Uso de archivos seguros

Azure Pipelines | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 - TFS 2015

Los archivos seguros le dan una manera de almacenar archivos que puede compartir entre canalizaciones. Use la biblioteca de archivos seguros para almacenar archivos como:

  • firma de certificados
  • Perfiles de aprovisionamiento de Apple
  • Archivos de almacén de claves de Android
  • Claves SSH

Estos archivos se pueden almacenar en el servidor sin tener que confirmarlos en el repositorio.

El contenido de los archivos seguros se cifra y solo se puede usar cuando se consumen desde una tarea. Los archivos seguros son un recurso protegido. Puede agregarles aprobaciones y comprobaciones y establecer permisos de canalización. Los archivos seguros también pueden usar el modelo de seguridad biblioteca.

El límite de tamaño para cada archivo seguro es de 10 MB.

Nota

En Microsoft Team Foundation Server (TFS) 2018 y versiones anteriores, las canalizaciones de compilación y versión se denominan definiciones, las ejecuciones se denominan compilaciones, las conexiones de servicio se denominan puntos de conexión de servicio, las fases se denominan entornos y los trabajos se denominan fases.

Adición de un archivo seguro

  1. Vaya a Pipelinesarchivos seguros debiblioteca.

    Seleccione la pestaña Archivos seguros.

  2. Seleccione Archivo seguro para cargar un nuevo archivo seguro. Busque para cargar o arrastrar y colocar el archivo. Puede eliminar este archivo, pero no puede reemplazarlo.

    Upload el archivo.

  3. Agregue permisos al archivo.

    1. Aplique restricciones de roles de seguridad para todos los archivos desde la pestaña Seguridad de PipelinesLibrary.
    2. Para agregar permisos para un archivo individual, en la vista de edición del archivo, seleccione Permisos de canalización para establecer permisos por canalización. O bien, seleccione Seguridad para establecer roles de seguridad.

    Establezca Seguridad de canalización para archivos seguros.

Consumo de un archivo seguro en una canalización

Use la tarea descargar la utilidad de archivos seguros para consumir archivos seguros en una canalización.

En el siguiente ejemplo de canalización de YAML se descarga un archivo de certificado seguro y se instala en un entorno de Linux.

- task: DownloadSecureFile@1
  name: caCertificate
  displayName: 'Download CA certificate'
  inputs:
    secureFile: 'myCACertificate.pem'

- script: |
    echo Installing $(caCertificate.secureFilePath) to the trusted CA directory...
    sudo chown root:root $(caCertificate.secureFilePath)
    sudo chmod a+r $(caCertificate.secureFilePath)
    sudo ln -s -t /etc/ssl/certs/ $(caCertificate.secureFilePath)

Preguntas más frecuentes

P: ¿Cómo puedo crear una tarea personalizada mediante archivos seguros?

A. Cree sus propias tareas que usen archivos seguros mediante entradas con el secureFile tipo en task.json . Obtenga información sobre cómo compilar una tarea personalizada.

La tarea Instalar perfil de aprovisionamiento de Apple es un ejemplo sencillo de una tarea que usa un archivo seguro. Consulte la documentación de referencia y el código fuente.

Para controlar los archivos seguros durante la compilación o la versión, puede consultar el módulo común disponible aquí.

P: Mi tarea no puede acceder a los archivos seguros. ¿Qué puedo hacer?

A. Asegúrese de que el agente ejecuta la versión 2.116.0 o posterior. Consulte Versión del agente y actualizaciones.

P: Cómo autorizar un archivo seguro para su uso en una canalización específica?

A.

  1. En Azure Pipelines, seleccione la pestaña Biblioteca.
  2. Seleccione la pestaña Archivos seguros en la parte superior.
  3. Seleccione el archivo seguro que desea autorizar.
  4. Seleccione el botón Permisos de canalización.
  5. Revise y modifique el acceso para cada canalización disponible.

P: ¿Por qué veo un Invalid Resource error al descargar un archivo seguro con Azure DevOps Server/TFS local?

A. Asegúrese de que la autenticación básica de IIS está deshabilitada en TFS o Azure DevOps Server.

P: ¿Cómo se protegen los archivos seguros?

A. Los archivos seguros, los grupos de variables y las conexiones de servicio se protegen de la misma manera en Azure DevOps. También son todos recursos protegidos.

Los secretos se cifran y almacenan en la base de datos. Las claves para descifrar secretos se almacenan en Azure Key Vault. Las claves son específicas de cada unidad de escalado. Por lo tanto, dos regiones no comparten las mismas claves. Las claves también se giran con cada implementación de Azure DevOps.

Los derechos para recuperar claves seguras solo se dan a las entidades de Azure DevOps de servicio y (en ocasiones especiales) a petición para diagnosticar problemas. El almacenamiento seguro no tiene ninguna certificación.

Azure Key Vault es otra opción más segura para proteger la información confidencial. Si decide usar Azure Key Vault, puede usarlo con grupos de variables.