Azure DevOps 服務 |Azure DevOps Server |Azure DevOps Server 2022
本文說明可協助保護 Azure Pipelines 中 受保護資源 的安全性功能。 管線可能需要在執行期間存取開啟或受保護的資源。
成品、管線、測試計劃和工作項目是 開放資源。 管線可以自由存取這些資源,您可以透過訂閱資源觸發事件來完全自動化工作流程。 如需保護開啟資源的詳細資訊,請參閱 保護專案。
受保護的資源 (例如儲存庫和環境) 需要更多存取限制。 為了協助確保受保護資源的安全,您可以要求管線存取受保護資源的許可權、檢查和核准。
本文是一系列的一部分,可協助您實作 Azure Pipelines 的安全性措施。 如需詳細資訊,請參閱 保護 Azure Pipelines。
先決條件
| 類別 | 要求 |
|---|---|
| Azure DevOps | - 在讓 Azure DevOps 安全且保護 Azure Pipelines 中實作建議。 - YAML 和 Azure Pipelines 的基本知識。 如需詳細資訊,請參閱 建立您的第一個管線。 |
| 權限 | - 若要修改管線許可權: 專案管理員群組的成員。 - 若要修改組織許可權: 專案集合系統管理員群組的成員。 |
受保護的資源
Azure Pipelines 受保護的資源包含下列項目:
您可以設定許可權,讓只有專案中的特定使用者和管線可以存取受保護的資源。 您也可以定義檢查和核准,這些檢查和核准必須先成功,才能啟動使用資源的管線階段。 例如,您可以要求手動核准,才能讓管線階段使用環境。 失敗的檢查可能會導致管線運行暫停或失敗。
存放庫資源
將存放庫新增至管線時,需要具有 參與 存放庫存取權的用戶授權。 您也可以將 Azure Pipelines 存取權杖的範圍限制為僅在管線區 resources 段中明確列出的存放庫,以保護存放庫資源。 如需詳細資訊,請參閱 從管線安全地存取存放庫 和 保護存放庫資源。
權限
您可以設定受保護資源的 使用者權限 和 管線權限 。
僅將 使用者 權限授與需要的使用者。 資源的使用者角色成員可以管理核准和檢查。
管線許可權可防止將受保護的資源複製到其他管線。 若要管理管線許可權,請明確只授與您信任的特定管線的存取權。
您必須具有 專案系統管理員 角色,才能跨專案中的所有管線存取受保護的資源。 為了提高安全性,請勿啟用 開放存取,這允許專案中的所有管線使用資源。 如需詳細資訊,請參閱將 管理員角色新增至受保護的資源。
檢查
若要更完整地保護管線中受保護的資源,請新增管線取用受保護資源之前必須滿足的檢查。 您可以要求特定核准或其他條件。 如需詳細資訊,請參閱 定義核准和檢查。
核准
您可以封鎖受保護資源的管線請求,等待指定使用者或群組的手動核准。 此檢查允許在管線執行之前檢閱程式碼,以增強安全性。
分支控制
分支控制可確保只有授權的分支可以存取受保護的資源。 資源的受保護分支檢查可防止管線在未經授權的分支上自動執行。 藉由使用分支控制,您可以擴展針對特定分支的手動程式碼審查要求。
營業時間
使用此檢查可確保管線部署會在指定的日期和時間範圍內啟動。
查看所有檢查
選取 [ 檢視所有檢查] 以查看和套用其他檢查,例如 必要的範本。