Sicurezza delle risorse

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020

Questo articolo descrive le funzionalità di sicurezza di Azure Pipelines che proteggono le pipeline e le risorse. Le pipeline possono accedere a due tipi di risorse, aperte o protette.

Gli artefatti, le pipeline, i piani di test e gli elementi di lavoro sono considerati risorse aperte che non hanno le stesse restrizioni delle risorse protette. È possibile automatizzare completamente i flussi di lavoro sottoscrivendo gli eventi di attivazione delle risorse aperte. Per altre informazioni sulla protezione delle risorse aperte, vedere Proteggere i progetti.

I controlli di autorizzazione e approvazione consentono alle pipeline di accedere alle risorse protette durante le esecuzioni della pipeline. Per garantire la sicurezza delle risorse protette, i controlli possono sospendere o interrompere un'esecuzione della pipeline.

Risorse protette

Protetto significa che solo utenti e pipeline specifici all'interno del progetto possono accedere alla risorsa. Esempi di risorse protette includono:

È possibile definire controlli che devono essere soddisfatti prima dell'avvio di una fase che utilizza una risorsa protetta. Ad esempio, è possibile richiedere l'approvazione manuale prima che la fase possa usare la risorsa protetta.

Protezione del repository

Facoltativamente, è possibile proteggere i repository limitando l'ambito del token di accesso di Azure Pipelines. È possibile fornire agli agenti il token di accesso solo per i repository menzionati in modo esplicito nella sezione della resources pipeline.

L'aggiunta di un repository a una pipeline richiede l'autorizzazione da parte di un utente con accesso Di collaborazione al repository. Per altre informazioni, vedere Proteggere una risorsa del repository.

Autorizzazioni

Esistono due tipi di autorizzazioni per le risorse protette, le autorizzazioni utente e le autorizzazioni della pipeline.

Le autorizzazioni utente sono la prima linea di difesa per le risorse protette. È consigliabile concedere autorizzazioni solo agli utenti che li richiedono. I membri del ruolo Utente per una risorsa possono gestire le approvazioni e i controlli.

Le autorizzazioni della pipeline proteggono dalla copia di risorse protette in altre pipeline. Per abilitare l'accesso a una risorsa protetta in tutte le pipeline di un progetto, è necessario avere il ruolo di amministratore .

Screenshot delle autorizzazioni utente e pipeline.

Per gestire le autorizzazioni della pipeline, concedere in modo esplicito l'accesso a pipeline specifiche attendibili. Assicurarsi di non abilitare Open access, che consente a tutte le pipeline del progetto di usare la risorsa. Per altre informazioni, vedere Informazioni sulle risorse della pipeline e Aggiungere la protezione delle risorse.

Assegni

Le autorizzazioni utente e pipeline non proteggono completamente le risorse protette nelle pipeline. È anche possibile aggiungere controlli che specificano le condizioni da soddisfare prima che una fase in qualsiasi pipeline possa utilizzare la risorsa. È possibile richiedere approvazioni specifiche o altri criteri prima che le pipeline possano usare la risorsa protetta. Per altre informazioni, vedere Definire le approvazioni e i controlli.

Screenshot della configurazione dei controlli.

Controllo dell'approvazione manuale

È possibile bloccare le richieste di pipeline per l'uso di una risorsa protetta fino a quando non vengono approvate manualmente da utenti o gruppi specificati. Questo controllo consente di esaminare il codice e di fornire un livello di sicurezza aggiuntivo prima di procedere con un'esecuzione della pipeline.

Controllo del ramo protetto

Se sono presenti processi di revisione del codice manuali per rami specifici, è possibile estendere questa protezione alle pipeline. Il controllo ramo garantisce che solo i rami autorizzati possano accedere alle risorse protette. Un controllo del ramo protetto per una risorsa impedisce l'esecuzione automatica delle pipeline in rami non autorizzati.

Controllo orario di ufficio

Usare questo controllo per assicurarsi che una distribuzione della pipeline venga avviata entro un intervallo di tempo e un giorno specificato.

Passaggio successivo