Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Serviços de DevOps do Azure | Azure DevOps Server | Azure DevOps Server 2022
Este artigo descreve os recursos de segurança que ajudam a proteger recursos protegidos no Azure Pipelines. Os pipelines podem precisar aceder a recursos abertos ou protegidos durante a execução.
Artefatos, pipelines, planos de teste e itens de trabalho são recursos abertos. Os pipelines podem aceder livremente a esses recursos e pode automatizar totalmente os fluxos de trabalho através da subscrição de eventos de acionamento de recursos. Para obter mais informações sobre como proteger recursos abertos, consulte Proteger projetos.
Recursos protegidos , como repositórios e ambientes, precisam de mais restrições de acesso. Para ajudar a manter os recursos protegidos seguros, pode-se exigir permissões, verificações e aprovações para que os pipelines acessem os recursos protegidos.
Este artigo faz parte de uma série que ajuda você a implementar medidas de segurança para o Azure Pipelines. Para obter mais informações, consulte Pipelines Seguros do Azure.
Pré-requisitos
| Categoria | Requerimentos |
|---|---|
| Azure DevOps | - Implemente recomendações em Tornar seu Azure DevOps seguro e Secure Azure Pipelines. - Conhecimentos básicos de YAML e Azure Pipelines. Para obter mais informações, consulte Criar seu primeiro pipeline. |
| Permissões | - Para modificar permissões de pipelines: Membro do grupo Administradores do Projeto. - Para modificar as permissões da organização: Membro do grupo Administradores da Coleção de Projetos. |
Recursos protegidos
Os recursos protegidos do Azure Pipelines incluem os seguintes itens:
- Repositórios
- Ambientes
- Conexões de serviço
- Pools de agentes
- Ficheiros seguros
- Variáveis secretas em grupos de variáveis
Você pode definir permissões para que apenas usuários e pipelines específicos em um projeto possam acessar recursos protegidos. Você também pode definir verificações e aprovações que devem ser bem-sucedidas antes que um estágio de pipeline que usa o recurso possa ser iniciado. Por exemplo, pode-se exigir uma aprovação manual antes que um estágio de pipeline possa utilizar um ambiente. Verificações com falha podem suspender ou causar a falha da execução do pipeline.
Recursos do repositório
Adicionar um repositório a um pipeline requer autorização de um usuário com acesso do Contribute ao repositório. Você também pode proteger os recursos do repositório limitando o escopo do token de acesso do Azure Pipelines apenas aos repositórios resources explicitamente listados na seção do pipeline. Para obter mais informações, consulte Acessar repositórios com segurança a partir de pipelines e Proteger um recurso de repositório.
Permissões
Você pode definir permissões de usuário e permissões de pipeline para recursos protegidos.
Conceda permissões de usuário somente aos usuários que precisam delas. Os membros da função Usuário de um recurso podem gerenciar aprovações e verificações.
As permissões de pipeline evitam a cópia de recursos protegidos em outros pipelines. Para gerenciar permissões de pipeline, conceda explicitamente acesso apenas a pipelines específicos em que você confia.
Você deve ter a função de Administrador de Projeto para habilitar o acesso a um recurso protegido em todos os pipelines de um projeto. Para maior segurança, não habilite o acesso aberto, que permite que todos os pipelines do projeto usem o recurso. Para obter mais informações, consulte Adicionar uma função de administrador a um recurso protegido.
Controlos
Para assegurar mais completamente a segurança dos recursos protegidos nos pipelines, adicione verificações que devem ser satisfeitas antes de os pipelines poderem consumir os recursos protegidos. Você pode exigir aprovações específicas ou outros critérios. Para obter mais informações, consulte Definir aprovações e verificações.
Aprovações
Você pode bloquear solicitações de pipeline para recursos protegidos pendentes de aprovação manual por usuários ou grupos especificados. Essa verificação fornece uma camada extra de segurança, permitindo a revisão do código antes que uma execução de pipeline possa prosseguir.
Controlo de sucursais
O controle de ramificação garante que apenas filiais autorizadas possam acessar recursos protegidos. Uma verificação de ramificação protegida para um recurso impede que os pipelines sejam executados automaticamente em ramificações não autorizadas. Usando o controle de filial, você pode estender seus requisitos de revisão de código manual específicos da filial.
Horário de Funcionamento
Use essa verificação para garantir que uma implantação de pipeline seja iniciada dentro de uma janela de dia e hora especificada.
Ver todas as verificações
Selecione Exibir todas as verificações para ver e aplicar outras verificações, como modelos necessários.