Настройка разрешений конвейера
Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019
Разрешения и роли конвейера помогают безопасно управлять конвейерами. Иерархические разрешения можно задать на уровне организации, проекта и объекта для всех конвейеров в проекте или для отдельного конвейера. Вы можете обновить разрешения конвейера с помощью групп безопасности или добавить отдельных пользователей.
Разрешения и роли конвейера помогают безопасно управлять конвейерами. Иерархические разрешения можно задать на уровне организации, сервера, проекта и объекта для всех конвейеров в проекте или для отдельного конвейера. Вы можете обновить разрешения конвейера с помощью групп безопасности или добавить отдельных пользователей.
Разрешения на уровне объектов более детализированные, чем разрешения на уровне организации, поэтому можно повысить безопасность конвейера. Например, пользователь может получить доступ к репозиторию Azure Repos благодаря своим разрешениям на уровне организации. Однако этот же пользователь может быть запрещен запускать конвейер вручную из-за разрешений этого объекта или конвейера.
В этой статье мы разбием разрешения на следующие уровни разрешений:
- Разрешения на уровне проекта
- Разрешения на уровне объекта:
Дополнительные сведения см. в статье "Начало работы с разрешениями, доступом и группами безопасности", "Защита Azure Pipelines" и "Проверка разрешений для участник".
Сведения о настройке разрешений с помощью Azure CLI см. в справочнике по Azure CLI.
Необходимые компоненты
- Чтобы управлять разрешениями и добавлять пользователей в Azure Pipelines для групп уровня проекта, необходимо быть элементом Project Администратор istrator. Дополнительные сведения см. в разделе "Разрешения группы уровня проекта".
- Для управления разрешениями для групп коллекций необходимо быть Администратор istrator коллекции проектов. Дополнительные сведения см. в разделе "Разрешения группы на уровне коллекции".
- При настройке разрешений конвейера следует учитывать следующие сведения.
- Во многих случаях может потребоваться задать для конвейерасборки значение Allow. В противном случае эти члены команды не могут удалять собственные конвейеры сборки.
- Без разрешения "Удалить сборки" пользователи не могут удалять собственные завершенные сборки. Однако они могут автоматически удалять старые ненужные сборки с политиками хранения.
- Рекомендуется не предоставлять разрешения непосредственно пользователю. Рекомендуется добавить пользователя в группу администраторов сборки или другую группу и управлять разрешениями для этой группы.
Дополнительные сведения и рекомендации см. в статье "Защита Azure Pipelines".
Разрешения по умолчанию, назначенные встроенным группам безопасности
Сборка
| Задача | Читатели | Соавторы | Сборка Администратор | Администратор проекта |
|---|---|---|---|---|
| Посмотреть сборки | ✔️ | ✔️ | ✔️ | ✔️ |
| Просмотреть конвейер сборки | ✔️ | ✔️ | ✔️ | ✔️ |
| разрешения на сборку Администратор ister | ✔️ | ✔️ | ||
| Удаление или изменение конвейера сборки | ✔️ | ✔️ | ✔️ | |
| Удаление или уничтожение сборок | ✔️ | ✔️ | ||
| Изменить качество сборки | ✔️ | ✔️ | ✔️ | |
| Управление качествами сборки | ✔️ | ✔️ | ||
| Управление очередью сборки | ✔️ | ✔️ | ||
| Переопределить проверку регистрации по сборке | ✔️ | |||
| Сборки очередей | ✔️ | ✔️ | ✔️ | |
| Хранение на неопределенный срок | ✔️ | ✔️ | ✔️ | ✔️ |
| Остановка сборок | ✔️ | ✔️ | ||
| Обновить сведения о сборке | ✔️ |
Выпуск
| Задача | Заинтересованные лица | Читатели | Соавторы | Администратор проекта | Выпуск Администратор |
|---|---|---|---|---|---|
| Утверждение выпусков | ✔️ | ✔️ | ✔️ | ✔️ | |
| Просмотреть выпуски | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| Просмотр конвейера выпуска | ✔️ | ✔️ | ✔️ | ✔️ | |
| разрешения на выпуск Администратор | ✔️ | ✔️ | |||
| Удаление конвейера выпуска или этапа | ✔️ | ✔️ | ✔️ | ||
| Удаление выпусков | ✔️ | ✔️ | ✔️ | ||
| Изменение конвейера выпуска | ✔️ | ✔️ | |||
| Изменение этапа выпуска | ✔️ | ✔️ | ✔️ | ||
| Управление развертываниями | ✔️ | ✔️ | |||
| Управление утверждающие выпуски | ✔️ | ✔️ | ✔️ | ||
| Управление выпусками | ✔️ | ✔️ |
Группы задач
| Задача | Читатели | Соавторы | Сборка Администратор | Администратор проекта | Выпуск Администратор |
|---|---|---|---|---|---|
| разрешения группы задач Администратор | ✔️ | ✔️ | ✔️ | ||
| Удаление группы задач | ✔️ | ✔️ | ✔️ | ||
| Изменение группы задач | ✔️ | ✔️ | ✔️ |
Настройка разрешений конвейера на уровне проекта
Выполните следующие действия, чтобы задать разрешения на уровне проекта для всех конвейеров.
Войдите в свою организацию (
https://dev.azure.com/{yourorganization}).В проекте выберите Конвейеры конвейеров>.
Выберите "Дополнительные действия
>" "Управление безопасностью".
Измените разрешения, связанные с группой Azure DevOps, например сборка Администратор istrator или отдельный пользователь.
Выберите разрешить или запретить разрешение для группы безопасности или отдельного пользователя, а затем закройте экран.
Заданы разрешения конвейеров на уровне проекта.
Разрешения на сборку и конвейер YAML соответствуют иерархической модели. Можно задать значения по умолчанию для всех разрешений на уровне проекта и переопределить разрешения для отдельного конвейера сборки.
Чтобы задать разрешения на уровне проекта для всех конвейеров в проекте, выберите "Безопасность " на главной странице центра сборки .
Настройка отдельных разрешений конвейера
Выполните следующие действия, чтобы задать разрешения для отдельного конвейера.
В проекте выберите Конвейеры конвейеров>.
Выберите отдельный конвейер, а затем выберите "Дополнительные действия
>" "Управление безопасностью".
Задайте разрешения и сохраните изменения.
Чтобы задать или переопределить разрешения для отдельного конвейера, выберите "Безопасность " в контекстном меню отдельного конвейера.
Справочник по разрешениям конвейера
Вы можете задать следующие разрешения для всех конвейеров в проекте или для отдельного конвейера. Значения по умолчанию задаются для коллекций проектов и групп проектов. Например, коллекция проектов Администратор istrator, Project Администратор istrator и сборка Администратор istrator по умолчанию имеют все эти разрешения.
| Разрешение | Description |
|---|---|
| разрешения на сборку Администратор ister | Может изменить любой из других разрешений, перечисленных здесь. |
| Удаление конвейера сборки | Может удалять конвейеры сборки. |
| Удаление сборок | Может удалять сборки для конвейера. Удаленные сборки хранятся на вкладке "Удаленные" за период до их уничтожения. |
| Уничтожение сборок | Может удалять сборки на вкладке "Удаленные ". |
| Изменение конвейера сборки | Может создавать конвейеры и сохранять любые изменения в конвейере сборки, включая переменные конфигурации, триггеры, репозитории и политику хранения. |
| Изменение качества сборки | Может добавлять теги в сборку. |
| Управление качествами сборки | Применяется только к сборкам XAML |
| Управление очередью сборки | Применяется только к сборкам XAML |
| Переопределение проверки проверка путем сборки | Применяется к встроенным проверка сборкам TFVC. Не применяется к сборкам запросов на вытягивание. |
| Сборки очередей | Может очереди новых сборок. |
| Изменение конфигурации сборки очереди | Может указывать значения для параметров свободного текста (например, типа object) и переменных конвейера при очередях новых сборок. |
| Хранение на неопределенный срок | Может переключать сохраняющийся неограниченное время флага в сборке. |
| Остановка сборок | Может остановить сборки, в очереди других членов команды или системой. |
| Обновление сведений о сборке | Рекомендуется оставить это в одиночку. Он предназначен для включения учетных записей служб, а не членов команды. |
| Просмотр конвейера сборки | Может просматривать конвейеры сборки. |
| Просмотр сборок | Может просматривать сборки, принадлежащие конвейерам сборки. |
Все участники группы являются членами группы участников . Это разрешение группы позволяет определять сборки и выпуски и управлять ими. К наиболее распространенным встроенным группам относятся читатели, участники и администраторы проектов.
Дополнительные сведения см. в следующих статьях:
- Краткий справочник по разрешениям и доступу по умолчанию
- Сведения о разрешениях и наследовании
- Сведения о ролях безопасности.
Настройка разрешений выпуска
Разрешения для конвейеров выпуска соответствуют иерархической модели. Вы можете задать разрешения по умолчанию на уровне проекта и переопределить эти разрешения в отдельном конвейере выпуска.
Настройка всех разрешений выпуска
Выполните следующие действия, чтобы обновить разрешения для всех выпусков.
Выберите представление файла.
Выберите папку "Все конвейеры".
Выберите "Дополнительные действия
" и выберите "Безопасность".Задайте разрешения и сохраните изменения.
Настройка отдельных разрешений выпуска
Выполните следующие действия, чтобы обновить разрешения для отдельного выпуска.
Выберите выпуск, который нужно изменить.
Выберите "Дополнительные действия
>" "Безопасность".Задайте разрешения и сохраните изменения.
Чтобы задать разрешения на уровне проекта для всех определений выпуска в проекте, откройте контекстное меню из списка 
Чтобы задать или переопределить разрешения для определенного конвейера выпуска, откройте контекстное меню со значком рядом с этим именем конвейера. Затем выберите "Безопасность", чтобы открыть диалоговое окно "Разрешения ".
Чтобы указать параметры безопасности для отдельных этапов в конвейере выпуска, откройте диалоговое окно "Разрешения", выбрав "Безопасность" в контекстном меню, которое открывается из дополнительных действий на этапе в редакторе конвейера выпуска.
Справочник по разрешениям выпуска
В следующей таблице определены разрешения для выпусков. В столбце область объясняется, можно ли задать разрешение на уровне проекта, конвейера выпуска или этапа.
| Разрешение | Description |
|---|---|
| разрешения на выпуск Администратор | Может изменить любой из других разрешений, перечисленных здесь. Области: Проект, конвейер выпуска, этап |
| Создание выпусков | Может создавать новые выпуски. Области: Project, конвейер выпуска |
| Удаление конвейера выпуска | Может удалять конвейеры выпуска. Области: Project, конвейер выпуска |
| Этап удаления выпуска | Может удалять этапы в конвейерах выпуска. Области: Проект, конвейер выпуска, этап |
| Удаление выпусков | Может удалять выпуски для конвейера. Области: Project, конвейер выпуска |
| Изменение конвейера выпуска | Может сохранять любые изменения в конвейере выпуска, включая переменные конфигурации, триггеры, артефакты и политику хранения, а также конфигурацию на этапе конвейера выпуска. Чтобы обновить определенный этап в конвейере выпуска, пользователю также требуется разрешение на изменение стадии выпуска. Области: Project, конвейер выпуска |
| Изменение этапа выпуска | Может изменять этапы в конвейерах выпуска. Чтобы сохранить изменения в конвейере выпуска, пользователю также требуется разрешение на изменение конвейера выпуска. Это разрешение также определяет, может ли пользователь изменять конфигурацию на этапе конкретного экземпляра выпуска. Пользователю также требуется разрешение "Управление выпусками " для сохранения измененного выпуска. Области: Проект, конвейер выпуска, этап |
| Управление развертываниями | Может инициировать развертывание выпуска на этапе. Это разрешение предназначено только для развертываний, инициируемых вручную, выбрав действия развертывания или повторного развертывания в выпуске. Если для этапа задано условие любого типа автоматического развертывания, система автоматически инициирует развертывание без проверка разрешения пользователя, создавшего выпуск. Если условие начинается после некоторого этапа, инициированные вручную развертывания не ожидают успешного выполнения этих этапов. Области: Проект, конвейер выпуска, этап |
| Управление утверждающие выпуски | Может добавлять или изменять утверждающие для этапов в конвейерах выпуска. Это разрешение также определяет, может ли пользователь изменять утверждающих на этапе конкретного экземпляра выпуска. Области: Проект, конвейер выпуска, этап |
| Управление выпусками | Может изменять конфигурацию в выпусках. Чтобы изменить конфигурацию определенной стадии в экземпляре выпуска (включая переменные, помеченные как settable at release time), пользователю также требуется разрешение на изменение этапа выпуска. Области: Project, конвейер выпуска |
| Просмотр конвейера выпуска | Может просматривать конвейеры выпуска. Области: Project, конвейер выпуска |
| Просмотр выпусков | Может просматривать выпуски, принадлежащие конвейерам выпуска. Области: Project, конвейер выпуска |
Значения по умолчанию для всех разрешений задаются для коллекций командных проектов и групп проектов. Например, коллекции проектов Администратор istrator, Project Администратор istrator и release Администратор istratorы предоставляют все ранее перечисленные разрешения по умолчанию. Участники получают все разрешения, кроме Администратор разрешений на выпуск. По умолчанию читатели запрещают все разрешения, кроме конвейера выпуска View и View release.
Задание разрешений группы задач
Используйте группы задач для объединения последовательности задач, уже определенных в конвейере, в одну, многократно используемую задачу.
Разрешения группы задач соответствуют иерархической модели. Вы можете задать разрешения по умолчанию на уровне проекта и переопределить эти разрешения на отдельный конвейер группы задач.
Настройка разрешений группы задач уровня проекта
Выполните следующие действия, чтобы обновить разрешения для групп задач уровня проекта.
Примечание.
Группы задач не поддерживаются в конвейерах YAML, но шаблоны. Дополнительные сведения см . в справочнике по схеме YAML.
В проекте выберите группы задач Pipelines>.
Выберите Безопасность.
Выберите разрешить или запретить разрешение для группы безопасности или отдельного пользователя.
Настройка разрешений группы задач на уровне конвейера
Выполните следующие действия, чтобы обновить разрешения для групп задач на уровне конвейера.
В проекте выберите группы задач Pipelines>.
Выберите группу задач.
Выберите "Дополнительные действия
>" "Безопасность".Выберите разрешить или запретить разрешение для группы безопасности или отдельного пользователя.
Справочник по разрешениям группы задач
| Разрешение | Description |
|---|---|
| разрешения группы задач Администратор | Может добавлять и удалять пользователей или группы в безопасность группы задач. |
| Удаление группы задач | Может удалить группу задач. |
| Изменение группы задач | Может создавать, изменять или удалять группу задач. |
Задание разрешений пула агентов
Предопределенные роли можно использовать для настройки безопасности пулов агентов иерархическим образом для всех пулов или отдельного пула. Выполните следующие действия, чтобы задать разрешения пула агентов для всех пулов.
Настройка всех разрешений пула агентов
Выполните следующие действия, чтобы обновить разрешения для всех пулов агентов.
В проекте выберите пулы агентов
>параметров проекта.Выберите Безопасность.
Задайте разрешения и сохраните изменения.
Настройка разрешений пула отдельных агентов
Выполните следующие действия, чтобы задать разрешения для отдельного пула агентов.
В пуле агентов выберите агент.
Выберите Безопасность.
Задайте разрешения и сохраните изменения.
Настройка разрешений библиотеки
Используйте группу переменных для хранения значений, которые необходимо сделать доступными для нескольких конвейеров сборки и выпуска. Определите роли, помогающие настроить безопасность в сущностях общей библиотеки. Вы также можете настроить наследование ролей.
Выполните следующие действия, чтобы управлять разрешениями для артефактов библиотеки, таких как группы переменных и безопасные файлы.
В проекте выберите библиотеку конвейеров.>
Выберите Безопасность.
Задайте разрешения для всех элементов в библиотеке или для отдельной группы переменных или защищенного файла, а затем сохраните изменения.
Справочник по разрешениям библиотеки
| Роль | Description |
|---|---|
| Администратор | Может изменять и удалять элементы безопасности библиотеки и управлять ими. |
| Автор | Может создавать элементы библиотеки. |
| Читатель | Может читать только элементы библиотеки. |
| Пользователь | Может использовать элементы библиотеки в конвейерах. |
Настройка разрешений подключения службы
Настройте разрешения для всех подключений службы или для отдельного подключения.
Настройка всех разрешений подключения к службе
Выполните следующие действия, чтобы настроить разрешения для всех подключений к службе.
- В проекте выберите параметры проекта.
- Выберите подключения служб в разделе "Конвейеры".
- Задайте разрешения и сохраните изменения.
Настройка разрешений подключения к отдельным службам
Выполните следующие действия, чтобы настроить разрешения для отдельного подключения к службе.
В проекте откройте подключение к службе.
Выберите "Дополнительные действия
>" "Безопасность".Задайте разрешения и сохраните изменения.
Добавьте пользователей в следующие роли из контекста администратора уровня проекта на странице "Службы ". Дополнительные сведения о создании и управлении этими ресурсами см. в разделе "Подключения службы" для сборки и выпуска.
Если у вас возникли проблемы с разрешениями и подключениями к службе, см. статью "Устранение неполадок с подключениями к службе Azure Resource Manager".
Справочник по разрешениям подключения к службе
| Роль | Description |
|---|---|
| Пользователь | Может использовать конечную точку при создании конвейеров сборки или выпуска. |
| Администратор | Может управлять членством во всех остальных ролях для подключения к службе, а также использовать конечную точку для создания конвейеров сборки или выпуска. Система автоматически добавляет пользователя, создавшего подключение службы к роли Администратор istrator для этого пула. |
Настройка разрешений пула развертывания
Вы можете задать роли безопасности по умолчанию для всех групп развертывания и управлять ролями безопасности для отдельной группы развертывания.
Настройка всех разрешений пула развертывания
В проекте выберите параметры
проекта.Выберите группы развертывания в разделе "Конвейеры".
Задайте разрешения и сохраните изменения.
Настройка разрешений для отдельных групп развертывания
- В проекте откройте пул развертывания.
- Выберите "Дополнительные действия>" "Безопасность".
- Задайте разрешения и сохраните изменения.
Справочник по разрешениям пула развертывания
| Роль | Description |
|---|---|
| Читатель | Может просматривать только пулы развертывания. |
| Организация сервиса | Может просматривать агенты, создавать сеансы и прослушивать задания из пула агентов. |
| Пользователь | Может просматривать и использовать пул развертывания для создания групп развертывания. |
| Администратор | Может администрировать, администрировать, просматривать и использовать пулы развертывания. |
Настройка разрешений среды
Роли и разрешения пользователя можно использовать для управления тем, кто может создавать, просматривать и управлять средами. Примените иерархию ролей ко всем средам или одной среде.
Настройка всех разрешений среды
В проекте выберите параметры
проекта.Выберите среды в разделе "Конвейеры".
Задайте разрешения и сохраните изменения.
Настройка разрешений отдельной среды
Выберите "Безопасность " из дополнительных действий , чтобы изменить разрешения для всех сред.
- В проекте откройте среду.
- Выберите "Дополнительные действия>" "Безопасность".
- Задайте разрешения и сохраните изменения.
Справочник по разрешениям среды
| Роль | Description |
|---|---|
| Автор | Глобальная роль, доступная из параметра безопасности центра сред. Члены этой роли могут создавать среду в проекте. Участники добавляются в качестве участников по умолчанию. Требуется для активации конвейера YAML, если среда еще не существует. |
| Читатель | Члены этой роли могут просматривать среду. |
| Пользователь | Члены этой роли могут использовать среду при создании или редактировании конвейеров YAML. |
| Администратор | Члены этой роли могут администрировать разрешения, создавать, управлять, просматривать и использовать среды. Для конкретной среды его создатель добавляется как Администратор inistrator по умолчанию. Администратор istrator также может открывать доступ к среде ко всем конвейерам. |
Внимание
При создании среды только создатель имеет роль администратора.
| Роль | Description |
|---|---|
| Автор | Глобальная роль, доступная из параметра безопасности центра сред. Члены этой роли могут создавать среду в проекте. Участники добавляются в качестве участников по умолчанию. Требуется для активации конвейера YAML, если среда еще не существует. |
| Читатель | Члены этой роли могут просматривать среду. |
| Пользователь | Члены этой роли могут использовать среду при создании или редактировании конвейеров YAML. |
| Администратор | Помимо использования среды, члены этой роли могут управлять членством во всех остальных ролях для среды. Создатели добавляются как члены по умолчанию. |
Вопросы и ответы
Ознакомьтесь со следующими часто задаваемыми вопросами о разрешениях конвейера.
Вопрос. Почему не удается создать новый конвейер?
Ответ. Для создания нового конвейера необходимо изменить разрешения конвейера сборки. Чтобы добавить разрешение, откройте параметры безопасности для всех конвейеров и убедитесь, что для параметра Изменить конвейер сборки задано значение Разрешить для группы безопасности.
Если вам не удается создать конвейер, проверьте, задано ли для параметра Уровень доступа значение Заинтересованные лица. Если это так, задайте значение Базовый.
Вопрос. Почему отображается сообщение, которое необходимо авторизовать ресурс, прежде чем запустить?
Ответ. Прежде чем использовать их, необходимо авторизовать ресурсы. Исключение из этого правила заключается в том, что при первом создании конвейера все ресурсы, на которые ссылается ФАЙЛ YAML, автоматически авторизоваться. Ресурсы авторизованы для конвейера, пока пользователь, на котором запущен конвейер, имеет доступ к ресурсу.
Чтобы авторизовать все конвейеры для доступа к ресурсу, например пулу агентов , выполните следующие действия.
В проекте выберите пулы агентов Параметры
> Pipelines.>Выберите "Безопасность для определенного пула агентов", а затем обновите разрешения для предоставления доступа ко всем конвейерам.
Дополнительные сведения см. в разделе "Ресурсы" в YAML.
Связанные статьи
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по