Definir permissões de pipeline
Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019 | TFS 2018
Observação
No Microsoft Team Foundation Server (TFS) 2018 e versões anteriores, pipelines de build e lançamento são chamados de definições, execuções são chamadas de builds, conexões de serviço são chamadas de pontos de extremidade de serviço, estágios são chamados de ambientes e trabalhos são chamados de fases.
Permissões e funções de pipeline ajudam você a gerenciar seus pipelines com segurança. Você pode definir permissões hierárquicas nos níveis de organização, projeto e objeto para todos os pipelines em um projeto ou para um pipeline individual. Você pode atualizar permissões de pipeline com grupos de segurança ou adicionando usuários individuais.
Permissões e funções de pipeline ajudam você a gerenciar seus pipelines com segurança. Você pode definir permissões hierárquicas nos níveis de organização, servidor, projeto e objeto para todos os pipelines em um projeto ou para um pipeline individual. Você pode atualizar permissões de pipeline com grupos de segurança ou adicionando usuários individuais.
As permissões no nível do objeto são mais granulares do que as permissões no nível da organização, para que você possa aumentar a segurança do pipeline. Por exemplo, um usuário pode ter acesso ao seu repositório Azure Repos graças às permissões no nível da organização. No entanto, esse mesmo usuário pode ser impedido de executar um pipeline manualmente devido às permissões desse objeto/pipeline.
Neste artigo, dividimos as permissões para os seguintes níveis de permissões:
- Permissões no nível de projeto
- Permissões no nível do objeto:
Para obter mais informações, consulte Introdução a permissões, acesso e grupos de segurança, Protegendo o Azure Pipelines e Verificar permissões para colaboradores.
Pré-requisitos
- Para gerenciar permissões e adicionar usuários ao Azure Pipelines para grupos no nível do projeto, você deve ser um Administrador de Projeto. Para obter mais informações, consulte Permissões de grupo no nível do projeto.
- Para gerenciar permissões para grupos de coleção, você deve ser um Administrador de Coleção de Projetos. Para obter mais informações, consulte permissões de grupo no nível da coleção.
- Lembre-se das seguintes informações ao definir permissões de pipeline.
- Em muitos casos, talvez você queira definir Excluir pipeline de build como Permitir. Caso contrário, esses membros da equipe não poderão excluir seus próprios pipelines de build.
- Sem a permissão Excluir builds, os usuários não podem excluir seus próprios builds concluídos. No entanto, eles podem excluir automaticamente builds desnecessários antigos com políticas de retenção.
- Recomendamos que você não conceda permissões diretamente a um usuário. Uma prática melhor é adicionar o usuário ao grupo de administradores de build ou a outro grupo e gerenciar permissões para esse grupo.
Para obter mais informações e práticas recomendadas, consulte Protegendo o Azure Pipelines.
Permissões padrão atribuídas a grupos de segurança internos
Build
| Tarefa | Leitores | Colaboradores | Criar Administradores | Administradores do Projeto |
|---|---|---|---|---|
| Visualizar compilações | ✔️ | ✔️ | ✔️ | ✔️ |
| Exibir pipeline de build | ✔️ | ✔️ | ✔️ | ✔️ |
| Administrar permissões de compilação | ✔️ | ✔️ | ||
| Excluir ou editar o pipeline de build | ✔️ | ✔️ | ✔️ | |
| Excluir ou destruir builds | ✔️ | ✔️ | ||
| Editar qualidade de compilação | ✔️ | ✔️ | ✔️ | |
| Gerenciar qualidades de compilação | ✔️ | ✔️ | ||
| Gerenciar a fila de compilação | ✔️ | ✔️ | ||
| Substituir validação do check-in pela compilação | ✔️ | |||
| Enfileirar compilações | ✔️ | ✔️ | ✔️ | |
| Reter indefinidamente | ✔️ | ✔️ | ✔️ | ✔️ |
| Interromper compilações | ✔️ | ✔️ | ||
| Atualizar informações de compilação | ✔️ |
Versão
| Tarefa | Stakeholders | Leitores | Colaboradores | Administradores do Projeto | Administradores de versão |
|---|---|---|---|---|---|
| Aprovar versões | ✔️ | ✔️ | ✔️ | ✔️ | |
| Exibir versões | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| Visualizar pipeline de lançamento | ✔️ | ✔️ | ✔️ | ✔️ | |
| Administrar permissões de versão | ✔️ | ✔️ | |||
| Excluir pipeline ou estágio de lançamento | ✔️ | ✔️ | ✔️ | ||
| Excluir versões | ✔️ | ✔️ | ✔️ | ||
| Editar pipeline de lançamento | ✔️ | ✔️ | |||
| Editar estágio de lançamento | ✔️ | ✔️ | ✔️ | ||
| Administrar implantações | ✔️ | ✔️ | |||
| Gerenciar aprovadores de versão | ✔️ | ✔️ | ✔️ | ||
| Gerenciar versões | ✔️ | ✔️ |
Grupos de tarefas
| Tarefa | Leitores | Colaboradores | Criar Administradores | Administradores do Projeto | Administradores de versão |
|---|---|---|---|---|---|
| Administrar permissões do grupo de tarefas | ✔️ | ✔️ | ✔️ | ||
| Excluir grupo de tarefas | ✔️ | ✔️ | ✔️ | ||
| Editar grupo de tarefas | ✔️ | ✔️ | ✔️ |
Permissões padrão atribuídas a grupos de segurança internos
Build
Tarefa
Leitores
Colaboradores
Build
Administradores
Administradores do Projeto
Visualizar compilações
✔️
✔️
✔️
✔️
Visualizar definição de compilação
✔️
✔️
✔️
✔️
Administrar permissões de compilação
✔️
✔️
Excluir ou Editar definições de build
✔️
✔️
✔️
Excluir ou destruir builds
✔️
✔️
Editar qualidade de compilação
✔️
✔️
✔️
Gerenciar qualidades de compilação
✔️
✔️
Gerenciar a fila de compilação
✔️
✔️
Substituir validação do check-in pela compilação
✔️
Enfileirar compilações
✔️
✔️
✔️
Reter indefinidamente
✔️
✔️
Interromper compilações
✔️
✔️
Atualizar informações de compilação
✔️
Versão
Tarefa
Leitores
Colaboradores
Administradores do Projeto
Versão
Administradores
Aprovar versões
✔️
✔️
✔️
Exibir versões
✔️
✔️
✔️
✔️
Exibir definição de versão
✔️
✔️
✔️
✔️
Administrar permissões de versão
✔️
✔️
Excluir definição de versão ou estágio de lançamento
✔️
✔️
✔️
Excluir versões
✔️
✔️
✔️
Editar definição de versão
✔️
✔️
Editar estágio de lançamento
✔️
✔️
✔️
Administrar implantações
✔️
✔️
Gerenciar aprovadores de versão
✔️
✔️
✔️
Gerenciar versões
✔️
✔️
Definir permissões de pipeline no nível do projeto
Execute as etapas a seguir para definir permissões no nível do projeto para todos os pipelines.
Entre em sua organização (
https://dev.azure.com/{yourorganization}).Em seu projeto, selecione Pipelines>Pipelines.
Selecione Mais ações
>Gerenciar segurança.
Modifique as permissões associadas a um grupo do Azure DevOps, por exemplo, Criar Administradores ou para um usuário individual.
Selecione Permitir ou Negar a permissão para um grupo de segurança ou um usuário individual e saia da tela.
As permissões de pipelines no nível do projeto são definidas.
As permissões de pipeline de build e YAML seguem um modelo hierárquico. Você pode definir padrões para todas as permissões no nível do projeto e substituir permissões para um pipeline de build individual.
Para definir as permissões no nível do projeto para todos os pipelines em um projeto, escolha Segurança na barra de ações na página principal do hub builds .
Definir permissões de pipeline individuais
Execute as etapas a seguir para definir permissões para um pipeline individual.
Em seu projeto, selecione Pipelines>Pipelines.
Selecione um pipeline individual e selecione Mais ações
>Gerenciar segurança.
Defina permissões e salve suas alterações.
Para definir ou substituir as permissões de um pipeline individual, escolha Segurança no menu de contexto do pipeline individual.
Referência de permissões de pipeline
Você pode definir as permissões a seguir para todos os pipelines em um projeto ou para um pipeline individual. Os valores padrão são definidos para coleções de projetos e grupos de projetos. Por exemplo, administradores de coleção de projetos, administradores de projeto e administradores de build têm todas essas permissões por padrão.
| Permissão | Descrição |
|---|---|
| Administrar permissões de compilação | Pode alterar qualquer uma das outras permissões listadas aqui. |
| Excluir pipeline de build | Pode excluir pipelines de build. |
| Excluir compilações | Pode excluir builds para um pipeline. Os builds excluídos são mantidos na guia Excluídos por um período antes de serem destruídos. |
| Destruir compilações | Pode excluir builds da guia Excluído . |
| Editar o pipeline de build | Pode criar pipelines e salvar quaisquer alterações em um pipeline de build, incluindo variáveis de configuração, gatilhos, repositórios e política de retenção. |
| Editar qualidade de compilação | Pode adicionar marcas a um build. |
| Gerenciar qualidades de compilação | Aplica-se somente a builds XAML |
| Gerenciar a fila de compilação | Aplica-se somente a builds XAML |
| Substituir validação do check-in pela compilação | Aplica-se a builds de check-in fechados do TFVC. Não se aplica a builds de solicitação de pull. |
| Enfileirar compilações | Pode enfileirar novos builds. |
| Reter indefinidamente | Pode alternar o sinalizador de retenção indefinidamente em um build. |
| Interromper compilações | Pode interromper builds enfileirados por outros membros da equipe ou pelo sistema. |
| Atualizar informações de compilação | É recomendável deixar isso em paz. Ele destina-se a habilitar contas de serviço, não membros da equipe. |
| Exibir pipeline de build | Pode exibir pipelines de build. |
| Visualizar compilações | Pode exibir builds pertencentes a pipelines de build. |
Todos os membros da equipe são membros do grupo Colaboradores . Essa permissão de grupo permite que você defina e gerencie builds e versões. Os grupos internos mais comuns incluem Leitores, Colaboradores e Administradores de Projetos.
Para obter mais informações, consulte os seguintes artigos:
- Referência rápida de permissões e acesso padrão
- Sobre permissões e herança
- Sobre funções de segurança.
Definir permissões de versão
As permissões para pipelines de lançamento seguem um modelo hierárquico. Você pode definir permissões padrão no nível do projeto e pode substituir essas permissões em um pipeline de lançamento individual.
Definir todas as permissões de versão
Execute as etapas a seguir para atualizar as permissões para todas as versões.
Selecione a exibição de arquivo.
Selecione a pasta Todos os pipelines .
Selecione Mais ações
e selecione Segurança.Defina permissões e salve suas alterações.
Definir permissões de versão individuais
Execute as etapas a seguir para atualizar as permissões para uma versão individual.
Selecione a versão que você deseja modificar.
Selecione Mais ações
>Segurança.Defina permissões e salve suas alterações.
Para definir permissões no nível do projeto para todas as definições de versão em um projeto, abra o menu de atalho na 
Para definir ou substituir as permissões para um pipeline de lançamento específico, abra o menu de atalho do ícone de ao lado desse nome de pipeline. Em seguida, escolha Segurança para abrir a caixa de diálogo Permissões .
Para especificar as configurações de segurança para estágios individuais em um pipeline de lançamento, abra a caixa de diálogo Permissões escolhendo Segurança no menu de atalho que é aberto em Mais ações em um estágio no editor de pipeline de lançamento.
Referência de permissões de versão
A tabela a seguir define permissões para versões. A coluna de escopo explica se a permissão pode ser definida no projeto, no pipeline de lançamento ou no nível do estágio.
| Permissão | Descrição |
|---|---|
| Administrar permissões de versão | Pode alterar qualquer uma das outras permissões listadas aqui. Escopos: Project, Release pipeline, Stage |
| Criar versões | Pode criar novas versões. Escopos: Project, Pipeline de lançamento |
| Excluir pipeline de lançamento | Pode excluir pipelines de versão. Escopos: Project, Pipeline de lançamento |
| Excluir estágio de lançamento | Pode excluir estágios em pipelines de lançamento. Escopos: Project, Release pipeline, Stage |
| Excluir versões | Pode excluir versões de um pipeline. Escopos: Project, Pipeline de lançamento |
| Editar pipeline de lançamento | Pode salvar quaisquer alterações em um pipeline de lançamento, incluindo variáveis de configuração, gatilhos, artefatos e política de retenção, bem como a configuração em um estágio do pipeline de lançamento. Para atualizar um estágio específico em um pipeline de lançamento, o usuário também precisa da permissão Editar estágio de versão . Escopos: Project, Pipeline de lançamento |
| Editar estágio de lançamento | Pode editar estágios em pipelines de lançamento. Para salvar as alterações no pipeline de lançamento, o usuário também precisa da permissão Editar pipeline de lançamento . Essa permissão também controla se um usuário pode editar a configuração dentro do estágio de uma instância de versão específica. O usuário também precisa da permissão Gerenciar versões para salvar a versão modificada. Escopos: Project, Release pipeline, Stage |
| Administrar implantações | Pode iniciar uma implantação de uma versão em um estágio. Essa permissão é apenas para implantações iniciadas manualmente selecionando as ações Implantar ou Reimplantar em uma versão. Se a condição em um estágio for definida como qualquer tipo de implantação automática, o sistema iniciará automaticamente a implantação sem verificar a permissão do usuário que criou a versão. Se a condição estiver definida para ser iniciada após algum estágio, as implantações iniciadas manualmente não esperam que esses estágios sejam bem-sucedidos. Escopos: Project, Release pipeline, Stage |
| Gerenciar aprovadores de versão | Pode adicionar ou editar aprovadores para estágios em pipelines de lançamento. Essa permissão também controla se um usuário pode editar os aprovadores dentro do estágio de uma instância de versão específica. Escopos: Project, Release pipeline, Stage |
| Gerenciar versões | Pode editar a configuração em versões. Para editar a configuração de um estágio específico em uma instância de versão (incluindo variáveis marcadas como settable at release time), o usuário também precisa da permissão Editar estágio de versão . Escopos: Project, Pipeline de lançamento |
| Visualizar pipeline de lançamento | Pode exibir pipelines de versão. Escopos: Project, Pipeline de lançamento |
| Exibir versões | Pode exibir versões pertencentes a pipelines de lançamento. Escopos: Project, Pipeline de lançamento |
Os valores padrão para todas as permissões são definidos para coleções de projetos de equipe e grupos de projetos. Por exemplo, administradores de coleção de projetos, administradores de projeto e administradores de versão recebem todas as permissões listadas anteriormente por padrão. Os colaboradores recebem todas as permissões, exceto Administrar permissões de versão. Por padrão, os Leitores são negados a todas as permissões, exceto Exibir pipeline de versão e Ver versões.
Definir permissões do grupo de tarefas
Use grupos de tarefas para combinar uma sequência de tarefas já definidas em um pipeline em uma única tarefa reutilizável.
As permissões do grupo de tarefas seguem um modelo hierárquico. Você pode definir permissões padrão no nível do projeto e pode substituir essas permissões em um pipeline de grupo de tarefas individual.
Definir permissões de grupo de tarefas no nível do projeto
Execute as etapas a seguir para atualizar permissões para grupos de tarefas no nível do projeto.
Observação
Não há suporte para grupos de tarefas em pipelines YAML, mas os modelos são. Para obter mais informações, consulte Referência de esquema YAML.
Em seu projeto, selecione Gruposde tarefasde pipelines>.
Selecione Segurança.
Selecione Permitir ou Negar para obter a permissão de um grupo de segurança ou de um usuário individual.
Definir permissões de grupo de tarefas no nível do pipeline
Execute as etapas a seguir para atualizar permissões para grupos de tarefas no nível do pipeline.
Em seu projeto, selecione Gruposde tarefasde pipelines>.
Selecione um grupo de tarefas.
Selecione Mais ações
>Segurança.Selecione Permitir ou Negar para obter a permissão de um grupo de segurança ou de um usuário individual.
Referência de permissões do grupo de tarefas
| Permissão | Descrição |
|---|---|
| Administrar permissões do grupo de tarefas | Pode adicionar e remover usuários ou grupos à segurança do grupo de tarefas. |
| Excluir grupo de tarefas | Pode excluir um grupo de tarefas. |
| Editar grupo de tarefas | Pode criar, modificar ou excluir um grupo de tarefas. |
Definir permissões de pool de agentes
Você pode usar funções predefinidas para configurar a segurança em pools de agentes de maneira hierárquica para todos os pools ou para um pool individual. Execute as etapas a seguir para definir permissões de pool de agentes para todos os pools.
Definir todas as permissões do pool de agentes
Execute as etapas a seguir para atualizar permissões para todos os pools de agentes.
Em seu projeto, selecione Configurações do projeto Pools
>de agentes.Selecione Segurança.
Defina permissões e salve suas alterações.
Definir permissões de pool de agentes individuais
Execute as etapas a seguir para definir permissões para um pool de agentes individual.
No pool de agentes, selecione o agente.
Selecione Segurança.
Defina permissões e salve suas alterações.
Definir permissões de biblioteca
Use um grupo de variáveis para armazenar valores que você deseja disponibilizar em vários pipelines de build e lançamento. Defina funções para ajudá-lo a configurar a segurança em entidades de biblioteca compartilhada. Você também pode configurar a herança de funções.
Execute as etapas a seguir para gerenciar permissões para artefatos de biblioteca, como grupos de variáveis e arquivos seguros.
Em seu projeto, selecioneBibliotecade Pipelines>.
Selecione Segurança.
Defina permissões para tudo em sua biblioteca ou para um grupo de variáveis individual ou arquivo seguro e salve suas alterações.
Referência de permissões de biblioteca
| Função | Descrição |
|---|---|
| Administrador | Pode editar/excluir e gerenciar a segurança para itens de biblioteca. |
| Criador | Pode criar itens de biblioteca. |
| Leitor | Só é possível ler itens da biblioteca. |
| Usuário | Pode consumir itens de biblioteca em pipelines. |
Definir permissões de conexão de serviço
Configure permissões para todas as conexões de serviço ou para uma conexão individual.
Definir todas as permissões de conexão de serviço
Execute as etapas a seguir para configurar permissões para todas as conexões de serviço.
- Em seu projeto, selecione Configurações do projeto.
- Selecione Conexões de serviço em Pipelines.
- Defina permissões e salve suas alterações.
Definir permissões de conexão de serviço individuais
Execute as etapas a seguir para configurar permissões para uma conexão de serviço individual.
No projeto, abra uma conexão de serviço.
Selecione Mais ações
>Segurança.Defina permissões e salve suas alterações.
Adicione usuários às seguintes funções do contexto de administrador no nível do projeto, página Serviços . Para obter mais informações sobre como criar e gerenciar esses recursos, consulte Conexões de serviço para build e lançamento.
Se você estiver tendo problemas com permissões e conexões de serviço, consulte Solucionar problemas de conexões de serviço do Azure Resource Manager.
Referência de permissões de conexão de serviço
| Função | Descrição |
|---|---|
| Usuário | Pode usar o ponto de extremidade ao criar pipelines de build ou de lançamento. |
| Administrador | Pode gerenciar a associação de todas as outras funções para a conexão de serviço, bem como usar o ponto de extremidade para criar pipelines de build ou lançamento. O sistema adiciona automaticamente o usuário que criou a conexão de serviço à função administrador para esse pool. |
Definir permissões do pool de implantação
Você pode definir funções de segurança padrão para todos os grupos de implantação e gerenciar funções de segurança para um grupo de implantação individual.
Definir todas as permissões do pool de implantação
Em seu projeto, selecione Configurações
do projeto.Selecione Grupos de implantação em Pipelines.
Defina permissões e salve suas alterações.
Definir permissões individuais do grupo de implantação
- No projeto, abra um pool de implantação.
- Selecione Mais ações>Segurança.
- Defina permissões e salve suas alterações.
Referência de permissões do pool de implantação
| Função | Descrição |
|---|---|
| Leitor | Só é possível exibir pools de implantação. |
| Conta de Serviço | Pode exibir agentes, criar sessões e escutar trabalhos do pool de agentes. |
| Usuário | Pode exibir e usar o pool de implantação para criar grupos de implantação. |
| Administrador | Pode administrar, gerenciar, exibir e usar pools de implantação. |
Definir permissões de ambiente
Você pode usar funções e permissões de usuário para controlar quem pode criar, exibir e gerenciar ambientes. Aplique uma hierarquia de funções a todos os ambientes ou a um ambiente.
Definir todas as permissões de ambiente
Em seu projeto, selecione Configurações
do projeto.Selecione Ambientes em Pipelines.
Defina permissões e salve suas alterações.
Definir permissões de ambiente individuais
Selecione Segurança em Mais ações para alterar permissões para todo o ambiente.
- De dentro do seu projeto, abra um ambiente.
- Selecione Mais ações>Segurança.
- Defina permissões e salve suas alterações.
Referência de permissões de ambiente
Importante
Quando você cria um ambiente em um YAML, colaboradores e administradores de projeto têm a função de administrador. Quando você cria um ambiente por meio da interface do usuário, somente o criador tem a função de administrador.
| Função | Descrição |
|---|---|
| Criador | Função global, disponível na opção de segurança do hub de ambientes. Os membros dessa função podem criar o ambiente no projeto. Os colaboradores são adicionados como membros por padrão. Necessário para disparar um pipeline YAML quando o ambiente ainda não existir. |
| Leitor | Os membros dessa função podem exibir o ambiente. |
| Usuário | Os membros dessa função podem usar o ambiente ao criar ou editar pipelines YAML. |
| Administrador | Além de usar o ambiente, os membros dessa função podem gerenciar a associação de todas as outras funções para o ambiente. Os criadores são adicionados como membros por padrão. |
Perguntas frequentes
Confira as perguntas frequentes a seguir sobre permissões de pipeline.
P: Por que não consigo criar um pipeline?
R: Você precisa editar permissões de pipeline de build para criar um novo pipeline. Para adicionar permissão, abra as configurações de segurança para todos os pipelines e verifique se Editar pipeline de build está definido como Permitir para seu grupo de segurança.
Se você ainda não conseguir criar um pipeline, verifique se o nível de acesso está definido como Stakeholder. Se você tiver acesso aos stakeholders, altere seu acesso para Básico.
P: Por que vejo a mensagem de que preciso autorizar um recurso antes que a execução possa continuar?
R: Você precisa autorizar recursos antes de usá-los. A exceção a essa regra é quando você cria um pipeline pela primeira vez e todos os recursos referenciados no arquivo YAML são automaticamente autorizados. Os recursos são autorizados para o pipeline, desde que o usuário que executa o pipeline tenha acesso ao recurso.
Para autorizar todos os pipelines a acessar um recurso como um pool de agentes, execute as etapas a seguir.
Em seu projeto, selecione Configurações
>Pipelines>Agent Pools.Selecione Segurança para um pool de agentes específico e, em seguida, atualize as permissões para conceder acesso a todos os pipelines.
Para obter mais informações, consulte Recursos no YAML.