Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
En este artículo se describen las características de seguridad que ayudan a proteger los recursos protegidos en Azure Pipelines. Es posible que las canalizaciones deban acceder a recursos abiertos o protegidos durante las ejecuciones.
Artefactos, canalizaciones, planes de prueba y elementos de trabajo son recursos abiertos. Los pipelines pueden acceder libremente a estos recursos y se pueden automatizar completamente los flujos de trabajo mediante la suscripción a eventos de activación de recursos. Para obtener más información sobre cómo proteger los recursos abiertos, consulte Protección de proyectos.
Los recursos protegidos , como repositorios y entornos, necesitan más restricciones de acceso. Para ayudar a proteger los recursos protegidos, puede requerir permisos, comprobaciones y aprobaciones para que las canalizaciones accedan a los recursos protegidos.
Este artículo forma parte de una serie que le ayuda a implementar medidas de seguridad para Azure Pipelines. Para obtener más información, consulte Azure Pipelines Seguras.
Prerrequisitos
| Categoría | Requisitos |
|---|---|
| Azure DevOps | - Implementa las recomendaciones en Haz que Azure DevOps sea seguro y Haz que Azure Pipelines sea seguro. - Conocimientos básicos de YAML y Azure Pipelines. Para más información, consulte Creación de la primera canalización. |
| Permisos | - Para modificar los permisos de canalizaciones: miembro del grupo Administradores de proyectos. - Para modificar los permisos de la organización: miembro del grupo de Administradores de Colección de Proyectos. |
Recursos protegidos
Los recursos protegidos de Azure Pipelines incluyen los siguientes elementos:
- Repositorios
- Entornos
- Conexiones de servicio
- Grupos de agentes
- Asegurar archivos
- Variables secretas en grupos de variables
Puede establecer permisos para que solo usuarios y canalizaciones específicos de un proyecto puedan acceder a los recursos protegidos. También puede definir comprobaciones y aprobaciones que deben realizarse correctamente antes de que se pueda iniciar una fase de canalización que use el recurso. Por ejemplo, puede requerir la aprobación manual antes de que una etapa de la canalización haga uso de un entorno. Las comprobaciones con errores pueden suspender o producir un error en la ejecución de la canalización.
Recursos del repositorio
Añadir un repositorio a una canalización requiere autorización de un usuario con acceso Contribuir al repositorio. También puede proteger los recursos del repositorio limitando el ámbito del token de acceso de Azure Pipelines a solo los repositorios enumerados explícitamente en la sección de la canalización resources. Para más información, consulte Acceso seguro a repositorios desde canalizaciones y Protección de un recurso de repositorio.
Permisos
Puede establecer permisos de usuario y permisos de canalización para recursos protegidos.
Conceda permisos de usuario solo a los usuarios que los requieran. Los miembros del rol Usuario de un recurso pueden administrar aprobaciones y comprobaciones.
Los permisos de canalización protegen contra la copia de recursos protegidos en otras canalizaciones. Para administrar los permisos de canalización, conceda explícitamente acceso solo a canalizaciones específicas de confianza.
Debe tener el rol Administrador de proyectos para habilitar el acceso a un recurso protegido en todas las canalizaciones de un proyecto. Para mejorar la seguridad, no habilite El acceso abierto, lo que permite que todas las canalizaciones del proyecto usen el recurso. Para obtener más información, consulte Adición de un rol de administrador a un recurso protegido.
Cheques
Para proteger completamente los recursos protegidos en las canalizaciones, agregue comprobaciones que deben cumplirse antes de que las canalizaciones puedan consumir recursos protegidos. Puede requerir aprobaciones específicas u otros criterios. Para obtener más información, consulte Definición de aprobaciones y comprobaciones.
Aprobaciones
Puede bloquear las solicitudes de canalización de recursos protegidos pendientes de aprobación manual por parte de usuarios o grupos especificados. Esta comprobación proporciona una capa adicional de seguridad al permitir la revisión del código antes de que una ejecución de canalización pueda continuar.
Control de ramas
El control de rama garantiza que solo las ramas autorizadas puedan acceder a los recursos protegidos. Una comprobación de rama protegida para un recurso impide que las canalizaciones se ejecuten automáticamente en ramas no autorizadas. Mediante el control de rama, puede ampliar los requisitos de revisión de código manual específicos de la rama.
Horario comercial
Use esta comprobación para asegurarse de que una implementación de canalización se inicia dentro de un período de tiempo y día especificados.
Ver todas las comprobaciones
Seleccione Ver todas las comprobaciones para ver y aplicar otras comprobaciones, como las plantillas necesarias.