Поделиться через


Безопасность ресурсов

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020

В этой статье описаны функции безопасности Azure Pipelines, которые защищают конвейеры и ресурсы. Конвейеры могут получить доступ к двум типам ресурсов, открытых или защищенных.

Артефакты, конвейеры, планы тестирования и рабочие элементы считаются открытыми ресурсами , которые не имеют одинаковых ограничений, что и защищенные ресурсы. Вы можете полностью автоматизировать рабочие процессы, подписавшись на активацию событий в открытых ресурсах. Дополнительные сведения о защите открытых ресурсов см. в разделе "Защита проектов".

Проверки разрешений и утверждений позволяют конвейерам получать доступ к защищенным ресурсам во время выполнения конвейера. Чтобы обеспечить безопасность защищенных ресурсов, проверки могут приостановить или завершить выполнение конвейера.

Защищенные ресурсы

Защищенное означает, что доступ к ресурсу могут получить только определенные пользователи и конвейеры в проекте. Примеры защищенных ресурсов:

Вы можете определить проверки, которые должны быть удовлетворены до начала этапа, используюющего защищенный ресурс. Например, можно требовать утверждения вручную, прежде чем этап сможет использовать защищенный ресурс.

Защита репозитория

При необходимости можно защитить репозитории, ограничив область действия маркера доступа Azure Pipelines. Агенты предоставляют маркер доступа только для репозиториев, явно упомянутых в разделе конвейера resources .

Для добавления репозитория в конвейер требуется авторизация от пользователя с доступом "Участие " к репозиторию. Дополнительные сведения см. в разделе "Защита ресурса репозитория".

Разрешения

Существует два типа разрешений для защищенных ресурсов, разрешений пользователей и разрешений конвейера.

Разрешения пользователей — это фронт защиты защищенных ресурсов. Вы должны предоставить разрешения только пользователям, которым они требуются. Члены роли пользователя для ресурса могут управлять утверждениями и проверками.

Разрешения конвейера защищаются от копирования защищенных ресурсов в другие конвейеры. Необходимо иметь роль администратора , чтобы включить доступ к защищенному ресурсу во всех конвейерах проекта.

Снимок экрана: разрешения пользователя и конвейера.

Чтобы управлять разрешениями конвейера, явным образом предоставьте доступ к определенным конвейерам, которым вы доверяете. Не забудьте включить открытый доступ, который позволяет всем конвейерам в проекте использовать ресурс. Дополнительные сведения см. в разделе "Сведения о ресурсах конвейера" и "Добавление защиты ресурсов".

Проверки

Разрешения пользователя и конвейера не полностью защищены защищенными ресурсами в конвейерах. Кроме того, можно добавить проверки , указывающие условия для удовлетворения перед этапом в любом конвейере, который может использовать ресурс. Чтобы конвейеры могли использовать защищенный ресурс, можно требовать определенные утверждения или другие критерии. Дополнительные сведения см. в разделе "Определение утверждений и проверок".

Снимок экрана: настройка проверок.

Проверка утверждения вручную

Вы можете блокировать запросы конвейера для использования защищенного ресурса до тех пор, пока не будут утверждены вручную указанными пользователями или группами. Эта проверка дает возможность проверить код и обеспечить дополнительный уровень безопасности перед выполнением конвейера.

Проверка защищенной ветви

Если у вас есть процессы проверки кода вручную для конкретных ветвей, вы можете расширить эту защиту до конвейеров. Управление филиалами гарантирует, что доступ к защищенным ресурсам может получить только авторизованные ветви. Проверка защищенная ветвь ресурса предотвращает автоматическое выполнение конвейеров в неавторизованных ветвях.

Проверка рабочих часов

Используйте эту проверку, чтобы убедиться, что развертывание конвейера начинается в течение указанного дня и периода времени.

Следующий шаг