Uso de archivos seguros

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

En este artículo se describen los archivos seguros y cómo usarlos en Azure Pipelines. Los archivos seguros son una manera de almacenar archivos que puede usar en canalizaciones sin tener que confirmarlos en el repositorio.

Puede usar la biblioteca de archivos seguros para almacenar archivos como:

• Certificados de firma.
• Perfiles de aprovisionamiento de Apple.
• Archivos de almacén de claves de Android.
• Claves SSH.

El límite de tamaño de cada archivo seguro es de 10 MB.

Los archivos seguros se almacenan en el servidor de forma cifrada y solo se pueden consumir desde una tarea de canalización. Los archivos seguros son un recurso protegido. Puede usar aprobaciones, comprobaciones y permisos de canalización para limitar el acceso a los archivos. Los archivos seguros también usan roles del modelo de seguridad de biblioteca.

Requisitos previos

• Un proyecto de Azure DevOps donde tiene permisos para crear canalizaciones y agregar elementos de biblioteca.
• Un certificado, almacén de claves o archivo de aprovisionamiento que quiera usar de forma segura en la canalización.

Adición de un archivo seguro

1. En el proyecto de Azure DevOps, vaya a Canalizaciones>Biblioteca y seleccione la pestaña Archivos seguros.

   

2. Para cargar un archivo seguro, seleccione + Archivo seguro y, a continuación, busque cargar o arrastrar y soltar el archivo.

   

3. Seleccione Aceptar. Una vez cargado el archivo, puede eliminarlo, pero no reemplazarlo.

Definición de permisos y roles de seguridad

Puede definir restricciones y permisos de rol de seguridad para todos los elementos de una biblioteca o para elementos individuales.

• Para asignar roles de seguridad para todos los elementos de una biblioteca, seleccione Seguridad en la página Biblioteca.

• Para definir permisos para un archivo individual:

  1. Seleccione el archivo de la lista Archivos seguros.
  2. En la parte superior de la página Archivo seguro, seleccione:
     • Seguridad para establecer los roles de usuario y seguridad que pueden acceder al archivo.
     • Permisos de canalización para seleccionar las canalizaciones YAML que pueden acceder al archivo.
     • Aprobaciones y comprobaciones para establecer aprobadores y otras comprobaciones para usar el archivo. Para más información, consulte Aprobaciones y comprobaciones.

  

Autorización de una canalización YAML para usar un archivo seguro

Para usar un archivo seguro en canalizaciones YAML, debe autorizar la canalización para que use el archivo. Todas las canalizaciones clásicas pueden acceder a archivos seguros.

Para autorizar una canalización o todas las canalizaciones para que usen un archivo seguro:

1. En la parte superior de la página del archivo seguro, seleccione Permisos de canalización.
2. En la pantalla Permisos de canalización, seleccione + y, luego, seleccione una canalización de proyecto para autorizar. O bien, para autorizar a todas las canalizaciones para que usen el archivo, seleccione el icono Más acciones, seleccione Abrir acceso y vuelva a seleccionar Abrir acceso para confirmar.

Consumo de un archivo seguro en una canalización

Para consumir archivos seguros en una canalización, use la tarea de utilidad Descargar archivo seguro. El agente de canalización debe ejecutar la versión 2.182.1 o posterior. Para obtener más información, consulte Versión y actualizaciones de agente.

En el ejemplo de canalización de YAML siguiente se descarga un archivo de certificado seguro y se instala en un entorno Linux.

- task: DownloadSecureFile@1
  name: caCertificate
  displayName: 'Download CA certificate'
  inputs:
    secureFile: 'myCACertificate.pem'

- script: |
    echo Installing $(caCertificate.secureFilePath) to the trusted CA directory...
    sudo chown root:root $(caCertificate.secureFilePath)
    sudo chmod a+r $(caCertificate.secureFilePath)
    sudo ln -s -t /etc/ssl/certs/ $(caCertificate.secureFilePath)

Nota:

Si ve un error Invalid Resource al descargar un archivo seguro con Azure DevOps Server local, asegúrese de que la autenticación básica de IIS está deshabilitada en el servidor.

Contenido relacionado

• Para crear una tarea personalizada que use archivos seguros, use entradas con tipo secureFile en task.json. Para obtener más información, consulte Obtenga información sobre cómo crear una tarea personalizada.

• La tarea de instalación del perfil de aprovisionamiento de Apple es un ejemplo sencillo que usa un archivo seguro. Para obtener el código fuente, consulte InstallAppleProvisioningProfileV1.

• Para controlar archivos seguros durante las tareas de compilación o versión, consulte el módulo Común para tareas.