Resurssäkerhet

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020

Den här artikeln beskriver säkerhetsfunktioner i Azure Pipelines som skyddar dina pipelines och resurser. Pipelines kan komma åt två typer av resurser, öppna eller skyddade.

Artefakter, pipelines, testplaner och arbetsobjekt betraktas som öppna resurser som inte har samma begränsningar som skyddade resurser. Du kan automatisera arbetsflöden helt genom att prenumerera för att utlösa händelser på öppna resurser. Mer information om hur du skyddar öppna resurser finns i Skydda projekt.

Behörigheter och godkännandekontroller tillåter pipelines att komma åt skyddade resurser under pipelinekörningar. För att skydda skyddade resurser kan kontroller pausa eller misslyckas med en pipelinekörning.

Skyddade resurser

Skyddat innebär att endast specifika användare och pipelines i projektet kan komma åt resursen. Exempel på skyddade resurser är:

Du kan definiera kontroller som måste uppfyllas innan en fas som använder en skyddad resurs kan starta. Du kan till exempel kräva manuellt godkännande innan fasen kan använda den skyddade resursen.

Skydd av lagringsplats

Du kan också skydda lagringsplatser genom att begränsa omfattningen för Åtkomsttoken för Azure Pipelines. Du ger agenter åtkomsttoken endast för lagringsplatser som uttryckligen anges i pipelinens resources avsnitt.

Att lägga till en lagringsplats i en pipeline kräver auktorisering från en användare med Contribute-åtkomst till lagringsplatsen. Mer information finns i Skydda en lagringsplatsresurs.

Behörigheter

Det finns två typer av behörigheter för skyddade resurser, användarbehörigheter och pipelinebehörigheter.

Användarbehörigheter är frontlinjen för skydd för skyddade resurser. Du bör endast bevilja behörigheter till användare som behöver dem. Medlemmar i användarrollen för en resurs kan hantera godkännanden och kontroller.

Pipelinebehörigheter skyddar mot kopiering av skyddade resurser till andra pipelines. Du måste ha rollen Administratör för att aktivera åtkomst till en skyddad resurs i alla pipelines i ett projekt.

Skärmbild av användar- och pipelinebehörigheter.

Om du vill hantera pipelinebehörigheter beviljar du uttryckligen åtkomst till specifika pipelines som du litar på. Se till att inte aktivera Öppen åtkomst, vilket gör att alla pipelines i projektet kan använda resursen. Mer information finns i Om pipelineresurser och Lägg till resursskydd.

Kontroller

Användar- och pipelinebehörigheter skyddar inte helt skyddade resurser i pipelines. Du kan också lägga till kontroller som anger villkor som ska uppfyllas innan en fas i en pipeline kan förbruka resursen. Du kan kräva specifika godkännanden eller andra kriterier innan pipelines kan använda den skyddade resursen. Mer information finns i Definiera godkännanden och kontroller.

Skärmbild av hur du konfigurerar kontroller.

Manuell godkännandekontroll

Du kan blockera pipelinebegäranden om att använda en skyddad resurs tills den godkänns manuellt av angivna användare eller grupper. Den här kontrollen ger dig möjlighet att granska koden och ger ett extra säkerhetslager innan du fortsätter med en pipelinekörning.

Kontroll av skyddad gren

Om du har manuella kodgranskningsprocesser för specifika grenar kan du utöka det här skyddet till pipelines. Grenkontroll säkerställer att endast auktoriserade grenar kan komma åt skyddade resurser. En skyddad grenkontroll för en resurs förhindrar att pipelines körs automatiskt på obehöriga grenar.

Kontorstidskontroll

Använd den här kontrollen för att se till att en pipelinedistribution startar inom ett angivet dag- och tidsfönster.

Gå vidare