Zabezpieczenia zasobów
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
W tym artykule opisano funkcje zabezpieczeń usługi Azure Pipelines, które chronią potoki i zasoby. Potoki mogą uzyskiwać dostęp do dwóch typów zasobów, otwartych lub chronionych.
Artefakty, potoki, plany testów i elementy robocze są uznawane za otwarte zasoby , które nie mają takich samych ograniczeń jak chronione zasoby. Przepływy pracy można w pełni zautomatyzować, subskrybując wyzwalanie zdarzeń w otwartych zasobach. Aby uzyskać więcej informacji na temat ochrony otwartych zasobów, zobacz Ochrona projektów.
Kontrole uprawnień i zatwierdzania umożliwiają potokom uzyskiwanie dostępu do chronionych zasobów podczas uruchamiania potoku. Aby zapewnić bezpieczeństwo chronionych zasobów, kontrole mogą wstrzymać lub zakończyć się niepowodzeniem uruchomienia potoku.
Chronione zasoby
Ochrona oznacza, że tylko konkretni użytkownicy i potoki w projekcie mogą uzyskiwać dostęp do zasobu. Przykłady chronionych zasobów to:
- Pule agentów
- Zmienne tajne w grupach zmiennych
- Zabezpieczanie plików
- Połączenia z usługami
- Środowiska
- Repozytoriów
Przed rozpoczęciem etapu wykorzystującego chroniony zasób można zdefiniować kontrole, które muszą zostać spełnione. Na przykład można wymagać ręcznego zatwierdzenia, zanim etap będzie mógł korzystać z chronionego zasobu.
Ochrona repozytorium
Opcjonalnie można chronić repozytoria, ograniczając zakres tokenu dostępu usługi Azure Pipelines. Agentom udostępniasz token dostępu tylko dla repozytoriów jawnie wymienionych w sekcji potoku resources
.
Dodanie repozytorium do potoku wymaga autoryzacji od użytkownika z dostępem współtworzenia do repozytorium. Aby uzyskać więcej informacji, zobacz Ochrona zasobu repozytorium.
Uprawnienia
Istnieją dwa typy uprawnień do chronionych zasobów, uprawnienia użytkownika i uprawnienia potoku.
Uprawnienia użytkownika są linią frontonu ochrony chronionych zasobów. Należy przyznać uprawnienia tylko użytkownikom, którzy ich potrzebują. Członkowie roli Użytkownik dla zasobu mogą zarządzać zatwierdzeniami i sprawdzaniem.
Uprawnienia potoku chronią przed kopiowaniem chronionych zasobów do innych potoków. Aby umożliwić dostęp do chronionego zasobu we wszystkich potokach w projekcie, musisz mieć rolę administratora .
Aby zarządzać uprawnieniami potoku, jawnie przyznaj dostęp do określonych zaufanych potoków. Upewnij się, że nie włączono opcji Otwórz dostęp, co umożliwia korzystanie ze wszystkich potoków w projekcie. Aby uzyskać więcej informacji, zobacz About pipeline resources (Informacje o zasobach potoku) i Add resource protection (Dodawanie ochrony zasobów).
Sprawdza
Uprawnienia użytkownika i potoku nie zabezpieczają całkowicie chronionych zasobów w potokach. Można również dodać kontrole określające warunki, które mają zostać spełnione przed rozpoczęciem etapu w dowolnym potoku może zużyć zasób. Aby potoki mogły korzystać z chronionego zasobu, można wymagać określonych zatwierdzeń lub innych kryteriów. Aby uzyskać więcej informacji, zobacz Definiowanie zatwierdzeń i kontroli.
Sprawdzanie ręcznego zatwierdzania
Żądania potoku można zablokować, aby używać chronionego zasobu do momentu ręcznego zatwierdzenia przez określonych użytkowników lub grup. Ta kontrola daje możliwość przejrzenia kodu i zapewnia dodatkową warstwę zabezpieczeń przed kontynuowaniem przebiegu potoku.
Sprawdzanie gałęzi chronionej
Jeśli masz ręczne procesy przeglądu kodu dla określonych gałęzi, możesz rozszerzyć tę ochronę na potoki. Kontrola gałęzi zapewnia, że tylko autoryzowane gałęzie mogą uzyskiwać dostęp do chronionych zasobów. Sprawdzanie gałęzi chronionej dla zasobu uniemożliwia automatyczne uruchamianie potoków w nieautoryzowanych gałęziach.
Sprawdzanie godzin pracy
Użyj tego sprawdzania, aby upewnić się, że wdrożenie potoku rozpoczyna się w określonym dniu i przedziale czasu.