Definir permissões de pipeline
Serviços de DevOps do Azure | Azure DevOps Server 2022 - Azure DevOps Server 2019
As permissões e as funções dos pipelines ajudam a gerir os pipelines de forma segura. Pode definir permissões hierárquicas ao nível da organização, do projeto e do objeto para todos os pipelines num projeto ou para um pipeline individual. Você pode atualizar as permissões de pipeline com grupos de segurança ou adicionando usuários individuais.
As permissões e as funções dos pipelines ajudam a gerir os pipelines de forma segura. Você pode definir permissões hierárquicas nos níveis de organização, servidor, projeto e objeto para todos os pipelines em um projeto ou para um pipeline individual. Você pode atualizar as permissões de pipeline com grupos de segurança ou adicionando usuários individuais.
As permissões no nível do objeto são mais granulares do que as permissões no nível da organização, para que você possa aumentar a segurança do seu pipeline. Por exemplo, um usuário pode ter acesso ao repositório do Azure Repos graças às suas permissões no nível da organização. No entanto, esse mesmo usuário pode ser impedido de executar um pipeline manualmente devido às permissões desse objeto/pipeline.
Neste artigo, dividimos as permissões para os seguintes níveis de permissões:
- Permissões no nível do projeto
- Permissões no nível do objeto:
Para obter mais informações, consulte Introdução às permissões, acesso e grupos de segurança, Protegendo pipelines do Azure e Verificar permissões para colaboradores.
Para obter informações sobre como definir permissões com a CLI do Azure, consulte a referência da CLI do Azure.
Pré-requisitos
- Para gerenciar permissões e adicionar usuários ao Azure Pipelines para grupos no nível do projeto, você deve ser um Administrador deProjeto. Para obter mais informações, consulte Permissões de grupo no nível do projeto.
- Para gerenciar permissões para grupos de coleção, você deve ser um Administrador de Coleção de Projetos. Para obter mais informações, consulte Permissões de grupo no nível da coleção.
- Lembre-se das seguintes informações ao definir permissões de pipeline.
- Em muitos casos, convém definir Excluir pipeline de compilação como Permitir. Caso contrário, esses membros da equipe não poderão excluir seus próprios pipelines de compilação.
- Sem a permissão Excluir compilações , os usuários não podem excluir suas próprias compilações concluídas. No entanto, eles podem excluir automaticamente compilações antigas desnecessárias com políticas de retenção.
- Recomendamos que você não conceda permissões diretamente a um usuário. Uma prática melhor é adicionar o usuário ao grupo de administradores de compilação ou outro grupo e gerenciar permissões para esse grupo.
Para obter mais informações e práticas recomendadas, consulte Protegendo pipelines do Azure.
Permissões padrão atribuídas a grupos de segurança internos
Criar
| Task | Leitores | Contribuidores | Administradores de compilação | Administradores de Projeto |
|---|---|---|---|---|
| Ver compilações | ✔️ | ✔️ | ✔️ | ✔️ |
| Ver pipeline de compilação | ✔️ | ✔️ | ✔️ | ✔️ |
| Administrar permissões de compilação | ✔️ | ✔️ | ||
| Excluir ou editar pipeline de compilação | ✔️ | ✔️ | ✔️ | |
| Excluir ou destruir compilações | ✔️ | ✔️ | ||
| Editar qualidade de compilação | ✔️ | ✔️ | ✔️ | |
| Gerencie as qualidades de construção | ✔️ | ✔️ | ||
| Gerir fila de compilação | ✔️ | ✔️ | ||
| Substituir validação de dar entrada por compilação | ✔️ | |||
| Compilações de fila | ✔️ | ✔️ | ✔️ | |
| Reter indefinidamente | ✔️ | ✔️ | ✔️ | ✔️ |
| Parar compilações | ✔️ | ✔️ | ||
| Atualizar informações de compilação | ✔️ |
Versão
| Task | Intervenientes | Leitores | Contribuidores | Administradores de Projeto | Administradores de versão |
|---|---|---|---|---|---|
| Aprovar versões | ✔️ | ✔️ | ✔️ | ✔️ | |
| Ver versões | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| Ver pipeline de liberação | ✔️ | ✔️ | ✔️ | ✔️ | |
| Administrar permissões de liberação | ✔️ | ✔️ | |||
| Excluir pipeline ou estágio de liberação | ✔️ | ✔️ | ✔️ | ||
| Excluir versões | ✔️ | ✔️ | ✔️ | ||
| Editar pipeline de liberação | ✔️ | ✔️ | |||
| Editar fase de lançamento | ✔️ | ✔️ | ✔️ | ||
| Gerenciar implantações | ✔️ | ✔️ | |||
| Gerenciar aprovadores de versão | ✔️ | ✔️ | ✔️ | ||
| Gerenciar lançamentos | ✔️ | ✔️ |
Grupos de tarefas
| Task | Leitores | Contribuidores | Administradores de compilação | Administradores de Projeto | Administradores de versão |
|---|---|---|---|---|---|
| Administrar permissões de grupo de tarefas | ✔️ | ✔️ | ✔️ | ||
| Excluir grupo de tarefas | ✔️ | ✔️ | ✔️ | ||
| Editar grupo de tarefas | ✔️ | ✔️ | ✔️ |
Definir permissões de pipeline no nível do projeto
Execute as etapas a seguir para definir permissões no nível do projeto para todos os pipelines.
Inicie sessão na sua organização (
https://dev.azure.com/{yourorganization}).No seu projeto, selecione Pipelines>Pipelines.
Selecione Mais ações>
Gerenciar segurança.
Modifique as permissões associadas a um grupo de DevOps do Azure, por exemplo, Administradores de Compilação, ou para um usuário individual.
Selecione Permitir ou Negar para a permissão para um grupo de segurança ou um usuário individual e saia da tela.
Suas permissões de pipelines no nível do projeto são definidas.
As permissões de compilação e pipeline YAML seguem um modelo hierárquico. Você pode definir padrões para todas as permissões no nível do projeto e substituir permissões para um pipeline de compilação individual.
Para definir as permissões no nível do projeto para todos os pipelines em um projeto, escolha Segurança na barra de ações na página principal do hub Compilações.
Definir permissões de pipeline individuais
Execute as etapas a seguir para definir permissões para um pipeline individual.
No seu projeto, selecione Pipelines>Pipelines.
Selecione um pipeline individual e, em seguida, selecione Mais ações
>Gerenciar segurança.
Defina permissões e, em seguida , Guarde as alterações.
Para definir ou substituir as permissões para um pipeline individual, escolha Segurança no menu de contexto do pipeline individual.
Referência de permissões de pipeline
Você pode definir as seguintes permissões para todos os pipelines em um projeto ou para um pipeline individual. Os valores padrão são definidos para coleções de projetos e grupos de projetos. Por exemplo, Administradores de Coleção de Projetos, Administradores de Projeto e Administradores de Compilação têm todas essas permissões por padrão.
| Permissão | Description |
|---|---|
| Administrar permissões de compilação | Pode alterar qualquer uma das outras permissões listadas aqui. |
| Excluir pipeline de compilação | Pode excluir pipeline(s) de compilação. |
| Excluir compilações | Pode excluir compilações para um pipeline. As compilações excluídas são mantidas na guia Excluídos por um período antes de serem destruídas. |
| Destrua construções | Pode excluir compilações da guia Excluído . |
| Editar pipeline de compilação | Pode criar pipelines e salvar quaisquer alterações em um pipeline de compilação, incluindo variáveis de configuração, gatilhos, repositórios e política de retenção. |
| Editar a qualidade da compilação | Pode adicionar tags a uma compilação. |
| Gerencie as qualidades de construção | Aplica-se apenas a compilações XAML |
| Gerenciar fila de compilação | Aplica-se apenas a compilações XAML |
| Substituir a validação de check-in por compilação | Aplica-se a compilações de check-in fechado TFVC. Não se aplica a compilações de solicitação pull. |
| Compilações de fila | Pode enfileirar novas compilações. |
| Editar configuração de compilação de fila | Pode especificar valores para parâmetros de texto livre (por exemplo, do tipo object) e variáveis de pipeline ao enfileirar novas compilações. |
| Reter indefinidamente | Pode alternar o sinalizador de retenção indefinidamente em uma compilação. |
| Parar compilações | Pode parar compilações enfileiradas por outros membros da equipe ou pelo sistema. |
| Atualizar informações de compilação | Recomenda-se deixar isso em paz. Destina-se a habilitar contas de serviço, não membros da equipe. |
| Exibir pipeline de construção | Pode visualizar pipeline(s) de compilação. |
| Ver compilações | Pode visualizar compilações pertencentes ao(s) pipeline(s) de construção. |
Todos os membros da equipa são membros do grupo de Colaboradores . Essa permissão de grupo permite que você defina e gerencie compilações e versões. Os grupos incorporados mais comuns incluem Leitores, Contribuidores e Administradores de Projetos.
Para obter mais informações, consulte os seguintes artigos que podem estar em inglês:
- Permissões padrão e referência rápida de acesso
- Sobre permissões e herança
- Sobre funções de segurança.
Definir permissões de liberação
As permissões para pipelines de liberação seguem um modelo hierárquico. Você pode definir permissões padrão no nível do projeto e pode substituir essas permissões em um pipeline de liberação individual.
Definir todas as permissões de liberação
Siga as etapas a seguir para atualizar as permissões de todas as versões.
Selecione a visualização do arquivo.
Selecione a pasta Todos os pipelines .
Selecione Mais ações
e selecione Segurança.Defina permissões e, em seguida , Guarde as alterações.
Definir permissões de liberação individuais
Siga as etapas a seguir para atualizar as permissões de uma versão individual.
Selecione a versão que deseja modificar.
Selecione Mais ações>
Segurança.Defina permissões e, em seguida , Guarde as alterações.
Para definir permissões no nível do projeto para todas as definições de versão em um projeto, abra o menu de atalho no 
Para definir ou substituir as permissões para um pipeline de liberação específico, abra o menu de atalho no ícone ao lado do nome desse pipeline. Em seguida, escolha Segurança para abrir a caixa de diálogo Permissões .
Para especificar configurações de segurança para estágios individuais em um pipeline de versão, abra a caixa de diálogo Permissões escolhendo Segurança no menu de atalho que se abre em Mais ações em um estágio no editor de pipeline de versão.
Referência de permissões de liberação
A tabela a seguir define permissões para versões. A coluna de escopo explica se a permissão pode ser definida no nível do projeto, pipeline de liberação ou estágio.
| Permissão | Description |
|---|---|
| Administrar permissões de liberação | Pode alterar qualquer uma das outras permissões listadas aqui. Escopos: Projeto, Pipeline de lançamento, Estágio |
| Criar versões | Pode criar novas versões. Escopos: Projeto, pipeline de lançamento |
| Excluir pipeline de liberação | Pode excluir pipeline(s) de liberação. Escopos: Projeto, pipeline de lançamento |
| Excluir estágio de liberação | Pode excluir estágio(s) no(s) pipeline(s) de liberação. Escopos: Projeto, Pipeline de lançamento, Estágio |
| Excluir versões | Pode excluir versões de um pipeline. Escopos: Projeto, pipeline de lançamento |
| Editar pipeline de liberação | Pode salvar quaisquer alterações em um pipeline de versão, incluindo variáveis de configuração, gatilhos, artefatos e política de retenção, bem como a configuração dentro de um estágio do pipeline de versão. Para atualizar um estágio específico em um pipeline de versão, o usuário também precisa da permissão Editar estágio de liberação. Escopos: Projeto, pipeline de lançamento |
| Editar fase de lançamento | Pode editar estágio(s) no(s) pipeline(s) de liberação. Para salvar as alterações no pipeline de liberação, o usuário também precisa da permissão Editar pipeline de liberação. Essa permissão também controla se um usuário pode editar a configuração dentro do estágio de uma instância de versão específica. O usuário também precisa da permissão Gerenciar versões para salvar a versão modificada. Escopos: Projeto, Pipeline de lançamento, Estágio |
| Gerenciar implantações | Pode iniciar uma implantação de uma versão em um estágio. Essa permissão é apenas para implantações iniciadas manualmente selecionando as ações Implantar ou Reimplantar em uma versão. Se a condição em um palco estiver definida para qualquer tipo de implantação automática, o sistema iniciará automaticamente a implantação sem verificar a permissão do usuário que criou a versão. Se a condição estiver definida para iniciar após algum estágio, as implantações iniciadas manualmente não esperam que esses estágios sejam bem-sucedidos. Escopos: Projeto, Pipeline de lançamento, Estágio |
| Gerenciar aprovadores de versão | Pode adicionar ou editar aprovadores para estágio(s) no(s) pipeline(s) de lançamento. Essa permissão também controla se um usuário pode editar os aprovadores dentro do estágio de uma instância de versão específica. Escopos: Projeto, Pipeline de lançamento, Estágio |
| Gerenciar lançamentos | Pode editar a configuração em versões. Para editar a configuração de um estágio específico em uma instância de liberação (incluindo variáveis marcadas como settable at release time), o usuário também precisa da permissão Editar estágio de liberação. Escopos: Projeto, pipeline de lançamento |
| Ver pipeline de liberação | Pode visualizar pipeline(s) de liberação. Escopos: Projeto, pipeline de lançamento |
| Ver versões | Pode visualizar liberações pertencentes ao(s) pipeline(s) de liberação. Escopos: Projeto, pipeline de lançamento |
Os valores padrão para todas as permissões são definidos para coleções de projetos de equipe e grupos de projetos. Por exemplo, Administradores de Coleção de Projetos, Administradores de Projeto e Administradores de Versão recebem todas as permissões listadas anteriormente por padrão. Os colaboradores recebem todas as permissões, exceto Administrar permissões de versão. Por padrão, todas as permissões são negadas aos leitores, exceto o pipeline de liberação de exibição e as versões de exibição.
Definir permissões de grupo de tarefas
Use grupos de tarefas para combinar uma sequência de tarefas já definidas em um pipeline em uma única tarefa reutilizável.
As permissões do grupo de tarefas seguem um modelo hierárquico. Você pode definir permissões padrão no nível do projeto e pode substituir essas permissões em um pipeline de grupo de tarefas individual.
Definir permissões de grupo de tarefas no nível do projeto
Execute as etapas a seguir para atualizar as permissões para grupos de tarefas no nível do projeto.
Nota
Os grupos de tarefas não são suportados em pipelines YAML, mas os modelos são. Para obter mais informações, consulte Referência de esquema YAML.
No seu projeto, selecione Pipelines>Task groups.
Selecione Segurança.
Selecione Permitir ou Negar para a permissão para um grupo de segurança ou um usuário individual.
Definir permissões de grupo de tarefas no nível de pipeline
Execute as etapas a seguir para atualizar as permissões para grupos de tarefas no nível de pipeline.
No seu projeto, selecione Pipelines>Task groups.
Selecione um grupo de tarefas.
Selecione Mais ações>
Segurança.Selecione Permitir ou Negar para a permissão para um grupo de segurança ou um usuário individual.
Referência de permissões do grupo de tarefas
| Permissão | Description |
|---|---|
| Administrar permissões de grupo de tarefas | Pode adicionar e remover usuários ou grupos à segurança do grupo de tarefas. |
| Excluir grupo de tarefas | Pode excluir um grupo de tarefas. |
| Editar grupo de tarefas | Pode criar, modificar ou excluir um grupo de tarefas. |
Definir permissões do pool de agentes
Você pode usar funções predefinidas para configurar a segurança em pools de agentes de maneira hierárquica para todos os pools ou para um pool individual. Execute as etapas a seguir para definir as permissões do pool de agentes para todos os pools.
Definir todas as permissões do pool de agentes
Execute as etapas a seguir para atualizar as permissões para todos os pools de agentes.
No seu projeto, selecione Configurações do projeto
>Pools de agentes.Selecione Segurança.
Defina permissões e, em seguida , Guarde as alterações.
Definir permissões individuais do pool de agentes
Execute as etapas a seguir para definir permissões para um pool de agentes individual.
No pool de agentes, selecione o agente.
Selecione Segurança.
Defina permissões e, em seguida , Guarde as alterações.
Definir permissões de biblioteca
Use um grupo de variáveis para armazenar valores que você deseja disponibilizar em vários pipelines de compilação e liberação. Defina funções para ajudá-lo a configurar a segurança em entidades de biblioteca compartilhada. Você também pode configurar a herança de funções.
Execute as etapas a seguir para gerenciar permissões para artefatos de biblioteca, como grupos de variáveis e arquivos seguros.
No seu projeto, selecione Biblioteca de Pipelines>.
Selecione Segurança.
Defina permissões para tudo na sua biblioteca ou para um grupo de variáveis individuais ou ficheiro seguro e, em seguida , Guarde as alterações.
Referência de permissões de biblioteca
| Função | Description |
|---|---|
| Administrador | Pode editar/excluir e gerenciar a segurança de itens da biblioteca. |
| Criador | Pode criar itens de biblioteca. |
| Leitor | Só pode ler itens de biblioteca. |
| Utilizador | Pode consumir itens de biblioteca em pipelines. |
Definir permissões de conexão de serviço
Configure permissões para todas as conexões de serviço ou para uma conexão individual.
Definir todas as permissões de conexão de serviço
Execute as etapas a seguir para configurar permissões para todas as conexões de serviço.
- No seu projeto, selecione Configurações do projeto .
- Selecione Conexões de serviço em Pipelines.
- Defina permissões e, em seguida , Guarde as alterações.
Definir permissões de conexão de serviço individuais
Execute as etapas a seguir para configurar permissões para uma conexão de serviço individual.
De dentro do seu projeto, abra uma conexão de serviço.
Selecione Mais ações>
Segurança.Defina permissões e, em seguida , Guarde as alterações.
Adicione usuários às seguintes funções a partir do contexto de administração no nível do projeto, página Serviços . Para obter mais informações sobre como criar e gerenciar esses recursos, consulte Conexões de serviço para compilação e lançamento.
Se você estiver tendo problemas com permissões e conexões de serviço, consulte Solucionar problemas de conexões de serviço do Azure Resource Manager.
Referência de permissões de conexão de serviço
| Função | Description |
|---|---|
| Utilizador | Pode usar o ponto de extremidade ao criar pipelines de compilação ou lançamento. |
| Administrador | Pode gerenciar a associação de todas as outras funções para a conexão de serviço, bem como usar o ponto de extremidade para criar pipelines de compilação ou liberação. O sistema adiciona automaticamente o usuário que criou a conexão de serviço à função Administrador desse pool. |
Definir permissões do pool de implantação
Você pode definir funções de segurança padrão para todos os grupos de implantação e gerenciar funções de segurança para um grupo de implantação individual.
Definir todas as permissões do pool de implantação
No seu projeto, selecione Configurações do projeto
.Selecione Grupos de implantação em Pipelines.
Defina permissões e, em seguida , Guarde as alterações.
Definir permissões individuais de grupo de implantação
- No seu projeto, abra um pool de implantação.
- Selecione Mais ações>Segurança.
- Defina permissões e, em seguida , Guarde as alterações.
Referência de permissões do pool de implantação
| Função | Description |
|---|---|
| Leitor | Só pode exibir pools de implantação. |
| Conta de Serviço | Pode visualizar agentes, criar sessões e ouvir trabalhos do pool de agentes. |
| Utilizador | Pode exibir e usar o pool de implantação para criar grupos de implantação. |
| Administrador | Pode administrar, gerenciar, exibir e usar pools de implantação. |
Definir permissões de ambiente
Você pode usar funções e permissões de usuário para controlar quem pode criar, exibir e gerenciar ambientes. Aplique uma hierarquia de funções a todos os ambientes ou a um ambiente.
Definir todas as permissões de ambiente
No seu projeto, selecione Configurações do projeto
.Selecione Ambientes em Pipelines .
Defina permissões e, em seguida , Guarde as alterações.
Definir permissões de ambiente individuais
Selecione Segurança em Mais ações para alterar as permissões para todos os ambientes.
- A partir do seu projeto, abra um ambiente.
- Selecione Mais ações>Segurança.
- Defina permissões e, em seguida , Guarde as alterações.
Referência de permissões de ambiente
| Função | Description |
|---|---|
| Criador | Função global, disponível na opção de segurança do hub de ambientes. Os membros dessa função podem criar o ambiente no projeto. Os contribuidores são adicionados como membros por padrão. Necessário para acionar um pipeline YAML quando o ambiente ainda não existe. |
| Leitor | Os membros dessa função podem exibir o ambiente. |
| Utilizador | Os membros dessa função podem usar o ambiente ao criar ou editar pipelines YAML. |
| Administrador | Os membros dessa função podem administrar permissões, criar, gerenciar, exibir e usar ambientes. Para um ambiente específico, seu criador é adicionado como Admininistrator por padrão. Os administradores também podem abrir o acesso a um ambiente para todos os pipelines. |
Importante
Quando você cria um ambiente, somente o criador tem a função de administrador.
| Função | Description |
|---|---|
| Criador | Função global, disponível na opção de segurança do hub de ambientes. Os membros dessa função podem criar o ambiente no projeto. Os contribuidores são adicionados como membros por padrão. Necessário para acionar um pipeline YAML quando o ambiente ainda não existe. |
| Leitor | Os membros dessa função podem exibir o ambiente. |
| Utilizador | Os membros dessa função podem usar o ambiente ao criar ou editar pipelines YAML. |
| Administrador | Além de usar o ambiente, os membros dessa função podem gerenciar a associação de todas as outras funções para o ambiente. Os criadores são adicionados como membros por padrão. |
FAQs
Consulte as seguintes perguntas frequentes (FAQs) sobre permissões de pipeline.
P: Por que não consigo criar um novo pipeline?
R: Você precisa Editar permissões de pipeline de compilação para criar um novo pipeline. Para adicionar a permissão, abra as definições de segurança para todos os pipelines e verifique se Editar pipeline de compilação está definido como Permitir para o grupo de segurança.
Se ainda não conseguir criar um pipeline, verifique se o nível de acesso está definido como Interveniente. Se tiver acesso de interveniente, altere-o para Básico.
P: Por que vejo a mensagem de que preciso autorizar um recurso antes que a execução possa continuar?
R: Você precisa autorizar recursos antes de poder usá-los. A exceção a essa regra é quando você cria um pipeline pela primeira vez e todos os recursos referenciados no arquivo YAML são automaticamente autorizados. Os recursos são autorizados para o pipeline, desde que o usuário que executa o pipeline tenha acesso ao recurso.
Para autorizar Todos os pipelines a acessar um recurso como um pool de agentes, execute as etapas a seguir.
No seu projeto, selecione Settings
>Pipelines>Agent Pools.Selecione Segurança para um pool de agentes específico e atualize as permissões para conceder acesso a todos os pipelines.
Para obter mais informações, consulte Recursos no YAML.
Artigos relacionados
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários