Поделиться через

Управление безопасностью в Azure Pipelines

  • Статья

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

Azure Pipelines управляет доступом к конвейерам и их ресурсам через иерархию групп безопасности и пользователей. Эта система управляет такими ресурсами, как конвейеры выпуска, группы задач, пулы агентов и подключения служб, хотя и внешние конвейеры. При создании конвейеры и ресурсы наследуют разрешения на уровне проекта от предопределенных групп безопасности и пользователей, влияющих на все конвейеры проекта.

Администраторы обычно имеют неограниченный доступ, участники контролируют ресурсы, а читатели имеют разрешения только для просмотра, с ролями пользователей, определяющими назначения групп. Дополнительные сведения см. в разделе "Сведения о ролях безопасности конвейера".

Необходимые компоненты

Область безопасности Необходимые компоненты
Безопасность конвейеров — Для управления группами коллекций проектов необходимо быть членом группы администраторов коллекции проектов .
— Для управления пользователями и группами уровня проекта необходимо быть членом группы администраторов или иметь разрешения на администрирование сборки.
Безопасность пула агентов — Для управления безопасностью пула агентов на уровне организации, коллекции или проекта необходимо быть членом группы администраторов коллекции проектов или иметь роль администратора для пулов агентов.
— Для управления безопасностью пула агентов на уровне объекта необходимо иметь роль администратора для пула агентов.
Безопасность группы развертывания — Для управления безопасностью группы развертывания на уровне проекта необходимо быть членом группы администраторов или быть назначена роль администратора.
— Для управления безопасностью для отдельных групп развертывания необходимо назначить роль администратора.
Безопасность среды — Для управления безопасностью среды на уровне проекта необходимо быть членом группы администраторов или быть назначена роль администратора.
— Для управления безопасностью на уровне объектов для отдельных сред необходимо назначить роль администратора.
Безопасность библиотеки — Для управления безопасностью библиотеки необходимо быть членом группы администраторов или быть назначена роль администратора.
— Для управления безопасностью для отдельных ресурсов библиотеки необходимо быть администратором или иметь соответствующую роль.
Безопасность конвейера выпуска — Для управления безопасностью конвейера выпуска необходимо быть членом группы администраторов или иметь разрешения на администрирование выпуска.
— Необходимо создать конвейер выпуска.
Безопасность подключения службы — Для управления безопасностью подключения к службе необходимо быть членом группы "Администраторы проектов " или иметь роль администратора. — Для управления безопасностью на уровне проекта необходимо быть членом группы "Администраторы проектов " или иметь роль администратора для подключений к службе.
— Для управления безопасностью на уровне объекта необходимо иметь роль администратора для подключения к службе.
Безопасность группы задач Чтобы управлять безопасностью группы задач, необходимо быть членом группы администраторов или иметь разрешения на администрирование группы задач.
— Должна существовать группа задач.

Настройка разрешений конвейера в Azure Pipelines

Безопасность конвейера следует иерархической модели разрешений пользователей и групп. Разрешения на уровне проекта наследуются на уровне объекта всеми конвейерами проекта. Вы можете изменить унаследованные и стандартные разрешения пользователей и групп для всех конвейеров на уровне проекта и объектов. Невозможно изменить разрешения, заданные системой.

В следующей таблице показаны группы безопасности по умолчанию для конвейеров:

Групповой Description
Администраторы сборки Администрирование разрешений сборки и управление конвейерами и сборками.
Соавторы Управление конвейерами и сборками, но не очередями сборки. Эта группа включает всех участников команды.
Администраторы проектов Администрирование разрешений сборки и управление конвейерами и сборками.
Читатели Просмотр конвейера и сборок.
Администраторы коллекции проектов Администрирование разрешений сборки и управление конвейерами и сборками.
Администраторы сборки коллекции проектов Администрирование разрешений сборки и управление конвейерами и сборками.
Учетные записи службы сборки коллекции проектов Управление сборками.
Учетные записи службы тестирования коллекции проектов Просмотр конвейеров и сборок.

Система автоматически создает <пользователя службы сборки (имя коллекции) проекта>, члена группы учетных записей службы сборки коллекции проектов. Этот пользователь выполняет службы сборки в проекте.

В зависимости от ресурсов, используемых в конвейерах, конвейер может включать других встроенных пользователей. Например, если вы используете репозиторий GitHub для исходного кода, будет включен пользователь GitHub.

В следующей таблице показаны разрешения по умолчанию для групп безопасности:

Задача Читатели Соавторы Создание администраторов Администраторы проекта
Посмотреть сборки ✔️ ✔️ ✔️ ✔️
Просмотреть конвейер сборки ✔️ ✔️ ✔️ ✔️
Администрирование разрешений сборки ✔️ ✔️
Удаление или изменение конвейера сборки ✔️ ✔️ ✔️
Удаление или уничтожение сборок ✔️ ✔️
Изменить качество сборки ✔️ ✔️ ✔️
Управление качествами сборки ✔️ ✔️
Управление очередью сборки ✔️ ✔️
Переопределить проверку регистрации по сборке ✔️
Сборки очередей ✔️ ✔️ ✔️
Хранение на неопределенный срок ✔️ ✔️ ✔️ ✔️
Остановка сборок ✔️ ✔️
Обновить сведения о сборке ✔️

Описание разрешений конвейера см. в разделе "Разрешения конвейера" или "Сборка".

Настройка разрешений конвейера на уровне проекта

Чтобы управлять разрешениями на уровне проекта для пользователей и групп во всех конвейерах сборки в проекте, сделайте следующее:

  1. В проекте выберите "Конвейеры".

    Снимок экрана: выбор меню конвейеров.

  2. Выберите "Дополнительные действия" и выберите "Управление безопасностью".

  3. Выберите пользователей или группы и задайте разрешения для разрешения, запрета или не заданы.

    Снимок экрана: диалоговое окно безопасности конвейеров уровня проекта.

  4. Повторите предыдущий шаг, чтобы изменить разрешения для дополнительных групп и пользователей.

  5. Диалоговое окно "Закрыть разрешения", чтобы сохранить изменения.

Добавление пользователей или групп в диалоговое окно разрешений

Чтобы добавить пользователей и группы, которые не перечислены в диалоговом окне разрешений, сделайте следующее:

  1. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска.
  2. Задайте разрешения.
  3. Закройте диалоговое окно.

При повторном открытии диалогового окна безопасности отображается пользователь или группа.

Удаление пользователей или групп из диалогового окна разрешений

Чтобы удалить пользователя из списка разрешений, сделайте следующее:

  1. Выберите пользователя или группу.

  2. Выберите " Удалить" и очистить явные разрешения.

    Снимок экрана: удаление выбора пользователя или группы.

  3. По завершении закройте диалоговое окно, чтобы сохранить изменения.

Чтобы управлять разрешениями на уровне проекта для пользователей и групп во всех конвейерах сборки в проекте, сделайте следующее:

  1. В проекте выберите "Конвейеры".

    Снимок экрана: выбор меню конвейеров.

  2. Выберите "Дополнительные действия" и выберите "Управление безопасностью".

  3. Чтобы добавить пользователей или группы, которые не указаны в диалоговом окне разрешений, выберите "Добавить", введите пользователя или группу и нажмите кнопку "Сохранить изменения".

  4. Выберите пользователя или группу и задайте разрешения.

    Снимок экрана: диалоговое окно безопасности конвейера уровня проекта.

  5. Повторите предыдущий шаг, чтобы изменить разрешения для дополнительных групп и пользователей.

  6. Нажмите кнопку "Сохранить изменения" или выберите "Отменить изменения", чтобы отменить изменения.

  7. Чтобы удалить пользователя или группу из списка, выберите пользователя или группу и нажмите кнопку "Удалить".

  8. Выберите Закрыть.

Заданы разрешения конвейеров на уровне проекта.

Чтобы управлять разрешениями на уровне проекта для пользователей и групп во всех конвейерах сборки в проекте, сделайте следующее:

  1. В проекте выберите "Сборки".

  2. Щелкните значок папок и выберите папку "Все конвейеры сборки ".

  3. Выберите "Дополнительные действия>" "Безопасность".

    Снимок экрана: все выбранные параметры безопасности конвейеров.

  4. Чтобы добавить пользователей или группы, которые не указаны в диалоговом окне разрешений, выберите "Добавить", введите пользователя или группу и нажмите кнопку "Сохранить изменения".

    Снимок экрана: добавление выбора пользователя или группы безопасности конвейера.

  5. Выберите пользователя или группу и задайте разрешения.

    Снимок экрана: диалоговое окно безопасности конвейера.

  6. При необходимости выберите "Сохранить изменения" или "Отменить".

  7. Повторите предыдущий шаг, чтобы изменить разрешения для дополнительных групп и пользователей.

  8. Чтобы удалить пользователя или группу из списка, выберите пользователя или группу, а затем удалите.

  9. Выберите Закрыть.

Настройка разрешений конвейера на уровне объекта

По умолчанию разрешения уровня объекта для отдельных конвейеров наследуются от разрешений на уровне проекта. Можно переопределить унаследованные разрешения на уровне проекта.

Вы можете задать разрешения для разрешения, запрета или запрета , если разрешение не наследуется. Если наследование включено, можно изменить явно заданное разрешение на унаследованное значение.

Чтобы управлять разрешениями для конвейера, выполните следующие действия.

  1. В проекте выберите "Конвейеры ".

    Снимок экрана: выбор меню конвейеров.

  2. Выберите конвейер, а затем выберите "Другие действия" и выберите "Управление безопасностью".

    Снимок экрана: выбранный параметр безопасности из меню дополнительных действий конвейера.

  3. Выберите пользователя или группу и задайте разрешения.

    Снимок экрана: диалоговое окно безопасности конвейера уровня объекта.

  4. Повторите предыдущий шаг, чтобы изменить разрешения для дополнительных групп и пользователей.

  5. По завершении закройте диалоговое окно, чтобы сохранить изменения.

Добавление пользователей или групп в диалоговое окно разрешений

Чтобы добавить пользователей и группы, которые не перечислены в диалоговом окне разрешений, сделайте следующее:

  1. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска.
  2. Задайте разрешения.
  3. Закройте диалоговое окно.

При повторном открытии диалогового окна безопасности отображается пользователь или группа.

Удаление пользователей или групп из диалогового окна разрешений

Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено. Чтобы удалить пользователей или группы из разрешений конвейера, сделайте следующее:

  1. Выберите пользователя или группу.

  2. Выберите " Удалить" и очистить явные разрешения.

    Снимок экрана: удаление выбора пользователя или группы.

  3. По завершении закройте диалоговое окно, чтобы сохранить изменения.

По умолчанию разрешения на уровне объекта для отдельных конвейеров наследуют разрешения на уровне проекта. Можно переопределить унаследованные разрешения.

Вы можете задать разрешения для разрешения, запрета или запрета , если разрешение не наследуется. Если наследование включено, можно изменить явно заданное разрешение на унаследованное значение.

Чтобы задать разрешения для отдельного конвейера, сделайте следующее:

  1. В проекте выберите "Конвейеры ".

    Снимок экрана: выбор упорядоченного меню конвейеров.

  2. Выберите конвейер, а затем выберите "Другие действия" и выберите "Управление безопасностью".

    Снимок экрана: выбранный параметр

  3. Чтобы добавить пользователей или группы, которые не указаны в диалоговом окне разрешений, выберите "Добавить", введите пользователя или группу и нажмите кнопку "Сохранить изменения".

  4. Выберите пользователей и группы и задайте разрешения.

  5. При необходимости нажмите кнопку "Сохранить изменения " или *Отменить изменения.

    Снимок экрана: добавление выбора пользователя или группы безопасности конвейера.

  6. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить". Вы не можете удалить унаследованных пользователей или групп, если наследование не отключено.

  7. Нажмите кнопку "Закрыть ", когда закончите работу.

При явном установке разрешения наследуемого пользователя или группы наследуемое наследование отключается для этого конкретного разрешения. Чтобы восстановить наследование, задайте разрешение not set. Выберите "Очистить явные разрешения" , чтобы сбросить все явно заданные разрешения на унаследованные параметры. Чтобы отключить наследование для всех разрешений пользователя и группы, отключите параметр наследования . После повторного включения наследования разрешения для всех пользователей и групп будут возвращаться к параметрам уровня проекта.

Разрешения уровня объекта для отдельных конвейеров наследуют разрешения уровня проекта по умолчанию. Эти унаследованные разрешения можно переопределить для отдельного конвейера.

Вы можете задать разрешения для разрешения, запрета или запрета , если разрешение не наследуется. Если наследование включено, можно изменить явно заданное разрешение на унаследованное значение.

Чтобы задать разрешения на уровне объектов для конвейера, выполните следующие действия.

  1. В проекте выберите сборки из меню.

  2. Щелкните значок папок и выберите папку "Все конвейеры сборки ".

  3. Выберите "Дополнительные действия>" "Безопасность".

    Снимок экрана: все выборы навигации по безопасности конвейеров.

  4. Чтобы добавить пользователей или группы, которые не указаны в диалоговом окне разрешений, выберите "Добавить", введите пользователя или группу и нажмите кнопку "Сохранить изменения".

    Снимок экрана: добавление пользователя или группы безопасности конвейера.

  5. Выберите пользователя или группу и задайте разрешения.

  6. Вы можете выбрать больше пользователей и групп, чтобы изменить их разрешения.

  7. Нажмите кнопку "Сохранить изменения" или выберите "Отменить изменения", чтобы отменить изменения.

  8. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.

  9. Нажмите кнопку "Закрыть ", когда закончите работу.

При явном установке разрешения наследуемого пользователя или группы наследуемое наследование отключается для этого конкретного разрешения. Чтобы восстановить наследование, задайте разрешение not set. Выберите "Очистить явные разрешения" , чтобы сбросить все явно заданные разрешения на унаследованные параметры. Чтобы отключить наследование для всех разрешений пользователя и группы, отключите параметр наследования . При повторном наследовании разрешения для всех пользователей и групп будут возвращаться к параметрам уровня проекта.

Настройка безопасности группы развертывания в Azure Pipelines

Группа развертывания — это пул физических или виртуальных целевых машин с установленными агентами. Группы развертывания доступны только с классическими конвейерами выпуска. Группы развертывания можно создать в следующих случаях:

  • При подготовке зависимых групп развертывания для проектов из пулов развертывания организации
  • При создании группы развертывания на уровне проекта
  • Когда проект предоставляет общий доступ к группе развертывания, в проектах получателей создаются зависимые группы развертывания.

Отдельные группы развертывания наследуют роли безопасности от назначений на уровне проекта. Вы можете переопределить назначения на уровне проекта для пользователя или группы. Чтобы удалить унаследованного пользователя или группу или снизить уровень привилегий наследуемой роли, необходимо отключить наследование.

Когда группа развертывания получает общий доступ к другому проекту, отдельная группа развертывания, которая наследует ее роли безопасности, создается в другом проекте. Если общий доступ отключен, группа развертывания удаляется из другого проекта.

В следующей таблице показаны роли безопасности для групп развертывания:

Роль Description
Читатель Может просматривать только группы развертывания.
Автор Может создавать группы развертывания. Эта роль является только ролью уровня проекта.
Пользователь Может просматривать и использовать группы развертывания.
Организация сервиса Может просматривать агенты, создавать сеансы и прослушивать задания. Эта роль — это только роль уровня коллекции или организации.
Администратор Может администрировать, администрировать, просматривать и использовать группы развертывания.

В следующей таблице показаны назначения ролей пользователей и групп по умолчанию:

Групповой Роль
[имя проекта]\Участникы Создатель (уровень проекта), читатель (уровень объекта)
[имя проекта]\Администраторы группы развертывания Администратор
[имя проекта]\Администраторы проекта Администратор
[имя проекта]\Администраторы выпуска Администратор

Настройка ролей безопасности группы развертывания на уровне проекта

Выполните следующие действия, чтобы задать роли безопасности на уровне проекта для всех групп развертывания:

  1. В проекте выберите группы развертывания в разделе "Конвейеры".

  2. Выберите Безопасность.

    Снимок экрана: выбор безопасности для всех групп развертывания.

  3. Задайте роли для пользователей и групп.

    Снимок экрана: диалоговое окно безопасности для всех групп развертывания.

  4. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить".

  5. Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.

Выполните следующие действия, чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности:

  1. Выберите Добавить.
  2. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
  3. Выберите роль.
  4. Выберите Добавить, чтобы сохранить изменения.

Настройка ролей безопасности группы безопасности группы развертывания на уровне объекта

Выполните следующие действия, чтобы задать роли безопасности для отдельной группы развертывания:

  1. В проекте выберите группы развертывания в разделе "Конвейеры".

  2. Выберите группу развертывания в разделе "Группы".

  3. Выберите Безопасность.

    Снимок экрана: выбор безопасности для отдельной группы развертывания.

  4. Задайте роли для пользователей и групп. Чтобы снизить уровень привилегий наследуемой роли, отключите наследование.

    Снимок экрана: диалоговое окно безопасности группы развертывания уровня объекта.

  5. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.

  6. Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.

При явной настройке роли отключается наследование для этого пользователя или группы. Чтобы отключить наследование для всех пользователей и групп, отключите параметр наследования . При повторном наследовании роли для всех пользователей и групп будут возвращаться к назначениям на уровне проекта.

Выполните следующие действия, чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности:

  1. Выберите Добавить.
  2. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
  3. Выберите роль.
  4. Выберите Добавить, чтобы сохранить изменения.

Настройка безопасности сред в Azure Pipelines

Целевые объекты развертывания сред для конвейеров YAML, но несовместимы с классическими конвейерами. Роли безопасности, назначенные на уровне проекта пользователям и группам по умолчанию, наследуются всеми средами. Эти параметры безопасности можно настроить как на уровне проекта, так и на отдельных уровнях среды.

В следующей таблице показаны роли безопасности для сред:

Роль Description
Автор Может создавать среды в проекте. Она применяется только к безопасности на уровне проекта. Участники автоматически назначают эту роль.
Читатель Может просматривать среду.
Пользователь Может использовать среду при создании или редактировании конвейеров YAML.
Администратор Может администрировать разрешения, создавать, администрировать, просматривать и использовать среды. Создатель среды предоставляет роль администратора для этой среды. Администраторы также могут открывать доступ к среде для всех конвейеров в проекте.

В следующей таблице показаны назначения ролей пользователей и групп по умолчанию:

Групповой Роль
[имя проекта]\Участникы Создатель (средство чтения на уровне проекта) (уровень объекта)
[имя проекта]\Администраторы проекта Создатель
[имя проекта]\Допустимые пользователи проекта Читатель

Пользователь, создающий среду, автоматически получает роль администратора для этой конкретной среды. Это назначение роли является постоянным и не может быть изменено.

Настройка ролей безопасности среды на уровне проекта

Чтобы задать роли безопасности на уровне проекта для всех сред, сделайте следующее:

  1. Из проекта среды в конвейерах.

  2. Выберите "Дополнительные действия" и выберите "Безопасность".

    Снимок экрана: выбор безопасности для всех сред.

  3. Задайте роли для пользователей и групп администратора, создателя, пользователя или читателя.

    Снимок экрана: диалоговое окно безопасности сред уровня проекта.

  4. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить".

  5. Нажмите кнопку "Сохранить", чтобы сохранить изменения или отменить их, чтобы вернуть несохраненные изменения.

Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности, выполните следующие действия.

  1. Выберите Добавить.
  2. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
  3. Выберите роль.
  4. Выберите Добавить, чтобы сохранить изменения.

Настройка безопасности среды на уровне объекта

По умолчанию роли безопасности уровня объектов наследуются от параметров уровня проекта. Но эти параметры можно настроить для отдельных сред, включая удаление унаследованных пользователей или групп и настройку уровней привилегий, отключив наследование. Кроме того, вы можете управлять доступом к конвейеру для каждой среды.

Настройка ролей пользователя среды уровня объекта и группы безопасности

Чтобы настроить роли безопасности пользователей и групп для среды, сделайте следующее:

  1. В проекте выберите "Среды " в разделе "Конвейеры".

  2. Выберите среду.

  3. Выберите "Дополнительные действия" и выберите "Безопасность".

    Снимок экрана: выбор безопасности для одной среды.

  4. Задайте роли для пользователей и групп администратором, пользователем или читателем.

    Снимок экрана: диалоговое окно безопасности уровня объекта для сред.

  5. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.

  6. Нажмите кнопку "Сохранить", чтобы сохранить изменения или отменить их, чтобы вернуть несохраненные изменения.

Явное задание роли для пользователя или группы отключает их наследование. Чтобы остановить наследование для всех, отключите параметр наследования . Повторная активация наследования сбрасывает всех пользователей и групп на исходные назначения ролей уровня проекта.

Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности, выполните следующие действия.

  1. Выберите Добавить.
  2. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
  3. Выберите роль.
  4. Выберите Добавить, чтобы сохранить изменения.

Настройка доступа к конвейеру для среды

Разрешения конвейера можно задать для открытия доступа , чтобы разрешить доступ ко всем конвейерам в проекте или ограниченному доступу к определенным конвейерам. Только администраторы проектов могут задавать разрешения конвейера для open access.

Чтобы задать открытый доступ ко всем конвейерам в проекте, сделайте следующее:

  1. Выберите "Дополнительные действия" и выберите "Открыть доступ".

    Снимок экрана: открытый доступ для конвейеров в среде.

  2. Выберите "Открыть доступ" в диалоговом окне подтверждения.

Чтобы ограничить доступ к конвейеру и управлять ими, сделайте следующее:

  1. Выберите " Ограничить доступ".

  2. Выберите " Добавить конвейер" и выберите конвейер в раскрывающемся меню.

  3. Чтобы удалить конвейер, выберите конвейер и щелкните значок "Отозвать доступ ".

    Снимок экрана: параметр отмены конвейера.

Настройка безопасности библиотеки в Azure Pipelines

Библиотека упрощает совместное использование ресурсов, таких как группы переменных и безопасные файлы, в конвейерах сборки и выпуска. Она использует единую модель безопасности, позволяя назначения ролей для управления ресурсами, создания и использования. Эти роли, после установки на уровне библиотеки, автоматически применяются ко всем содержащимся ресурсам, но могут быть индивидуально скорректированы.

Роль Description
Администратор Может изменять и удалять ресурсы библиотеки и управлять ими. Создатель ресурса автоматически получает эту роль для ресурса.
Автор Может создавать ресурсы библиотеки.
Читатель Может читать только ресурсы библиотеки.
Пользователь Может использовать ресурсы библиотеки в конвейерах.

В следующей таблице показаны роли по умолчанию:

Групповой Роль
[имя проекта]\Администраторы проекта Администратор
[имя проекта]\Администраторы сборки Администратор
[имя проекта]\Допустимые пользователи проекта Читатель
[имя проекта]\Участникы Создатель (средство чтения на уровне проекта) (уровень объекта)
[имя проекта]\Администраторы выпуска Администратор
Служба сборки проекта (имя коллекции или организации) Читатель

Для отдельных ресурсов библиотек создатель автоматически назначает роль администратора .

Настройка ролей безопасности библиотеки уровня проекта

Чтобы управлять доступом ко всем ресурсам библиотеки, таким как группы переменных и защищенные файлы, выполните следующие действия.

  1. В проекте выберите библиотеку конвейеров.>

    Снимок экрана: пункт меню библиотеки.

  2. Выберите Безопасность.

    Снимок экрана: кнопка

  3. Выберите пользователя или группу и измените роль читателя, пользователя, создателя или администратора.

    Снимок экрана: диалоговое окно безопасности библиотеки.

  4. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить".

  5. Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.

Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности, выполните следующие действия.

  1. Выберите Добавить.
  2. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
  3. Выберите роль.
  4. Выберите Добавить, чтобы сохранить изменения.

Вы можете управлять доступом ко всем ресурсам библиотеки, таким как группы переменных и защищенные файлы, из параметров безопасности библиотеки уровня проекта.

Настройка ролей безопасности защищенных файлов

Роли безопасности для защищенных файлов наследуются от назначений ролей библиотеки уровня проекта по умолчанию. Эти назначения можно переопределить для отдельного файла. Чтобы удалить унаследованного пользователя или группу или снизить уровень привилегий наследуемой роли, необходимо отключить наследование.

Создатель безопасного файла автоматически назначает роль администратора для этого файла, которая не может быть изменена.

Чтобы задать разрешения для безопасного файла, выполните следующие действия.

  1. В проекте выберите библиотеку конвейеров.>
  2. Выберите "Безопасные файлы".
  3. Выберите файл.
  4. Выберите Безопасность. Снимок экрана: диалоговое окно разрешения безопасного файла.
  5. Задайте нужную роль для пользователей и групп.
  6. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.
  7. Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.

При явной настройке роли отключается наследование для этого пользователя или группы. Чтобы отключить наследование для всех пользователей и групп, отключите параметр наследования . При повторном наследовании роли для всех пользователей и групп будут возвращаться к назначениям на уровне проекта.

Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности, выполните следующие действия.

  1. Выберите Добавить.
  2. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
  3. Выберите роль.
  4. Выберите Добавить, чтобы сохранить изменения.

Настройка ролей безопасности группы переменных

Роли безопасности для групп переменных наследуются от назначений ролей библиотеки уровня проекта по умолчанию. Эти назначения можно переопределить для отдельной группы переменных. Чтобы удалить унаследованного пользователя или группу или снизить уровень привилегий наследуемой роли, необходимо отключить наследование.

Создатель группы переменных автоматически назначает роль администратора для этой группы, которая не может быть изменена.

Чтобы задать доступ для группы переменных, сделайте следующее:

  1. В проекте выберите библиотеку конвейеров.>
  2. Выберите группу переменных.
  3. Выберите Безопасность. Снимок экрана: диалоговое окно разрешения группы переменных.
  4. Задайте нужную роль для пользователей и групп.
  5. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.
  6. Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.

При явной настройке роли отключается наследование для этого пользователя или группы. Чтобы отключить наследование для всех пользователей и групп, отключите параметр наследования . При повторном наследовании роли для всех пользователей и групп будут возвращаться к назначениям на уровне проекта.

Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности, выполните следующие действия.

  1. Выберите Добавить.
  2. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
  3. Выберите роль.
  4. Выберите Добавить, чтобы сохранить изменения.

Настройка разрешений конвейера выпуска в Azure Pipelines

После создания конвейера выпуска можно задать разрешения на уровне проекта для всех конвейеров выпуска и разрешений на уровне объектов для отдельных конвейеров и этапов выпуска. Вы также можете задать разрешения для этапов выпуска, которые являются подмножеством разрешений, унаследованных от разрешений конвейера выпуска на уровне объекта.

В следующей таблице показана иерархия разрешений для конвейеров выпуска:

  • Разрешения конвейеров выпуска на уровне проекта
  • Разрешения конвейера выпуска на уровне объекта
  • Разрешения этапа уровня объекта

В следующей таблице показаны роли пользователей и групп по умолчанию:

Групповой Роль
Участников Все разрешения, кроме разрешений администрирования выпуска.
Администраторы проектов Все разрешения.
Читателей Может просматривать конвейеры и выпуски.
Администраторы выпуска Все разрешения.
Администраторы коллекции проектов Все разрешения.
<Имя> проекта Build Service (<название организации или коллекции>) Может просматривать конвейеры и выпуски.
Сервер сборки Project Collection (<имя> организации или коллекции) Может просматривать конвейеры и выпуски.

Описание разрешений см. в разделе "Разрешения и группы".

Настройка разрешений конвейера выпуска на уровне проекта

Чтобы обновить разрешения для всех выпусков, сделайте следующее:

1.В проекте выберите "Конвейеры выпусков>".

  1. Щелкните значок представления файла.

    Снимок экрана: выбор представления всех файлов.

  2. Выберите папку "Все конвейеры".

    Снимок экрана: выбор всех папок конвейеров выпуска.

  3. Выберите "Дополнительные действия" и выберите "Безопасность".

    Снимок экрана: диалоговое окно безопасности конвейеров выпуска.

  4. Выберите пользователей и группы и измените их разрешения.

    Снимок экрана: все конвейеры выпуска для безопасности добавляют выбор пользователя или группы.

  5. По завершении закройте диалоговое окно, чтобы сохранить изменения.

Добавление пользователей или групп в диалоговое окно разрешений

Чтобы добавить пользователей и группы, которые не перечислены в диалоговом окне разрешений, сделайте следующее:

  1. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска.
  2. Задайте разрешения.
  3. Закройте диалоговое окно.

При повторном открытии диалогового окна безопасности отображается пользователь или группа.

Удаление пользователей или групп из диалогового окна разрешений

Чтобы удалить пользователя из списка разрешений, сделайте следующее:

  1. На странице разрешений проекта выберите пользователя или группу.

  2. Выберите " Удалить" и очистить явные разрешения.

    Снимок экрана: удаление выбора пользователя или группы.

  3. По завершении закройте диалоговое окно, чтобы сохранить изменения.

Чтобы задать разрешения для всех выпусков, сделайте следующее:

  1. В проекте выберите "Выпуски конвейеров>".

  2. Щелкните значок представления файла.

    Снимок экрана: выбор представления всех файлов.

  3. Выберите папку "Все конвейеры".

    Снимок экрана: выбор всех папок конвейеров выпуска.

  4. Выберите "Дополнительные действия" и выберите "Безопасность".

    Снимок экрана: диалоговое окно безопасности конвейеров выпуска.

  5. Чтобы добавить пользователей или группы, которые не указаны в диалоговом окне разрешений, выберите "Добавить", введите пользователя или группу и нажмите кнопку "Сохранить изменения".

  6. Выберите пользователя и группу и задайте разрешение на разрешение "Разрешить", "Запретить" или "Не задать", а затем нажмите кнопку "Сохранить изменения" или "Отменить изменения".

    Снимок экрана: все конвейеры выпуска для безопасности добавляют выбор пользователя или группы.

  7. Повторите предыдущий шаг для каждого пользователя или группы, чтобы изменить их разрешения.

  8. По завершении закройте диалоговое окно.

Настройка разрешений конвейера выпуска на уровне объекта

По умолчанию разрешения на уровне объекта для отдельных конвейеров выпуска наследуются от разрешений конвейера выпуска на уровне проекта. Эти унаследованные разрешения можно переопределить для определенного конвейера выпуска.

Чтобы переопределить разрешения для выпуска, выполните следующие действия.

  1. В проекте выберите "Выпуски конвейеров>".

  2. Выберите значок представления файла.

  3. Выберите конвейер выпуска, который нужно изменить, а затем выберите "Дополнительные действия>безопасности".

    Снимок экрана: диалоговое окно безопасности конвейера выпуска уровня объекта.

  4. Выберите пользователей или группы, чтобы задать разрешения для параметра Allow, Deny или Not set.

    Снимок экрана: безопасность конвейера выпуска: добавление выбора пользователя или группы.

  5. По завершении закройте диалоговое окно, чтобы сохранить изменения.

При явном установке разрешения наследуемого пользователя или группы наследуемое наследование отключается для этого конкретного разрешения. Чтобы восстановить наследование, задайте разрешение not set. Чтобы отключить наследование для всех разрешений пользователя и группы, отключите параметр наследования . После повторного включения наследования разрешения для всех пользователей и групп будут возвращаться к параметрам уровня проекта.

Добавление пользователей или групп в диалоговое окно разрешений

Чтобы добавить пользователей и группы, которые не перечислены в диалоговом окне разрешений, сделайте следующее:

  1. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска.
  2. Задайте разрешения.
  3. Закройте диалоговое окно.

При повторном открытии диалогового окна безопасности отображается пользователь или группа.

Удаление пользователей или групп из диалогового окна разрешений

Пользователи и группы можно удалить из конвейера выпуска. Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено. Чтобы удалить разрешения конвейера выпуска для пользователей или групп, сделайте следующее:

  1. Выберите пользователя или группу.

  2. Выберите " Удалить" и очистить явные разрешения.

    Снимок экрана: удаление выбора пользователя или группы.

  3. По завершении закройте диалоговое окно, чтобы сохранить изменения.

Вы можете задать разрешения для разрешения, запрета или запрета , если разрешение не наследуется. Если наследование включено, можно изменить явно заданное разрешение на унаследованное значение.

  1. В проекте выберите "Выпуски конвейеров>".

  2. Выберите значок представления файла.

  3. Выберите конвейер выпуска, который вы хотите изменить, выберите "Дополнительные действия" и выберите "Безопасность".

    Снимок экрана: диалоговое окно безопасности конвейера выпуска уровня объекта.

  4. Чтобы добавить пользователей или группы, которые не указаны в диалоговом окне разрешений, выберите "Добавить", введите пользователя или группу и нажмите кнопку "Сохранить изменения".

  5. Выберите пользователя и группу и задайте разрешение на разрешить, запретить или не задать или наследуемое значение (например, разрешить (наследуемое)).

    Снимок экрана: безопасность конвейера выпуска: добавление выбора пользователя или группы.

  6. Нажмите кнопку "Сохранить изменения" или выберите "Отменить изменения", чтобы отменить изменения. Перед выбором другого пользователя или группы необходимо сохранить изменения, чтобы применить разрешения.

  7. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.

  8. Завершив настройку, нажмите кнопку ОК.

При явном установке разрешения наследуемого пользователя или группы наследуемое наследование отключается для этого конкретного разрешения. Чтобы восстановить наследование, задайте разрешение not set. Выберите "Очистить явные разрешения" , чтобы сбросить все явно заданные разрешения на унаследованные параметры. Чтобы отключить наследование для всех разрешений пользователя и группы, отключите параметр наследования . После повторного включения наследования разрешения для всех пользователей и групп будут возвращаться к параметрам уровня проекта.

Настройка разрешений этапа выпуска

Разрешения этапа — это подмножество разрешений, унаследованных от разрешений конвейера выпуска на уровне объекта.

Чтобы задать разрешения для этапа, сделайте следующее:

  1. В проекте выберите "Выпуски конвейеров>".

  2. Щелкните значок представления файла и выберите "Все конвейеры".

  3. Выберите конвейер выпуска, который нужно изменить из всех конвейеров

    Снимок экрана: диалоговое окно безопасности этапа выпуска.

  4. Выберите этап, который требуется изменить.

  5. Щелкните значок "Дополнительно" и выберите "Безопасность".

    Снимок экрана: выбор навигации по этапу выпуска.

  6. Чтобы добавить пользователей или группы, которые не указаны в диалоговом окне разрешений, выберите "Добавить", введите пользователя или группу и нажмите кнопку "Сохранить изменения".

  7. Выберите пользователей и группы, чтобы задать разрешения на разрешение, запрет или не задано.

    Снимок экрана: диалоговое окно безопасности этапа выпуска.

  8. Нажмите кнопку "Сохранить изменения" или выберите "Отменить изменения", чтобы отменить изменения. Перед выбором другого пользователя или группы необходимо сохранить изменения, чтобы применить разрешения.

  9. Вы можете выбрать больше пользователей и групп, чтобы изменить их разрешения.

  10. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.

  11. Завершив настройку, нажмите кнопку ОК.

При явном установке разрешения наследуемого пользователя или группы наследуемое наследование отключается для этого конкретного разрешения. Чтобы восстановить наследование, задайте разрешение not set. Выберите "Очистить явные разрешения" , чтобы сбросить все явно заданные разрешения на унаследованные параметры. Чтобы отключить наследование для всех разрешений пользователя и группы, отключите параметр наследования . После повторного включения наследования разрешения для всех пользователей и групп будут возвращаться к параметрам уровня проекта.

Настройка безопасности подключения службы в Azure Pipelines

Подключения к службам используются для подключения к внешним и удаленным службам. Безопасность подключения службы можно задать для:

  • Проекты: разрешения задаются на уровне объекта.
  • Конвейеры: разрешения задаются на уровне объекта.
  • Пользователи и группы: роли безопасности задаются на уровне проекта и объекта.

В следующей таблице показаны роли подключения службы:

Роль Характер использования
Читатель Может просматривать подключения к службам.
Пользователь Можно использовать подключения службы в конвейерах сборки и выпуска YAML классической версии.
Автор Может создать подключение к службе в проекте. Эта роль является только ролью уровня проекта.
Администратор Может использовать подключение службы и управлять ролями для других пользователей и групп.

В следующей таблице показаны роли безопасности по умолчанию для подключений к службам:

Групповой Роль
[имя проекта]\Администраторы конечных точек Администратор
[имя проекта]\Endpoint Creators Создатель

Пользователю, создающему подключение к службе, автоматически назначается роль администратора для этого подключения к службе.

  • Конвейеры: разрешения задаются на уровне объекта.
  • Пользователи и группы: роли безопасности задаются на уровне проекта и объекта.

В следующей таблице показаны роли подключения службы:

Роль Характер использования
Пользователь Можно использовать подключения службы в конвейерах сборки и выпуска YAML классической версии.
Администратор Может использовать подключение службы и управлять ролями для других пользователей и групп.

По умолчанию группа [проект]/\Endpoint Administrators назначается роль администратора для всех подключений к службам в проекте. Пользователю, создающему подключение к службе, автоматически назначается роль администратора для этого подключения к службе.

Дополнительные сведения см. в разделе "Подключения службы".

Дополнительные сведения см. в разделе "Подключения службы".

Настройка ролей безопасности подключения службы уровня проекта

Чтобы управлять ролями безопасности для всех подключений к службе, выполните следующие действия.

  1. В проекте выберите параметры проекта.

  2. Выберите Подключения к службе в Pipelines.

  3. Выберите "Дополнительные действия" и выберите "Безопасность".

    Снимок экрана: выбор параметра безопасности подключения службы.

  4. Чтобы изменить роль, выберите пользователя или группу и выберите роль в раскрывающемся меню.

    Снимок экрана: диалоговое окно безопасности подключений к службам уровня проекта.

  5. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить".

  6. Нажмите кнопку "Сохранить", чтобы сохранить изменения или отменить их, чтобы вернуть несохраненные изменения.

Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности, выполните следующие действия.

  1. Выберите Добавить.
  2. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
  3. Выберите роль.
  4. Выберите Добавить, чтобы сохранить изменения.

Настройка безопасности подключения службы на уровне объекта

Вы можете задать роли безопасности для пользователей и групп, а также доступ к конвейеру и проекту к подключению к службе. Отдельные подключения службы наследуют назначения ролей уровня проекта для пользователей и групп по умолчанию.

Чтобы открыть диалоговое окно безопасности для отдельного подключения к службе, сделайте следующее:

  1. В проекте выберите параметры проекта.
  2. Выберите Подключения к службе в Pipelines.
  3. Выберите подключение службы.
  4. Выберите "Дополнительные действия" и выберите "Безопасность".

Настройка ролей безопасности подключения службы для пользователей и групп

Можно переопределить унаследованные роли для пользователей и групп. Наследование должно быть отключено, чтобы удалить наследуемого пользователя или группы или снизить уровень привилегий унаследованной роли.

Чтобы управлять ролями безопасности для отдельного подключения к службе, выполните следующие действия.

  1. В разделе "Разрешения пользователя" диалогового окна "Безопасность" выберите "Проект" для управления пользователями и группами на уровне проекта или организацией для управления пользователями и группами уровня организации.

    Снимок экрана: диалоговое окно разрешений пользователя для отдельных подключений к службе.

  2. Выберите пользователей и группы и измените их роли. Чтобы снизить уровень привилегий наследуемой роли, необходимо отключить наследование.

  3. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.

  4. Нажмите кнопку "Сохранить", чтобы сохранить изменения или отменить их, чтобы вернуть несохраненные изменения.

При явной настройке роли отключается наследование для этого пользователя или группы. Чтобы отключить наследование для всех пользователей и групп, отключите параметр наследования . При повторном наследовании роли для всех пользователей и групп будут возвращаться к назначениям на уровне проекта.

Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности:

  1. Выберите Добавить.
  2. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
  3. Выберите роль.
  4. Выберите Добавить, чтобы сохранить изменения.

Настройка разрешений конвейера подключения службы

Вы можете задать разрешения конвейера для открытия доступа, позволяя всем конвейерам использовать подключение службы или ограничить доступ к определенным конвейерам.

Если для разрешений конвейера задано значение Open access, можно ограничить доступ, выбрав параметр "Ограничить доступ ".

Снимок экрана: параметр ограничения доступа для отдельного подключения к службе.

Чтобы добавить конвейеры в подключение ограниченной службы, выберите "Добавить конвейер " и выберите конвейер из раскрывающегося меню.

Чтобы изменить подключение службы с ограниченным доступом, выберите "Дополнительные действия" и "Открыть доступ".

Снимок экрана: параметр открытого доступа для отдельного подключения к службе.

Настройка разрешений проекта подключения службы

Доступ ограничен текущим проектом по умолчанию. Чтобы предоставить доступ к другим проектам в организации или коллекции, нажмите кнопку "Добавить проекты".

Снимок экрана: выбор разрешений проекта для отдельных подключений к службе.

Настройка ролей безопасности для отдельных подключений к службе

Чтобы задать роль безопасности для пользователей и групп для отдельных подключений, сделайте следующее:

  1. В проекте выберите параметры проекта.

  2. Выберите подключения служб в разделе "Конвейеры".

  3. Выберите подключение службы.

    Снимок экрана: выбор безопасности подключения к отдельным службам.

  4. Выберите пользователя или группу и измените роль на "Пользователь " или "Администратор". Чтобы снизить уровень привилегий унаследованной роли, для подключения к службе необходимо отключить наследование.

  5. Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.

При явной настройке роли отключается наследование для этого пользователя или группы. Чтобы отключить наследование для всех пользователей и групп, отключите параметр наследования . При повторном наследовании роли для всех пользователей и групп будут возвращаться к назначениям на уровне проекта.

Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности, выполните следующие действия.

  1. Выберите Добавить.
  2. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
  3. Выберите роль.
  4. Выберите Добавить, чтобы сохранить изменения.

Чтобы удалить пользователя или группу из списка, выберите пользователя или группу и нажмите кнопку "Удалить". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.

Если у вас возникли проблемы с разрешениями и подключениями к службе, см. статью "Устранение неполадок с подключениями к службе Azure Resource Manager".

Настройка разрешений группы задач в Azure Pipelines

Разрешения для групп задач соответствуют иерархической модели. По умолчанию все группы задач наследуют разрешения на уровне проекта. После создания группы задач можно изменить разрешения на уровне проекта и разрешения уровня объекта для отдельных групп задач.

В следующей таблице показаны разрешения для групп задач:

Разрешение Description
Администрирование разрешений группы задач Может добавлять и удалять пользователей или группы в безопасность группы задач.
Удаление группы задач Может удалить группу задач.
Изменение группы задач Может создавать, изменять или удалять группу задач.

В следующей таблице показаны разрешения по умолчанию для групп безопасности:

Задача Читатели Соавторы Создание администраторов Администраторы проекта Администраторы выпуска
Администрирование разрешений группы задач ✔️ ✔️ ✔️
Удаление группы задач ✔️ ✔️ ✔️
Изменение группы задач ✔️ ✔️ ✔️ ✔️

Создатель группы задач имеет все разрешения для группы задач.

Примечание.

Группы задач не поддерживаются в конвейерах YAML, но шаблоны. Дополнительные сведения см . в справочнике по схеме YAML.

Настройка разрешений группы задач уровня проекта

Чтобы задать разрешения для групп задач уровня проекта, сделайте следующее:

  1. В проекте выберите группы задач Pipelines>.

    Снимок экрана: пункт меню группы задач.

  2. Выберите Безопасность.

    Снимок экрана: выбор безопасности групп задач.

  3. Выберите пользователей и группы, чтобы задать их разрешения на разрешение, запрет или не задано.

    Снимок экрана: диалоговое окно безопасности группы задач.

  4. По завершении закройте диалоговое окно, чтобы сохранить изменения.

Добавление пользователей или групп в диалоговое окно разрешений

Чтобы добавить пользователей и группы, которые не перечислены в диалоговом окне разрешений, сделайте следующее:

  1. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска.
  2. Задайте разрешения.
  3. Закройте диалоговое окно.

При повторном открытии диалогового окна безопасности отображается пользователь или группа.

Удаление пользователей или групп из диалогового окна разрешений

Чтобы удалить пользователя из списка разрешений, сделайте следующее:

  1. Выберите пользователя или группу.

  2. Выберите " Удалить" и очистить явные разрешения.

    Снимок экрана: удаление выбора пользователя или группы.

  3. По завершении закройте диалоговое окно, чтобы сохранить изменения.

Чтобы задать разрешения для групп задач уровня проекта, сделайте следующее:

  1. В проекте выберите группы задач Pipelines>.

    Снимок экрана: выбор группы задач.

  2. Выберите Безопасность.

    Снимок экрана: выбор безопасности групп задач.

  3. Чтобы добавить пользователей или группы, которые не указаны в диалоговом окне разрешений, выберите "Добавить", введите пользователя или группу и нажмите кнопку "Сохранить изменения".

  4. Выберите пользователя или группу, чтобы задать разрешения для параметра Allow, Deny или Not set.

    Снимок экрана: диалоговое окно безопасности групп задач конвейера.

  5. Нажмите кнопку "Сохранить изменения" или выберите "Отменить изменения", чтобы отменить изменения. Перед выбором другого пользователя или группы необходимо сохранить изменения, чтобы применить разрешения.

  6. Вы можете выбрать больше пользователей и групп, чтобы изменить их разрешения.

  7. Нажмите кнопку "Закрыть ", когда закончите работу.

Задание разрешений группы задач уровня объекта

Чтобы задать разрешения для отдельных групп задач, сделайте следующее:

  1. В проекте выберите группы задач Pipelines>.

    Снимок экрана: выбор группы задач.

  2. Выберите группу задач.

  3. Выберите "Дополнительные команды" и выберите "Безопасность".

  4. Выберите пользователей и группы, чтобы задать их разрешения на разрешение, запрет или не задано.

    Снимок экрана: диалоговое окно безопасности группы задач уровня объекта.

  5. По завершении закройте диалоговое окно, чтобы сохранить изменения.

Если разрешение для наследуемого пользователя или группы явно задано, наследование отключено для этого конкретного разрешения. Измените разрешение на не задано для восстановления наследования. Чтобы отключить наследование для всех разрешений пользователя и группы, отключите параметр наследования . После повторного включения наследования параметры для всех разрешений будут возвращаться на уровень проекта.

Добавление пользователей или групп в диалоговое окно разрешений

Чтобы добавить пользователей и группы, которые не перечислены в диалоговом окне разрешений, сделайте следующее:

  1. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска.
  2. Задайте разрешения.
  3. Закройте диалоговое окно.

При повторном открытии диалогового окна безопасности отображается пользователь или группа.

Удаление пользователей или групп из диалогового окна разрешений

Пользователи и группы можно удалить из группы задач. Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.

  1. Выберите пользователя или группу.

  2. Выберите " Удалить" и очистить явные разрешения.

    Снимок экрана: удаление выбора пользователя или группы.

  3. По завершении закройте диалоговое окно, чтобы сохранить изменения.

Вы можете задать разрешения для разрешения, запрета или запрета , если разрешение не наследуется. Если наследование включено, можно изменить явно заданное разрешение на унаследованное значение.

Чтобы задать разрешения для отдельных групп задач, сделайте следующее:

  1. В проекте выберите группы задач Pipelines>.

    Снимок экрана: выбор группы задач.

  2. Выберите группу задач.

  3. Выберите "Дополнительные команды" и выберите "Безопасность".

  4. Выберите пользователей и группы, чтобы задать их разрешения на разрешение, запрет или не задано.

    Снимок экрана: диалоговое окно безопасности группы задач уровня объекта.

  5. По завершении закройте диалоговое окно, чтобы сохранить изменения.

Если разрешение для наследуемого пользователя или группы явно задано, наследование отключено для этого конкретного разрешения. Измените разрешение на не задано для восстановления наследования. Чтобы отключить наследование для всех разрешений пользователя и группы, отключите параметр наследования . После повторного включения наследования параметры для всех разрешений будут возвращаться на уровень проекта.

Добавление пользователей или групп в диалоговое окно разрешений

Чтобы добавить пользователей и группы, которые не перечислены в диалоговом окне разрешений, сделайте следующее:

  1. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска.
  2. Задайте разрешения.
  3. Закройте диалоговое окно.

При повторном открытии диалогового окна безопасности отображается пользователь или группа.

Удаление пользователей или групп из диалогового окна разрешений

Пользователи и группы можно удалить из группы задач. Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.

  1. Выберите пользователя или группу.

  2. Выберите " Удалить" и очистить явные разрешения.

    Снимок экрана: удаление выбора пользователя или группы.

  3. По завершении закройте диалоговое окно, чтобы сохранить изменения.

Вы можете задать разрешения для разрешения, запрета или запрета , если разрешение не наследуется. Если наследование включено, можно изменить явно заданное разрешение на унаследованное значение.

Чтобы задать разрешения для группы задач, сделайте следующее:

  1. В проекте выберите группы задач Pipelines>.

    Снимок экрана: пункт меню группы задач.

  2. Выберите группу задач.

  3. Выберите "Другие команды>" "Безопасность".

  4. Чтобы добавить пользователей или группы, которые не указаны в диалоговом окне разрешений, выберите "Добавить", введите пользователя или группу и нажмите кнопку "Сохранить изменения".

  5. Выберите пользователей и группы, чтобы задать разрешения на разрешение, запрет или не задано.

    Снимок экрана: диалоговое окно безопасности группы задач уровня объекта.

  6. Нажмите кнопку "Сохранить изменения" или выберите "Отменить изменения", чтобы отменить изменения. Перед выбором другого пользователя или группы необходимо сохранить изменения, чтобы применить разрешения.

  7. Вы можете выбрать больше пользователей и групп, чтобы изменить их разрешения.

  8. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.

  9. Завершив настройку, нажмите кнопку ОК.

Если разрешение для наследуемого пользователя или группы явно задано, наследование отключено для этого конкретного разрешения. Измените разрешение на не задано для восстановления наследования. Выберите "Очистить явные разрешения" , чтобы сбросить все явно заданные разрешения на унаследованные параметры. Чтобы отключить наследование для всех разрешений пользователя и группы, отключите параметр наследования . После повторного включения наследования параметры для всех разрешений будут возвращаться на уровень проекта.

Настройка безопасности пула агентов в Azure Pipelines

Пулы агентов — это коллекция агентов, которые используются для запуска заданий сборки и выпуска.

Пулы агентов можно создавать с помощью области организации или области проекта. Пулы агентов в области организации доступны для всех существующих или новых проектов в организации, и по умолчанию каждая организация имеет два пула агентов: Azure Pipelines и Default. Эти пулы по умолчанию доступны для всех проектов в организации.

Пулы агентов с областью проекта создаются на уровне проекта и доступны только для этого проекта.

В параметрах организации можно управлять параметрами безопасности на уровне организации для всех пулов агентов в организации и для отдельных пулов агентов. Роли безопасности уровня организации и проекта можно управлять с помощью параметров проекта.

Пулы агентов можно создать с областью сбора или областью проекта. Пулы агентов с областью сбора доступны для всех существующих или новых проектов в коллекции, и по умолчанию каждая коллекция имеет два пула агентов: Azure Pipelines и Default. Эти пулы по умолчанию доступны для всех проектов в коллекции.

Пулы агентов с областью проекта создаются на уровне проекта и доступны только для этого проекта.

В параметрах коллекции можно управлять параметрами безопасности на уровне коллекции для всех пулов агентов в коллекции и для отдельных пулов агентов. Роли безопасности уровня коллекции и проекта можно управлять на уровне объекта из параметров проекта.

Используйте предопределенные роли безопасности для управления безопасностью пулов агентов.

В следующей таблице показаны роли безопасности для пулов агентов:

Роль Характер использования
Читатель Может просматривать пулы агентов.
User Можно использовать пулы агентов в классических и конвейерах сборки и выпуска YAML.
Создатель Может создавать пулы агентов в проекте. Эта роль является только ролью уровня проекта.
Организация сервиса Может просматривать агенты, создавать сеансы и прослушивать задания из пула агентов. Эта роль устанавливается только на уровне организации или коллекции.
Администратор Может управлять пулами агентов и управлять ролями для других пользователей и групп.

В следующей таблице показаны роли проекта и объекта безопасности объектов для пулов агентов:

Групповой Роль
[имя проекта]\Администраторы проекта Администратор
[имя проекта]\Администраторы сборки Администратор
[имя проекта]\Допустимые пользователи проекта Читатель
[имя проекта]\Администраторы выпуска Администратор
Пользователь, создавший пул агентов Администратор

Настройка безопасности организации для пулов агентов

Вы можете управлять пользователями и группами на уровне коллекции для всех пулов агентов в организации или для отдельных пулов агентов с областью действия проекта. Роли безопасности для пулов агентов — читатель, учетная запись службы и администратор. Роли пользователя и создателя недоступны на уровне организации.

Настройка безопасности организации для всех пулов агентов

По умолчанию пользователи или группы не имеют явных ролей для всех пулов на уровне организации. Вы можете добавить пользователей и группы уровня организации и управлять ролями безопасности для всех пулов агентов в организации.

Чтобы управлять ролями безопасности для всех пулов агентов в организации, сделайте следующее:

  1. Перейдите в параметры организации и выберите пулы агентов.

  2. Выберите Безопасность.

    Снимок экрана: выбор безопасности на уровне организации для всех пулов агентов.

  3. Чтобы добавить пользователей и группы, выполните приведенные ниже действия.

    1. Выберите Добавить

    2. Введите пользователя или группу и выберите его из результатов поиска.

    3. Повторите предыдущий шаг, чтобы добавить пользователей и группы.

    4. Выберите роль и нажмите кнопку "Добавить"

      Снимок экрана: добавление пользователя на уровне организации для всех пулов агентов.

  4. Чтобы удалить пользователя или группу из списка, выберите пользователя или группу и нажмите кнопку "Удалить".

  5. Чтобы изменить роль безопасности, выберите пользователя или группу и выберите ее в раскрывающемся списке.

  6. Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.

    Снимок экрана: диалоговое окно безопасности уровня организации для всех пулов агентов.

  7. Закройте диалоговое окно.

Настройка безопасности организации для отдельных пулов агентов

Отдельные пулы агентов наследуют назначения безопасности на уровне организации. Пулы агентов По умолчанию и Azure Pipelines включают группу допустимых пользователей проекта для каждого проекта в организации.

Пулы агентов, созданные на уровне проекта, автоматически назначаются [<имя> проекта]\Группа допустимых пользователей Project и создатель пула агентов . Создатель не может быть удален или изменен. Здесь перечислены все пользователи и группы уровня организации, добавленные из параметров проекта.

Вы можете добавлять и удалять пользователей и групп уровня организации и задавать роли безопасности для отдельного пула агентов. Роли безопасности на этом уровне — читатель, учетная запись службы и администратор.

Чтобы управлять ролями безопасности для всех пулов агентов в коллекции, сделайте следующее:

  1. Перейдите в параметры организации и выберите пулы агентов.
  2. Выберите пул агентов.
  3. Выберите Безопасность.
  4. Чтобы добавить пользователей и группы, выполните приведенные ниже действия.
    1. Выберите Добавить
    2. Введите пользователя или группу и выберите его из результатов поиска.
    3. Повторите предыдущий шаг, чтобы добавить пользователей и группы.
    4. Выберите роль и нажмите кнопку "Добавить".
      Снимок экрана: добавление пользователя на уровне организации для пула агентов.
  5. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить".
  6. Чтобы изменить роль безопасности, выберите пользователя или группу и выберите ее в раскрывающемся списке.
  7. Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения. Снимок экрана: диалоговое окно безопасности уровня организации для отдельного пула агентов.
  8. Закройте диалоговое окно.

Настройка безопасности коллекции для пулов агентов

Вы можете управлять пользователями и группами уровня коллекции для всех пулов агентов в коллекции или на уровне объекта для пулов агентов с областью проекта. Роли безопасности для пулов агентов: читатель, учетная запись службы и администратор. Роли пользователя и создателя недоступны на уровне коллекции.

Настройка безопасности коллекции для всех пулов агентов

По умолчанию никакие пользователи или группы не имеют явных ролей для всех пулов в коллекции. Вы можете добавлять пользователей и группы уровня коллекции и управлять ролями безопасности для всех пулов агентов в коллекции.

Чтобы управлять ролями безопасности для всех пулов агентов в коллекции, сделайте следующее:

  1. Перейдите к параметрам коллекции: и выберите пулы агентов.

  2. Выберите Безопасность.

    Снимок экрана: выбор безопасности на уровне коллекции для всех пулов агентов.

  3. Чтобы добавить пользователей и группы, выполните приведенные ниже действия.

    1. Выберите Добавить

    2. Введите пользователя или группу и выберите его из результатов поиска.

    3. Повторите предыдущий шаг, чтобы добавить пользователей и группы.

    4. Выберите роль и нажмите кнопку "Добавить".

      Снимок экрана: диалоговое окно добавления пользователя для всех пулов агентов.

  4. Чтобы удалить пользователя или группу из списка, выберите пользователя или группу и нажмите кнопку "Удалить". Наследование должно быть отключено или пользователь или группа не должны наследоваться от параметров безопасности на уровне проекта.

  5. Чтобы изменить роль безопасности, выберите пользователя или группу и выберите ее в раскрывающемся списке.

  6. Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.

    Снимок экрана: диалоговое окно безопасности уровня коллекции для всех пулов агентов.

  7. Закройте диалоговое окно.

Настройка безопасности коллекции для отдельных пулов агентов

Отдельные пулы агентов наследуют назначения безопасности на уровне коллекции. Пулы агентов По умолчанию и Azure Pipelines включают группу "Допустимые пользователи проекта" для каждого проекта в коллекции.

Пулы агентов, созданные на уровне проекта, автоматически назначаются [<имя> проекта]\Группа допустимых пользователей Project и создатель пула агентов . Создатель не может быть удален или изменен. Здесь перечислены все пользователи и группы уровня коллекции, добавленные из параметров проекта.

Вы можете добавлять и удалять пользователей и групп уровня коллекции и задавать роли безопасности для отдельного пула агентов. Роли безопасности на этом уровне — читатель, учетная запись службы и администратор. Чтобы снизить уровень привилегий наследуемой роли, необходимо отключить наследование.

Чтобы управлять ролями безопасности для всех пулов агентов в коллекции, сделайте следующее:

  1. Перейдите к параметрам коллекции: и выберите пулы агентов.

  2. Выберите пул агентов.

  3. Выберите Безопасность.

  4. Чтобы добавить пользователей и группы, выполните приведенные ниже действия.

    1. Выберите Добавить

    2. Введите пользователя или группу и выберите его из результатов поиска.

    3. Повторите предыдущий шаг, чтобы добавить пользователей и группы.

    4. Выберите роль и нажмите кнопку "Добавить".

      Снимок экрана: диалоговое окно добавления пользователя на уровне коллекции.

  5. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить".

  6. Чтобы изменить роль безопасности, выберите пользователя или группу и выберите ее в раскрывающемся списке.

  7. Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.

    Снимок экрана: диалоговое окно безопасности уровня коллекции для отдельного пула агентов.

  8. Закройте диалоговое окно.

Настройка безопасности коллекции для пулов агентов

Вы можете управлять пользователями и группами на уровне коллекции для всех пулов агентов в коллекции или на уровне объекта, специально для пулов агентов с областью проекта. Роли безопасности для пулов агентов — читатель, учетная запись службы и администратор. Роли пользователя и создателя недоступны на уровне коллекции.

Настройка безопасности коллекции для всех пулов агентов

По умолчанию никакие пользователи или группы не имеют явных ролей для всех пулов в коллекции. Вы можете добавлять пользователей и группы уровня коллекции и управлять ролями безопасности для всех пулов агентов в коллекции.

Чтобы управлять ролями безопасности для всех пулов агентов в коллекции, сделайте следующее:

  1. Перейдите к параметрам коллекции: и выберите пулы агентов.

  2. Выберите все пулы агентов.

  3. Чтобы добавить пользователей и группы, выполните приведенные ниже действия.

    1. Выберите Добавить

    2. Введите пользователя или группу и выберите его из результатов поиска.

    3. Повторите предыдущий шаг, чтобы добавить пользователей и группы.

    4. Выберите роль и нажмите кнопку "Добавить".

      Снимок экрана: диалоговое окно добавления пользователя на уровне коллекции.

  4. Чтобы удалить пользователя или группу из списка, выберите пользователя или группу и нажмите кнопку "Удалить".

  5. Чтобы изменить роль безопасности, выберите пользователя или группу и выберите ее в раскрывающемся списке.

  6. Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.

Настройка безопасности коллекции для отдельных пулов агентов

Отдельные пулы агентов наследуют свои роли пользователей и групп от назначений уровня коллекции по умолчанию.

Вы можете добавлять и удалять пользователей и группы и задавать роли безопасности для отдельного пула агентов. Чтобы удалить наследуемого пользователя или группы или снизить уровень привилегий наследуемой роли, необходимо отключить наследование.

Роли безопасности на этом уровне — читатель, учетная запись службы и администратор.

Чтобы управлять ролями безопасности для всех пулов агентов в коллекции, сделайте следующее:

  1. Перейдите к параметрам коллекции: и выберите пулы агентов.

  2. Выберите пул агентов.

  3. Выберите вкладку Роли.

  4. Чтобы добавить пользователей и группы, выполните приведенные ниже действия.

    1. Выберите Добавить

    2. Введите пользователя или группу и выберите его из результатов поиска.

    3. Повторите предыдущий шаг, чтобы добавить пользователей и группы.

    4. Выберите роль и нажмите кнопку "Добавить".

      Снимок экрана: диалоговое окно добавления пользователя на уровне коллекции.

  5. Чтобы удалить пользователя или группу из списка, выберите пользователя или группу и нажмите кнопку "Удалить".

  6. Чтобы изменить роль безопасности, выберите пользователя или группу и выберите ее в раскрывающемся списке.

  7. Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.

Настройка безопасности пула агентов уровня проекта

Чтобы задать роли безопасности уровня проекта для всех пулов агентов, сделайте следующее:

  1. В проекте выберите параметры проекта и выберите пулы агентов.

  2. Выберите Безопасность.

    Снимок экрана: выбор безопасности для всех пулов агентов.

  3. Выберите пользователя или группу и задайте роль читателя, пользователя, создателя или администратора.

    Снимок экрана: диалоговое окно безопасности для всех пулов агентов.

  4. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить".

  5. Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.

Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности:

  1. Выберите Добавить.

  2. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.

  3. Выберите роль.

  4. Выберите Добавить, чтобы сохранить изменения.

    Снимок экрана: диалоговое окно добавления пользователя.

Настройка безопасности пула агентов уровня объекта

Вы можете переопределить назначения ролей на уровне проекта и группировать и задать разрешения конвейера для отдельного пула агентов. Чтобы удалить унаследованного пользователя или группу или снизить уровень привилегий наследуемой роли, необходимо отключить наследование.

Чтобы открыть диалоговое окно безопасности, выполните следующие действия.

  1. В проекте выберите параметры проекта и выберите пулы агентов.

  2. Выберите пул агентов.

  3. Выберите Безопасность.

Задание разрешений конвейера для отдельного пула агентов

Чтобы задать разрешения конвейера для отдельного пула агентов, выполните следующие действия.

  1. Выберите " Ограничить разрешение". Этот параметр доступен только в том случае, если пул не ограничен определенными конвейерами.

    Снимок экрана: диалоговое окно разрешений конвейера для отдельного пула агентов.

  2. Выберите "Добавить конвейер".

    Снимок экрана: кнопка для добавления конвейера.

  3. Выберите конвейер, который нужно добавить в пул агентов в раскрывающемся меню.

Чтобы открыть доступ ко всем конвейерам, выберите "Дополнительные действия", а затем выберите "Открыть доступ".

Снимок экрана: открытый доступ к пулу агентов для всех выбранных конвейеров.

Настройка разрешений пользователя пула агентов уровня объекта

В разделе разрешений пользователя диалогового окна безопасности:

  1. Выберите пользователя или группу и задайте роль читателю, пользователю или администратору.

    Снимок экрана: диалоговое окно разрешений пользователя для отдельного пула агентов.

  2. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.

  3. Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.

При явной настройке роли отключается наследование для этого пользователя или группы. Чтобы отключить наследование для всех пользователей и групп, отключите параметр наследования . При повторном наследовании роли для всех пользователей и групп будут возвращаться к назначениям на уровне проекта.

Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности, выполните следующие действия.

  1. Выберите Добавить.

  2. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.

  3. Выберите роль.

  4. Выберите Добавить, чтобы сохранить изменения.

    Снимок экрана: диалоговое окно добавления пользователя.

Чтобы задать роли конвейера и роли безопасности пользователей и разрешения конвейера для отдельного пула агентов, сделайте следующее.

  1. Перейдите в пул агентов и выберите "Безопасность".

  2. Используйте разрешения предоставления доступа для всех конвейеров, чтобы включить или отключить разрешения для всех конвейеров в проекте:

    Снимок экрана: предоставление доступа к агенту для всех коммутаторов конвейеров.

Чтобы задать роли пользователя на уровне объекта и группы для пула агентов, выполните следующие действия.

  1. В разделе разрешений пользователя диалогового окна безопасности:

  2. Выберите пользователя или группу и задайте роль читателю, пользователю или администратору.

    Снимок экрана: диалоговое окно разрешений пользователя уровня объекта для пула агентов.

  3. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.

  4. Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.

При явной настройке роли отключается наследование для этого пользователя или группы. Чтобы отключить наследование для всех пользователей и групп, отключите параметр наследования . При повторном наследовании роли для всех пользователей и групп будут возвращаться к назначениям на уровне проекта.

Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности, выполните следующие действия.

  1. Выберите Добавить.

  2. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.

  3. Выберите роль.

  4. Выберите Добавить, чтобы сохранить изменения.

    Снимок экрана: диалоговое окно добавления пользователя.