Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
В этой статье описываются функции безопасности, которые помогают защитить защищенные ресурсы в Azure Pipelines. Трубопроводы могут потребоваться для доступа к открытым или защищённым ресурсам в процессе выполнения.
Артефакты, конвейеры, планы тестирования и рабочие элементы являются открытыми ресурсами. Конвейеры обработки данных могут свободно получить доступ к этим ресурсам, и вы можете полностью автоматизировать рабочие процессы, подписавшись на триггерные события ресурсов. Дополнительные сведения о защите открытых ресурсов см. в разделе "Защита проектов".
Защищенные ресурсы , такие как репозитории и среды, нуждаются в дополнительных ограничениях доступа. Чтобы обеспечить безопасность защищенных ресурсов, можно требовать разрешения, проверки и утверждения для конвейеров для доступа к защищенным ресурсам.
Эта статья является частью серии, которая помогает реализовать меры безопасности для Azure Pipelines. Дополнительные сведения см. в статье "Защита Azure Pipelines".
Предпосылки
| Категория | Требования |
|---|---|
| Azure DevOps | — Реализуйте рекомендации, приведенные в Make your Azure DevOps secure и Secure Azure Pipelines. — Базовые знания о YAML и Azure Pipelines. Дополнительные сведения см. в статье "Создание первого конвейера". |
| Разрешения | — Изменение разрешений конвейеров: член группы "Администраторы проектов". — Изменение разрешений организации: член группы администраторов коллекции проектов. |
Защищенные ресурсы
Защищенные ресурсы Azure Pipelines включают следующие элементы:
- Репозитории
- Среды
- Сервисные подключения
- Пулы агентов
- Безопасные файлы
- Секретные переменные в группах переменных
Вы можете задать разрешения, чтобы только определенные пользователи и конвейеры в проекте могли получить доступ к защищенным ресурсам. Кроме того, можно определить проверки и утверждения, которые должны быть выполнены перед этапом конвейера, использующим ресурс. Например, можно требовать ручное утверждение, прежде чем этап конвейера может использовать среду. Неудачные проверки могут приостановить или завершить выполнение конвейера.
Ресурсы репозитория
Для добавления репозитория в конвейер требуется авторизация пользователя с доступом Contribute к репозиторию. Вы также можете защитить ресурсы репозитория, ограничив область действия маркера доступа Azure Pipelines только репозиториями, явно перечисленными в разделе конвейера resources . Дополнительные сведения см. в разделе "Безопасный доступ к репозиториям" из конвейеров и "Защита ресурса репозитория".
Разрешения
Вы можете задать разрешения пользователей и разрешения конвейера для защищенных ресурсов.
Предоставьте пользователям разрешения только пользователям, которым они требуются. Члены роли пользователя для ресурса могут управлять утверждениями и проверками.
Полномочия конвейера препятствуют копированию защищенных ресурсов в другие конвейеры. Чтобы управлять разрешениями конвейера, явным образом предоставьте доступ только к определенным конвейерам, которым вы доверяете.
Необходимо иметь роль администратора проекта , чтобы включить доступ к защищенному ресурсу во всех конвейерах проекта. Для повышения безопасности не включите открытый доступ, что позволяет всем конвейерам в проекте использовать ресурс. Дополнительные сведения см. в разделе "Добавление роли администратора в защищенный ресурс".
Проверки
Чтобы лучше защитить ресурсы в конвейерах, добавьте проверки, которые должны быть выполнены, прежде чем конвейеры смогут использовать защищенные ресурсы. Вам могут потребоваться определенные утверждения или другие критерии. Дополнительные сведения см. в разделе "Определение утверждений и проверок".
Утверждения
Вы можете блокировать запросы конвейера для защищенных ресурсов, ожидающих ручного утверждения от указанных пользователей или групп. Эта проверка обеспечивает дополнительный уровень безопасности, позволяя просматривать код перед запуском конвейера.
Управление веткой
Управление филиалами гарантирует, что доступ к защищенным ресурсам может получить только авторизованные ветви. Проверка защищенная ветвь ресурса предотвращает автоматическое выполнение конвейеров в неавторизованных ветвях. Используя элемент управления ветвью, вы можете расширить требования к проверке кода для конкретной ветви вручную.
Рабочие часы
Используйте эту проверку, чтобы убедиться, что развертывание конвейера начинается в течение указанного дня и периода времени.
Просмотр всех проверок
Выберите "Просмотреть все проверки ", чтобы просмотреть и применить другие проверки, например необходимые шаблоны.