Gunakan file aman

Layanan Azure DevOps | Azure DevOps Server 2022 - Azure DevOps Server 2019

File aman memberi Anda cara untuk menyimpan file yang dapat dibagikan di seluruh alur. Gunakan pustaka file aman untuk menyimpan file seperti:

• sertifikat penandatanganan
• Profil Penyebaran Apple
• File Keystore Android
• Kunci SSH

File-file ini dapat disimpan di server tanpa harus menerapkannya ke repositori Anda.

Konten file aman dienkripsi dan hanya dapat digunakan saat Anda menggunakannya dari suatu tugas. File aman adalah sumber daya yang terlindung. Anda dapat menambahkan persetujuan dan memeriksanya dan mengatur izin alur. File aman juga dapat menggunakan Model keamanan pustaka.

Batas ukuran untuk setiap file aman adalah 10 MB.

Menambahkan file aman

1. Buka File Aman Pustaka>Alur>.

   

2. Pilih Amankan file untuk mengunggah file aman baru. Telusuri untuk mengunggah atau menyeret dan meletakkan file Anda. Anda dapat menghapus file ini, tetapi Anda tidak dapat menggantinya.

   

3. Tambahkan izin ke file Anda.

   1. Terapkan pembatasan peran keamanan untuk semua file dari tab Keamanan di Pustaka Alur>.
   2. Untuk menambahkan izin untuk file individual, dalam tampilan edit file, pilih Izin alur untuk mengatur izin per alur. Atau, pilih Keamanan untuk mengatur peran keamanan.
      • Anda juga dapat mengatur Persetujuan dan Memeriksa file. Untuk informasi selengkapnya, lihat Persetujuan dan pemeriksaan.

   

Mengonsumsi file aman dalam alur

Gunakan tugas Unduh utilitas File Aman untuk menggunakan file aman dalam alur.

Contoh alur YAML berikut mengunduh file sertifikat aman dan menginstalnya di lingkungan Linux.

- task: DownloadSecureFile@1
  name: caCertificate
  displayName: 'Download CA certificate'
  inputs:
    secureFile: 'myCACertificate.pem'

- script: |
    echo Installing $(caCertificate.secureFilePath) to the trusted CA directory...
    sudo chown root:root $(caCertificate.secureFilePath)
    sudo chmod a+r $(caCertificate.secureFilePath)
    sudo ln -s -t /etc/ssl/certs/ $(caCertificate.secureFilePath)

FAQ

T: Bagaimana cara membuat tugas kustom menggunakan file aman?

A: Buat tugas Anda sendiri yang menggunakan file aman dengan menggunakan input dengan jenis secureFile di task.json. Pelajari cara membuat tugas kustom.

Tugas Pasang Profil Provisi Apple adalah contoh sederhana tugas menggunakan file aman. Lihat dokumentasi referensi dan kode sumber.

Untuk menangani file aman selama build atau rilis, Anda dapat merujuk ke modul umum yang tersedia di sini.

T: Tugas saya tidak dapat mengakses file aman. Apa yang harus saya lakukan?

A: Pastikan agen Anda menjalankan versi 2.116.0 atau yang lebih tinggi. Lihat Versi dan peningkatan agen.

T: Bagaimana cara mengotorisasi file aman untuk digunakan dalam alur tertentu?

A:

1. Di Azure Pipelines, pilih tab Pustaka .
2. Pilih tab Amankan file di bagian atas.
3. Pilih file aman yang ingin Anda otorisasi.
4. Pilih tombol Izin alur.
5. Tinjau dan ubah akses untuk setiap alur yang tersedia.

T: Mengapa saya melihat kesalahan Invalid Resource saat mengunduh file aman dengan Azure DevOps Server/TFS lokal?

A: Pastikan Autentikasi Dasar IIS dinonaktifkan di Server TFS atau Azure DevOps.

T: Bagaimana file aman diamankan?

A: File aman, grup variabel, dan koneksi layanan semuanya diamankan dengan cara yang sama di Azure DevOps. Mereka juga semua sumber daya yang dilindungi.

Rahasia dienkripsi dan disimpan dalam database. Kunci untuk mendekripsi rahasia disimpan di Azure Key Vault. Kunci khusus untuk setiap unit skala. Jadi, dua wilayah tidak berbagi kunci yang sama. Kunci juga diputar dengan setiap penyebaran Azure DevOps.

Hak untuk mengambil kunci aman hanya diberikan kepada perwakilan layanan Azure DevOps dan (pada kesempatan khusus) sesuai permintaan untuk mendiagnosis masalah. Penyimpanan aman tidak memiliki sertifikasi apa pun.

Azure Key Vault adalah opsi lain yang lebih aman untuk mengamankan informasi sensitif. Jika Anda memutuskan untuk menggunakan Azure Key Vault, Anda dapat menggunakannya dengan grup variabel.