Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
Este artigo descreve os recursos de segurança que ajudam a proteger os recursos protegidos no Azure Pipelines. Durante as execuções, os pipelines podem precisar acessar recursos abertos ou protegidos.
Artefatos, pipelines, planos de teste e itens de trabalho são recursos abertos. Os pipelines podem acessar livremente esses recursos e você pode automatizar totalmente os fluxos de trabalho assinando eventos acionadores de recursos. Para obter mais informações sobre como proteger recursos abertos, consulte Proteger projetos.
Recursos protegidos , como repositórios e ambientes, precisam de mais restrições de acesso. Para ajudar a manter os recursos protegidos seguros, você pode exigir permissões, verificações e aprovações para pipelines acessarem recursos protegidos.
Este artigo faz parte de uma série que ajuda você a implementar medidas de segurança para o Azure Pipelines. Para obter mais informações, consulte Secure Azure Pipelines.
Pré-requisitos
| Categoria | Requisitos |
|---|---|
| Azure DevOps | – Implemente as recomendações em Torne o Azure DevOps Seguro e Proteja o Azure Pipelines. – Conhecimento básico do YAML e do Azure Pipelines. Para mais informações, veja Como criar seu primeiro pipeline. |
| Permissões | – Para modificar permissões de pipelines: Membro do grupo Administradores do Projeto. – Para modificar as permissões da organização: membro do grupo Administradores de Coleção de Projetos. |
Recursos protegidos
Os recursos protegidos do Azure Pipelines incluem os seguintes itens:
- Repositórios
- Ambientes
- Conexões de serviço
- Pools de agentes
- Arquivos seguros
- Variáveis secretas em grupos de variáveis
Você pode definir permissões para que apenas usuários e pipelines específicos em um projeto possam acessar recursos protegidos. Você também pode definir verificações e aprovações que precisam ser concluídas com sucesso antes que um estágio de pipeline que usa o recurso possa ser iniciado. Por exemplo, você pode exigir aprovação manual antes que um estágio de pipeline possa usar um ambiente. As verificações com falha podem suspender ou falhar na execução do pipeline.
Recursos do repositório
Adicionar um repositório a um pipeline requer autorização de um usuário com acesso do Contribute ao repositório. Você também pode proteger os recursos do repositório limitando o escopo do token de acesso do Azure Pipelines a apenas repositórios explicitamente listados na seção do resources pipeline. Para obter mais informações, consulte Acesse repositórios de forma segura a partir de pipelines e Proteja um recurso de repositório.
Permissões
Você pode definir permissões de usuário e permissões de pipeline para recursos protegidos .
Conceda permissões de usuário somente aos usuários que precisarem delas. Os membros da função Usuário de um recurso podem gerenciar aprovações e verificações.
As permissões de pipeline evitam a cópia de recursos protegidos para outros pipelines. Para gerenciar as permissões dos pipelines, conceda acesso explicitamente apenas aos pipelines específicos nos quais você confia.
Você deve ter a função administrador de projeto para habilitar o acesso a um recurso protegido em todos os pipelines em um projeto. Para obter uma melhor segurança, não habilite o Acesso Aberto, o que permite que todos os pipelines no projeto usem o recurso. Para obter mais informações, consulte Adicionar uma função de administrador a um recurso protegido.
Cheques
Para proteger de forma mais completa os recursos já protegidos em pipelines, adicione verificações que devem ser atendidas antes que os pipelines possam consumir esses recursos. Você pode exigir aprovações específicas ou outros critérios. Para obter mais informações, confira Definir aprovações e verificações.
Aprovações
Você pode bloquear solicitações de pipeline para recursos protegidos, aguardando aprovação manual por usuários ou grupos especificados. Essa verificação fornece uma camada extra de segurança permitindo a revisão do código antes que uma execução de pipeline possa continuar.
Controle de ramificação
O controle de branch garante que somente branches autorizados possam acessar recursos protegidos. Uma verificação de branch protegido para um recurso impede que os pipelines sejam executados automaticamente em branches não autorizados. Usando o controle de branch, você pode estender os requisitos manuais de revisão de código específicos do branch.
Horário comercial
Use essa verificação para garantir que uma implantação de pipeline seja iniciada dentro de uma janela de dia e hora especificada.
Exibir todas as verificações
Selecione Exibir todas as verificações para ver e aplicar outras verificações, como modelos necessários.