Sécurité dans Azure Pipelines
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019
La sécurité d'Azure Pipelines vous aide à contrôler l'accès à vos pipelines et à leurs ressources. L'accès est géré par un système hiérarchique de groupes de sécurité et d'utilisateurs intégrés et personnalisés.
Les ressources des pipelines sont des fonctionnalités et des objets utilisés dans les pipelines, mais qui existent en dehors du pipeline lui-même. Par exemple, les pipelines de validation, les groupes de tâches, les pools d'agents et les connexions de service sont tous des ressources de pipeline.
Lors de la création d'un pipeline ou d'une ressource, un ensemble de groupes de sécurité et d'utilisateurs intégrés se voient attribuer des permissions d'accès ou des rôles au niveau du projet. Ces paramètres de sécurité au niveau du projet sont ensuite hérités au niveau de l'objet pour les objets individuels. Par exemple, lorsque vous créez un pipeline, un ensemble d'utilisateurs et de groupes par défaut se voit attribuer des permissions au niveau du projet. Ces paramètres de sécurité sont ensuite hérités au niveau de l'objet pour tous les pipelines du projet.
En règle générale, les groupes d'administrateurs bénéficient d'un accès complet à tous les pipelines et à toutes les ressources. Les contributeurs se voient souvent accorder l'accès à la gestion des ressources et des pipelines, tandis que les lecteurs bénéficient d'un accès en consultation seulement. Les utilisateurs sont affectés à des groupes de sécurité en fonction de leur rôle dans le projet et des permissions dont ils ont besoin pour accomplir leurs tâches.
Vous pouvez ajouter et supprimer des utilisateurs et des groupes et modifier leurs permissions et leurs rôles au niveau du projet et de l'objet. L'héritage au niveau de l'objet peut être activé ou désactivé.
Vous devez être membre du groupe Administrateurs de projet pour gérer les paramètres de sécurité au niveau du projet et être membre d'un groupe d'administrateurs ou vous voir attribuer un rôle de sécurité Administrateur pour gérer la sécurité des pipelines et des ressources au niveau de l'objet.
Paramètres des permissions et des rôles
Les pipelines, les pipelines de validation et les groupes de tâches utilisent des permissions basées sur les tâches. Les permissions des utilisateurs et des groupes peuvent être définies comme suit :
| Autorisation | Description |
|---|---|
| Autoriser | Accorde la permission pour une fonctionnalité ou une tâche. |
| Deny | Refuse la permission pour une fonctionnalité ou une tâche. |
| Non défini | Refuse implicitement la permission, mais permet d'hériter de la permission de l'ancêtre le plus proche pour lequel la permission est explicitement définie. |
Pour plus d'informations, voir À propos des permissions et de l'héritage.
Les bibliothèques, les pools d'agents, les connexions de service, les groupes de déploiement et les environnements utilisent un accès basé sur les rôles. Les rôles des utilisateurs et des groupes sont les suivants
| Rôle | Objectif |
|---|---|
| Lecteur | Peut voir la ressource. |
| Utilisateur | Peut utiliser la ressource. |
| Creator | Peut créer la ressource. Ce rôle est uniquement disponible au niveau du projet. |
| Administrateurs | Peut utiliser et gérer la ressource et définir sa sécurité. Le créateur d'une ressource se voit automatiquement attribuer ce rôle. |
| Compte de service | Utilisé pour les pools d'agents et de déploiements, il permet de visualiser les agents, de créer des sessions et d'écouter les travaux. Ce rôle est uniquement disponible au niveau de la collection ou de l'organisation. |
Pour plus d'informations, voir À propos des rôles de sécurité du pipeline.
Définir les permissions pour les pipelines et les ressources Azure.
Pour plus d'informations sur la configuration de la sécurité pour les pipelines et les ressources de pipeline, consultez les articles suivants :
- Autorisations de pipeline
- Libérer les permissions du pipeline
- Permissions des groupes de travail
- Sécurité du pool de l'agent
- Sécurité de la connexion au service
- Sécurité de la bibliothèque
- Sécurité du groupe de déploiement
- Sécurité de l'environnement
FAQ
Consultez ci-dessous la FAQ sur les autorisations des pipelines.
Q : Pourquoi ne puis-je pas créer de pipeline ?
R : Vous avez besoin des autorisations Modifier le pipeline de build pour créer un pipeline. Pour ajouter une autorisation, ouvrez les paramètres de sécurité de tous les pipelines et vérifiez que Modifier le pipeline de build est défini sur Autoriser pour votre groupe de sécurité.
Si vous ne pouvez toujours pas créer de pipeline, vérifiez si votre niveau d’accès est défini sur Partie prenante. Si vous avez accès aux parties prenantes, modifiez votre accès en De base.
Q : Pourquoi le message indiquant que je dois autoriser une ressource pour que l’exécution puisse continuer apparaît-il ?
R : Vous devez autoriser les ressources pour pouvoir les utiliser. Cette règle comporte une exception : la première fois que vous créez un pipeline. Toutes les ressources auxquelles le fichier YAML fait référence sont alors automatiquement autorisées. Les ressources sont autorisées pour le pipeline tant qu’elles sont accessibles par l’utilisateur qui exécute ce pipeline.
Pour autoriser Tous les pipelines à accéder à une ressource telle qu'un pool d'agents, procédez comme suit :
Dans votre projet, sélectionnez Paramètres
>Pipelines>Pools d’agents.Sélectionnez Sécurité pour un pool d’agents spécifique, puis mettez à jour les autorisations pour accorder l’accès à tous les pipelines.
Pour plus d’informations, consultez Ressources dans YAML.
Articles connexes
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour