Použití zabezpečených souborů

  • Článek

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Zabezpečené soubory umožňují ukládat soubory, které můžete sdílet mezi kanály. Knihovna zabezpečených souborů slouží k ukládání souborů, jako jsou například:

  • Podpisové certifikáty
  • Zřizovací profily Apple
  • Soubory úložiště klíčů pro Android
  • Klíče SSH

Tyto soubory se dají ukládat na serveru, aniž byste je museli zadávat do úložiště.

Obsah zabezpečených souborů je šifrovaný a je možné ho použít jen pomocí odkazu z úlohy. Zabezpečené soubory jsou chráněným prostředkem. Můžete do nich přidat schválení a kontroly a nastavit oprávnění kanálu. Zabezpečené soubory můžou využívat i model zabezpečení knihovny.

Limit velikosti každého zabezpečeného souboru je 10 MB.

Přidání zabezpečeného souboru

  1. Přejděte do zabezpečených souborů knihovny Pipelines.>>

    Vyberte kartu Zabezpečené soubory.

  2. Vyberte Zabezpečený soubor a nahrajte nový zabezpečený soubor. Přejděte a nahrajte nebo přetáhněte soubor. Tento soubor můžete odstranit, ale nemůžete ho nahradit.

    Nahrajte soubor.

  3. Přidejte do souboru oprávnění.

    1. Použijte omezení role zabezpečení pro všechny soubory na kartě Zabezpečení v knihovně Pipelines.>
    2. Pokud chcete přidat oprávnění k jednotlivým souborům, vyberte v zobrazení pro úpravy souboru oprávnění kanálu a nastavte oprávnění pro jednotlivé kanály. Nebo vyberte Zabezpečení a nastavte role zabezpečení.
      • Můžete také nastavit Schválení a Kontroly souboru. Další informace najdete v tématu Schválení a kontroly.

    Nastavte zabezpečení kanálu pro zabezpečené soubory.

Využívání zabezpečeného souboru v kanálu

Pomocí úlohy Stažení zabezpečeného souboru můžete využívat zabezpečené soubory v kanálu.

Následující příklad kanálu YAML stáhne zabezpečený soubor certifikátu a nainstaluje ho do linuxového prostředí.

- task: DownloadSecureFile@1
  name: caCertificate
  displayName: 'Download CA certificate'
  inputs:
    secureFile: 'myCACertificate.pem'

- script: |
    echo Installing $(caCertificate.secureFilePath) to the trusted CA directory...
    sudo chown root:root $(caCertificate.secureFilePath)
    sudo chmod a+r $(caCertificate.secureFilePath)
    sudo ln -s -t /etc/ssl/certs/ $(caCertificate.secureFilePath)

Často kladené dotazy

Otázka: Jak můžu vytvořit vlastní úlohu pomocí zabezpečených souborů?

A: Vytvořte vlastní úlohy, které používají zabezpečené soubory pomocí vstupů s typem secureFile v sadě task.json. Zjistěte, jak vytvořit vlastní úlohu.

Úloha Instalace zřizovacího profilu Apple je jednoduchým příkladem úlohy pomocí zabezpečeného souboru. Viz referenční dokumentace a zdrojový kód.

Pokud chcete zpracovávat zabezpečené soubory během sestavování nebo vydávání, můžete se podívat na společný modul, který je zde k dispozici.

Otázka: Můj úkol nemá přístup k zabezpečeným souborům. Co mám dělat?

A: Ujistěte se, že váš agent používá verzi 2.116.0 nebo vyšší. Podívejte se na verzi a upgrady agenta.

Otázka: Návody autorizovat zabezpečený soubor pro použití v určitém kanálu?

A:

  1. V Azure Pipelines vyberte kartu Knihovna .
  2. V horní části vyberte kartu Zabezpečené soubory.
  3. Vyberte zabezpečený soubor, který chcete autorizovat.
  4. Vyberte tlačítko Oprávnění kanálu.
  5. Zkontrolujte a upravte přístup pro každý dostupný kanál.

Otázka: Proč se při stahování zabezpečeného souboru s místním Serverem Azure DevOps nebo TFS zobrazí Invalid Resource chyba?

A: Ujistěte se, že je na TFS nebo Serveru Azure DevOps zakázané základní ověřování služby IIS.

Otázka: Jak jsou zabezpečené soubory?

A: Zabezpečené soubory, skupiny proměnných a připojení služeb jsou zabezpečeny stejným způsobem v Azure DevOps. Jsou to také všechny chráněné prostředky.

Tajné kódy jsou šifrované a uložené v databázi. Klíče k dešifrování tajných kódů jsou uložené ve službě Azure Key Vault. Klíče jsou specifické pro každou jednotku škálování. Dvě oblasti tedy nesdílely stejné klíče. Klíče se také obměňují při každém nasazení Azure DevOps.

Práva k načtení zabezpečených klíčů jsou udělena pouze instančním objektům Azure DevOps a (ve zvláštních případech) na vyžádání k diagnostice problémů. Zabezpečené úložiště nemá žádné certifikace.

Azure Key Vault je další bezpečnější možností zabezpečení citlivých informací. Pokud se rozhodnete službu Azure Key Vault používat, můžete ji použít se skupinami proměnných.