Partilhar via

Use arquivos seguros

  • Artigo

Serviços de DevOps do Azure | Azure DevOps Server 2022 - Azure DevOps Server 2019

Os ficheiros seguros proporcionam uma forma de armazenar ficheiros que pode partilhar entre pipelines. Utilize a biblioteca de ficheiros seguros para armazenar ficheiros, tais como:

  • Certificados de assinatura
  • Perfis de Aprovisionamento da Apple
  • Ficheiros do Android Keystore
  • Chaves SSH

Esses arquivos podem ser armazenados no servidor sem ter que confirmá-los em seu repositório.

O conteúdo dos ficheiros seguros é encriptado e só pode ser utilizado quando for consumido a partir de uma tarefa. Os ficheiros seguros são um recurso protegido. Pode adicionar aprovações e verificações e definir permissões de pipeline. Os ficheiros seguros também podem utilizar o modelo de segurança Biblioteca.

O limite de tamanho para cada ficheiro seguro é de 10 MB.

Adicionar um ficheiro seguro

  1. Vá para Arquivos seguros da Biblioteca>de Pipelines.>

    Selecione a guia Arquivos seguros.

  2. Selecione Arquivo seguro para carregar um novo arquivo seguro. Navegue para carregar ou arraste e solte seu arquivo. Pode eliminar este ficheiro, mas não pode substituí-lo.

    Carregue o seu ficheiro.

  3. Adicione permissões ao seu ficheiro.

    1. Aplique restrições de função de segurança para todos os arquivos na guia Segurança na Biblioteca de Pipelines>.
    2. Para adicionar permissões para um arquivo individual, na visualização de edição do arquivo, selecione Permissões de pipeline para definir permissões por pipeline. Ou selecione Segurança para definir funções de segurança.
      • Você também pode definir Aprovações e Verificações para o arquivo. Para obter mais informações, consulte Aprovações e verificações.

    Defina a segurança do pipeline para arquivos seguros.

Consumir um arquivo seguro em um pipeline

Use a tarefa do utilitário Baixar Arquivo Seguro para consumir arquivos seguros em um pipeline.

O exemplo de pipeline YAML a seguir baixa um arquivo de certificado seguro e o instala em um ambiente Linux.

- task: DownloadSecureFile@1
  name: caCertificate
  displayName: 'Download CA certificate'
  inputs:
    secureFile: 'myCACertificate.pem'

- script: |
    echo Installing $(caCertificate.secureFilePath) to the trusted CA directory...
    sudo chown root:root $(caCertificate.secureFilePath)
    sudo chmod a+r $(caCertificate.secureFilePath)
    sudo ln -s -t /etc/ssl/certs/ $(caCertificate.secureFilePath)

FAQ

P: Como posso criar uma tarefa personalizada usando arquivos seguros?

R: Crie suas próprias tarefas que usam arquivos seguros usando entradas com o task.jsontipo secureFile no arquivo . Saiba como criar uma tarefa personalizada.

A tarefa Instalar perfil de provisionamento da Apple é um exemplo simples de uma tarefa usando um arquivo seguro. Consulte a documentação de referência e o código-fonte.

Para lidar com arquivos seguros durante a compilação ou lançamento, você pode consultar o módulo comum disponível aqui.

P: A minha tarefa não consegue aceder aos ficheiros seguros. O que posso fazer?

R: Certifique-se de que o seu agente está a executar a versão 2.116.0 ou superior. Consulte Versão e atualizações do agente.

P: Como autorizo um arquivo seguro para uso em um pipeline específico?

A:

  1. No Azure Pipelines, selecione a guia Biblioteca .
  2. Selecione a guia Arquivos seguros na parte superior.
  3. Selecione o arquivo seguro que deseja autorizar.
  4. Selecione o botão Permissões de pipeline.
  5. Revise e modifique o acesso para cada pipeline disponível.

P: Por que vejo um Invalid Resource erro ao baixar um arquivo seguro com o Azure DevOps Server/TFS local?

R: Verifique se a Autenticação Básica do IIS está desabilitada no TFS ou no Servidor de DevOps do Azure.

P: Como são protegidos os ficheiros seguros?

R: Arquivos seguros, grupos de variáveis e conexões de serviço são protegidos da mesma maneira no Azure DevOps. São também todos recursos protegidos.

Os segredos são encriptados e armazenados na base de dados. As chaves para desencriptar segredos são armazenadas no Cofre de Chaves do Azure. As chaves são específicas para cada unidade de escala. Assim, duas regiões não compartilham as mesmas chaves. As chaves também são alternadas com cada implantação do Azure DevOps.

Os direitos para recuperar chaves seguras são concedidos apenas às entidades de serviço do Azure DevOps e (em ocasiões especiais) sob demanda para diagnosticar problemas. O armazenamento seguro não tem certificações.

O Azure Key Vault é outra opção mais segura para proteger informações confidenciais. Se você decidir usar o Azure Key Vault, poderá usá-lo com grupos de variáveis.