einer Dienstverbindung in Azure DevOps konfigurieren, wobei der Schwerpunkt auf Sicherheit und Best Practices liegt. Dienstverbindungen ermöglichen es Ihren Agents, mit externen Diensten wie Quellcodeverwaltungsrepositorys, Clouddiensten oder Paketregistrierungen zu interagieren.

Grundlegendes zum Geltungsbereich von Dienstverbindungen

Der Geltungsbereich einer Dienstverbindung bestimmt die Zugriffsebene und die Berechtigungen, über die die Verbindung innerhalb des externen Diensts verfügt. Durch eine ordnungsgemäße Konfiguration des Geltungsbereichs können Sie sicherstellen, dass Ihre Pipelines über den erforderlichen Zugriff verfügen, um ihre Aufgaben auszuführen. Gleichzeitig minimieren Sie das Risiko von nicht autorisierten Zugriffen und potenziellen Sicherheitsverletzungen.

Best Practices zum Konfigurieren des Geltungsbereichs einer Dienstverbindung

Befolgen Sie beim Konfigurieren des Geltungsbereichs einer Dienstverbindung die folgenden Best Practices:

• Geringste Rechte: Gewähren Sie nur die mindestens erforderlichen Berechtigungen für die Aufgaben, für die die Dienstverbindung verwendet wird. Vermeiden Sie es, einen umfassenderen Zugriff als unbedingt erforderlich zu gewähren.
• Beschränken der Anzahl von Dienstverbindungen: Verwenden Sie möglichst wenig Dienstverbindungen, um die potenzielle Angriffsfläche zu minimieren. Verwenden Sie Dienstverbindungen ggf. wieder, stellen Sie dabei aber sicher, dass die Zugriffsebenen für alle Pipelines angemessen sind, die die Verbindung verwenden.
• Regelmäßiges Überprüfen und Aktualisieren von Berechtigungen: Überprüfen und aktualisieren Sie die Berechtigungen und Geltungsbereiche Ihrer Dienstverbindungen in regelmäßigen Abständen, um zu gewährleisten, dass diese jederzeit angemessen und sicher sind.
• Überwachen der Nutzung: Verfolgen Sie die Nutzung Ihrer Dienstverbindungen in allen Pipelines nach, um ungewöhnliche Aktivitäten oder nicht autorisierte Zugriffe zu identifizieren.
• Verwenden Sie nach Möglichkeit verwaltete Identitäten: Verwaltete Identitäten bieten eine sichere Möglichkeit zur Authentifizierung bei Azure-Diensten, ohne dass Anmeldeinformationen in Ihrer Pipeline gespeichert werden müssen. Verwenden Sie verwaltete Identitäten für Azure-Ressourcen, wann immer dies möglich ist.

Konfigurieren des Geltungsbereichs einer Dienstverbindung

1. Melden Sie sich bei Ihrem Azure DevOps-Portal an, navigieren Sie zu Ihrem Projekt, und wechseln Sie dann zu „Projekteinstellungen“ und „Dienstverbindungen“.
2. Klicken Sie auf „Neue Dienstverbindung“, und wählen Sie den Typ der Verbindung aus, den Sie erstellen möchten, z. B. „Azure Resource Manager“.
3. Wählen Sie im Abschnitt „Authentifizierungsmethode“ die Option „Dienstprinzipal (automatisch)“ aus. Mit dieser Option wird automatisch ein Dienstprinzipal in Ihrer Microsoft Entra ID-Instanz erstellt und verwaltet. Dieser wird für die Authentifizierung verwendet.
4. Konfigurieren Sie den Geltungsbereich der Dienstverbindung, indem Sie ein geeignetes Abonnement, eine geeignete Ressourcengruppe oder eine geeignete Ressource auswählen. Der Geltungsbereich bestimmt, auf welche Ressourcen die Dienstverbindung Zugriff hat. Schränken Sie den Bereich so weit wie möglich ein, um potenzielle Sicherheitsrisiken zu reduzieren.
   • Abonnement: Gewährt Zugriff auf alle Ressourcen innerhalb des angegebenen Azure-Abonnements.
   • Ressourcengruppe: Gewährt nur Zugriff auf Ressourcen innerhalb einer bestimmten Ressourcengruppe im Azure-Abonnement.
   • Ressource: Gewährt Zugriff auf eine einzelne Ressource innerhalb des Azure-Abonnements, z. B. ein Speicherkonto oder eine Web-App.
5. Geben Sie einen Namen und eine Beschreibung für die Dienstverbindung ein, und klicken Sie dann auf „Speichern“.
6. Nachdem die Dienstverbindung erstellt wurde, öffnen Sie diese, klicken Sie auf die Auslassungspunkte (drei Punkte) neben der Schaltfläche „Bearbeiten“, und wählen Sie „Sicherheit“ aus.
7. Überprüfen Sie den Abschnitt „Rollen“, um sicherzustellen, dass dem Dienstprinzipal nur die Berechtigungen gewährt wurden, die für seinen Zweck unbedingt erforderlich sind. Ändern Sie bei Bedarf die Rollen, oder fügen Sie benutzerdefinierte Rollen hinzu, um den Zugriff und die ausführbaren Aktionen weiter einzuschränken.
8. Speichern Sie die Änderungen.

Probieren Sie es aus!

Üben Sie das Konfigurieren des Geltungsbereichs einer Dienstverbindung: Erstellen Sie eine Pipeline, die eine Dienstverbindung mit einem eingeschränkten Geltungsbereich verwendet, um eine Azure-Ressource bereitzustellen, z. B. eine Web-App oder ein Speicherkonto. Führen Sie die Pipeline aus, überprüfen Sie, ob die Ausführung erfolgreich ist, und stellen Sie die Ressource mit einer geeigneten Zugriffsebene bereit.

Überprüfen Sie dann die Dienstverbindung, und stellen Sie sicher, dass der Geltungsbereich auf die bestimmte Ressource oder Ressourcengruppe beschränkt ist.

Überprüfen Sie abschließend die Rollen, die dem Dienstprinzipal zugewiesen sind, und stellen Sie sicher, dass er nur über die Berechtigungen verfügt, die für seinen Zweck unbedingt erforderlich sind.

Weitere Informationen zu Dienstverbindungen finden Sie hier:

• Verwalten von Dienstverbindungen
• Verwenden von Microsoft Entra-Dienstprinzipalen und verwalteten Identitäten

Weiter