Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022 | Azure DevOps Server 2020
이 문서에서는 Azure Pipelines에서 보호된 리소스를 보호하는 데 도움이 되는 보안 기능을 설명합니다. 파이프라인은 실행 중에 열려 있거나 보호된 리소스에 액세스해야 할 수 있습니다.
아티팩트, 파이프라인, 테스트 계획 및 작업 항목은 열려 있는 리소스입니다. 파이프라인은 이러한 리소스에 자유롭게 액세스할 수 있으며 리소스 트리거 이벤트를 구독하여 워크플로를 완전히 자동화할 수 있습니다. 열려 있는 리소스를 보호하는 방법에 대한 자세한 내용은 프로젝트 보호를 참조하세요.
리포지토리 및 환경과 같은 보호된 리소스에는 더 많은 액세스 제한이 필요합니다. 보호된 리소스를 안전하게 유지하려면 보호된 리소스에 액세스하기 위해 파이프라인에 대한 권한, 검사 및 승인을 요구할 수 있습니다.
이 문서는 Azure Pipelines에 대한 보안 조치를 구현하는 데 도움이 되는 시리즈의 일부입니다. 자세한 내용은 보안 Azure Pipelines를 참조하세요.
필수 조건
| 범주 | 요구 사항 |
|---|---|
| Azure DevOps | - Azure DevOps를 안전하고 안전한 Azure Pipelines로 만들기 에서 권장 사항을 구현 합니다. - YAML 및 Azure Pipelines에 대한 기본 지식 자세한 내용은 첫 번째 파이프라인 만들기를 참조하세요. |
| 권한 | - 파이프라인 사용 권한을 수정하려면: 프로젝트 관리자 그룹의 구성원입니다. - 조직 권한을 수정하려면 : 프로젝트 컬렉션 관리자 그룹의 구성원입니다. |
보호된 리소스
Azure Pipelines 보호된 리소스에는 다음 항목이 포함됩니다.
프로젝트의 특정 사용자 및 파이프라인만 보호된 리소스에 액세스할 수 있도록 권한을 설정할 수 있습니다. 리소스를 사용하는 파이프라인 단계를 시작하기 전에 성공해야 하는 검사 및 승인을 정의할 수도 있습니다. 예를 들어 파이프라인 단계에서 환경을 사용하기 전에 수동 승인을 요구할 수 있습니다. 실패한 검사는 파이프라인 실행을 일시 중단하거나 실패할 수 있습니다.
리포지토리 리소스
파이프라인에 리포지토리를 추가하려면 리포지토리에 대한 Contribute 액세스 권한이 있는 사용자의 권한 부여가 필요합니다. Azure Pipelines 액세스 토큰의 범위를 파이프라인 섹션에 명시적으로 나열된 리포지토리로만 제한하여 리포지토리 리소스를 resources 보호할 수도 있습니다. 자세한 내용은 파이프라인에서 리포지토리에 안전하게 액세스 하고 리포지토리 리소스 보호를 참조하세요.
사용 권한
보호된 리소스 에 대한 사용자 권한 및 파이프라인 권한을 설정할 수 있습니다.
필요한 사용자에게만 사용자 권한을 부여합니다. 리소스에 대한 사용자 역할의 멤버는 승인 및 검사를 관리할 수 있습니다.
파이프라인 권한은 보호된 리소스를 다른 파이프라인에 복사하지 않도록 보호합니다. 파이프라인 권한을 관리하려면 신뢰할 수 있는 특정 파이프라인에만 액세스 권한을 명시적으로 부여합니다.
프로젝트의 모든 파이프라인에서 보호된 리소스에 액세스할 수 있도록 하려면 프로젝트 관리자 역할이 있어야 합니다. 보안을 강화하려면 프로젝트의 모든 파이프라인에서 리소스를 사용할 수 있도록 하는 Open 액세스를 사용하도록 설정하지 마세요. 자세한 내용은 보호된 리소스에 관리자 역할 추가를 참조하세요.
확인
파이프라인에서 보호된 리소스를 완전히 보호하려면 파이프라인이 보호된 리소스를 사용하려면 먼저 충족해야 하는 검사를 추가합니다. 특정 승인 또는 기타 조건을 요구할 수 있습니다. 자세한 내용은 승인 및 검사 정의를 참조하세요.
승인
지정된 사용자 또는 그룹의 수동 승인 보류 중인 보호된 리소스에 대한 파이프라인 요청을 차단할 수 있습니다. 이 검사는 파이프라인 실행을 진행하기 전에 코드를 검토할 수 있도록 하여 추가 보안 계층을 제공합니다.
분기 제어
분기 제어는 권한 있는 분기만 보호된 리소스에 액세스할 수 있도록 합니다. 리소스에 대한 보호된 분기 검사를 수행하면 파이프라인이 권한 없는 분기에서 자동으로 실행되지 않습니다. 분기 제어를 사용하여 분기별 수동 코드 검토 요구 사항을 확장할 수 있습니다.
업무 시간
이 검사를 사용하여 파이프라인 배포가 지정된 날짜 및 기간 내에 시작되도록 합니다.
모든 검사 보기
모든 검사 보기를 선택하여 필요한 템플릿과 같은 다른 검사를 보고 적용합니다.
관련 콘텐츠
- Azure Pipelines에 대한 리소스 정보
- 승인 및 검사 정의
- 보안 에이전트, 프로젝트 및 컨테이너