リソースのセキュリティ

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020

この記事では、パイプラインとリソースを保護する Azure Pipelines のセキュリティ機能について説明します。 パイプラインは、開いているか保護されている 2 種類のリソースにアクセスできます。

成果物、パイプライン、テスト 計画、作業項目は、保護されたリソースと同じ制限を持たない開いているリソースと見なされます。 開いているリソースでイベントをトリガーするためにサブスクライブすることで、ワークフローを完全に自動化できます。 開いているリソースの保護の詳細については、「 Protect プロジェクト」を参照してください。

アクセス許可と承認チェックを使用すると、パイプラインの実行中に 保護されたリソース にアクセスできます。 保護されたリソースを安全に保つために、チェックはパイプラインの実行を中断または失敗させる可能性があります。

保護されたリソース

保護とは、プロジェクト内の特定のユーザーとパイプラインのみがリソースにアクセスできることを意味します。 保護されたリソースの例を次に示します。

• エージェント プール
• 変数グループのシークレット変数
• セキュア ファイル
• サービス接続
• 環境
• リポジトリ

保護されたリソースを使用するステージを開始する前に、満たす必要があるチェックを定義できます。 たとえば、ステージで保護されたリソースを使用する前に、手動承認を要求できます。

リポジトリの保護

必要に応じて、Azure Pipelines アクセス トークンのスコープを制限することで、リポジトリを保護できます。 アクセス トークンは、パイプラインの resources セクションで明示的に説明されているリポジトリに対してのみエージェントに提供します。

パイプラインにリポジトリを追加するには、 Contribute リポジトリへのアクセス権を持つユーザーからの承認が必要です。 詳細については、「 リポジトリ リソースの保護」を参照してください。

アクセス許可

保護されたリソースに対するアクセス許可には、 ユーザーのアクセス許可 と パイプラインのアクセス許可の 2 種類があります。

ユーザーのアクセス許可は、保護されたリソースの防御の最前線です。 アクセス許可は、必要なユーザーにのみ付与する必要があります。 リソースの User ロールのメンバーは、承認とチェックを管理できます。

パイプラインのアクセス許可は、保護されたリソースを他のパイプラインにコピーすることを防ぎ、保護します。 プロジェクト内のすべてのパイプラインで保護されたリソースへのアクセスを有効にするには、 Administrator ロールが必要です。

パイプラインのアクセス許可を管理するには、信頼する特定のパイプラインへのアクセス権を明示的に付与します。 オープン アクセスを有効にしないでください。これにより、プロジェクト内のすべてのパイプラインでリソースを使用できるようになります。 詳細については、「パイプライン リソースについておよびリソース保護の追加を参照してください。

小切手

ユーザーとパイプラインのアクセス許可は、パイプライン内の保護されたリソースを完全にセキュリティで保護しません。 パイプライン内のステージがリソースを使用する前に満たす条件を指定する チェック を追加することもできます。 パイプラインで保護されたリソースを使用する前に、特定の承認またはその他の条件を要求できます。 詳細については、「承認とチェックを定義する」を参照してください。

手動承認チェック

指定したユーザーまたはグループによって手動で承認されるまで、保護されたリソースを使用するパイプライン要求をブロックできます。 このチェックにより、コードを確認する機会が得られ、パイプラインの実行を続行する前にセキュリティレイヤーが追加されます。

保護されたブランチ のチェック

特定のブランチの手動コード レビュー プロセスがある場合は、この保護をパイプラインに拡張できます。 ブランチ制御により、承認されたブランチのみが保護されたリソースにアクセスできるようになります。 リソースを保護されたブランチチェックすると、承認されていないブランチでパイプラインが自動的に実行されなくなります。

営業時間の確認

このチェックを使用して、指定した日付と時間枠内にパイプラインデプロイが開始されることを確認します。

次のステップ