Azure DevOps Services |Azure DevOps Server |Azure DevOps Server 2022
この記事では、セキュリティで保護されたファイル ライブラリを使用して、証明書やキーなどの機密性の高いファイルを Azure Pipelines に安全に格納して使用する方法について説明します。 セキュリティで保護されたファイルは、機密性の高いデータをサーバー上で暗号化し、承認されたパイプラインへのアクセスを制限することで、資格情報やその他の重要なファイルの安全性を確保することで、機密データを保護するのに役立ちます。
セキュリティで保護されたファイル ライブラリ を使用して、次のようなファイルを格納します。
- 署名証明書
- Apple プロビジョニング プロファイル
- Android キーストア ファイル
- SSH キー
各セキュア ファイルのサイズの上限は 10 MB です。
セキュリティで保護されたファイルは暗号化された形式でサーバーに保存され、パイプライン タスクからのみ使用できます。 セキュア ファイルは保護されたリソースです。 承認、チェック、パイプラインのアクセス許可を使用して、ファイルへのアクセスを制限できます。 セキュリティで保護されたファイルでは、ライブラリ セキュリティ モデル ロールを使うこともできます。
前提条件
| 必要条件 | 詳細 |
|---|---|
| Azure DevOps プロジェクト | - Azure DevOps プロジェクト。 - パイプラインを作成し、ライブラリ 項目を追加するためのアクセス許可。 - 必要なロール: - プロジェクト管理者、共同作成者、またはライブラリ アイテムを管理するアクセス許可を持つカスタム ロール。 - ライブラリのセキュリティとアクセス許可を管理するには、プロジェクト管理者または同等のアクセス許可が必要です。 - 設定: - Azure DevOps 組織でパイプライン リソースへのアクセスが許可されていることを確認します。 - プロジェクトのパイプライン設定で、セキュリティで保護されたファイルの使用が制限されていないかどうかを確認します。 |
| ファイルのセキュリティ保護 | - パイプラインで安全に使用する証明書、キーストア、またはプロビジョニング ファイル。 - ファイル サイズは 10 MB を超えてはなりません。 |
セキュア ファイルを追加する
Azure DevOps プロジェクトで、[パイプライン]>[ライブラリ] に移動し、[セキュリティで保護された ] タブを選択します。
![[セキュリティで保護されたファイル] タブを選択しているスクリーンショット。](media/secure-files-tab.png?view=azure-devops)
[+ セキュリティで保護されたファイル] を選択して、セキュリティで保護されたファイルをアップロードします。 ファイルをアップロードするか、ドラッグ&ドロップしてください。
[OK] を選択します。 ファイルをアップロードした後は削除できますが、置き換えることはできません。
セキュリティ、ロール、アクセス許可を定義する
ライブラリ内のすべてのアイテムまたは個々のアイテムに対して、セキュリティ ロールの制限とアクセス許可を定義できます。
ライブラリ内のすべての項目にセキュリティ ロールを割り当てるには、[ライブラリ] ページで [セキュリティ] を選択します。
個々のファイルのアクセス許可を定義するには:
- [セキュリティで保護されたファイル] の一覧からファイルを選択します。
-
[セキュリティで保護されたファイル] ページの上部で、次を選択します。
- [セキュリティ] で、ファイルにアクセスできるユーザーとセキュリティ ロールを設定します。
- [パイプラインのアクセス許可] で、ファイルにアクセスできる YAML パイプラインを選択します。
- [承認とチェック] で、ファイルを使用するための承認者やその他のチェックを設定します。 詳しくは、承認とチェックに関する記事をご覧ください。
セキュリティで保護されたファイルを使用するように YAML パイプラインを承認する
YAML パイプラインでセキュリティで保護されたファイルを使用するには、ファイルを使用するようにパイプラインを承認します。 すべてのクラシック パイプラインは、セキュリティで保護されたファイルにアクセスできます。
パイプラインまたはすべてのパイプラインにセキュリティで保護されたの使用を承認するには:
- セキュリティで保護されたファイルのページの上部にある [パイプラインのアクセス許可] を選択します。
- [パイプラインのアクセス許可] 画面で、+ を選択してから、承認するプロジェクト パイプラインを選択します。 または、ファイルを使用するすべてのパイプラインを承認するには、[その他のアクション] アイコンを選択し、[アクセスを開く] を選択して、もう一度 [アクセスを開く] を選択して確認します。
パイプラインでセキュア ファイルを使用する
パイプラインでセキュリティで保護されたファイルを使用するには、[セキュリティで保護されたファイルのダウンロード] ユーティリティ タスクを使用します。 パイプライン エージェントは、バージョン 2.182.1 以降を実行している必要があります。 詳細については、「エージェントのバージョンとアップグレード」をご覧ください。
次の YAML パイプラインの例では、セキュリティで保護された証明書ファイルをダウンロードし、Linux 環境にインストールします。
- task: DownloadSecureFile@1
name: caCertificate
displayName: 'Download CA certificate'
inputs:
secureFile: 'myCACertificate.pem'
- script: |
echo Installing $(caCertificate.secureFilePath) to the trusted CA directory...
sudo chown root:root $(caCertificate.secureFilePath)
sudo chmod a+r $(caCertificate.secureFilePath)
sudo ln -s -t /etc/ssl/certs/ $(caCertificate.secureFilePath)
Note
オンプレミスの Azure DevOps Server を使用してセキュリティで保護されたファイルをダウンロードするときに Invalid Resource エラーが表示される場合は、[IIS 基本認証] がサーバーで無効になっていることを確認します。
関連するコンテンツ
セキュリティで保護されたファイルを使用するカスタム タスクを作成するには、
secureFileで 型の入力を使用します。 詳細については、「カスタム タスクの作成方法」を参照してください。「Apple プロビジョニング プロファイルのインストール」タスクは、セキュアファイルを使用する簡単な例です。 ソース コードについては、「InstallAppleProvisioningProfileV1」を参照してください。
ビルド タスクまたはリリース タスク中にセキュリティで保護されたファイルを処理するには、タスクの共通モジュールを参照してください。