보안 파일 사용

  • 아티클

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

보안 파일은 여러 파이프라인에서 공유할 수 있는 파일을 저장하는 방법을 제공합니다. 보안 파일 라이브러리를 사용하여 다음과 같은 파일을 저장합니다.

  • 서명 인증서
  • Apple 프로비전 프로필
  • Android 키 저장소 파일
  • SSH 키

이러한 파일은 리포지토리에 커밋하지 않고도 서버에 저장할 수 있습니다.

보안 파일의 콘텐츠는 암호화되며 작업에서 사용할 때만 사용할 수 있습니다. 보안 파일은 보호된 리소스입니다. 승인 및 확인을 추가하고 파이프라인 권한을 설정할 수 있습니다. 보안 파일은 라이브러리 보안 모델을 사용할 수도 있습니다.

각 보안 파일의 크기 제한은 10MB입니다.

보안 파일 추가

  1. 파이프라인>라이브러리>보안 파일이동합니다.

    보안 파일 탭을 선택합니다.

  2. 보안 파일을 선택하여 새 보안 파일을 업로드합니다. 파일을 업로드하거나 끌어서 놓습니다. 이 파일을 삭제할 수 있지만 바꿀 수는 없습니다.

    파일을 업로드합니다.

  3. 파일에 권한을 추가합니다.

    1. 파이프라인 라이브러리의 보안 탭에서 모든 파일에 대한 보안 역할 제한을 적용합니다>.
    2. 개별 파일에 대한 권한을 추가하려면 파일의 편집 보기에서 파이프라인별 사용 권한을 설정하려면 파이프라인 권한을 선택합니다. 또는 보안을 선택하여 보안 역할을 설정합니다.

    보안 파일에 대한 파이프라인 보안을 설정합니다.

파이프라인에서 보안 파일 사용

보안 파일 다운로드 유틸리티 작업을 사용하여 파이프라인에서 보안 파일을 사용합니다.

다음 YAML 파이프라인 예제에서는 보안 인증서 파일을 다운로드하여 Linux 환경에 설치합니다.

- task: DownloadSecureFile@1
  name: caCertificate
  displayName: 'Download CA certificate'
  inputs:
    secureFile: 'myCACertificate.pem'

- script: |
    echo Installing $(caCertificate.secureFilePath) to the trusted CA directory...
    sudo chown root:root $(caCertificate.secureFilePath)
    sudo chmod a+r $(caCertificate.secureFilePath)
    sudo ln -s -t /etc/ssl/certs/ $(caCertificate.secureFilePath)

FAQ

Q: 보안 파일을 사용하여 사용자 지정 작업을 만들려면 어떻게 해야 하나요?

A: 형식 secureFiletask.json이 있는 입력을 사용하여 보안 파일을 사용하는 고유한 작업을 빌드합니다. 사용자 지정 작업을 빌드하는 방법을 알아봅니다.

Apple 프로비저닝 프로필 설치 작업은 보안 파일을 사용하는 작업의 간단한 예입니다. 참조 설명서소스 코드를 참조하세요.

빌드 또는 릴리스 중에 보안 파일을 처리하려면 여기에서 사용할 수 있는 공통 모듈을 참조할 수 있습니다.

Q: 내 작업이 보안 파일에 액세스할 수 없습니다. 어떻게 해야 합니까?

A: 에이전트가 2.116.0 이상의 버전을 실행하고 있는지 확인합니다. 에이전트 버전 및 업그레이드를 참조 하세요.

Q: 특정 파이프라인에서 사용할 보안 파일의 권한을 어떻게 할까요??

A:

  1. Azure Pipelines에서 라이브러리 탭을 선택합니다.
  2. 맨 위에 있는 보안 파일 탭을 선택합니다.
  3. 권한을 부여할 보안 파일을 선택합니다.
  4. 파이프라인 사용 권한 단추를 선택합니다.
  5. 사용 가능한 각 파이프라인에 대한 액세스를 검토하고 수정합니다.

Q: Azure DevOps Server/TFS 온-프레미스로 보안 파일을 다운로드할 때 오류가 표시되는 Invalid Resource 이유는 무엇인가요?

A: TFS 또는 Azure DevOps Server에서 IIS 기본 인증을 사용하지 않도록 설정해야 합니다.

Q: 보안 파일은 어떻게 보호합니까?

A: 보안 파일, 변수 그룹 및 서비스 연결은 모두 Azure DevOps에서 동일한 방식으로 보호됩니다. 또한 모두 보호되는 리소스입니다.

비밀은 암호화되어 데이터베이스에 저장됩니다. 비밀 암호를 해독하는 키는 Azure Key Vault에 저장됩니다. 키는 각 배율 단위에 따라 다릅니다. 따라서 두 지역은 동일한 키를 공유하지 않습니다. 또한 키는 Azure DevOps의 모든 배포와 함께 회전됩니다.

보안 키를 검색할 수 있는 권한은 Azure DevOps 서비스 주체 및(특별한 경우) 주문형으로 문제를 진단하는 경우에만 제공됩니다. 보안 스토리지에는 인증이 없습니다.

Azure Key Vault 는 중요한 정보를 보호하기 위한 또 다른 안전한 옵션입니다. Azure Key Vault를 사용하기로 결정한 경우 변수 그룹과 함께 사용할 수 있습니다.