Erőforrás-biztonság
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
Ez a cikk az Azure Pipelines olyan biztonsági funkcióit ismerteti, amelyek védik a folyamatokat és az erőforrásokat. A folyamatok kétféle erőforráshoz férhetnek hozzá, amelyek nyitottak vagy védettek.
Az összetevők, a folyamatok, a teszttervek és a munkaelemek olyan nyitott erőforrásoknak minősülnek, amelyek nem rendelkeznek ugyanolyan korlátozásokkal, mint a védett erőforrások. A munkafolyamatokat teljes mértékben automatizálhatja, ha feliratkozik a megnyitott erőforrások eseményeinek aktiválására. A nyílt erőforrások védelméről további információt a Projektek védelme című témakörben talál.
Az engedélyek és jóváhagyási ellenőrzések lehetővé teszik, hogy a folyamatok hozzáférjenek a védett erőforrásokhoz a folyamatfuttatások során. A védett erőforrások biztonsága érdekében az ellenőrzések felfüggeszthetnek vagy meghiúsulhatnak egy folyamatfuttatást.
Védett erőforrások
A védett érték azt jelenti, hogy csak a projekt adott felhasználói és folyamatai férhetnek hozzá az erőforráshoz. A védett erőforrások például a következők:
- Ügynökkészletek
- Titkos változók változók változócsoportokban
- Fájlok biztonságossá tétele
- Szolgáltatáskapcsolatok
- Környezetben
- Tárolók
Megadhatja azokat az ellenőrzéseket, amelyeknek teljesülniük kell ahhoz, hogy egy védett erőforrást használó szakasz elinduljon. Szükség lehet például manuális jóváhagyásra ahhoz, hogy a szakasz használni tudja a védett erőforrást.
Adattárvédelem
Az adattárak védelméhez korlátozza az Azure Pipelines hozzáférési jogkivonat hatókörét. A hozzáférési jogkivonatot csak a folyamat resources szakaszában kifejezetten említett adattárakhoz adja meg.
Az adattár folyamathoz való hozzáadásához olyan felhasználó engedélyére van szükség, aki közreműködői hozzáféréssel rendelkezik az adattárhoz. További információ: Adattárerőforrás védelme.
Engedélyek
A védett erőforrásokhoz, a felhasználói engedélyekhez és a folyamatengedélyekhez kétféle engedélytípus létezik.
A felhasználói engedélyek a védett erőforrások védelmének frontvonalát képezik. Csak azoknak a felhasználóknak adjon engedélyeket, akiknek szükségük van rájuk. Az erőforrás felhasználói szerepkörének tagjai kezelhetik a jóváhagyásokat és az ellenőrzéseket.
A folyamatengedélyek védelmet nyújtanak a védett erőforrások más folyamatokba való másolása ellen. Rendszergazdai szerepkörrel kell rendelkeznie ahhoz, hogy a projekt összes folyamatában engedélyezze a védett erőforrásokhoz való hozzáférést.
A folyamatengedélyek kezeléséhez explicit módon adjon hozzáférést a megbízható folyamatokhoz. Győződjön meg arról, hogy nem engedélyezi a nyílt hozzáférést, amely lehetővé teszi a projekt összes folyamatának az erőforrás használatát. További információ: A folyamaterőforrások és az Erőforrás-védelem hozzáadása.
Ellenőrzések
A felhasználói és a folyamatengedélyek nem védik teljesen a védett erőforrásokat a folyamatokban. Olyan ellenőrzéseket is hozzáadhat, amelyek meghatározzák azokat a feltételeket, amelyeket teljesíteni kell ahhoz, hogy bármely folyamat egy szakasza felhasználhassa az erőforrást. Ahhoz, hogy a folyamatok használni tudják a védett erőforrást, szükség lehet konkrét jóváhagyásokra vagy egyéb feltételekre. További információ: Jóváhagyások és ellenőrzések meghatározása.
Manuális jóváhagyási ellenőrzés
Letilthatja a védett erőforrás használatára irányuló folyamatkéréseket, amíg a megadott felhasználók vagy csoportok nem hagyják jóvá manuálisan. Ezzel az ellenőrzéssel áttekintheti a kódot, és további biztonsági réteget biztosít a folyamat futtatása előtt.
Védett ág ellenőrzése
Ha manuális kód-felülvizsgálati folyamatokkal rendelkezik adott ágakhoz, ezt a védelmet kiterjesztheti a folyamatokra. Az ágvezérlés biztosítja, hogy csak az engedélyezett ágak férhessenek hozzá a védett erőforrásokhoz. Egy erőforrás védett ág-ellenőrzése megakadályozza, hogy a folyamatok automatikusan futnak jogosulatlan ágakon.
Munkaidő ellenőrzése
Ezzel az ellenőrzéssel győződjön meg arról, hogy egy folyamat üzembe helyezése egy megadott napon és időpontban indul el.
Következő lépés
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: