限制佇列時間變數
在此單元中,瞭解如何限制 Azure Pipelines 在佇列時間設定的變數。
為何限制佇列時間變數?
在某些情況下,您可能想要在執行 YAML 管線時允許變更特定變數。 例如,您可能有一個變數可控制目標環境,例如開發、測試或生產環境。藉由允許在佇列時間設定此變數,您可以針對不同的部署重複使用相同的管線定義,而不需修改 YAML 檔案。
不過,允許在佇列時間設定變數也可能會帶來一些風險。 例如,有人可以變更變數值來存取敏感性資源、略過安全性檢查,或以非預期的方式改變管線的行為。 若要避免這些風險,您應該將可在佇列時間設定的變數限制為僅必要且安全的變數。
限制佇列時間變數
此設定能在組織層級和專案層級運作。
在 Azure DevOps 中,您可以設定來限制可在佇列時間設定的變數。 啟用此設定後,只能設定明確標示為「在佇列時間設定可設定」的變數。 換句話說,除非啟用此設定,否則您可以在佇列時間設定任何變數。
組織:當此設定啟用時,它會強制要求組織內所有專案中的所有管線,只能設定那些明確標示為「可在佇列時間設定」的變數。 當設定關閉時,每個專案都可以選擇限制在佇列時間設定的變數。 此設定是 [組織設定] 底下的切換 > [管線] > [設定]。 只有 Project Collection 系統管理員可以啟用或停用它。
Project:當設定開啟時,它會強制要求專案中的所有管線,只能設定那些被明確標示為「可在佇列時間設定」的變數。 如果設定位於組織層級,則會針對所有項目開啟且無法關閉。 此設定是一個在專案設定 > 管線 > 設定中的切換開關。 只有 Project Administrator 可以啟用或停用它。
挑戰自己
既然您已瞭解如何限制佇列時間變數,請嘗試將此概念套用至您自己的 YAML 管線。
- 在啟用了「佇列時間可設定的變數限制」後,嘗試在佇列時間建立新變數。
- 停用「限佇列時間可設定的變數」以後,嘗試在佇列時間建立新的變數。
如需佇列時間變數的詳細資訊,請參閱: