Управление безопасностью в Azure Pipelines
Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019
Azure Pipelines управляет доступом к конвейерам и их ресурсам через иерархию групп безопасности и пользователей. Эта система управляет такими ресурсами, как конвейеры выпуска, группы задач, пулы агентов и подключения служб, хотя и внешние конвейеры. При создании конвейеры и ресурсы наследуют разрешения на уровне проекта от предопределенных групп безопасности и пользователей, влияющих на все конвейеры проекта.
Администраторы обычно имеют неограниченный доступ, участники контролируют ресурсы, а читатели имеют разрешения только для просмотра, с ролями пользователей, определяющими назначения групп. Дополнительные сведения см. в разделе "Сведения о ролях безопасности конвейера".
Необходимые компоненты
Область безопасности | Необходимые компоненты |
---|---|
Безопасность конвейеров | — Чтобы управлять группами коллекций проектов, быть членом группы "Администраторы коллекции проектов ". — Чтобы управлять пользователями и группами уровня проекта, быть членом группы администраторов или иметь разрешения на сборку. |
Безопасность пула агентов | — Чтобы управлять безопасностью пула агентов на уровне организации, коллекции или проекта, быть членом группы администраторов коллекции проектов или иметь роль администратора для пулов агентов. — Для управления безопасностью пула агентов на уровне объекта необходимо иметь роль администратора для пула агентов. |
Безопасность группы развертывания | — Чтобы управлять безопасностью группы развертывания на уровне проекта, быть членом группы администраторов или назначить роль администратора. — Для управления безопасностью для отдельных групп развертывания требуется роль администратора. |
Безопасность среды | — Чтобы управлять безопасностью среды на уровне проекта, быть членом группы администраторов или назначаемой ролью администратора. — Для управления безопасностью на уровне объектов для отдельных сред требуется роль администратора. |
Безопасность библиотеки | — Чтобы управлять безопасностью библиотеки, быть членом группы администраторов или назначаемой ролью администратора. — Для управления безопасностью отдельных ресурсов библиотеки администратор или соответствующая роль. |
Безопасность конвейера выпуска | — Чтобы управлять безопасностью конвейера выпуска, быть членом группы администраторов или иметь разрешения на администрирование выпуска. — У вас есть конвейер выпуска. |
Безопасность подключения службы | — Чтобы управлять безопасностью подключения службы, быть членом группы "Администраторы проектов " или иметь роль администратора. — Чтобы управлять безопасностью на уровне проекта, быть членом группы "Администраторы проектов " или иметь роль администратора для подключений к службе. — Для управления безопасностью на уровне объекта необходимо иметь роль администратора для подключения к службе. |
Безопасность группы задач | Чтобы управлять безопасностью группы задач, быть членом группы администраторов или иметь разрешения на администрирование группы задач. — У вас есть группа задач. |
Настройка разрешений конвейера в Azure Pipelines
Безопасность конвейера соответствует иерархической модели разрешений пользователей и групп. Разрешения на уровне проекта наследуются на уровне объекта всеми конвейерами проекта. Вы можете изменить унаследованные и стандартные разрешения пользователей и групп для всех конвейеров на уровне проекта и объектов. Невозможно изменить разрешения, заданные системой.
В следующей таблице показаны группы безопасности по умолчанию для конвейеров:
Групповой | Description |
---|---|
Администраторы сборки | Администрирование разрешений сборки и управление конвейерами и сборками. |
Соавторы | Управление конвейерами и сборками, но не очередями сборки. Эта группа включает всех участников команды. |
Администраторы проектов | Администрирование разрешений сборки и управление конвейерами и сборками. |
Читатели | Просмотр конвейера и сборок. |
Администраторы коллекции проектов | Администрирование разрешений сборки и управление конвейерами и сборками. |
Администраторы сборки коллекции проектов | Администрирование разрешений сборки и управление конвейерами и сборками. |
Учетные записи службы сборки коллекции проектов | Управление сборками. |
Учетные записи службы тестирования коллекции проектов | Просмотр конвейеров и сборок. |
Система автоматически создает <пользователя службы сборки (имя коллекции) проекта>, члена группы учетных записей службы сборки коллекции проектов. Этот пользователь выполняет службы сборки в проекте.
В зависимости от ресурсов, используемых в конвейерах, конвейер может включать других встроенных пользователей. Например, если вы используете репозиторий GitHub для исходного кода, будет включен пользователь GitHub.
В следующей таблице показаны разрешения по умолчанию для групп безопасности:
Задача | Читатели | Соавторы | Создание администраторов | Администраторы проекта |
---|---|---|---|---|
Посмотреть сборки | ✔️ | ✔️ | ✔️ | ✔️ |
Просмотреть конвейер сборки | ✔️ | ✔️ | ✔️ | ✔️ |
Администрирование разрешений сборки | ✔️ | ✔️ | ||
Создание конвейера сборки | ✔️ | ✔️ | ✔️ | |
Удаление или изменение конвейера сборки | ✔️ | ✔️ | ✔️ | |
Удаление или уничтожение сборок | ✔️ | ✔️ | ||
Изменить качество сборки | ✔️ | ✔️ | ✔️ | |
Управление качествами сборки | ✔️ | ✔️ | ||
Управление очередью сборки | ✔️ | ✔️ | ||
Переопределить проверку регистрации по сборке | ✔️ | |||
Сборки очередей | ✔️ | ✔️ | ✔️ | |
Хранение на неопределенный срок | ✔️ | ✔️ | ✔️ | ✔️ |
Остановка сборок | ✔️ | ✔️ | ||
Обновить сведения о сборке | ✔️ |
Описание разрешений конвейера см. в разделе "Разрешения конвейера" или "Сборка".
Задайте разрешения конвейера на уровне проекта
Чтобы управлять разрешениями на уровне проекта для пользователей и групп во всех конвейерах сборки в проекте, сделайте следующее:
В проекте выберите "Конвейеры".
Выберите "Дополнительные действия" и выберите "Управление безопасностью".
Выберите пользователей или группы и задайте разрешения для разрешения, запрета или не заданы.
Повторите предыдущий шаг, чтобы изменить разрешения для дополнительных групп и пользователей.
Диалоговое окно "Закрыть разрешения", чтобы сохранить изменения.
Добавление пользователей или групп в диалоговое окно разрешений
Чтобы добавить пользователей и группы, которые не перечислены в диалоговом окне разрешений, сделайте следующее:
- Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска.
- Задайте разрешения.
- Закройте диалоговое окно.
При повторном открытии диалогового окна безопасности отображается пользователь или группа.
Удаление пользователей или групп из диалогового окна разрешений
Чтобы удалить пользователя из списка разрешений, сделайте следующее:
Выберите пользователя или группу.
Выберите " Удалить" и очистить явные разрешения.
По завершении закройте диалоговое окно, чтобы сохранить изменения.
Чтобы управлять разрешениями на уровне проекта для пользователей и групп во всех конвейерах сборки в проекте, сделайте следующее:
В проекте выберите "Конвейеры".
Выберите "Дополнительные действия" и выберите "Управление безопасностью".
Чтобы добавить пользователей или группы, которые не указаны в диалоговом окне разрешений, выберите "Добавить", введите пользователя или группу и нажмите кнопку "Сохранить изменения".
Выберите пользователя или группу и задайте разрешения.
Повторите предыдущий шаг, чтобы изменить разрешения для дополнительных групп и пользователей.
Нажмите кнопку "Сохранить изменения" или выберите "Отменить изменения", чтобы отменить изменения.
Чтобы удалить пользователя или группу из списка, выберите пользователя или группу и нажмите кнопку "Удалить".
Выберите Закрыть.
Заданы разрешения конвейеров на уровне проекта.
Чтобы управлять разрешениями на уровне проекта для пользователей и групп во всех конвейерах сборки в проекте, сделайте следующее:
В проекте выберите "Сборки".
Щелкните значок папок и выберите папку "Все конвейеры сборки ".
Выберите "Дополнительные действия>" "Безопасность".
Чтобы добавить пользователей или группы, которые не указаны в диалоговом окне разрешений, выберите "Добавить", введите пользователя или группу и нажмите кнопку "Сохранить изменения".
Выберите пользователя или группу и задайте разрешения.
При необходимости выберите "Сохранить изменения" или "Отменить".
Повторите предыдущий шаг, чтобы изменить разрешения для дополнительных групп и пользователей.
Чтобы удалить пользователя или группу из списка, выберите пользователя или группу, а затем удалите.
Выберите Закрыть.
Настройка разрешений для конвейера на уровне объекта
По умолчанию разрешения уровня объекта для отдельных конвейеров наследуются от разрешений на уровне проекта. Можно переопределить унаследованные разрешения на уровне проекта.
Вы можете задать разрешения для разрешения, запрета или запрета , если разрешение не наследуется. Если наследование включено, можно изменить явно заданное разрешение на унаследованное значение.
Чтобы управлять разрешениями для конвейера, выполните следующие действия.
В проекте выберите "Конвейеры ".
Выберите конвейер, а затем выберите "Другие действия" и выберите "Управление безопасностью".
Выберите пользователя или группу и задайте разрешения.
Повторите предыдущий шаг, чтобы изменить разрешения для дополнительных групп и пользователей.
По завершении закройте диалоговое окно, чтобы сохранить изменения.
Добавление пользователей или групп в диалоговое окно разрешений
Чтобы добавить пользователей и группы, которые не перечислены в диалоговом окне разрешений, сделайте следующее:
- Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска.
- Задайте разрешения.
- Закройте диалоговое окно.
При повторном открытии диалогового окна безопасности отображается пользователь или группа.
Удаление пользователей или групп из диалогового окна разрешений
Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено. Чтобы удалить пользователей или группы из разрешений конвейера, сделайте следующее:
Выберите пользователя или группу.
Выберите " Удалить" и очистить явные разрешения.
По завершении закройте диалоговое окно, чтобы сохранить изменения.
По умолчанию разрешения на уровне объекта для отдельных конвейеров наследуют разрешения на уровне проекта. Можно переопределить унаследованные разрешения.
Вы можете задать разрешения для разрешения, запрета или запрета , если разрешение не наследуется. Если наследование включено, можно изменить явно заданное разрешение на унаследованное значение.
Чтобы задать разрешения для отдельного конвейера, сделайте следующее:
В проекте выберите "Конвейеры ".
Выберите конвейер, а затем выберите "Другие действия" и выберите "Управление безопасностью".
Чтобы добавить пользователей или группы, которые не указаны в диалоговом окне разрешений, выберите "Добавить", введите пользователя или группу и нажмите кнопку "Сохранить изменения".
Выберите пользователей и группы и задайте разрешения.
При необходимости нажмите кнопку "Сохранить изменения " или *Отменить изменения.
Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить". Вы не можете удалить унаследованных пользователей или групп, если наследование не отключено.
Нажмите кнопку "Закрыть ", когда закончите работу.
При явном установке разрешения наследуемого пользователя или группы наследуемое наследование отключается для этого конкретного разрешения. Чтобы восстановить наследование, задайте разрешение not set. Выберите "Очистить явные разрешения" , чтобы сбросить все явно заданные разрешения на унаследованные параметры. Чтобы отключить наследование для всех разрешений пользователя и группы, отключите параметр наследования . После повторного включения наследования разрешения для всех пользователей и групп будут возвращаться к параметрам уровня проекта.
Разрешения уровня объекта для отдельных конвейеров наследуют разрешения уровня проекта по умолчанию. Эти унаследованные разрешения можно переопределить для отдельного конвейера.
Вы можете задать разрешения для разрешения, запрета или запрета , если разрешение не наследуется. Если наследование включено, можно изменить явно заданное разрешение на унаследованное значение.
Чтобы задать разрешения на уровне объектов для конвейера, выполните следующие действия.
В проекте выберите сборки из меню.
Щелкните значок папок и выберите папку "Все конвейеры сборки ".
Выберите "Дополнительные действия>" "Безопасность".
Чтобы добавить пользователей или группы, которые не указаны в диалоговом окне разрешений, выберите "Добавить", введите пользователя или группу и нажмите кнопку "Сохранить изменения".
Выберите пользователя или группу и задайте разрешения.
Вы можете выбрать больше пользователей и групп, чтобы изменить их разрешения.
Нажмите кнопку "Сохранить изменения" или выберите "Отменить изменения", чтобы отменить изменения.
Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.
Нажмите кнопку "Закрыть ", когда закончите работу.
При явном установке разрешения наследуемого пользователя или группы наследуемое наследование отключается для этого конкретного разрешения. Чтобы восстановить наследование, задайте разрешение not set. Выберите "Очистить явные разрешения" , чтобы сбросить все явно заданные разрешения на унаследованные параметры. Чтобы отключить наследование для всех разрешений пользователя и группы, отключите параметр наследования . При повторном наследовании разрешения для всех пользователей и групп будут возвращаться к параметрам уровня проекта.
Настройка безопасности группы развертывания в Azure Pipelines
Группа развертывания — это пул физических или виртуальных целевых машин с установленными агентами. Группы развертывания доступны только с классическими конвейерами выпуска. Группы развертывания можно создать в следующих случаях:
- При подготовке зависимых групп развертывания для проектов из пулов развертывания организации
- При создании группы развертывания на уровне проекта
- Когда проект предоставляет общий доступ к группе развертывания, в проектах получателей создаются зависимые группы развертывания.
Отдельные группы развертывания наследуют роли безопасности от назначений на уровне проекта. Вы можете переопределить назначения на уровне проекта для пользователя или группы. Чтобы удалить унаследованного пользователя или группу или снизить уровень привилегий наследуемой роли, необходимо отключить наследование.
Когда группа развертывания получает общий доступ к другому проекту, отдельная группа развертывания, которая наследует ее роли безопасности, создается в другом проекте. Если общий доступ отключен, группа развертывания удаляется из другого проекта.
В следующей таблице показаны роли безопасности для групп развертывания:
Роль | Description |
---|---|
Читатель | Может просматривать только группы развертывания. |
Автор | Может создавать группы развертывания. Эта роль является только ролью уровня проекта. |
Пользователь | Может просматривать и использовать группы развертывания. |
Организация сервиса | Может просматривать агенты, создавать сеансы и прослушивать задания. Эта роль — это только роль уровня коллекции или организации. |
Администратор | Может администрировать, администрировать, просматривать и использовать группы развертывания. |
В следующей таблице показаны назначения ролей пользователей и групп по умолчанию:
Групповой | Роль |
---|---|
[имя проекта]\Участникы | Создатель (уровень проекта), читатель (уровень объекта) |
[имя проекта]\Администраторы группы развертывания | Администратор |
[имя проекта]\Администраторы проекта | Администратор |
[имя проекта]\Администраторы выпуска | Администратор |
Настройка ролей безопасности группы развертывания на уровне проекта
Выполните следующие действия, чтобы задать роли безопасности на уровне проекта для всех групп развертывания:
В проекте выберите группы развертывания в разделе "Конвейеры".
Выберите Безопасность.
Задайте роли для пользователей и групп.
Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить ".
Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.
Выполните следующие действия, чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности:
- Выберите Добавить.
- Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
- Выберите роль.
- Выберите Добавить, чтобы сохранить изменения.
Настройка ролей безопасности группы безопасности группы развертывания на уровне объекта
Выполните следующие действия, чтобы задать роли безопасности для отдельной группы развертывания:
В проекте выберите группы развертывания в разделе "Конвейеры".
Выберите группу развертывания в разделе "Группы".
Выберите Безопасность.
Задайте роли для пользователей и групп. Чтобы снизить уровень привилегий наследуемой роли, отключите наследование.
Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить ". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.
Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.
При явной настройке роли отключается наследование для этого пользователя или группы. Чтобы отключить наследование для всех пользователей и групп, отключите параметр наследования . При повторном наследовании роли для всех пользователей и групп будут возвращаться к назначениям на уровне проекта.
Выполните следующие действия, чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности:
- Выберите Добавить.
- Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
- Выберите роль.
- Выберите Добавить, чтобы сохранить изменения.
Настройки безопасности сред в Azure Pipelines
Целевые объекты развертывания сред для конвейеров YAML, но несовместимы с классическими конвейерами. Все среды наследуют роли безопасности, назначенные на уровне проекта пользователям и группам по умолчанию. Эти параметры можно настроить для отдельных сред, включая удаление унаследованных пользователей или групп и настройку уровней привилегий, отключив наследование. Кроме того, вы можете управлять доступом к конвейеру для каждой среды.
В следующей таблице показаны роли безопасности для сред:
Роль | Description |
---|---|
Автор | Может создавать среды в проекте. Она применяется только к безопасности на уровне проекта. Участники автоматически назначают эту роль. |
Читатель | Может просматривать среду. |
Пользователь | Может использовать среду при создании или редактировании конвейеров YAML. |
Администратор | Может администрировать разрешения, создавать, администрировать, просматривать и использовать среды. Создатель среды предоставляет роль администратора для этой среды. Администраторы также могут открывать доступ к среде для всех конвейеров в проекте. |
В следующей таблице показаны назначения ролей пользователей и групп по умолчанию:
Групповой | Роль |
---|---|
[имя проекта]\Участникы | Создатель (средство чтения на уровне проекта) (уровень объекта) |
[имя проекта]\Администраторы проекта | Создатель |
[имя проекта]\Допустимые пользователи проекта | Читатель |
Пользователь, создающий среду, автоматически получает роль администратора для этой конкретной среды. Это назначение роли является постоянным и не может быть изменено.
Настройка ролей безопасности среды на уровне проекта
Чтобы задать роли безопасности на уровне проекта для всех сред, сделайте следующее:
Из проекта среды в конвейерах.
Выберите "Дополнительные действия" и выберите "Безопасность".
Задайте роли для пользователей и групп администратора, создателя, пользователя или читателя.
Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить ".
Нажмите кнопку "Сохранить", чтобы сохранить изменения или отменить их, чтобы вернуть несохраненные изменения.
Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности, выполните следующие действия.
- Выберите Добавить.
- Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
- Выберите роль.
- Выберите Добавить, чтобы сохранить изменения.
Настройка безопасности среды на уровне объекта
По умолчанию роли безопасности уровня объектов наследуются от параметров уровня проекта. Но эти параметры можно настроить для отдельных сред, включая удаление унаследованных пользователей или групп и настройку уровней привилегий, отключив наследование. Кроме того, вы можете управлять доступом к конвейеру для каждой среды.
Настройка ролей пользователя среды уровня объекта и группы безопасности
Чтобы настроить роли безопасности пользователей и групп для среды, сделайте следующее:
В проекте выберите "Среды " в разделе "Конвейеры".
Выберите среду.
Выберите "Дополнительные действия" и выберите "Безопасность".
Задайте роли для пользователей и групп администратором, пользователем или читателем.
Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить ". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.
Нажмите кнопку "Сохранить", чтобы сохранить изменения или отменить их, чтобы вернуть несохраненные изменения.
Явное задание роли для пользователя или группы отключает их наследование. Чтобы остановить наследование для всех, отключите параметр наследования . Повторная активация наследования сбрасывает всех пользователей и групп на исходные назначения ролей уровня проекта.
Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности, выполните следующие действия.
- Выберите Добавить.
- Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
- Выберите роль.
- Выберите Добавить, чтобы сохранить изменения.
Настройка доступа к конвейеру для среды
Разрешения конвейера можно задать для открытия доступа , чтобы разрешить доступ ко всем конвейерам в проекте или ограниченному доступу к определенным конвейерам. Только администраторы проектов могут задавать разрешения конвейера для open access.
Чтобы задать открытый доступ ко всем конвейерам в проекте, сделайте следующее:
Выберите "Дополнительные действия" и выберите "Открыть доступ".
Выберите "Открыть доступ" в диалоговом окне подтверждения.
Чтобы ограничить доступ к конвейеру и управлять ими, сделайте следующее:
Выберите " Ограничить доступ".
Выберите " Добавить конвейер" и выберите конвейер в раскрывающемся меню.
Чтобы удалить конвейер, выберите конвейер и щелкните значок "Отозвать доступ ".
Настройка безопасности библиотеки в Azure Pipelines
Библиотека упрощает совместное использование ресурсов, таких как группы переменных и безопасные файлы, в конвейерах сборки и выпуска. Она использует единую модель безопасности, позволяя назначения ролей для управления ресурсами, создания и использования. Эти роли, после установки на уровне библиотеки, автоматически применяются ко всем содержащимся ресурсам, но могут быть индивидуально скорректированы.
Роль | Description |
---|---|
Администратор | Изменение, удаление и управление безопасностью для ресурсов библиотеки. Создатель ресурса автоматически назначает эту роль для ресурса. |
Автор | Создание ресурсов библиотеки. |
Читатель | Чтение ресурсов библиотеки. |
Пользователь | Использование ресурсов библиотеки в конвейерах. |
В следующей таблице показаны роли по умолчанию:
Групповой | Роль |
---|---|
[имя проекта]\Администраторы проекта | Администратор |
[имя проекта]\Администраторы сборки | Администратор |
[имя проекта]\Допустимые пользователи проекта | Читатель |
[имя проекта]\Участникы | Создатель (средство чтения на уровне проекта) (уровень объекта) |
[имя проекта]\Администраторы выпуска | Администратор |
Служба сборки проекта (имя коллекции или организации) | Читатель |
Для отдельных ресурсов библиотек создатель автоматически назначает роль администратора .
Настройка ролей безопасности библиотеки уровня проекта
Чтобы управлять доступом ко всем ресурсам библиотеки, таким как группы переменных и защищенные файлы, выполните следующие действия.
В проекте выберите библиотеку конвейеров.>
Выберите Безопасность.
Выберите пользователя или группу и измените роль читателя, пользователя, создателя или администратора.
Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить ".
Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.
Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности, выполните следующие действия.
- Выберите Добавить.
- Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
- Выберите роль.
- Выберите Добавить, чтобы сохранить изменения.
Вы можете управлять доступом ко всем ресурсам библиотеки, таким как группы переменных и защищенные файлы, из параметров безопасности библиотеки уровня проекта.
Настройка ролей безопасности защищенных файлов
Роли безопасности для защищенных файлов наследуются от назначений ролей библиотеки уровня проекта по умолчанию. Эти назначения можно переопределить для отдельного файла. Чтобы удалить унаследованного пользователя или группу или снизить уровень привилегий наследуемой роли, необходимо отключить наследование.
Создатель безопасного файла автоматически назначает роль администратора для этого файла, которая не может быть изменена.
Чтобы задать разрешения для безопасного файла, выполните следующие действия.
- В проекте выберите библиотеку конвейеров.>
- Выберите "Безопасные файлы".
- Выберите файл.
- Выберите Безопасность.
- Задайте нужную роль для пользователей и групп.
- Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить ". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.
- Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.
При явной настройке роли отключается наследование для этого пользователя или группы. Чтобы отключить наследование для всех пользователей и групп, отключите параметр наследования . При повторном наследовании роли для всех пользователей и групп будут возвращаться к назначениям на уровне проекта.
Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности, выполните следующие действия.
- Выберите Добавить.
- Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
- Выберите роль.
- Выберите Добавить, чтобы сохранить изменения.
Настройка ролей безопасности группы переменных
Роли безопасности для групп переменных наследуются от назначений ролей библиотеки уровня проекта по умолчанию. Эти назначения можно переопределить для отдельной группы переменных. Чтобы удалить унаследованного пользователя или группу или снизить уровень привилегий наследуемой роли, необходимо отключить наследование.
Создатель группы переменных автоматически назначает роль администратора для этой группы, которая не может быть изменена.
Чтобы задать доступ для группы переменных, сделайте следующее:
- В проекте выберите библиотеку конвейеров.>
- Выберите группу переменных.
- Выберите Безопасность.
- Задайте нужную роль для пользователей и групп.
- Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить ". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.
- Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.
При явной настройке роли отключается наследование для этого пользователя или группы. Чтобы отключить наследование для всех пользователей и групп, отключите параметр наследования . При повторном наследовании роли для всех пользователей и групп будут возвращаться к назначениям на уровне проекта.
Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности, выполните следующие действия.
- Выберите Добавить.
- Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
- Выберите роль.
- Выберите Добавить, чтобы сохранить изменения.
Настройка разрешений конвейера выпуска в Azure Pipelines
После создания конвейера выпуска можно задать разрешения на уровне проекта для всех конвейеров выпуска и разрешений на уровне объектов для отдельных конвейеров и этапов выпуска. Вы также можете задать разрешения для этапов выпуска, которые являются подмножеством разрешений, унаследованных от разрешений конвейера выпуска на уровне объекта.
В следующей таблице показана иерархия разрешений для конвейеров выпуска:
- Разрешения конвейеров выпуска на уровне проекта
- Разрешения конвейера выпуска на уровне объекта
- Разрешения этапа уровня объекта
В следующей таблице показаны роли пользователей и групп по умолчанию:
Групповой | Роль |
---|---|
Участников | Все разрешения, кроме разрешений администрирования выпуска. |
Администраторы проектов | Все разрешения. |
Читателей | Может просматривать конвейеры и выпуски. |
Администраторы выпуска | Все разрешения. |
Администраторы коллекции проектов | Все разрешения. |
<Имя> проекта Build Service (<название организации или коллекции>) | Может просматривать конвейеры и выпуски. |
Сервер сборки Project Collection (<имя> организации или коллекции) | Может просматривать конвейеры и выпуски. |
Описание разрешений см. в разделе "Разрешения и группы".
Настройка разрешений конвейера выпуска на уровне проекта
Чтобы обновить разрешения для всех выпусков, сделайте следующее:
1.В проекте выберите "Конвейеры выпусков>".
Щелкните значок представления файла.
Выберите папку "Все конвейеры".
Выберите "Дополнительные действия" и выберите "Безопасность".
Выберите пользователей и группы и измените их разрешения.
По завершении закройте диалоговое окно, чтобы сохранить изменения.
Добавление пользователей или групп в диалоговое окно разрешений
Чтобы добавить пользователей и группы, которые не перечислены в диалоговом окне разрешений, сделайте следующее:
- Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска.
- Задайте разрешения.
- Закройте диалоговое окно.
При повторном открытии диалогового окна безопасности отображается пользователь или группа.
Удаление пользователей или групп из диалогового окна разрешений
Чтобы удалить пользователя из списка разрешений, сделайте следующее:
На странице разрешений проекта выберите пользователя или группу.
Выберите " Удалить" и очистить явные разрешения.
По завершении закройте диалоговое окно, чтобы сохранить изменения.
Чтобы задать разрешения для всех выпусков, сделайте следующее:
В проекте выберите "Выпуски конвейеров>".
Щелкните значок представления файла.
Выберите папку "Все конвейеры".
Выберите "Дополнительные действия" и выберите "Безопасность".
Чтобы добавить пользователей или группы, которые не указаны в диалоговом окне разрешений, выберите "Добавить", введите пользователя или группу и нажмите кнопку "Сохранить изменения".
Выберите пользователя и группу и задайте разрешение на разрешение "Разрешить", "Запретить" или "Не задать", а затем нажмите кнопку "Сохранить изменения" или "Отменить изменения".
Повторите предыдущий шаг для каждого пользователя или группы, чтобы изменить их разрешения.
По завершении закройте диалоговое окно.
Настройка разрешений конвейера выпуска на уровне объекта
По умолчанию разрешения на уровне объекта для отдельных конвейеров выпуска наследуются от разрешений конвейера выпуска на уровне проекта. Эти унаследованные разрешения можно переопределить для определенного конвейера выпуска.
Чтобы переопределить разрешения для выпуска, выполните следующие действия.
В проекте выберите "Выпуски конвейеров>".
Выберите значок представления файла.
Выберите конвейер выпуска, который нужно изменить, а затем выберите "Дополнительные действия> безопасности".
Выберите пользователей или группы, чтобы задать разрешения для параметра Allow, Deny или Not set.
По завершении закройте диалоговое окно, чтобы сохранить изменения.
При явном установке разрешения наследуемого пользователя или группы наследуемое наследование отключается для этого конкретного разрешения. Чтобы восстановить наследование, задайте разрешение not set. Чтобы отключить наследование для всех разрешений пользователя и группы, отключите параметр наследования . После повторного включения наследования разрешения для всех пользователей и групп будут возвращаться к параметрам уровня проекта.
Добавление пользователей или групп в диалоговое окно разрешений
Чтобы добавить пользователей и группы, которые не перечислены в диалоговом окне разрешений, сделайте следующее:
- Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска.
- Задайте разрешения.
- Закройте диалоговое окно.
При повторном открытии диалогового окна безопасности отображается пользователь или группа.
Удаление пользователей или групп из диалогового окна разрешений
Пользователи и группы можно удалить из конвейера выпуска. Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено. Чтобы удалить разрешения конвейера выпуска для пользователей или групп, сделайте следующее:
Выберите пользователя или группу.
Выберите " Удалить" и очистить явные разрешения.
По завершении закройте диалоговое окно, чтобы сохранить изменения.
Вы можете задать разрешения для разрешения, запрета или запрета , если разрешение не наследуется. Если наследование включено, можно изменить явно заданное разрешение на унаследованное значение.
В проекте выберите "Выпуски конвейеров>".
Выберите значок представления файла.
Выберите конвейер выпуска, который вы хотите изменить, выберите "Дополнительные действия" и выберите "Безопасность".
Чтобы добавить пользователей или группы, которые не указаны в диалоговом окне разрешений, выберите "Добавить", введите пользователя или группу и нажмите кнопку "Сохранить изменения".
Выберите пользователя и группу и задайте разрешение на разрешить, запретить или не задать или наследуемое значение (например, разрешить (наследуемое)).
Нажмите кнопку "Сохранить изменения" или выберите "Отменить изменения", чтобы отменить изменения. Перед выбором другого пользователя или группы необходимо сохранить изменения, чтобы применить разрешения.
Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.
Завершив настройку, нажмите кнопку ОК.
При явном установке разрешения наследуемого пользователя или группы наследуемое наследование отключается для этого конкретного разрешения. Чтобы восстановить наследование, задайте разрешение not set. Выберите "Очистить явные разрешения" , чтобы сбросить все явно заданные разрешения на унаследованные параметры. Чтобы отключить наследование для всех разрешений пользователя и группы, отключите параметр наследования . После повторного включения наследования разрешения для всех пользователей и групп будут возвращаться к параметрам уровня проекта.
Настройка разрешений этапа выпуска
Разрешения этапа — это подмножество разрешений, унаследованных от разрешений конвейера выпуска на уровне объекта.
Чтобы задать разрешения для этапа, сделайте следующее:
В проекте выберите "Выпуски конвейеров>".
Щелкните значок представления файла и выберите "Все конвейеры".
Выберите конвейер выпуска, который нужно изменить из всех конвейеров
Выберите этап, который требуется изменить.
Щелкните значок "Дополнительно" и выберите "Безопасность".
Чтобы добавить пользователей или группы, которые не указаны в диалоговом окне разрешений, выберите "Добавить", введите пользователя или группу и нажмите кнопку "Сохранить изменения".
Выберите пользователей и группы, чтобы задать разрешения на разрешение, запрет или не задано.
Нажмите кнопку "Сохранить изменения" или выберите "Отменить изменения", чтобы отменить изменения. Перед выбором другого пользователя или группы необходимо сохранить изменения, чтобы применить разрешения.
Вы можете выбрать больше пользователей и групп, чтобы изменить их разрешения.
Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.
Завершив настройку, нажмите кнопку ОК.
При явном установке разрешения наследуемого пользователя или группы наследуемое наследование отключается для этого конкретного разрешения. Чтобы восстановить наследование, задайте разрешение not set. Выберите "Очистить явные разрешения" , чтобы сбросить все явно заданные разрешения на унаследованные параметры. Чтобы отключить наследование для всех разрешений пользователя и группы, отключите параметр наследования . После повторного включения наследования разрешения для всех пользователей и групп будут возвращаться к параметрам уровня проекта.
Настройка безопасности подключения службы в Azure Pipelines
Подключения к службам используются для подключения к внешним и удаленным службам. Безопасность подключения службы можно задать для:
- Проекты: разрешения задаются на уровне объекта.
- Конвейеры: разрешения задаются на уровне объекта.
- Пользователи и группы: роли безопасности задаются на уровне проекта и объекта.
В следующей таблице показаны роли подключения службы:
Роль | Характер использования |
---|---|
Читатель | Может просматривать подключения к службам. |
Пользователь | Можно использовать подключения службы в конвейерах сборки и выпуска YAML классической версии. |
Автор | Может создать подключение к службе в проекте. Эта роль является только ролью уровня проекта. |
Администратор | Может использовать подключение службы и управлять ролями для других пользователей и групп. |
В следующей таблице показаны роли безопасности по умолчанию для подключений к службам:
Групповой | Роль |
---|---|
[имя проекта]\Администраторы конечных точек | Администратор |
[имя проекта]\Endpoint Creators | Создатель |
Пользователю, создающему подключение к службе, автоматически назначается роль администратора для этого подключения к службе.
- Конвейеры: разрешения задаются на уровне объекта.
- Пользователи и группы: роли безопасности задаются на уровне проекта и объекта.
В следующей таблице показаны роли подключения службы:
Роль | Характер использования |
---|---|
Пользователь | Можно использовать подключения службы в конвейерах сборки и выпуска YAML классической версии. |
Администратор | Может использовать подключение службы и управлять ролями для других пользователей и групп. |
По умолчанию группа [проект]/\Endpoint Administrators назначается роль администратора для всех подключений к службам в проекте. Пользователю, создающему подключение к службе, автоматически назначается роль администратора для этого подключения к службе.
Дополнительные сведения см. в разделе "Подключения службы".
Дополнительные сведения см. в разделе "Подключения службы".
Настройка ролей безопасности подключения службы уровня проекта
Чтобы управлять ролями безопасности для всех подключений к службе, выполните следующие действия.
В проекте выберите параметры проекта.
Выберите Подключения к службе в Pipelines.
Выберите "Дополнительные действия" и выберите "Безопасность".
Чтобы изменить роль, выберите пользователя или группу и выберите роль в раскрывающемся меню.
Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить ".
Нажмите кнопку "Сохранить", чтобы сохранить изменения или отменить их, чтобы вернуть несохраненные изменения.
Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности, выполните следующие действия.
- Выберите Добавить.
- Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
- Выберите роль.
- Выберите Добавить, чтобы сохранить изменения.
Настройка безопасности подключения службы на уровне объекта
Вы можете задать роли безопасности для пользователей и групп, а также доступ к конвейеру и проекту к подключению к службе. Отдельные подключения службы наследуют назначения ролей уровня проекта для пользователей и групп по умолчанию.
Чтобы открыть диалоговое окно безопасности для отдельного подключения к службе, сделайте следующее:
- В проекте выберите параметры проекта.
- Выберите Подключения к службе в Pipelines.
- Выберите подключение службы.
- Выберите "Дополнительные действия" и выберите "Безопасность".
Настройка ролей безопасности подключения службы для пользователей и групп
Можно переопределить унаследованные роли для пользователей и групп. Наследование должно быть отключено, чтобы удалить наследуемого пользователя или группы или снизить уровень привилегий унаследованной роли.
Чтобы управлять ролями безопасности для отдельного подключения к службе, выполните следующие действия.
В разделе "Разрешения пользователя" диалогового окна "Безопасность" выберите "Проект" для управления пользователями и группами на уровне проекта или организацией для управления пользователями и группами уровня организации.
Выберите пользователей и группы и измените их роли. Чтобы снизить уровень привилегий наследуемой роли, необходимо отключить наследование.
Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить ". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.
Нажмите кнопку "Сохранить", чтобы сохранить изменения или отменить их, чтобы вернуть несохраненные изменения.
При явной настройке роли отключается наследование для этого пользователя или группы. Чтобы отключить наследование для всех пользователей и групп, отключите параметр наследования . При повторном наследовании роли для всех пользователей и групп будут возвращаться к назначениям на уровне проекта.
Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности:
- Выберите Добавить.
- Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
- Выберите роль.
- Выберите Добавить, чтобы сохранить изменения.
Настройка разрешений конвейера подключения службы
Вы можете задать разрешения конвейера для открытия доступа, позволяя всем конвейерам использовать подключение службы или ограничить доступ к определенным конвейерам.
Если для разрешений конвейера задано значение Open access, можно ограничить доступ, выбрав параметр "Ограничить доступ ".
Чтобы добавить конвейеры в подключение ограниченной службы, выберите "Добавить конвейер" и выберите конвейер из раскрывающегося меню.
Чтобы изменить подключение службы с ограниченным доступом, выберите "Дополнительные действия" и "Открыть доступ".
Настройка разрешений проекта подключения службы
Подключение к службе можно совместно использовать в нескольких проектах. Разрешения проекта определяют, какие проекты могут использовать подключение службы. По умолчанию подключения к службам не совместно используются для других проектов.
- Только администраторы уровня организации из разрешений пользователей могут совместно использовать подключение к службе с другими проектами.
- Пользователь, который предоставляет общий доступ к подключению к службе с проектом, должен иметь по крайней мере разрешение на подключение службы в целевом проекте.
- Пользователь, который предоставляет доступ к подключению к службе с проектом, становится администратором уровня проекта для этого подключения к службе. Наследование на уровне проекта установлено в целевом проекте.
- Имя подключения службы добавляется с именем проекта, и его можно переименовать в целевой области проекта.
- Администратор уровня организации может отменить общий доступ к подключению к службе из любого общего проекта.
Доступ ограничен текущим проектом по умолчанию. Чтобы предоставить доступ к другим проектам в организации или коллекции, нажмите кнопку "Добавить проекты".
Настройка ролей безопасности для отдельных подключений к службе
Чтобы задать роль безопасности для пользователей и групп для отдельных подключений, сделайте следующее:
В проекте выберите параметры проекта.
Выберите подключения служб в разделе "Конвейеры".
Выберите подключение службы.
Выберите пользователя или группу и измените роль на "Пользователь " или "Администратор". Чтобы снизить уровень привилегий унаследованной роли, для подключения к службе необходимо отключить наследование.
Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.
При явной настройке роли отключается наследование для этого пользователя или группы. Чтобы отключить наследование для всех пользователей и групп, отключите параметр наследования . При повторном наследовании роли для всех пользователей и групп будут возвращаться к назначениям на уровне проекта.
Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности, выполните следующие действия.
- Выберите Добавить.
- Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
- Выберите роль.
- Выберите Добавить, чтобы сохранить изменения.
Чтобы удалить пользователя или группу из списка, выберите пользователя или группу и нажмите кнопку "Удалить ". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.
Если у вас возникли проблемы с разрешениями и подключениями к службе, см. статью "Устранение неполадок с подключениями к службе Azure Resource Manager".
Настройка разрешений группы задач в Azure Pipelines
Разрешения для групп задач соответствуют иерархической модели. По умолчанию все группы задач наследуют разрешения на уровне проекта. После создания группы задач можно изменить разрешения на уровне проекта и разрешения уровня объекта для отдельных групп задач.
В следующей таблице показаны разрешения для групп задач:
Разрешение | Description |
---|---|
Администрирование разрешений группы задач | Может добавлять и удалять пользователей или группы в безопасность группы задач. |
Удаление группы задач | Может удалить группу задач. |
Изменение группы задач | Может создавать, изменять или удалять группу задач. |
В следующей таблице показаны разрешения по умолчанию для групп безопасности:
Задача | Читатели | Соавторы | Создание администраторов | Администраторы проекта | Администраторы выпуска |
---|---|---|---|---|---|
Администрирование разрешений группы задач | ✔️ | ✔️ | ✔️ | ||
Удаление группы задач | ✔️ | ✔️ | ✔️ | ||
Изменение группы задач | ✔️ | ✔️ | ✔️ | ✔️ |
Создатель группы задач имеет все разрешения для группы задач.
Примечание.
Группы задач не поддерживаются в конвейерах YAML, но шаблоны. Дополнительные сведения см . в справочнике по схеме YAML.
Настройка разрешений группы задач уровня проекта
Чтобы задать разрешения для групп задач уровня проекта, сделайте следующее:
В проекте выберите группы задач Pipelines>.
Выберите Безопасность.
Выберите пользователей и группы, чтобы задать их разрешения на разрешение, запрет или не задано.
По завершении закройте диалоговое окно, чтобы сохранить изменения.
Добавление пользователей или групп в диалоговое окно разрешений
Чтобы добавить пользователей и группы, которые не перечислены в диалоговом окне разрешений, сделайте следующее:
- Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска.
- Задайте разрешения.
- Закройте диалоговое окно.
При повторном открытии диалогового окна безопасности отображается пользователь или группа.
Удаление пользователей или групп из диалогового окна разрешений
Чтобы удалить пользователя из списка разрешений, сделайте следующее:
Выберите пользователя или группу.
Выберите " Удалить" и очистить явные разрешения.
По завершении закройте диалоговое окно, чтобы сохранить изменения.
Чтобы задать разрешения для групп задач уровня проекта, сделайте следующее:
В проекте выберите группы задач Pipelines>.
Выберите Безопасность.
Чтобы добавить пользователей или группы, которые не указаны в диалоговом окне разрешений, выберите "Добавить", введите пользователя или группу и нажмите кнопку "Сохранить изменения".
Выберите пользователя или группу, чтобы задать разрешения для параметра Allow, Deny или Not set.
Нажмите кнопку "Сохранить изменения" или выберите "Отменить изменения", чтобы отменить изменения. Перед выбором другого пользователя или группы необходимо сохранить изменения, чтобы применить разрешения.
Вы можете выбрать больше пользователей и групп, чтобы изменить их разрешения.
Нажмите кнопку "Закрыть ", когда закончите работу.
Задание разрешений группы задач уровня объекта
Чтобы задать разрешения для отдельных групп задач, сделайте следующее:
В проекте выберите группы задач Pipelines>.
Выберите группу задач.
Выберите "Дополнительные команды" и выберите "Безопасность".
Выберите пользователей и группы, чтобы задать их разрешения на разрешение, запрет или не задано.
По завершении закройте диалоговое окно, чтобы сохранить изменения.
Если разрешение для наследуемого пользователя или группы явно задано, наследование отключено для этого конкретного разрешения. Измените разрешение на не задано для восстановления наследования. Чтобы отключить наследование для всех разрешений пользователя и группы, отключите параметр наследования . После повторного включения наследования параметры для всех разрешений будут возвращаться на уровень проекта.
Добавление пользователей или групп в диалоговое окно разрешений
Чтобы добавить пользователей и группы, которые не перечислены в диалоговом окне разрешений, сделайте следующее:
- Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска.
- Задайте разрешения.
- Закройте диалоговое окно.
При повторном открытии диалогового окна безопасности отображается пользователь или группа.
Удаление пользователей или групп из диалогового окна разрешений
Пользователи и группы можно удалить из группы задач. Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.
Выберите пользователя или группу.
Выберите " Удалить" и очистить явные разрешения.
По завершении закройте диалоговое окно, чтобы сохранить изменения.
Вы можете задать разрешения для разрешения, запрета или запрета , если разрешение не наследуется. Если наследование включено, можно изменить явно заданное разрешение на унаследованное значение.
Чтобы задать разрешения для отдельных групп задач, сделайте следующее:
В проекте выберите группы задач Pipelines>.
Выберите группу задач.
Выберите "Дополнительные команды" и выберите "Безопасность".
Выберите пользователей и группы, чтобы задать их разрешения на разрешение, запрет или не задано.
По завершении закройте диалоговое окно, чтобы сохранить изменения.
Если разрешение для наследуемого пользователя или группы явно задано, наследование отключено для этого конкретного разрешения. Измените разрешение на не задано для восстановления наследования. Чтобы отключить наследование для всех разрешений пользователя и группы, отключите параметр наследования . После повторного включения наследования параметры для всех разрешений будут возвращаться на уровень проекта.
Добавление пользователей или групп в диалоговое окно разрешений
Чтобы добавить пользователей и группы, которые не перечислены в диалоговом окне разрешений, сделайте следующее:
- Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска.
- Задайте разрешения.
- Закройте диалоговое окно.
При повторном открытии диалогового окна безопасности отображается пользователь или группа.
Удаление пользователей или групп из диалогового окна разрешений
Пользователи и группы можно удалить из группы задач. Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.
Выберите пользователя или группу.
Выберите " Удалить" и очистить явные разрешения.
По завершении закройте диалоговое окно, чтобы сохранить изменения.
Вы можете задать разрешения для разрешения, запрета или запрета , если разрешение не наследуется. Если наследование включено, можно изменить явно заданное разрешение на унаследованное значение.
Чтобы задать разрешения для группы задач, сделайте следующее:
В проекте выберите группы задач Pipelines>.
Выберите группу задач.
Выберите "Другие команды>" "Безопасность".
Чтобы добавить пользователей или группы, которые не указаны в диалоговом окне разрешений, выберите "Добавить", введите пользователя или группу и нажмите кнопку "Сохранить изменения".
Выберите пользователей и группы, чтобы задать разрешения на разрешение, запрет или не задано.
Нажмите кнопку "Сохранить изменения" или выберите "Отменить изменения", чтобы отменить изменения. Перед выбором другого пользователя или группы необходимо сохранить изменения, чтобы применить разрешения.
Вы можете выбрать больше пользователей и групп, чтобы изменить их разрешения.
Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.
Завершив настройку, нажмите кнопку ОК.
Если разрешение для наследуемого пользователя или группы явно задано, наследование отключено для этого конкретного разрешения. Измените разрешение на не задано для восстановления наследования. Выберите "Очистить явные разрешения" , чтобы сбросить все явно заданные разрешения на унаследованные параметры. Чтобы отключить наследование для всех разрешений пользователя и группы, отключите параметр наследования . После повторного включения наследования параметры для всех разрешений будут возвращаться на уровень проекта.
Настройка безопасности пула агентов в Azure Pipelines
Пулы агентов — это коллекция агентов, которые используются для запуска заданий сборки и выпуска.
Пулы агентов можно создавать с помощью области организации или области проекта. Пулы агентов в области организации доступны для всех существующих или новых проектов в организации, и по умолчанию каждая организация имеет два пула агентов: Azure Pipelines и Default. Эти пулы по умолчанию доступны для всех проектов в организации.
Пулы агентов с областью проекта создаются на уровне проекта и доступны только для этого проекта.
В параметрах организации можно управлять параметрами безопасности на уровне организации для всех пулов агентов в организации и для отдельных пулов агентов. Роли безопасности уровня организации и проекта можно управлять с помощью параметров проекта.
Пулы агентов можно создать с областью сбора или областью проекта. Пулы агентов с областью сбора доступны для всех существующих или новых проектов в коллекции, и по умолчанию каждая коллекция имеет два пула агентов: Azure Pipelines и Default. Эти пулы по умолчанию доступны для всех проектов в коллекции.
Пулы агентов с областью проекта создаются на уровне проекта и доступны только для этого проекта.
В параметрах коллекции можно управлять параметрами безопасности на уровне коллекции для всех пулов агентов в коллекции и для отдельных пулов агентов. Роли безопасности уровня коллекции и проекта можно управлять на уровне объекта из параметров проекта.
Используйте предопределенные роли безопасности для управления безопасностью пулов агентов.
В следующей таблице показаны роли безопасности для пулов агентов:
Роль | Характер использования |
---|---|
Читатель | Может просматривать пулы агентов. |
User | Можно использовать пулы агентов в классических и конвейерах сборки и выпуска YAML. |
Создатель | Может создавать пулы агентов в проекте. Эта роль является только ролью уровня проекта. |
Организация сервиса | Может просматривать агенты, создавать сеансы и прослушивать задания из пула агентов. Эта роль устанавливается только на уровне организации или коллекции. |
Администратор | Может управлять пулами агентов и управлять ролями для других пользователей и групп. |
В следующей таблице показаны роли проекта и объекта безопасности объектов для пулов агентов:
Групповой | Роль |
---|---|
[имя проекта]\Администраторы проекта | Администратор |
[имя проекта]\Администраторы сборки | Администратор |
[имя проекта]\Допустимые пользователи проекта | Читатель |
[имя проекта]\Администраторы выпуска | Администратор |
Пользователь, создавший пул агентов | Администратор |
Добавление субъекта в качестве пользователя
Прежде чем добавить субъект, например субъект-службу, в параметрах безопасности пула агентов добавьте его в качестве пользователя в вашей организации.
- Перейдите к параметрам организации.
- Выберите Пользователи.
- Добавьте субъект-службу по крайней мере базовый доступ.
Настройка безопасности организации для пулов агентов
Вы можете управлять пользователями и группами на уровне коллекции для всех пулов агентов в организации или для отдельных пулов агентов с областью действия проекта. Роли безопасности для пулов агентов — читатель, учетная запись службы и администратор. Роли пользователя и создателя недоступны на уровне организации.
Настройка безопасности организации для всех пулов агентов
По умолчанию пользователи или группы не имеют явных ролей для всех пулов на уровне организации. Вы можете добавить пользователей и группы уровня организации и управлять ролями безопасности для всех пулов агентов в организации.
Чтобы управлять ролями безопасности для всех пулов агентов в организации, сделайте следующее:
Перейдите в параметры организации и выберите пулы агентов.
Выберите Безопасность.
Чтобы добавить пользователей и группы, выполните приведенные ниже действия.
- Выберите Добавить
- Введите пользователя или группу и выберите его из результатов поиска.
- Повторите предыдущий шаг, чтобы добавить пользователей и группы.
- Выберите роль и нажмите кнопку "Добавить"
1. Чтобы создать конвейеры, необходимо создать разрешения конвейера сборки. Чтобы добавить разрешение, откройте параметры безопасности для всех конвейеров и убедитесь, что для группы безопасности задано значение "Разрешить конвейер сборки".
Чтобы удалить пользователя или группу из списка, выберите пользователя или группу и нажмите кнопку "Удалить ".
Чтобы изменить роль безопасности, выберите пользователя или группу и выберите ее в раскрывающемся списке.
Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.
Закройте диалоговое окно.
Настройка безопасности организации для отдельных пулов агентов
Отдельные пулы агентов наследуют назначения безопасности на уровне организации. Пулы агентов По умолчанию и Azure Pipelines включают группу допустимых пользователей проекта для каждого проекта в организации.
Пулы агентов, созданные на уровне проекта, автоматически назначаются [<имя> проекта]\Группа допустимых пользователей Project и создатель пула агентов . Создатель не может быть удален или изменен. Здесь перечислены все пользователи и группы уровня организации, добавленные из параметров проекта.
Вы можете добавлять и удалять пользователей и групп уровня организации и задавать роли безопасности для отдельного пула агентов. Роли безопасности на этом уровне — читатель, учетная запись службы и администратор.
Чтобы управлять ролями безопасности для всех пулов агентов в коллекции, сделайте следующее:
- Перейдите в параметры организации и выберите пулы агентов.
- Выберите пул агентов.
- Выберите Безопасность.
- Чтобы добавить пользователей и группы, выполните приведенные ниже действия.
- Выберите Добавить
- Введите пользователя или группу и выберите его из результатов поиска.
- Повторите предыдущий шаг, чтобы добавить пользователей и группы.
- Выберите роль и нажмите кнопку "Добавить".
- Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить ".
- Чтобы изменить роль безопасности, выберите пользователя или группу и выберите ее в раскрывающемся списке.
- Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.
- Закройте диалоговое окно.
Настройка безопасности коллекции для пулов агентов
Вы можете управлять пользователями и группами уровня коллекции для всех пулов агентов в коллекции или на уровне объекта для пулов агентов с областью проекта. Роли безопасности для пулов агентов: читатель, учетная запись службы и администратор. Роли пользователя и создателя недоступны на уровне коллекции.
Настройка безопасности коллекции для всех пулов агентов
По умолчанию никакие пользователи или группы не имеют явных ролей для всех пулов в коллекции. Вы можете добавлять пользователей и группы уровня коллекции и управлять ролями безопасности для всех пулов агентов в коллекции.
Чтобы управлять ролями безопасности для всех пулов агентов в коллекции, сделайте следующее:
Перейдите к параметрам коллекции: и выберите пулы агентов.
Выберите Безопасность.
Чтобы добавить пользователей и группы, выполните приведенные ниже действия.
Выберите Добавить
Введите пользователя или группу и выберите его из результатов поиска.
Повторите предыдущий шаг, чтобы добавить пользователей и группы.
Выберите роль и нажмите кнопку "Добавить".
Чтобы удалить пользователя или группу из списка, выберите пользователя или группу и нажмите кнопку "Удалить ". Наследование должно быть отключено или пользователь или группа не должны наследоваться от параметров безопасности на уровне проекта.
Чтобы изменить роль безопасности, выберите пользователя или группу и выберите ее в раскрывающемся списке.
Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.
Закройте диалоговое окно.
Настройка безопасности коллекции для отдельных пулов агентов
Отдельные пулы агентов наследуют назначения безопасности на уровне коллекции. Пулы агентов По умолчанию и Azure Pipelines включают группу "Допустимые пользователи проекта" для каждого проекта в коллекции.
Пулы агентов, созданные на уровне проекта, автоматически назначаются [<имя> проекта]\Группа допустимых пользователей Project и создатель пула агентов . Создатель не может быть удален или изменен. Здесь перечислены все пользователи и группы уровня коллекции, добавленные из параметров проекта.
Вы можете добавлять и удалять пользователей и групп уровня коллекции и задавать роли безопасности для отдельного пула агентов. Роли безопасности на этом уровне — читатель, учетная запись службы и администратор. Чтобы снизить уровень привилегий наследуемой роли, необходимо отключить наследование.
Чтобы управлять ролями безопасности для всех пулов агентов в коллекции, сделайте следующее:
Перейдите к параметрам коллекции: и выберите пулы агентов.
Выберите пул агентов.
Выберите Безопасность.
Чтобы добавить пользователей и группы, выполните приведенные ниже действия.
Выберите Добавить
Введите пользователя или группу и выберите его из результатов поиска.
Повторите предыдущий шаг, чтобы добавить пользователей и группы.
Выберите роль и нажмите кнопку "Добавить".
Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить ".
Чтобы изменить роль безопасности, выберите пользователя или группу и выберите ее в раскрывающемся списке.
Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.
Закройте диалоговое окно.
Настройка безопасности коллекции для пулов агентов
Вы можете управлять пользователями и группами на уровне коллекции для всех пулов агентов в коллекции или на уровне объекта, специально для пулов агентов с областью проекта. Роли безопасности для пулов агентов — читатель, учетная запись службы и администратор. Роли пользователя и создателя недоступны на уровне коллекции.
Настройка безопасности коллекции для всех пулов агентов
По умолчанию никакие пользователи или группы не имеют явных ролей для всех пулов в коллекции. Вы можете добавлять пользователей и группы уровня коллекции и управлять ролями безопасности для всех пулов агентов в коллекции.
Чтобы управлять ролями безопасности для всех пулов агентов в коллекции, сделайте следующее:
Перейдите к параметрам коллекции: и выберите пулы агентов.
Выберите все пулы агентов.
Чтобы добавить пользователей и группы, выполните приведенные ниже действия.
Выберите Добавить
Введите пользователя или группу и выберите его из результатов поиска.
Повторите предыдущий шаг, чтобы добавить пользователей и группы.
Выберите роль и нажмите кнопку "Добавить".
Чтобы удалить пользователя или группу из списка, выберите пользователя или группу и нажмите кнопку "Удалить ".
Чтобы изменить роль безопасности, выберите пользователя или группу и выберите ее в раскрывающемся списке.
Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.
Настройка безопасности коллекции для отдельных пулов агентов
Отдельные пулы агентов наследуют свои роли пользователей и групп от назначений уровня коллекции по умолчанию.
Вы можете добавлять и удалять пользователей и группы и задавать роли безопасности для отдельного пула агентов. Чтобы удалить наследуемого пользователя или группы или снизить уровень привилегий наследуемой роли, необходимо отключить наследование.
Роли безопасности на этом уровне — читатель, учетная запись службы и администратор.
Чтобы управлять ролями безопасности для всех пулов агентов в коллекции, сделайте следующее:
Перейдите к параметрам коллекции: и выберите пулы агентов.
Выберите пул агентов.
Выберите вкладку Роли.
Чтобы добавить пользователей и группы, выполните приведенные ниже действия.
Выберите Добавить
Введите пользователя или группу и выберите его из результатов поиска.
Повторите предыдущий шаг, чтобы добавить пользователей и группы.
Выберите роль и нажмите кнопку "Добавить".
Чтобы удалить пользователя или группу из списка, выберите пользователя или группу и нажмите кнопку "Удалить ".
Чтобы изменить роль безопасности, выберите пользователя или группу и выберите ее в раскрывающемся списке.
Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.
Настройка безопасности пула агентов уровня проекта
Чтобы задать роли безопасности уровня проекта для всех пулов агентов, сделайте следующее:
В проекте выберите параметры проекта и выберите пулы агентов.
Выберите Безопасность.
Выберите пользователя или группу и задайте роль читателя, пользователя, создателя или администратора.
Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить ".
Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.
Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности:
Выберите Добавить.
Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
Выберите роль.
Выберите Добавить, чтобы сохранить изменения.
Настройка безопасности пула агентов уровня объекта
Вы можете переопределить назначения ролей на уровне проекта и группировать и задать разрешения конвейера для отдельного пула агентов. Чтобы удалить унаследованного пользователя или группу или снизить уровень привилегий наследуемой роли, необходимо отключить наследование.
Чтобы открыть диалоговое окно безопасности, выполните следующие действия.
В проекте выберите параметры проекта и выберите пулы агентов.
Выберите пул агентов.
Выберите Безопасность.
Задание разрешений конвейера для отдельного пула агентов
Чтобы задать разрешения конвейера для отдельного пула агентов, выполните следующие действия.
Выберите " Ограничить разрешение". Этот параметр доступен только в том случае, если пул не ограничен определенными конвейерами.
Выберите "Добавить конвейер ".
Выберите конвейер, который нужно добавить в пул агентов в раскрывающемся меню.
Чтобы открыть доступ ко всем конвейерам, выберите "Дополнительные действия", а затем выберите "Открыть доступ".
Настройка разрешений пользователя пула агентов уровня объекта
В разделе разрешений пользователя диалогового окна безопасности:
Выберите пользователя или группу и задайте роль читателю, пользователю или администратору.
Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить ". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.
Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.
При явной настройке роли отключается наследование для этого пользователя или группы. Чтобы отключить наследование для всех пользователей и групп, отключите параметр наследования . При повторном наследовании роли для всех пользователей и групп будут возвращаться к назначениям на уровне проекта.
Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности, выполните следующие действия.
Выберите Добавить.
Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
Выберите роль.
Выберите Добавить, чтобы сохранить изменения.
Чтобы задать роли конвейера и роли безопасности пользователей и разрешения конвейера для отдельного пула агентов, сделайте следующее.
Перейдите в пул агентов и выберите "Безопасность".
Используйте разрешения предоставления доступа для всех конвейеров, чтобы включить или отключить разрешения для всех конвейеров в проекте:
Чтобы задать роли пользователя на уровне объекта и группы для пула агентов, выполните следующие действия.
В разделе разрешений пользователя диалогового окна безопасности:
Выберите пользователя или группу и задайте роль читателю, пользователю или администратору.
Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить ". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.
Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.
При явной настройке роли отключается наследование для этого пользователя или группы. Чтобы отключить наследование для всех пользователей и групп, отключите параметр наследования . При повторном наследовании роли для всех пользователей и групп будут возвращаться к назначениям на уровне проекта.
Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности, выполните следующие действия.
Выберите Добавить.
Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
Выберите роль.
Выберите Добавить, чтобы сохранить изменения.