Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Сервисы Azure DevOps | Azure DevOps Server | Azure DevOps Server 2022
В этой статье объясняется, как безопасно хранить и использовать конфиденциальные файлы, такие как сертификаты и ключи, в Azure Pipelines с библиотекой безопасных файлов. Защита файлов помогает защитить конфиденциальные данные путем шифрования файлов, неактивных на сервере. Только конвейеры, которые вы явно авторизуете, могут получить доступ к защищенным файлам, что помогает обеспечить безопасность учетных данных и других критически важных файлов.
В этой статье рассматриваются добавление защищенных файлов, настройка разрешений и использование безопасных файлов в конвейере.
Используйте библиотеку защищенных файлов для хранения таких файлов, как:
- Сертификаты для подписи
- Профили конфигурирования Apple
- Файлы хранилища ключей Android
- Ключи SSH
Ограничение размера для каждого защищенного файла составляет 10 МБ.
Защищенные файлы хранятся на сервере в зашифрованной форме и могут использоваться только в задаче конвейера. Защищенные файлы — это защищенный ресурс. Для ограничения доступа к файлам можно использовать одобрения, проверки и права доступа к конвейеру. Безопасные файлы также используют роли модели безопасности библиотеки.
Предварительные требования
- Проект Azure DevOps.
- Разрешения на создание конвейеров и добавление элементов библиотеки.
- Одна из следующих ролей:
- Администратор проекта, участник или пользовательская роль с разрешениями на управление элементами библиотеки.
- Для управления безопасностью и разрешениями библиотеки требуется администратор проекта или эквивалентные разрешения.
- Организация Azure DevOps разрешает доступ к ресурсам конвейера, а параметры конвейера проекта не ограничивают безопасное использование файлов.
- Файл сертификата, хранилища ключей или конфигурации, который вы хотите безопасно использовать в пайплайне. Размер файла не должен превышать 10 МБ.
Добавление защищенного файла
В проекте Azure DevOps перейдите вбиблиотеку> из меню слева.
Перейдите на вкладку "Безопасные файлы ".
Выберите +Безопасный файл для отправки безопасного файла. Чтобы загрузить файл, выберите его или перетащите и отпустите.
Нажмите ОК.
Убедитесь, что новый файл появится в списке безопасных файлов . После отправки защищенного файла невозможно изменить или заменить его содержимое. Чтобы обновить защищенный файл, удалите существующий файл и отправьте новую версию. При изменении имени файла может потребоваться обновить все конвейеры, ссылающиеся на файл.
Определение ролей безопасности и разрешений
Вы можете определить ограничения и разрешения ролей безопасности для всех элементов в библиотеке или для отдельных элементов.
Чтобы назначить роли безопасности для всех элементов в библиотеке, перейдите в Конвейеры>Библиотека в меню слева, затем выберите Безопасность.
Чтобы определить разрешения для отдельного файла, выполните следующие действия.
- В меню слева в "Конвейеры>Библиотека" выберите вкладку "Безопасные файлы", а затем выберите файл.
- В верхней части страницы сведений о защищенном файле выберите:
- Безопасность для задания пользователей и ролей безопасности, которые могут получить доступ к файлу.
- Права доступа конвейера для выбора YAML-конвейеров, которые могут получить доступ к файлу.
- Утверждения и проверки для назначения утверждающих лиц и других проверок использования файла. Дополнительные сведения см. в разделе "Утверждения и проверки".
Авторизация конвейера YAML для использования безопасного файла
Чтобы использовать безопасный файл в конвейерах YAML, авторизуйте конвейер для использования файла. Все классические трубопроводы могут получить доступ к защищенным файлам.
Чтобы авторизовать конвейер или все конвейеры для использования безопасного файла:
- В меню "Пайплайны>" выберите вкладку Безопасные файлы, а затем выберите файл.
- В верхней части страницы сведений о защищенном файле выберите Права доступа конвейера.
- На экране разрешений конвейера выберите +и выберите конвейер проекта для авторизации. Или, чтобы авторизовать все конвейеры для использования файла, щелкните значок "Дополнительные действия", выберите "Открыть доступ" и снова нажмите кнопку "Открыть доступ", чтобы подтвердить.
Использование безопасного файла в конвейере
Чтобы использовать безопасные файлы в конвейере, используйте служебную задачу Загрузить безопасный файл. Прежде чем начать, необходимо добавить безопасный файл в библиотеку и авторизовать конвейер для использования файла. Агент конвейера должен работать с версией 2.182.1 или более поздней. Дополнительные сведения см. в разделе "Версия агента" и "Обновления".
В следующем примере конвейер YAML загружает файл защищенного сертификата и устанавливает его в среде Linux.
- task: DownloadSecureFile@1
name: caCertificate
displayName: 'Download CA certificate'
inputs:
secureFile: 'myCACertificate.pem'
- script: |
echo Installing $(caCertificate.secureFilePath) to the trusted CA directory...
sudo chown root:root $(caCertificate.secureFilePath) # Change file ownership to root
sudo chmod a+r $(caCertificate.secureFilePath) # Make the file readable by all users
sudo ln -s -t /etc/ssl/certs/ $(caCertificate.secureFilePath) # Create a symbolic link in the trusted certificates directory
Примечание.
Если при Invalid Resource скачивании безопасного файла с azure DevOps Server в локальной среде возникает ошибка, убедитесь, что на сервере отключена обычная проверка подлинности IIS.
Связанный контент
Чтобы создать пользовательскую задачу, использующую защищенные файлы, используйте входные данные с типом
secureFileв task.json. Дополнительные сведения см. в статье о создании пользовательской задачи.Задача Установить профиль конфигурации Apple — это простой пример, использующий защищённый файл. Исходный код см. в разделе InstallAppleProvisioningProfileV1.
Сведения об обработке защищенных файлов во время задач сборки или релиза см. в модуле Common по задачам.