Partilhar via

Use arquivos seguros

  • Artigo

Serviços de DevOps do Azure | Azure DevOps Server 2022 - Azure DevOps Server 2019

Este artigo descreve arquivos seguros e como usá-los no Azure Pipelines. Arquivos seguros são uma maneira de armazenar arquivos que você pode usar em pipelines sem ter que confirmá-los em seu repositório.

Você pode usar a biblioteca de arquivos seguros para armazenar arquivos como:

  • Assinatura de certificados.
  • Perfis de provisionamento da Apple.
  • Arquivos de keystore do Android.
  • Chaves SSH.

O limite de tamanho para cada ficheiro seguro é de 10 MB.

Os arquivos seguros são armazenados no servidor de forma criptografada e podem ser consumidos apenas a partir de uma tarefa de pipeline. Os ficheiros seguros são um recurso protegido. Você pode usar aprovações, verificações e permissões de pipeline para limitar o acesso aos arquivos. Os arquivos seguros também usam funções de modelo de segurança de biblioteca.

Pré-requisitos

  • Um projeto do Azure DevOps onde você tem permissões para criar pipelines e adicionar itens de biblioteca.
  • Um certificado, armazenamento de chaves ou arquivo de provisionamento que você deseja usar com segurança em seu pipeline.

Adicionar um ficheiro seguro

  1. Em seu projeto do Azure DevOps, vá para Biblioteca de Pipelines>e selecione a guia Arquivos seguros.

    Captura de ecrã a mostrar a seleção do separador Ficheiros Seguros.

  2. Para carregar um ficheiro seguro, selecione + Ficheiro seguro e, em seguida, navegue até carregar ou arraste e largue o ficheiro.

    Captura de ecrã a mostrar o carregamento do ficheiro.

  3. Selecione OK. Depois de carregar o arquivo, você pode excluí-lo, mas não substituí-lo.

Definir funções e permissões de segurança

Você pode definir restrições e permissões de função de segurança para todos os itens em uma biblioteca ou para itens individuais.

  • Para atribuir funções de segurança a todos os itens de uma biblioteca, selecione Segurança na página Biblioteca .

  • Para definir permissões para um arquivo individual:

    1. Selecione o arquivo na lista Arquivos seguros .
    2. Na parte superior da página Arquivo seguro , selecione:
      • Segurança para definir usuários e funções de segurança que podem acessar o arquivo.
      • Permissões de pipeline para selecionar pipelines YAML que podem acessar o arquivo.
      • Aprovações e verificações para definir aprovadores e outras verificações para usar o arquivo. Para obter mais informações, consulte Aprovações e verificações.

    Defina a segurança do pipeline para arquivos seguros.

Autorizar um pipeline YAML a usar um arquivo seguro

Para usar um arquivo seguro em pipelines YAML, você deve autorizar o pipeline a usar o arquivo. Todos os pipelines clássicos podem acessar arquivos seguros.

Para autorizar um pipeline ou todos os pipelines a usar um arquivo seguro:

  1. Na parte superior da página do arquivo seguro, selecione Permissões de pipeline.
  2. Na tela Permissões de pipeline, selecione +e, em seguida, selecione um pipeline de projeto para autorizar. Ou, para autorizar todos os pipelines a usar o arquivo, selecione o ícone Mais ações , selecione Abrir acesso e selecione Abrir acesso novamente para confirmar.

Consumir um arquivo seguro em um pipeline

Para consumir arquivos seguros em um pipeline, use a tarefa do utilitário Baixar Arquivo Seguro. O agente de pipeline deve estar executando a versão 2.182.1 ou superior. Para obter mais informações, consulte Versão e atualizações do agente.

O exemplo a seguir pipeline YAML baixa um arquivo de certificado seguro e o instala em um ambiente Linux.

- task: DownloadSecureFile@1
  name: caCertificate
  displayName: 'Download CA certificate'
  inputs:
    secureFile: 'myCACertificate.pem'

- script: |
    echo Installing $(caCertificate.secureFilePath) to the trusted CA directory...
    sudo chown root:root $(caCertificate.secureFilePath)
    sudo chmod a+r $(caCertificate.secureFilePath)
    sudo ln -s -t /etc/ssl/certs/ $(caCertificate.secureFilePath)

Nota

Se vir um Invalid Resource erro ao transferir um ficheiro seguro com o Azure DevOps Server no local, certifique-se de que a Autenticação Básica do IIS está desativada no servidor.

Conteúdos relacionados

  • Para criar uma tarefa personalizada que usa arquivos seguros, use entradas com o tipo secureFile no task.json. Para obter mais informações, consulte Saiba como criar uma tarefa personalizada.

  • A tarefa Instalar perfil de provisionamento da Apple é um exemplo simples que usa um arquivo seguro. Para obter o código-fonte, consulte InstallAppleProvisioningProfileV1.

  • Para lidar com arquivos seguros durante tarefas de compilação ou lançamento, consulte o módulo Comum para tarefas.