資源安全性

Azure DevOps Services |Azure DevOps Server 2022 |Azure DevOps Server 2020

本文說明保護管線和資源的 Azure Pipelines 安全性功能。 管線可以存取兩種類型的資源，開啟或受保護。

成品、管線、測試計劃和工作專案會 被視為沒有與受保護資源相同的限制的開啟資源 。 您可以訂閱以在開啟的資源上觸發事件，以完全自動化工作流程。 如需保護開啟資源的詳細資訊，請參閱 保護專案。

許可權和核准檢查可讓管線在執行管線期間存取 受保護的資源 。 若要保護受保護的資源安全，檢查可能會暫停或失敗管線執行。

受保護的資源

受保護表示只有專案內的特定使用者和管線可以存取資源。 受保護資源的範例包括：

• 代理程式集區
• 變數群組中的秘密變數
• 保護檔案
• 服務連線
• 環境
• 存放庫

您可以定義必須滿足的檢查，才能開始取用受保護資源的階段。 例如，您必須先手動核准，階段才能使用受保護的資源。

存放庫保護

您可以選擇性地藉由限制 Azure Pipelines 存取令牌的範圍來保護存放庫。 您只為管線區 resources 段中明確提及的存放庫提供存取令牌給代理程式。

將存放庫新增至管線時，需要具有參與存放庫存取權的用戶授權。 如需詳細資訊，請參閱 保護存放庫資源。

權限

受保護資源的許可權有兩種類型： 用戶權力 和 管線許可權。

用戶權力是受保護資源的防禦第一線。 您應該只將許可權授與需要許可權的使用者。 資源的使用者角色成員可以管理核准和檢查。

管線許可權可防止將受保護的資源複製到其他管線。 您必須具有 系統管理員 角色，才能存取專案中所有管線中的受保護資源。

若要管理管線許可權，請明確授與您信任之特定管線的存取權。 請務必不要啟用 [開啟存取]，這可讓專案中的所有管線使用資源。 如需詳細資訊，請參閱關於管線資源和新增資源保護。

檢查

使用者和管線許可權不會完全保護管線中受保護的資源。 您也可以新增 檢查 ，以指定要滿足的條件，才能在任何管線中的階段取用資源。 您可以要求特定核准或其他準則，管線才能使用受保護的資源。 如需詳細資訊，請參閱 定義核准和檢查。

手動核准檢查

您可以封鎖管線要求，以使用受保護的資源，直到由指定的使用者或群組手動核准為止。 這項檢查可讓您檢閱程式代碼，並在繼續執行管線之前提供額外的安全性層。

受保護的分支檢查

如果您有特定分支的手動程式代碼檢閱程式，您可以將此保護延伸至管線。 分支控制可確保只有授權的分支可以存取受保護的資源。 資源的受保護分支檢查可防止管線在未經授權的分支上自動執行。

上班時間檢查

使用此檢查可確保管線部署會在指定的日期和時間範圍內啟動。

後續步驟

將資源分組為項目結構