Sicurezza delle risorse
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
Questo articolo descrive le funzionalità di sicurezza di Azure Pipelines che proteggono le pipeline e le risorse. Le pipeline possono accedere a due tipi di risorse, aperte o protette.
Gli artefatti, le pipeline, i piani di test e gli elementi di lavoro sono considerati risorse aperte che non hanno le stesse restrizioni delle risorse protette. È possibile automatizzare completamente i flussi di lavoro sottoscrivendo gli eventi di attivazione delle risorse aperte. Per altre informazioni sulla protezione delle risorse aperte, vedere Proteggere i progetti.
I controlli di autorizzazione e approvazione consentono alle pipeline di accedere alle risorse protette durante le esecuzioni della pipeline. Per garantire la sicurezza delle risorse protette, i controlli possono sospendere o interrompere un'esecuzione della pipeline.
Risorse protette
Protetto significa che solo utenti e pipeline specifici all'interno del progetto possono accedere alla risorsa. Esempi di risorse protette includono:
- Pool di agenti
- Variabili segrete nei gruppi di variabili
- Proteggere i file
- Connessioni al servizio
- Ambienti
- Repository
È possibile definire controlli che devono essere soddisfatti prima dell'avvio di una fase che utilizza una risorsa protetta. Ad esempio, è possibile richiedere l'approvazione manuale prima che la fase possa usare la risorsa protetta.
Protezione del repository
Facoltativamente, è possibile proteggere i repository limitando l'ambito del token di accesso di Azure Pipelines. È possibile fornire agli agenti il token di accesso solo per i repository menzionati in modo esplicito nella sezione della resources pipeline.
L'aggiunta di un repository a una pipeline richiede l'autorizzazione da parte di un utente con accesso Di collaborazione al repository. Per altre informazioni, vedere Proteggere una risorsa del repository.
Autorizzazioni
Esistono due tipi di autorizzazioni per le risorse protette, le autorizzazioni utente e le autorizzazioni della pipeline.
Le autorizzazioni utente sono la prima linea di difesa per le risorse protette. È consigliabile concedere autorizzazioni solo agli utenti che li richiedono. I membri del ruolo Utente per una risorsa possono gestire le approvazioni e i controlli.
Le autorizzazioni della pipeline proteggono dalla copia di risorse protette in altre pipeline. Per abilitare l'accesso a una risorsa protetta in tutte le pipeline di un progetto, è necessario avere il ruolo di amministratore .
Per gestire le autorizzazioni della pipeline, concedere in modo esplicito l'accesso a pipeline specifiche attendibili. Assicurarsi di non abilitare Open access, che consente a tutte le pipeline del progetto di usare la risorsa. Per altre informazioni, vedere Informazioni sulle risorse della pipeline e Aggiungere la protezione delle risorse.
Assegni
Le autorizzazioni utente e pipeline non proteggono completamente le risorse protette nelle pipeline. È anche possibile aggiungere controlli che specificano le condizioni da soddisfare prima che una fase in qualsiasi pipeline possa utilizzare la risorsa. È possibile richiedere approvazioni specifiche o altri criteri prima che le pipeline possano usare la risorsa protetta. Per altre informazioni, vedere Definire le approvazioni e i controlli.
Controllo dell'approvazione manuale
È possibile bloccare le richieste di pipeline per l'uso di una risorsa protetta fino a quando non vengono approvate manualmente da utenti o gruppi specificati. Questo controllo consente di esaminare il codice e di fornire un livello di sicurezza aggiuntivo prima di procedere con un'esecuzione della pipeline.
Controllo del ramo protetto
Se sono presenti processi di revisione del codice manuali per rami specifici, è possibile estendere questa protezione alle pipeline. Il controllo ramo garantisce che solo i rami autorizzati possano accedere alle risorse protette. Un controllo del ramo protetto per una risorsa impedisce l'esecuzione automatica delle pipeline in rami non autorizzati.
Controllo orario di ufficio
Usare questo controllo per assicurarsi che una distribuzione della pipeline venga avviata entro un intervallo di tempo e un giorno specificato.