Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022 | Azure DevOps Server 2020
In diesem Artikel werden Sicherheitsfeatures beschrieben, mit denen geschützte Ressourcen in Azure-Pipelines geschützt werden. Pipelines müssen möglicherweise während der Ausführung auf offene oder geschützte Ressourcen zugreifen.
Artefakte, Pipelines, Testpläne und Arbeitsaufgaben sind offene Ressourcen. Pipelines können frei auf diese Ressourcen zugreifen, und Sie können Workflows vollständig automatisieren, indem Sie Ressourcentriggerereignisse abonnieren. Weitere Informationen zum Schützen offener Ressourcen finden Sie unter "Projekte schützen".
Geschützte Ressourcen wie Repositorys und Umgebungen benötigen weitere Zugriffsbeschränkungen. Um geschützte Ressourcen sicher zu halten, können Sie Berechtigungen, Überprüfungen und Genehmigungen für Pipelines für den Zugriff auf geschützte Ressourcen anfordern.
Dieser Artikel ist Teil einer Reihe, mit der Sie Sicherheitsmaßnahmen für Azure-Pipelines implementieren können. Weitere Informationen finden Sie unter Secure Azure Pipelines.
Voraussetzungen
| Kategorie | Anforderungen |
|---|---|
| Azure DevOps | – Implementieren Sie die Empfehlungen in Make your Azure DevOps secure und Secure Azure Pipelines. - Grundkenntnisse in YAML und Azure Pipelines. Weitere Informationen finden Sie unter Erstellen Ihrer ersten Pipeline. |
| Erlaubnisse | – So ändern Sie Pipelineberechtigungen: Mitglied der Gruppe "Projektadministratoren". – So ändern Sie Organisationsberechtigungen: Mitglied der Gruppe "Projektsammlungsadministratoren". |
Geschützte Ressourcen
Zu den geschützten Ressourcen von Azure Pipelines gehören die folgenden Elemente:
- Repositorien
- Umgebungen
- Dienstverbindungen
- Agentpools
- Sichern von Dateien
- Geheime Variablen in Variablengruppen
Sie können Berechtigungen festlegen, damit nur bestimmte Benutzer und Pipelines in einem Projekt auf geschützte Ressourcen zugreifen können. Sie können auch Prüfungen und Genehmigungen definieren, die erfolgreich sein müssen, bevor eine Pipelinephase, die die Ressource verwendet, beginnen kann. Sie können beispielsweise eine manuelle Genehmigung anfordern, bevor eine Pipeline-Phase eine Umgebung verwenden darf. Fehlgeschlagene Überprüfungen können die Pipelineausführung anhalten oder fehlschlagen.
Ressourcen des Repositories
Zum Hinzufügen eines Repositorys zu einer Pipeline ist eine Autorisierung eines Benutzers mit Mitarbeit-Zugriffsberechtigung auf das Repository erforderlich. Sie können Repositoryressourcen auch schützen, indem Sie den Umfang des Azure Pipelines-Zugriffstokens auf nur im Abschnitt der Pipeline explizit aufgeführte Repositorys resources beschränken. Weitere Informationen finden Sie unter "Sicheres Zugreifen auf Repositorys aus Pipelines und Schützen einer Repositoryressource".
Berechtigungen
Sie können Benutzerberechtigungen und Pipelineberechtigungen für geschützte Ressourcen festlegen.
Erteilen Sie Benutzerberechtigungen nur für Benutzer, die sie benötigen. Mitglieder der Benutzerrolle für eine Ressource können Genehmigungen und Prüfungen verwalten.
Pipelineberechtigungen schützen vor dem Kopieren geschützter Ressourcen in andere Pipelines. Um Pipelineberechtigungen zu verwalten, gewähren Sie explizit nur Zugriff auf bestimmte Pipelines, die Sie vertrauen.
Sie müssen über die Project-Administratorrolle verfügen, um den Zugriff auf eine geschützte Ressource in allen Pipelines in einem Projekt zu ermöglichen. Um eine bessere Sicherheit zu gewährleisten, aktivieren Sie den Open-Zugriff nicht, sodass alle Pipelines im Projekt die Ressource verwenden können. Weitere Informationen finden Sie unter Hinzufügen einer Administratorrolle zu einer geschützten Ressource.
Schecks
Um geschützte Ressourcen in Pipelines vollständig zu schützen, fügen Sie Prüfungen hinzu, die erfüllt sein müssen, bevor Pipelines geschützte Ressourcen verbrauchen können. Sie können bestimmte Genehmigungen oder andere Kriterien anfordern. Weitere Informationen finden Sie unter Definieren von Genehmigungen und Überprüfungen.
Genehmigungen
Sie können Pipelineanforderungen für geschützte Ressourcen blockieren, die auf ausstehende manuelle Genehmigung durch bestimmte Benutzer oder Gruppen warten. Diese Überprüfung bietet eine zusätzliche Sicherheitsebene, indem die Überprüfung des Codes zugelassen wird, bevor eine Pipelineausführung fortgesetzt werden kann.
Zweigsteuerung
Die Verzweigungssteuerung stellt sicher, dass nur autorisierte Verzweigungen auf geschützte Ressourcen zugreifen können. Eine geschützter Branch Überprüfung auf eine Ressource verhindert, dass Pipelines automatisch in nicht autorisierten Verzweigungen ausgeführt werden. Mithilfe der Zweigsteuerung können Sie die Anforderungen für die zweigspezifische manuelle Codeüberprüfung erweitern.
Öffnungszeit
Verwenden Sie diese Überprüfung, um sicherzustellen, dass eine Pipelinebereitstellung innerhalb eines angegebenen Tages- und Zeitfensters beginnt.
Alle Kontrollen anzeigen
Wählen Sie "Alle Prüfungen anzeigen" aus, um andere Prüfungen anzuzeigen und anzuwenden, z. B. erforderliche Vorlagen.