共用方式為


使用安全檔案

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

本文說明安全檔案,以及如何在 Azure Pipelines 中使用它們。 安全檔案是儲存您可以在管線中使用的檔案,而不需要將檔案認可至存放庫的方式。

您可以使用安全檔案 來儲存檔案,例如:

  • 簽署憑證。
  • Apple 布建配置檔。
  • Android 金鑰存放區檔案。
  • SSH 金鑰。

每個安全檔案的大小限制為 10 MB。

安全檔案會以加密形式儲存在伺服器上,而且只能從管線工作取用。 安全檔案是受保護的資源。 您可以使用核准、檢查和管線許可權來限制檔案的存取權。 安全檔案也會使用 連結庫安全性模型 角色。

必要條件

  • 您有權建立管線和新增連結庫專案的 Azure DevOps 專案。
  • 您想要在管線中安全地使用的憑證、金鑰存放區或布建檔案。

新增安全檔案

  1. 在您的 Azure DevOps 專案中,移至 [管線連結>],然後選取 [安全檔案] 索引標籤。

    選取 [安全檔案] 索引標籤的螢幕快照。

  2. 若要上傳安全檔案,請選取 [+ 安全檔案],然後流覽以上傳或拖放您的檔案。

    上傳檔案的螢幕快照。

  3. 選取 [確定]。 上傳檔案之後,您可以刪除它,但無法取代它。

定義安全性角色和許可權

您可以定義連結庫中所有項目或個別專案的安全性角色限制和許可權。

  • 若要為連結庫中的所有專案指派安全性角色,請在 [連結庫] 頁面上選取 [安全性]。

  • 若要定義個別檔案的權限:

    1. 從 [ 保護檔案 ] 列表中選取檔案。
    2. 在 [ 安全檔案 ] 頁面頂端,選取:
      • 設定 可存取檔案之用戶和安全性角色的安全性。
      • 用來選取可存取檔案的 YAML 管線許可權
      • 核准和檢查 ,以設定核准者和其他使用檔案的檢查。 如需詳細資訊,請參閱 核准和檢查

    設定安全檔案的管線安全性。

授權 YAML 管線使用安全檔案

若要在 YAML 管線中使用安全檔案,您必須授權管線使用檔案。 所有傳統管線都可以存取安全檔案。

若要授權管線或所有管線使用安全檔案:

  1. 在安全檔案頁面頂端,選取 [ 管線許可權]。
  2. 在 [ 管線許可權] 畫面上,選取 +,然後選取要授權的專案管線。 或者,若要授權所有管線使用檔案,請選取 [更多動作] 圖示,選取 [ 開啟存取權],然後再次選取 [ 開啟存取 權] 以確認。

取用管線中的安全檔案

若要取用管線中的安全檔案,請使用 下載安全檔案 公用程式工作。 管線代理程式必須執行 2.182.1 版或更新版本。 如需詳細資訊,請參閱 代理程式版本和升級

下列範例 YAML 管線會下載安全的憑證檔案,並將其安裝在 Linux 環境中。

- task: DownloadSecureFile@1
  name: caCertificate
  displayName: 'Download CA certificate'
  inputs:
    secureFile: 'myCACertificate.pem'

- script: |
    echo Installing $(caCertificate.secureFilePath) to the trusted CA directory...
    sudo chown root:root $(caCertificate.secureFilePath)
    sudo chmod a+r $(caCertificate.secureFilePath)
    sudo ln -s -t /etc/ssl/certs/ $(caCertificate.secureFilePath)

注意

如果您在使用 Azure DevOps Server 內部部署下載安全檔案時看到 Invalid Resource 錯誤,請確定 伺服器上已停用 IIS 基本身份驗證