Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022 | Azure DevOps Server 2020
I den här artikeln beskrivs säkerhetsfunktioner som hjälper till att skydda skyddade resurser i Azure Pipelines. Pipelines kan behöva komma åt öppna eller skyddade resurser under sina körningar.
Artefakter, pipelines, testplaner och arbetsobjekt är öppna resurser. Pipelines kan fritt komma åt dessa resurser och du kan automatisera arbetsflöden helt genom att prenumerera på resursutlösarhändelser. Mer information om hur du skyddar öppna resurser finns i Skydda projekt.
Skyddade resurser som lagringsplatser och miljöer behöver fler åtkomstbegränsningar. För att hjälpa till att hålla skyddade resurser säkra kan du kräva behörigheter, kontroller och godkännanden för att pipelines ska få åtkomst till dessa resurser.
Den här artikeln är en del av en serie som hjälper dig att implementera säkerhetsåtgärder för Azure Pipelines. Mer information finns i Skydda Azure Pipelines.
Förutsättningar
| Kategori | Krav |
|---|---|
| Azure DevOps | – Implementera rekommendationerna i Gör dina Azure DevOps säkra och Gör dina Azure Pipelines säkra. – Grundläggande kunskaper om YAML och Azure Pipelines. Mer information finns i Skapa din första pipeline. |
| behörigheter | – Ändra pipelinebehörigheter: Medlem i gruppen Projektadministratörer. – Ändra organisationsbehörigheter: Medlem i gruppen Projektsamlingsadministratörer. |
Skyddade resurser
Azure Pipelines-skyddade resurser innehåller följande objekt:
Du kan ange behörigheter så att endast specifika användare och pipelines i ett projekt kan komma åt skyddade resurser. Du kan också definiera kontroller och godkännanden som måste lyckas innan en pipelinefas som använder resursen kan starta. Du kan till exempel kräva manuellt godkännande innan ett steg i pipeline kan använda en miljö. Misslyckade kontroller kan suspendera eller orsaka att pipelinekörningen misslyckas.
Lagringsplatsresurser
Att lägga till en lagringsplats i en pipeline kräver auktorisering från en användare med Contribute-åtkomst till lagringsplatsen. Du kan också skydda lagringsplatsens resurser genom att begränsa omfattningen för åtkomsttoken för Azure Pipelines till endast lagringsplatser som uttryckligen anges i pipelinens resources avsnitt. Mer information finns i Säker åtkomst till lagringsplatser från pipelines och Skydda en lagringsplatsresurs.
Behörigheter
Du kan ange användarbehörigheter och pipelinebehörigheter för skyddade resurser.
Bevilja endast användarbehörigheter till användare som behöver dem. Medlemmar i användarrollen för en resurs kan hantera godkännanden och kontroller.
Pipelinebehörigheter skyddar mot kopiering av skyddade resurser till andra pipelines. Om du vill hantera pipelinebehörigheter beviljar du uttryckligen endast åtkomst till specifika pipelines som du litar på.
Du måste ha rollen Projektadministratör för att aktivera åtkomst till en skyddad resurs i alla pipelines i ett projekt. För bättre säkerhet ska du inte aktivera Öppen åtkomst, vilket gör att alla pipelines i projektet kan använda resursen. Mer information finns i Lägga till en administratörsroll i en skyddad resurs.
Kontroller
Om du vill skydda skyddade resurser i pipelines kan du lägga till kontroller som måste uppfyllas innan pipelines kan använda skyddade resurser. Du kan kräva specifika godkännanden eller andra kriterier. Mer information finns i Definiera godkännanden och kontroller.
Godkännanden
Du kan blockera pipelinebegäranden för skyddade resurser i väntan på manuellt godkännande av angivna användare eller grupper. Den här kontrollen ger ett extra säkerhetslager genom att tillåta granskning av koden innan en pipelinekörning kan fortsätta.
Grenkontroll
Grenkontroll säkerställer att endast auktoriserade grenar kan komma åt skyddade resurser. En skyddad grenkontroll för en resurs förhindrar att pipelines körs automatiskt på obehöriga grenar. Genom att använda grenkontroll kan du utöka dina grenspecifika krav för manuell kodgranskning.
Kontorstid
Använd den här kontrollen för att se till att en pipelinedistribution startar inom ett angivet dag- och tidsfönster.
Visa alla kontroller
Välj Visa alla kontroller för att se och tillämpa andra kontroller, till exempel nödvändiga mallar.