Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Layanan Azure DevOps | Azure DevOps Server | Azure DevOps Server 2022
Artikel ini menjelaskan fitur keamanan yang membantu melindungi sumber daya yang dilindungi di Azure Pipelines. Pipeline mungkin perlu mengakses sumber daya yang terbuka atau dilindungi selama pengoperasian.
Artefak, alur, rencana pengujian, dan item kerja adalah sumber daya terbuka. Alur dapat dengan bebas mengakses sumber daya ini, dan Anda dapat sepenuhnya mengotomatiskan alur kerja dengan berlangganan peristiwa pemicu sumber daya. Untuk informasi selengkapnya tentang melindungi sumber daya terbuka, lihat Melindungi proyek.
Sumber daya yang dilindungi seperti repositori dan lingkungan membutuhkan lebih banyak pembatasan akses. Untuk membantu menjaga keamanan sumber daya yang dilindungi, Anda dapat memerlukan izin, pemeriksaan, dan persetujuan untuk alur untuk mengakses sumber daya yang dilindungi.
Artikel ini adalah bagian dari seri yang membantu Anda menerapkan langkah-langkah keamanan untuk Azure Pipelines. Untuk informasi selengkapnya, lihat Mengamankan Azure Pipelines.
Prasyarat
| Kategori | Persyaratan |
|---|---|
| Azure DevOps | - Terapkan rekomendasi di Membuat Azure DevOps Anda aman dan Alur Azure Aman. - Pengetahuan dasar tentang YAML dan Azure Pipelines. Untuk informasi selengkapnya, lihat Buat pipeline pertama Anda. |
| Izin | - Untuk mengubah izin alur: Anggota grup Administrator Proyek. - Untuk mengubah izin organisasi: Anggota grup Administrator Koleksi Proyek. |
Sumber daya yang dilindungi
Sumber daya yang dilindungi Azure Pipelines mencakup item berikut:
- Repositori
- Lingkungan
- Koneksi layanan
- Kumpulan agen
- Amankan file
- Variabel rahasia dalam grup variabel
Anda dapat mengatur izin sehingga hanya pengguna dan alur tertentu dalam proyek yang dapat mengakses sumber daya yang dilindungi. Anda juga dapat menentukan pemeriksaan dan persetujuan yang harus berhasil sebelum tahap alur yang menggunakan sumber daya dapat dimulai. Misalnya, Anda dapat memerlukan persetujuan manual sebelum tahap pipeline dapat menggunakan lingkungan. Pemeriksaan yang gagal dapat menangguhkan atau menyebabkan kegagalan jalannya alur kerja.
Sumber daya repositori
Menambahkan repositori ke alur memerlukan otorisasi dari pengguna dengan akses Kontribusi ke repositori. Anda juga dapat melindungi sumber daya repositori dengan membatasi cakupan token akses Azure Pipelines hanya ke repositori yang secara eksplisit tercantum di bagian alur resources . Untuk informasi selengkapnya, lihat Mengakses repositori dengan aman dari alur dan Melindungi sumber daya repositori.
Izin
Anda dapat mengatur izin pengguna dan izin alur untuk sumber daya yang dilindungi.
Berikan izin Pengguna hanya kepada pengguna yang memerlukannya. Anggota peran Pengguna untuk sumber daya dapat mengelola persetujuan dan pemeriksaan.
Izin jalur memproteksi terhadap penyalinan sumber daya yang dilindungi ke jalur lain. Untuk mengelola izin alur, secara eksplisit hanya memberikan akses ke alur tertentu yang Anda percayai.
Anda harus memiliki peran Administrator Proyek untuk mengaktifkan akses ke sumber daya yang dilindungi di semua alur dalam proyek. Untuk keamanan yang lebih baik, jangan aktifkan Akses terbuka, yang memungkinkan semua alur dalam proyek menggunakan sumber daya. Untuk informasi selengkapnya, lihat Menambahkan peran admin ke sumber daya yang dilindungi.
Pemeriksaan
Untuk lebih sepenuhnya mengamankan sumber daya yang dilindungi dalam alur, tambahkan pemeriksaan yang harus dipenuhi sebelum alur dapat menggunakan sumber daya yang dilindungi. Anda dapat memerlukan persetujuan tertentu atau kriteria lainnya. Untuk informasi selengkapnya, lihat Menentukan persetujuan dan pemeriksaan.
Persetujuan
Anda dapat memblokir permintaan alur untuk sumber daya yang dilindungi yang menunggu persetujuan manual oleh pengguna atau grup tertentu. Pemeriksaan ini menyediakan lapisan keamanan tambahan dengan mengizinkan peninjauan kode sebelum eksekusi alur dapat dilanjutkan.
Kontrol percabangan
Kontrol cabang memastikan bahwa hanya cabang yang berwenang yang dapat mengakses sumber daya yang dilindungi. Pemeriksaan cabang yang dilindungi untuk sumber daya mencegah alur berjalan secara otomatis pada cabang yang tidak sah. Dengan menggunakan kontrol cabang, Anda dapat memperluas persyaratan peninjauan kode manual khusus cabang Anda.
Jam Kerja
Gunakan pemeriksaan ini untuk memastikan bahwa penyebaran alur dimulai dalam jendela hari dan waktu tertentu.
Lihat semua pemeriksaan
Pilih Tampilkan semua pemeriksaan untuk melihat dan menerapkan pemeriksaan lain seperti templat yang diperlukan.