Keamanan sumber daya

Layanan Azure DevOps | Azure DevOps Server 2022 | Azure DevOps Server 2020

Artikel ini menjelaskan fitur keamanan Azure Pipelines yang melindungi alur dan sumber daya Anda. Alur dapat mengakses dua jenis sumber daya, terbuka atau dilindungi.

Artefak, alur, rencana pengujian, dan item kerja dianggap sebagai sumber daya terbuka yang tidak memiliki batasan yang sama dengan sumber daya yang dilindungi. Anda dapat sepenuhnya mengotomatiskan alur kerja dengan berlangganan untuk memicu peristiwa pada sumber daya terbuka. Untuk informasi selengkapnya tentang melindungi sumber daya terbuka, lihat Melindungi proyek.

Pemeriksaan izin dan persetujuan memungkinkan alur mengakses sumber daya yang dilindungi selama eksekusi alur. Untuk menjaga keamanan sumber daya yang dilindungi, pemeriksaan dapat menangguhkan atau gagal menjalankan alur.

Sumber daya yang dilindungi

Dilindungi berarti bahwa hanya pengguna dan alur tertentu dalam proyek yang dapat mengakses sumber daya. Contoh sumber daya yang dilindungi meliputi:

• Kumpulan agen
• Variabel rahasia dalam grup variabel
• File aman
• Koneksi layanan
• Lingkungan
• Repositori

Anda dapat menentukan pemeriksaan yang harus dipenuhi sebelum tahap yang menggunakan sumber daya yang dilindungi dapat dimulai. Misalnya, Anda dapat memerlukan persetujuan manual sebelum tahap dapat menggunakan sumber daya yang dilindungi.

Perlindungan repositori

Anda dapat secara opsional melindungi repositori dengan membatasi cakupan token akses Azure Pipelines. Anda menyediakan token akses kepada agen hanya untuk repositori yang secara eksplisit disebutkan di bagian alur resources .

Menambahkan repositori ke alur memerlukan otorisasi dari pengguna dengan akses Kontribusi ke repositori. Untuk informasi selengkapnya, lihat Melindungi sumber daya repositori.

Izin

Ada dua jenis izin untuk sumber daya yang dilindungi, izin pengguna, dan izin alur.

Izin pengguna adalah garis depan pertahanan untuk sumber daya yang dilindungi. Anda harus memberikan izin hanya kepada pengguna yang memerlukannya. Anggota peran Pengguna untuk sumber daya dapat mengelola persetujuan dan pemeriksaan.

Izin alur melindungi dari penyalinan sumber daya yang dilindungi ke alur lain. Anda harus memiliki peran Administrator untuk mengaktifkan akses ke sumber daya yang dilindungi di semua alur dalam proyek.

Untuk mengelola izin alur, berikan akses secara eksplisit ke alur tertentu yang Anda percayai. Pastikan untuk tidak mengaktifkan Akses terbuka, yang memungkinkan semua alur dalam proyek menggunakan sumber daya. Untuk informasi selengkapnya, lihat Tentang sumber daya alur dan Menambahkan perlindungan sumber daya.

Pemeriksaan

Izin pengguna dan alur tidak sepenuhnya mengamankan sumber daya yang dilindungi dalam alur. Anda juga dapat menambahkan pemeriksaan yang menentukan kondisi yang harus dipenuhi sebelum tahap dalam alur apa pun dapat menggunakan sumber daya. Anda dapat memerlukan persetujuan tertentu atau kriteria lain sebelum alur dapat menggunakan sumber daya yang dilindungi. Untuk informasi selengkapnya, lihat Menentukan persetujuan dan pemeriksaan.

Pemeriksaan persetujuan manual

Anda dapat memblokir permintaan alur untuk menggunakan sumber daya yang dilindungi hingga disetujui secara manual oleh pengguna atau grup tertentu. Pemeriksaan ini memberi Anda kesempatan untuk meninjau kode dan memberikan lapisan keamanan tambahan sebelum melanjutkan dengan eksekusi alur.

Pemeriksaan cabang yang dilindungi

Jika Anda memiliki proses peninjauan kode manual untuk cabang tertentu, Anda dapat memperluas perlindungan ini ke alur. Kontrol cabang memastikan bahwa hanya cabang yang berwenang yang dapat mengakses sumber daya yang dilindungi. Pemeriksaan cabang yang dilindungi untuk sumber daya mencegah alur berjalan secara otomatis pada cabang yang tidak sah.

Pemeriksaan Jam Kerja

Gunakan pemeriksaan ini untuk memastikan bahwa penyebaran alur dimulai dalam jendela hari dan waktu tertentu.

Langkah selanjutnya

Mengelompokkan sumber daya ke dalam struktur proyek