Безопасность Azure Pipelines
Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019
Безопасность Azure Pipelines помогает управлять доступом к конвейерам и ресурсам конвейера. Доступ управляется иерархической системой встроенных и пользовательских групп безопасности и пользователей.
Ресурсы конвейера — это функции и объекты, которые используются в конвейерах, но существуют вне самого конвейера. Например, конвейеры выпуска, группы задач, пулы агентов и подключения служб являются всеми ресурсами конвейера.
После создания конвейера или ресурса набор встроенных групп безопасности и пользователей назначаются разрешения доступа или роли на уровне проекта. Затем эти параметры безопасности уровня проекта наследуются на уровне объекта для отдельных объектов. Например, при создании конвейера набор пользователей и групп по умолчанию назначается разрешения на уровне проекта. Затем эти параметры безопасности наследуются на уровне объекта для всех конвейеров в проекте.
Как правило, группы администраторов получают полный доступ ко всем конвейерам и ресурсам. Участники часто получают доступ к управлению ресурсами и конвейерами, а читатели получают доступ только для просмотра. Пользователи назначаются группам безопасности на основе их роли в проекте и разрешениях, необходимых для выполнения своих задач.
Вы можете добавлять и удалять пользователей и группы и изменять их разрешения и роли как на уровне проекта, так и на уровне объектов. Наследование на уровне объекта можно включить и отключить.
Для управления параметрами безопасности на уровне проекта необходимо быть членом группы "Проект Администратор istrator" для управления параметрами безопасности на уровне проекта и быть членом группы администраторов или быть назначена роль безопасности Администратор istrator для управления безопасностью конвейеров и ресурсов уровня объектов.
Параметры разрешений и ролей
Конвейеры, конвейеры выпуска и группы задач используют разрешения на основе задач. Разрешения для пользователей и групп можно задать следующим способом:
| Разрешение | Description |
|---|---|
| Разрешить | Предоставляет разрешение на функцию или задачу. |
| Запрет | Запрещает разрешение функции или задачи. |
| Не установлено | Неявно запрещает разрешение, но разрешает наследовать разрешение от ближайшего предка, имеющего явно заданные разрешения. |
Дополнительные сведения см. в разделе "Сведения о разрешениях и наследовании".
Библиотеки, пулы агентов, подключения служб, группы развертывания и среды используют доступ на основе ролей. Роли пользователей и групп:
| Роль | Характер использования |
|---|---|
| Читатель | Может просматривать ресурс. |
| User | Может использовать ресурс. |
| Создатель | Может создать ресурс. Эта роль является только ролью уровня проекта. |
| Администратор | Может использовать ресурс и управлять им и задавать его безопасность. Создатель ресурса автоматически назначает эту роль. |
| Организация сервиса | Используется для пулов агентов и развертываний, может просматривать агенты, создавать сеансы, прослушивать задания. Эта роль доступна только на уровне коллекции или организации. |
Дополнительные сведения см. в разделе "Сведения о ролях безопасности конвейера".
Настройка разрешений для Azure Pipelines и ресурсов
Сведения о настройке безопасности для конвейеров и ресурсов конвейера см. в следующих статьях:
- Разрешения конвейера
- Разрешения конвейера выпуска
- Разрешения группы задач
- Безопасность пула агентов
- Безопасность подключения службы
- Безопасность библиотеки
- Безопасность группы развертывания
- Безопасность среды
Вопросы и ответы
Ознакомьтесь со следующими часто задаваемыми вопросами о разрешениях конвейера.
Вопрос. Почему не удается создать новый конвейер?
Ответ. Для создания нового конвейера необходимо изменить разрешения конвейера сборки. Чтобы добавить разрешение, откройте параметры безопасности для всех конвейеров и убедитесь, что для параметра Изменить конвейер сборки задано значение Разрешить для группы безопасности.
Если вам не удается создать конвейер, проверьте, задано ли для параметра Уровень доступа значение Заинтересованные лица. Если это так, задайте значение Базовый.
Вопрос. Почему отображается сообщение, которое необходимо авторизовать ресурс, прежде чем запустить?
Ответ. Прежде чем использовать их, необходимо авторизовать ресурсы. Исключение из этого правила заключается в том, что при первом создании конвейера все ресурсы, на которые ссылается ФАЙЛ YAML, автоматически авторизоваться. Ресурсы авторизованы для конвейера, пока пользователь, на котором запущен конвейер, имеет доступ к ресурсу.
Чтобы авторизовать все конвейеры для доступа к ресурсу, например пулу агентов , выполните следующие действия.
В проекте выберите пулы агентов Параметры
> Pipelines.>Выберите "Безопасность для определенного пула агентов", а затем обновите разрешения для предоставления доступа ко всем конвейерам.
Дополнительные сведения см. в разделе "Ресурсы" в YAML.
Связанные статьи
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по