Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022 | Azure DevOps Server 2020
Questo articolo descrive le funzionalità di sicurezza che consentono di proteggere le risorse protette in Azure Pipelines. Le pipeline potrebbero dover accedere alle risorse aperte o protette durante le esecuzioni.
Gli artefatti, le pipeline, i piani di test e gli elementi di lavoro sono risorse aperte. Le pipeline possono accedere liberamente a queste risorse ed è possibile automatizzare completamente i flussi di lavoro sottoscrivendo gli eventi di trigger delle risorse. Per altre informazioni sulla protezione delle risorse aperte, vedere Proteggere i progetti.
Le risorse protette , ad esempio i repository e gli ambienti, richiedono più restrizioni di accesso. Per proteggere le risorse protette, è possibile richiedere autorizzazioni, controlli e approvazioni per consentire alle pipeline di accedere alle risorse protette.
Questo articolo fa parte di una serie che consente di implementare misure di sicurezza per Azure Pipelines. Per altre informazioni, vedere Proteggere Azure Pipelines.
Prerequisiti
| Categoria | Requisiti |
|---|---|
| Azure DevOps | - Implementare le raccomandazioni in Rendere Azure DevOps sicuro e Proteggere Azure Pipelines. - Conoscenza di base di YAML e Azure Pipelines. Per altre informazioni, vedere Creare la prima pipeline. |
| Autorizzazioni | - Per modificare le autorizzazioni delle pipeline: membro del gruppo Project Administrators. - Per modificare le autorizzazioni dell'organizzazione: membro del Gruppo Amministratori Raccolta Progetti. |
Risorse protette
Le risorse protette di Azure Pipelines includono gli elementi seguenti:
- Repository
- Ambienti
- Connessioni al servizio
- Pool di agenti
- Proteggere i file
- Variabili segrete nei gruppi di variabili
È possibile impostare le autorizzazioni in modo che solo utenti e pipeline specifici in un progetto possano accedere alle risorse protette. È anche possibile definire controlli e approvazioni che devono avere esito positivo prima di avviare una fase della pipeline che usa la risorsa. Ad esempio, è possibile richiedere l'approvazione manuale prima che una fase della pipeline possa usare un ambiente. I controlli non riusciti possono sospendere o far fallire l'esecuzione della pipeline.
Risorse del repository
L'aggiunta di un repository a una pipeline richiede l'autorizzazione da parte di un utente con accesso Di collaborazione al repository. È anche possibile proteggere le risorse del repository limitando l'ambito del token di accesso di Azure Pipelines solo ai repository elencati in modo esplicito nella sezione della resources pipeline. Per altre informazioni, vedere Accedere in modo sicuro ai repository dalle pipeline e Proteggere una risorsa del repository.
Autorizzazioni
È possibile impostare le autorizzazioni utente e le autorizzazioni della pipeline per le risorse protette.
Concedere autorizzazioni utente solo agli utenti che li richiedono. I membri del ruolo Utente per una risorsa possono gestire le approvazioni e i controlli.
I permessi della pipeline impediscono di copiare risorse protette in altre pipeline. Per gestire le autorizzazioni della pipeline, concedere in modo esplicito l'accesso solo a pipeline specifiche attendibili.
Per abilitare l'accesso a una risorsa protetta in tutte le pipeline di un progetto, è necessario avere il ruolo Amministratore progetto. Per una maggiore sicurezza, non abilitare l'accesso aperto, che consente a tutte le pipeline del progetto di usare la risorsa. Per altre informazioni, vedere Aggiungere un ruolo di amministratore a una risorsa protetta.
Assegni
Per proteggere più completamente le risorse protette nelle pipeline, aggiungere controlli che devono essere soddisfatti prima che le pipeline possano utilizzare risorse protette. È possibile richiedere approvazioni specifiche o altri criteri. Per altre informazioni, vedere Definire le approvazioni e i controlli.
Approvazioni
È possibile bloccare le richieste di pipeline per le risorse protette in attesa di approvazione manuale da parte di utenti o gruppi specificati. Questo controllo fornisce un ulteriore livello di sicurezza consentendo la revisione del codice prima che l'esecuzione di una pipeline possa continuare.
Controllo ramo
Il controllo ramo garantisce che solo i rami autorizzati possano accedere alle risorse protette. Un controllo del ramo protetto per una risorsa impedisce l'esecuzione automatica delle pipeline in rami non autorizzati. Usando il controllo del branch, è possibile estendere i requisiti di revisione del codice manuale specifici del branch.
Orario di ufficio
Usare questo controllo per assicurarsi che una distribuzione della pipeline venga avviata entro un intervallo di tempo e un giorno specificato.
Visualizza tutti i controlli
Selezionare Visualizza tutti i controlli per visualizzare e applicare altri controlli, ad esempio i modelli necessari.