Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
Cet article décrit les fonctionnalités de sécurité qui aident à protéger les ressources protégées dans Azure Pipelines. Les pipelines peuvent avoir besoin d’accéder aux ressources ouvertes ou protégées pendant l'exécution des tâches.
Les artefacts, les pipelines, les plans de test et les éléments de travail sont des ressources ouvertes. Les pipelines peuvent accéder librement à ces ressources, et vous pouvez automatiser entièrement les flux de travail en s’abonnant aux événements de déclencheur de ressources. Pour plus d’informations sur la protection des ressources ouvertes, consultez Protéger les projets.
Les ressources protégées telles que les référentiels et les environnements nécessitent des restrictions d’accès supplémentaires. Pour sécuriser les ressources protégées, vous pouvez exiger des autorisations, des vérifications et des approbations pour que les pipelines accèdent aux ressources protégées.
Cet article fait partie d’une série qui vous aide à implémenter des mesures de sécurité pour Azure Pipelines. Pour plus d’informations, consultez Sécuriser Azure Pipelines.
Conditions préalables
| Catégorie | Exigences |
|---|---|
| Azure DevOps | - Implémentez des recommandations dans Rendre vos pipelines Azure DevOps sécurisés et sécurisés. - Connaissance de base de YAML et d’Azure Pipelines. Pour plus d’informations, consultez Créer votre premier pipeline. |
| Autorisations | - Pour modifier les autorisations des pipelines : membre du groupe Administrateurs de projet. - Pour modifier les autorisations de l’organisation : membre du groupe des administrateurs de la collection de projets. |
Ressources protégées
Les ressources protégées par Azure Pipelines incluent les éléments suivants :
- Dépôts
- Environnements
- Connexions de service
- Pools d’agents
- Fichiers sécurisés
- Variables secrètes dans les groupes de variables
Vous pouvez définir des autorisations afin que seuls des utilisateurs et des pipelines spécifiques d’un projet puissent accéder aux ressources protégées. Vous pouvez également définir des vérifications et des approbations qui doivent réussir avant qu’une étape de pipeline qui utilise la ressource puisse démarrer. Par exemple, vous pouvez exiger une approbation manuelle avant qu’une phase de pipeline puisse utiliser un environnement. Les vérifications qui échouent peuvent interrompre ou mener à l'échec de l’exécution du pipeline.
Ressources du référentiel
L’ajout d’un référentiel à un pipeline nécessite l’autorisation d’un utilisateur disposant d’un accès Contributeur au référentiel. Vous pouvez également protéger les ressources du référentiel en limitant l’étendue du jeton d’accès Azure Pipelines aux référentiels explicitement répertoriés dans la section du resources pipeline. Pour plus d’informations, consultez Accéder en toute sécurité aux référentiels à partir de pipelines et protéger une ressource de référentiel.
autorisations
Vous pouvez définir des autorisations utilisateur et des autorisations de pipeline pour les ressources protégées.
Accordez des autorisations utilisateur uniquement aux utilisateurs qui en ont besoin. Les membres du rôle Utilisateur d’une ressource peuvent gérer les approbations et les vérifications.
Les autorisations de pipeline protègent contre la copie des ressources protégées vers d’autres pipelines. Pour gérer les autorisations de pipeline, accordez explicitement l’accès uniquement aux pipelines spécifiques que vous approuvez.
Vous devez avoir le rôle Administrateur de projet pour activer l’accès à une ressource protégée sur tous les pipelines d’un projet. Pour une meilleure sécurité, n’activez pas Open Access, ce qui permet à tous les pipelines du projet d’utiliser la ressource. Pour plus d’informations, consultez Ajouter un rôle d’administrateur à une ressource protégée.
Chèques
Pour sécuriser complètement les ressources protégées dans les pipelines, ajoutez des vérifications qui doivent être satisfaites avant que les pipelines puissent consommer des ressources protégées. Vous pouvez exiger des approbations spécifiques ou d’autres critères. Pour plus d’informations, consultez Définir des approbations et des vérifications.
Approbations
Vous pouvez bloquer les demandes de pipeline pour les ressources protégées en attente d’approbation manuelle par les utilisateurs ou groupes spécifiés. Cette vérification fournit une couche de sécurité supplémentaire en autorisant l’examen du code avant qu’une exécution de pipeline puisse continuer.
Contrôle des branches
Le contrôle de branche garantit que seules les branches autorisées peuvent accéder aux ressources protégées. Une vérification branche protégée d’une ressource empêche les pipelines d’être exécutés automatiquement sur des branches non autorisées. En utilisant le contrôle de branche, vous pouvez étendre les exigences de révision manuelle de code spécifiques à votre branche.
Heures d’ouverture
Utilisez cette vérification pour vous assurer qu’un déploiement de pipeline démarre dans une fenêtre de jour et d’heure spécifiée.
Afficher toutes les vérifications
Sélectionnez Afficher toutes les vérifications pour afficher et appliquer d’autres vérifications telles que les modèles requis.