Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
As tarefas em um pipeline usam um token de acesso de trabalho, disponível por meio da variável interna System.AccessToken, ou um PAT para acessar os recursos do Azure DevOps. Por exemplo, uma tarefa de "verificação de saída" usa esse token para autenticar-se no repositório. Da mesma forma, um script do PowerShell pode usar esse token para acessar as APIs REST do Azure DevOps. No entanto, as permissões desse token são baseadas na identidade do Project Build Service, o que significa que todos os tokens de acesso ao trabalho em um projeto têm permissões idênticas. Isso concede acesso excessivo em todos os gasodutos dentro do projeto.
Usar PATs para acessar recursos de DevOps do Azure é comum, especialmente quando uma tarefa precisa acessar esses recursos além dos limites da organização. Por exemplo, uma tarefa de autenticação do NuGet utiliza um token PAT para se autenticar num feed noutra organização. Os PATs são um anti-padrão para a segurança, pois tendem a ser criados com amplas permissões e são mantidos por um longo tempo, aumentando assim o risco de exfiltração.
Para melhorar a segurança nesses cenários, um novo tipo de conexão de serviço chamado "Azure DevOps Service Connection" está sendo introduzido. Usa um principal de serviço do Azure que pode ser adicionado como utilizador no Azure DevOps com permissões específicas. Isso permite que você se autentique em recursos de uma tarefa de pipeline usando essa conexão de serviço e restrinja o acesso a pipelines específicos. Primeiro, apresentaremos o novo tipo de conexão e algumas tarefas que funcionam com ele. Vamos expandir gradualmente a lista de tarefas que podem usar o tipo de conexão ao longo do tempo.