Рекомендации по безопасной структуре проектов в конвейере
Azure DevOps Services | Azure DevOps Server 2022 г. | Azure DevOps Server 2020 г.
Помимо масштаба отдельных ресурсов, следует также рассмотреть группы ресурсов. В Azure DevOps ресурсы группируются по командным проектам. Важно понимать, к каким ресурсам может обращаться конвейер, на основе параметров проекта и автономности.
Каждое задание в конвейере получает маркер доступа. Этот маркер имеет разрешения на чтение открытых ресурсов. В некоторых случаях конвейеры также могут обновлять эти ресурсы. Другими словами, ваша учетная запись пользователя может не иметь доступа к определенному ресурсу, но скрипты и задачи, которые выполняются в конвейере, могут иметь доступ к такому ресурсу. Модель безопасности в Azure DevOps также обеспечивает доступ к этим ресурсам из других проектов в организации. Если вы решили отключить доступ конвейера к некоторым из этих ресурсов, ваше решение применяется ко всем конвейерам в проекте. Определенному конвейеру нельзя предоставить доступ к открытому ресурсу.
Отдельные проекты
Учитывая характер открытых ресурсов, следует рассмотреть возможность управления каждым продуктом и командой в отдельном проекте. Это гарантирует, что конвейер из одного продукта не сможет получить доступ к открытым ресурсам из другого продукта. Таким образом, вы предотвращаете боковое воздействие. Когда несколько команд или продуктов совместно используют один проект, вы не можете детально изолировать их ресурсы друг от друга.
Если ваша организация Azure DevOps была создана до августа 2019 г., запуски могут иметь доступ к открытым ресурсам во всех проектах вашей организации. Администратор организации должен просмотреть параметр безопасности ключа в Azure Pipelines, который обеспечивает изоляцию проекта для конвейеров. Этот параметр можно найти в разделе Параметры организации Azure DevOps>Параметры>конвейеров>. Или перейдите непосредственно в это расположение Azure DevOps: https://dev.azure.com/ORG-NAME/_settings/pipelinessettings.
Дальнейшие действия
Настроив правильную структуру проекта, повысьте безопасность среды выполнения с помощью шаблонов.
Кері байланыс
https://aka.ms/ContentUserFeedback.
Жақында қолжетімді болады: 2024 жыл бойы біз GitHub Issues жүйесін мазмұнға арналған кері байланыс механизмі ретінде біртіндеп қолданыстан шығарамыз және оны жаңа кері байланыс жүйесімен ауыстырамыз. Қосымша ақпаратты мұнда қараңыз:Жіберу және пікірді көру