Управление безопасностью в Azure Pipelines

Сервисы Azure DevOps | Azure DevOps Server | Azure DevOps Server 2022

Azure Pipelines контролирует доступ к каналам и их ресурсам через иерархию групп безопасности и пользователей. Эта система управляет ресурсами, такими как конвейеры сборки, конвейеры выпуска, группы задач, пулы агентов и подключения служб. При создании конвейеры и ресурсы наследуют разрешения на уровне проекта от предопределенных групп безопасности и пользователей, влияющих на все конвейеры проекта.

Администраторы обычно имеют неограниченный доступ, участники контролируют ресурсы, а читатели имеют разрешения только для просмотра, с ролями пользователей, определяющими назначения групп. Для получения дополнительной информации см. раздел О ролях безопасности конвейера.

Предварительные условия

Область безопасности Предварительные условия
Безопасность конвейеров — Чтобы управлять группами коллекций проектов, быть членом группы "Администраторы коллекции проектов ".
— Чтобы управлять пользователями и группами проекта, быть членом группы администраторов или иметь права администрирования сборки.
Безопасность пула агентов — Чтобы управлять безопасностью пула агентов на уровне организации, коллекции или проекта, быть членом группы администраторов коллекции проектов или иметь роль администратора для пулов агентов.
— Для управления безопасностью пула агентов на уровне объекта необходимо иметь роль администратора для пула агентов.
Безопасность группы развертывания — Чтобы управлять безопасностью группы развертывания на уровне проекта, необходимо быть членом группы администраторов или иметь назначенную роль администратора.
— Для управления безопасностью для отдельных групп развертывания требуется роль администратора.
Безопасность среды — Чтобы управлять безопасностью среды на уровне проекта, быть членом группы администраторов или вам должна быть назначена роль администратора.
— Для управления безопасностью на уровне объектов для отдельных сред требуется роль администратора.
Безопасность библиотеки — Чтобы управлять безопасностью библиотеки, необходимо быть членом группы администраторов или получить роль администратора.
— Чтобы управлять безопасностью для отдельных ресурсов библиотеки, быть администратором или иметь соответствующую роль.
Безопасность конвейера выпуска — Чтобы управлять безопасностью конвейера выпуска, быть членом группы администраторов или иметь разрешения на администрирование выпуска.
— У вас есть конвейер выпуска.
Безопасность подключения к услугам — Чтобы управлять безопасностью подключения службы, быть членом группы "Администраторы проектов " или иметь роль администратора. — Чтобы управлять безопасностью на уровне проекта, быть членом группы "Администраторы проектов " или иметь роль администратора для подключений к службе.
— Для управления безопасностью на уровне объекта необходимо иметь роль администратора для подключения к службе.
Безопасность группы задач Чтобы управлять безопасностью группы задач, быть членом группы администраторов или иметь разрешения на администрирование группы задач.
— Создайте группу задач.

Настройка разрешений конвейера в Azure Pipelines

Безопасность конвейера соответствует иерархической модели разрешений пользователей и групп. Разрешения на уровне проекта наследуются на уровне объекта всеми конвейерами проекта. Вы можете изменить унаследованные и стандартные разрешения пользователей и групп для всех конвейеров на уровне проекта и объектов. Невозможно изменить разрешения, заданные системой.

В следующей таблице показаны группы безопасности по умолчанию для конвейеров:

Группа Описание
Администраторы сборочных процессов Администрирование разрешений сборки и управление конвейерами и сборками.
Соавторы Управляйте pipелайнами и сборками, но не очередями сборки. Эта группа включает всех участников команды.
Администраторы проектов Администрирование разрешений сборки и управление конвейерами и сборками.
Читатели Просмотр конвейера и сборок.
Администраторы коллекции проектов Администрирование разрешений сборки и управление конвейерами и сборками.
Администраторы построения коллекции проектов Администрирование разрешений сборки и управление конвейерами и сборками.
Учетные записи служб сборки коллекций проектов Управление сборками.
Учетные записи тестовой службы коллекции проектов Просмотр конвейеров и сборок.

Система автоматически создает пользователя <project name> Build Service (collection name), который является членом группы учетных записей Project Collection Build Service Accounts. Этот пользователь выполняет службы сборки в проекте.

В зависимости от ресурсов, используемых в конвейерах, конвейер может включать других встроенных пользователей. Например, если вы используете репозиторий GitHub для исходного кода, будет включен пользователь GitHub.

В следующей таблице показаны разрешения по умолчанию для групп безопасности:

Задача Читатели Соавторы Создание администраторов Администраторы проекта
Посмотреть сборки ✔️ ✔️ ✔️ ✔️
Просмотреть конвейер сборки ✔️ ✔️ ✔️ ✔️
Администрирование разрешений сборки ✔️ ✔️
Удаление или изменение конвейера сборки ✔️ ✔️ ✔️
Удалить или уничтожить сборки ✔️ ✔️ ✔️
Изменить качество сборки ✔️ ✔️ ✔️
Управление качествами сборки ✔️ ✔️
Управление очередью сборки ✔️ ✔️
Переопределить проверку фиксации при сборке ✔️
Построение очереди ✔️ ✔️ ✔️
Хранение на неопределенный срок ✔️ ✔️ ✔️
Остановка сборок ✔️ ✔️ ✔️
Обновить сведения о сборке ✔️ ✔️ ✔️
Задача Читатели Соавторы Создание администраторов Администраторы проекта
Посмотреть сборки ✔️ ✔️ ✔️ ✔️
Просмотреть конвейер сборки ✔️ ✔️ ✔️ ✔️
Администрирование разрешений сборки ✔️ ✔️
Создание конвейера сборки ✔️ ✔️ ✔️
Удаление или изменение конвейера сборки ✔️ ✔️ ✔️
Удалить или уничтожить сборки ✔️ ✔️
Изменить качество сборки ✔️ ✔️ ✔️
Управление качествами сборки ✔️ ✔️
Управление очередью сборки ✔️ ✔️
Переопределить проверку фиксации при сборке ✔️
Построение очереди ✔️ ✔️ ✔️
Хранение на неопределенный срок ✔️ ✔️ ✔️
Остановка сборок ✔️ ✔️
Обновить сведения о сборке ✔️

Описание разрешений конвейера см. в "Разрешениях конвейера" или "Разрешениях на сборку".

Задайте разрешения конвейера на уровне проекта

Чтобы управлять разрешениями на уровне проекта для пользователей и групп во всех конвейерах сборки в проекте, сделайте следующее:

  1. В проекте выберите "Конвейеры".

    Снимок экрана, на котором показан выбор меню конвейеров.

  2. Выберите "Дополнительные действия" и выберите "Управление безопасностью".

  3. Выберите пользователей или группы и задайте разрешения для разрешения, запрета или не заданы.

    Снимок экрана: диалоговое окно безопасности конвейеров уровня проекта.

  4. Повторите предыдущий шаг, чтобы изменить разрешения для дополнительных групп и пользователей.

  5. Закройте диалоговое окно с разрешениями, чтобы сохранить изменения.

Чтобы управлять разрешениями на уровне проекта для пользователей и групп во всех конвейерах сборки в проекте, сделайте следующее:

  1. В проекте выберите "Конвейеры".

    Снимок экрана, на котором показан выбор меню конвейеров.

  2. Выберите "Дополнительные действия" и выберите "Управление безопасностью".

  3. Выберите пользователей или группы и задайте разрешения для разрешения, запрета или не заданы.

    Снимок экрана: диалоговое окно безопасности конвейеров уровня проекта.

  4. Повторите предыдущий шаг, чтобы изменить разрешения для дополнительных групп и пользователей.

  5. Закройте диалоговое окно с разрешениями, чтобы сохранить изменения.

Добавление пользователей или групп в диалоговое окно разрешений

Чтобы добавить пользователей и группы, которые не перечислены в диалоговом окне разрешений, сделайте следующее:

  1. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска.
  2. Задайте разрешения.
  3. Закройте диалоговое окно.

При повторном открытии диалогового окна безопасности отображается пользователь или группа.

Удаление пользователей или групп из диалогового окна разрешений

Чтобы удалить пользователя из списка разрешений, сделайте следующее:

  1. Выберите пользователя или группу.

  2. Выберите "Удалить и очистить явные разрешения".

    Снимок экрана: удаление выбора пользователя или группы.

  3. По завершении закройте диалоговое окно, чтобы сохранить изменения.

Настройка разрешений для конвейера на уровне объекта

По умолчанию разрешения уровня объекта для отдельных конвейеров наследуются от разрешений на уровне проекта. Можно переопределить унаследованные разрешения на уровне проекта.

Вы можете установить разрешения как Разрешить, Запретить или Не задано, если разрешение не наследуется. Если наследование включено, вы можете сбросить явно заданное разрешение до унаследованного значения.

Чтобы управлять разрешениями для конвейера, выполните следующие действия.

  1. В проекте выберите "Конвейеры ".

    Снимок экрана, на котором показан выбор меню конвейеров.

  2. Выберите конвейер, а затем выберите "Другие действия" и выберите "Управление безопасностью".

    Снимок экрана, на котором выбрана опция безопасности из меню дополнительных действий конвейера.

  3. Выберите пользователя или группу и задайте разрешения.

    Снимок экрана: диалоговое окно безопасности конвейера уровня объекта.

  4. Повторите предыдущий шаг, чтобы изменить разрешения для дополнительных групп и пользователей.

  5. По завершении закройте диалоговое окно, чтобы сохранить изменения.

Добавление пользователей или групп в диалоговое окно разрешений

Чтобы добавить пользователей и группы, которые не перечислены в диалоговом окне разрешений, сделайте следующее:

  1. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска.
  2. Задайте разрешения.
  3. Закройте диалоговое окно.

При повторном открытии диалогового окна безопасности отображается пользователь или группа.

Удаление пользователей или групп из диалогового окна разрешений

Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено. Чтобы удалить пользователей или группы из прав доступа к конвейеру, выполните следующие действия:

  1. Выберите пользователя или группу.

  2. Выберите "Удалить и очистить явные разрешения".

    Снимок экрана: удаление выбора пользователя или группы.

  3. По завершении закройте диалоговое окно, чтобы сохранить изменения.

Настройка безопасности группы развертывания в Azure Pipelines

Группа развертывания — это логический набор целевых компьютеров развертывания с агентами, установленными на каждом из них. Группы развертывания доступны только с классическими конвейерами выпуска. Группы развертывания можно создать в следующих случаях:

  • При подготовке групп развертывания, зависимых от пулов развертывания организации, для проектов
  • При создании группы развертывания на уровне проекта
  • Когда проект делится группой развертывания, в проектах получателей создаются связанные группы развертывания.

Отдельные группы развертывания наследуют роли безопасности от назначений на уровне проекта. Вы можете переопределить назначения на уровне проекта для пользователя или группы. Чтобы удалить унаследованного пользователя или группу или снизить уровень привилегий наследуемой роли, необходимо отключить наследование.

Когда группа развертывания получает общий доступ к другому проекту, отдельная группа развертывания, которая наследует ее роли безопасности, создается в другом проекте. Если общий доступ отключен, группа развертывания удаляется из другого проекта.

В следующей таблице показаны роли безопасности для групп развертывания:

Роль Описание
Читатель Разрешен только просмотр групп развертывания.
Автор Имеет возможность создавать группы развертывания. Эта роль является только ролью уровня проекта.
Пользователь Можно просматривать и использовать группы развертывания.
Сервисная учетная запись Может просматривать агенты, создавать сеансы и прослушивать задания. Эта роль — это только роль уровня коллекции или организации.
Администратор Может администрировать, управлять, просматривать и использовать группы развертывания.

В следующей таблице показаны назначения ролей пользователей и групп по умолчанию:

Группа Роль
[имя проекта]\Участникы Создатель (уровень проекта), читатель (уровень объекта)
[имя проекта]\Администраторы группы развертывания Администратор
[имя проекта]\Администраторы проекта Администратор
[название проекта]\Администраторы релиза Администратор

Установить роли безопасности группы развертывания на уровне проекта

Выполните следующие действия, чтобы задать роли безопасности на уровне проекта для всех групп развертывания:

  1. В вашем проекте выберите Группы развертывания в разделе Конвейеры.

  2. Выберите Безопасность.

    Снимок экрана: выбор безопасности для всех групп развертывания.

  3. Задайте роли для пользователей и групп.

    Снимок экрана: диалоговое окно безопасности для всех групп развертывания.

  4. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить ".

  5. Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.

Выполните следующие действия, чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности:

  1. Выберите Добавить.
  2. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
  3. Выберите роль.
  4. Выберите Добавить, чтобы сохранить изменения.

Настройка ролей безопасности группы развертывания на уровне объекта

Выполните следующие действия, чтобы задать роли безопасности для отдельной группы развертывания:

  1. В вашем проекте выберите Группы развертывания в разделе Конвейеры.

  2. Выберите группу развертывания в разделе "Группы".

  3. Выберите Безопасность.

    Снимок экрана выбора безопасности для отдельной группы развертывания.

  4. Задайте роли для пользователей и групп. Чтобы снизить уровень привилегий наследуемой роли, отключите наследование.

    Скриншот диалогового окна безопасности группы развертывания на уровне объекта.

  5. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить ". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.

  6. Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.

При явной настройке роли отключается наследование для этого пользователя или группы. Чтобы отключить наследование для всех пользователей и групп, отключите параметр наследования . Когда вы снова включаете наследование, роли всех пользователей и групп возвращаются к назначениям на уровне проекта.

Выполните следующие действия, чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности:

  1. Выберите Добавить.
  2. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
  3. Выберите роль.
  4. Выберите Добавить, чтобы сохранить изменения.

Настройка безопасности сред в Azure Pipelines

Среды объединяют целевые объекты развертывания для конвейеров YAML, но несовместимы с классическими конвейерами. Все среды наследуют роли безопасности, назначенные на уровне проекта пользователям и группам по умолчанию. Эти параметры можно настроить для отдельных сред, включая удаление унаследованных пользователей или групп и настройку уровней привилегий, отключив наследование. Кроме того, вы можете управлять доступом к конвейеру для каждой среды.

В следующей таблице показаны роли безопасности для сред:

Роль Описание
Автор Может создавать среды в проекте. Она применяется только к безопасности на уровне проекта. Участникам автоматически назначается эта роль.
Читатель Может просматривать среду.
Пользователь Может использовать среду при создании или редактировании конвейеров YAML.
Администратор Может администрировать разрешения, создавать, управлять, просматривать и использовать среды. Создателю среды предоставляется роль администратора для этой среды. Администраторы также могут открывать доступ к среде для всех конвейеров в проекте.

В следующей таблице показаны назначения ролей пользователей и групп по умолчанию:

Группа Роль
[имя проекта]\Участникы Создатель (уровень проекта) Читатель (уровень объекта)
[имя проекта]\Администраторы проекта Создатель
[имя проекта]\Допустимые пользователи проекта Читатель

Пользователь, создающий среду, автоматически получает роль администратора для этой конкретной среды. Это назначение роли является постоянным и не может быть изменено.

Настройка ролей безопасности среды на уровне проекта

Чтобы задать роли безопасности на уровне проекта для всех сред, сделайте следующее:

  1. Из вашего проекта Среды под Конвейеры.

  2. Выберите "Дополнительные действия" и выберите "Безопасность".

    Снимок экрана: выбор безопасности для всех сред.

  3. Задайте роли для пользователей и групп администратора, создателя, пользователя или читателя.

    Снимок экрана: диалоговое окно безопасности сред уровня проекта.

  4. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить ".

  5. Нажмите кнопку "Сохранить", чтобы сохранить изменения или отменить их, чтобы вернуть несохраненные изменения.

Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности, выполните следующие действия.

  1. Выберите Добавить.
  2. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
  3. Выберите роль.
  4. Выберите Добавить, чтобы сохранить изменения.

Настройка безопасности среды на уровне объекта

По умолчанию роли безопасности уровня объектов наследуются от параметров уровня проекта. Но эти параметры можно настроить для отдельных сред, включая удаление унаследованных пользователей или групп и настройку уровней привилегий, отключив наследование. Кроме того, вы можете управлять доступом к конвейеру для каждой среды.

Настройка ролей безопасности пользователей и групп на уровне объектной среды

Чтобы настроить роли безопасности пользователей и групп для среды, сделайте следующее:

  1. В проекте выберите "Среды " в разделе "Конвейеры".

  2. Выберите среду.

  3. Выберите "Дополнительные действия" и выберите "Безопасность".

    Снимок экрана: выбор безопасности для одной среды.

  4. Задайте роли для пользователей и групп Администратор, Пользователь или Читатель.

    Снимок экрана: диалоговое окно безопасности уровня объекта для сред.

  5. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить ". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.

  6. Нажмите кнопку "Сохранить", чтобы сохранить изменения или отменить их, чтобы вернуть несохраненные изменения.

Явное задание роли для пользователя или группы отключает их наследование. Чтобы остановить наследование для всех, отключите параметр наследования . Повторная активация наследования возвращает всем пользователям и группам их исходные назначения ролей на уровне проекта.

Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности, выполните следующие действия.

  1. Выберите Добавить.
  2. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
  3. Выберите роль.
  4. Выберите Добавить, чтобы сохранить изменения.

Настройка доступа к конвейеру для среды

Разрешения конвейера можно задать для открытия доступа , чтобы разрешить доступ ко всем конвейерам в проекте или ограниченному доступу к определенным конвейерам. Только администраторы проектов могут задавать разрешения конвейера для open access.

Чтобы задать открытый доступ ко всем конвейерам в проекте, сделайте следующее:

  1. Выберите "Дополнительные действия" и выберите "Открыть доступ".

    Снимок экрана: открытый доступ для пайплайнов в среде.

  2. Выберите "Открыть доступ" в диалоговом окне подтверждения.

Чтобы ограничить доступ к конвейеру и управлять ими, сделайте следующее:

  1. Выберите " Ограничить доступ".

  2. Выберите " Добавить конвейер" и выберите конвейер в раскрывающемся меню.

  3. Чтобы удалить конвейер, выберите конвейер и щелкните значок "Отозвать доступ ".

    Скриншот параметра отмены конвейера.

Настройка безопасности библиотеки в Azure Pipelines

Библиотека упрощает совместное использование ресурсов, таких как группы переменных и безопасные файлы, в конвейерах сборки и выпуска. Она использует единую модель безопасности, позволяя назначения ролей для управления ресурсами, создания и использования. Эти роли, после установки на уровне библиотеки, автоматически применяются ко всем содержащимся ресурсам, но могут быть индивидуально скорректированы.

Роль Описание
Администратор Изменение, удаление и управление безопасностью для ресурсов библиотеки. Создатель ресурса автоматически назначает эту роль для ресурса.
Создатель Создание ресурсов библиотеки.
Читатель Чтение ресурсов библиотеки.
Пользователь Использование ресурсов библиотеки в конвейерах.

В следующей таблице показаны роли по умолчанию:

Группа Роль
[имя проекта]\Администраторы проекта Администратор
[название проекта]\Администраторы сборки Администратор
[имя проекта]\Допустимые пользователи проекта Читатель
[имя проекта]\Участникы Создатель (уровень проекта) Читатель (уровень объекта)
[название проекта]\Администраторы релиза Администратор
Служба сборки project name (название коллекции или организации) Читатель

Для отдельных ресурсов библиотек создатель автоматически назначает роль администратора .

Настройка ролей безопасности библиотеки уровня проекта

Чтобы управлять доступом ко всем ресурсам библиотеки, таким как группы переменных и защищенные файлы, выполните следующие действия.

  1. На панели навигации в проекте выберите Конвейеры>Библиотека.

    Снимок экрана: пункт меню библиотеки.

  2. Выберите Безопасность.

    Снимок экрана: кнопка

  3. Выберите пользователя или группу и измените роль читателя, пользователя, создателя или администратора.

    Снимок экрана: диалоговое окно безопасности библиотеки.

  4. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить ".

  5. Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.

Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности, выполните следующие действия.

  1. Выберите Добавить.
  2. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
  3. Выберите роль.
  4. Выберите Добавить, чтобы сохранить изменения.

Настройка ролей безопасности защищенных файлов

Роли безопасности для защищенных файлов наследуются от назначений ролей библиотеки уровня проекта по умолчанию. Эти назначения можно переопределить для отдельного файла. Чтобы удалить унаследованного пользователя или группу или снизить уровень привилегий наследуемой роли, необходимо отключить наследование.

Создатель безопасного файла автоматически назначает роль администратора для этого файла, которая не может быть изменена.

Чтобы задать разрешения для безопасного файла, выполните следующие действия.

  1. На панели навигации в проекте выберите Конвейеры>Библиотека.
  2. Выберите "Безопасные файлы".
  3. Выберите файл.
  4. Выберите Безопасность. Снимок экрана: диалоговое окно разрешения безопасного файла.
  5. Задайте нужную роль для пользователей и групп.
  6. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить ". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.
  7. Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.

При явной настройке роли отключается наследование для этого пользователя или группы. Чтобы отключить наследование для всех пользователей и групп, отключите параметр наследования . Когда вы снова включаете наследование, роли всех пользователей и групп возвращаются к назначениям на уровне проекта.

Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности, выполните следующие действия.

  1. Выберите Добавить.
  2. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
  3. Выберите роль.
  4. Выберите Добавить, чтобы сохранить изменения.

Установить роли безопасности группы переменных

Роли безопасности для групп переменных наследуются от назначений ролей библиотеки уровня проекта по умолчанию. Эти назначения можно переопределить для отдельной группы переменных. Чтобы удалить унаследованного пользователя или группу или снизить уровень привилегий наследуемой роли, необходимо отключить наследование.

Создатель группы переменных автоматически назначает роль администратора для этой группы, которая не может быть изменена.

Чтобы задать доступ для группы переменных, сделайте следующее:

  1. На панели навигации в проекте выберите Конвейеры>Библиотека.
  2. Выберите группу переменных.
  3. Выберите Безопасность. Снимок экрана: диалоговое окно разрешения группы переменных.
  4. Задайте нужную роль для пользователей и групп.
  5. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить ". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.
  6. Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.

При явной настройке роли отключается наследование для этого пользователя или группы. Чтобы отключить наследование для всех пользователей и групп, отключите параметр наследования . Когда вы снова включаете наследование, роли всех пользователей и групп возвращаются к назначениям на уровне проекта.

Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности, выполните следующие действия.

  1. Выберите Добавить.
  2. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
  3. Выберите роль.
  4. Выберите Добавить, чтобы сохранить изменения.

Настройка разрешений конвейера выпуска в Azure Pipelines

После создания конвейера выпуска можно задать разрешения на уровне проекта для всех конвейеров выпуска и разрешений на уровне объектов для отдельных конвейеров и этапов выпуска. Вы также можете задать разрешения для этапов выпуска, которые являются подмножеством разрешений, унаследованных от разрешений конвейера выпуска на уровне объекта.

В следующей таблице показана иерархия разрешений для конвейеров выпуска:

  • Разрешения для релизных конвейеров на уровне проекта
  • Разрешения конвейера выпуска на уровне объекта
  • Правила доступа для этапов на уровне объекта

В следующей таблице показаны роли пользователей и групп по умолчанию:

Группа Роль
Участники Все разрешения, кроме администрирования разрешений на выпуск.
Администраторы проектов Все разрешения.
Читатели Может просматривать конвейеры и выпуски.
Администраторы релиза Все разрешения.
Администраторы коллекции проектов Все разрешения.
<Имя> проекта Build Service (<название организации или коллекции>) Может просматривать конвейеры и выпуски.
Сервер сборки Project Collection (<имя> организации или коллекции) Может просматривать конвейеры и выпуски.

Описание разрешений см. в разделе "Разрешения и группы".

Настройка разрешений конвейера выпуска на уровне проекта

Чтобы обновить разрешения для всех выпусков, сделайте следующее:

1. В проекте выберите Конвейеры>Выпуски.

  1. Щелкните значок представления файла.

    Снимок экрана: выбор представления всех файлов.

  2. Выберите папку "Все конвейеры".

    Снимок экрана: выбор папки всех конвейеров выпуска.

  3. Выберите "Дополнительные действия" и выберите "Безопасность".

    Снимок экрана диалогового окна безопасности всех конвейеров выпуска.

  4. Выберите пользователей и группы и измените их разрешения.

    Снимок экрана всех конвейеров выпуска c опциями безопасности для добавления пользователей или групп.

  5. По завершении закройте диалоговое окно, чтобы сохранить изменения.

Добавление пользователей или групп в диалоговое окно разрешений

Чтобы добавить пользователей и группы, которые не перечислены в диалоговом окне разрешений, сделайте следующее:

  1. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска.
  2. Задайте разрешения.
  3. Закройте диалоговое окно.

При повторном открытии диалогового окна безопасности отображается пользователь или группа.

Удаление пользователей или групп из диалогового окна разрешений

Чтобы удалить пользователя из списка разрешений, сделайте следующее:

  1. На странице разрешений проекта выберите пользователя или группу.

  2. Выберите "Удалить и очистить явные разрешения".

    Снимок экрана: удаление выбора пользователя или группы.

  3. По завершении закройте диалоговое окно, чтобы сохранить изменения.

Настройка разрешений конвейера выпуска на уровне объекта

По умолчанию разрешения на уровне объекта для отдельных конвейеров выпуска наследуются от разрешений конвейера выпуска на уровне проекта. Эти унаследованные разрешения можно переопределить для определенного конвейера релизов.

Чтобы переопределить разрешения для выпуска, выполните следующие действия.

  1. В проекте выберите Конвейеры>Выпуски.

  2. Выберите значок представления файла.

  3. Выберите конвейер выпуска, который нужно изменить, а затем выберите "Дополнительные действия> безопасности".

    Скриншот диалогового окна безопасности процесса выпуска на уровне объекта.

  4. Выберите пользователей или группы, чтобы задать их разрешения как Разрешить, Запретить или Не задано.

    Снимок экрана: безопасность конвейера выпуска: добавление выбора пользователя или группы.

  5. По завершении закройте диалоговое окно, чтобы сохранить изменения.

При явной установке разрешения, наследуемой от пользователя или группы, наследование отключается для этого конкретного разрешения. Чтобы восстановить наследование, установите права доступа на значение Не задано. Чтобы отключить наследование для всех разрешений пользователя и группы, отключите параметр наследования . После повторного включения наследования разрешения для всех пользователей и групп будут возвращаться к параметрам уровня проекта.

Добавление пользователей или групп в диалоговое окно разрешений

Чтобы добавить пользователей и группы, которые не перечислены в диалоговом окне разрешений, сделайте следующее:

  1. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска.
  2. Задайте разрешения.
  3. Закройте диалоговое окно.

При повторном открытии диалогового окна безопасности отображается пользователь или группа.

Удаление пользователей или групп из диалогового окна разрешений

Пользователи и группы можно удалить из конвейера выпуска. Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено. Чтобы удалить разрешения конвейера выпуска для пользователей или групп, сделайте следующее:

  1. Выберите пользователя или группу.

  2. Выберите "Удалить и очистить явные разрешения".

    Снимок экрана: удаление выбора пользователя или группы.

  3. По завершении закройте диалоговое окно, чтобы сохранить изменения.

Настройка разрешений этапа выпуска

Разрешения этапа — это подмножество разрешений, унаследованных от разрешений конвейера выпуска на уровне объекта.

Чтобы задать разрешения для этапа, сделайте следующее:

  1. В проекте выберите Конвейеры>Выпуски.

  2. Щелкните значок представления файла и выберите "Все конвейеры".

  3. Выберите конвейер выпуска, который нужно изменить из всех конвейеров

    Снимок экрана: диалоговое окно безопасности этапа выпуска.

  4. Выберите этап, который требуется изменить.

  5. Щелкните значок"Дополнительно" и выберите "Безопасность".

    Снимок экрана с выбором параметров навигации безопасности на этапе выпуска.

  6. Чтобы добавить пользователей или группы, которые не указаны в диалоговом окне разрешений, выберите "Добавить", введите пользователя или группу и нажмите кнопку "Сохранить изменения".

  7. Выберите пользователей и группы, чтобы задать разрешения на разрешение, запрет или не задано.

    Снимок экрана: диалоговое окно безопасности этапа выпуска.

  8. Нажмите кнопку "Сохранить изменения" или выберите "Отменить изменения", чтобы отменить изменения. Перед выбором другого пользователя или группы необходимо сохранить изменения, чтобы применить разрешения.

  9. Вы можете выбрать больше пользователей и групп, чтобы изменить их разрешения.

  10. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.

  11. Завершив настройку, нажмите кнопку ОК.

При явной установке разрешения, наследуемой от пользователя или группы, наследование отключается для этого конкретного разрешения. Чтобы восстановить наследование, установите права доступа на значение Не задано. Выберите "Очистить явные разрешения" , чтобы сбросить все явно заданные разрешения на унаследованные параметры. Чтобы отключить наследование для всех разрешений пользователя и группы, отключите параметр наследования . После повторного включения наследования разрешения для всех пользователей и групп будут возвращаться к параметрам уровня проекта.

Настройка безопасности подключения службы в Azure Pipelines

Подключения к сервисам используются для подключения к внешним и удаленным сервисам. Безопасность подключения службы можно задать для:

  • Проекты: разрешения задаются на уровне объекта.
  • Потоки: разрешения задаются на уровне объекта.
  • Пользователи и группы: роли безопасности задаются на уровне проекта и объекта.

В следующей таблице показаны роли служебного подключения:

Роль Цель
Читатель Может просматривать подключения к службам.
Пользователь Можно использовать подключения службы в классических и YAML конвейерах выпуска и сборки.
Автор Может создать подключение к службе в проекте. Эта роль является только ролью уровня проекта.
Администратор Может использовать подключение службы и управлять ролями для других пользователей и групп.

В следующей таблице показаны роли безопасности по умолчанию для подключений к службам:

Группа Роль
[имя проекта]\Администраторы конечных точек Администратор
[имя проекта]\Endpoint Creators Создатель

Пользователю, создающему подключение к службе, автоматически назначается роль администратора для этого подключения к службе.

Дополнительные сведения см. в разделе "Подключения службы".

Установите уровни безопасности подключения к службе для проекта

Чтобы управлять ролями безопасности для всех подключений к службе, выполните следующие действия.

  1. В проекте выберите параметры проекта.

  2. Выберите Подключения к службе в разделе Pipelines.

  3. Выберите "Дополнительные действия" и выберите "Безопасность".

    Снимок экрана: выбор параметра безопасности подключения службы.

  4. Чтобы изменить роль, выберите пользователя или группу и выберите роль в раскрывающемся меню.

    Снимок экрана: диалоговое окно безопасности подключений к службам уровня проекта.

  5. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить ".

  6. Нажмите кнопку "Сохранить", чтобы сохранить изменения или отменить их, чтобы вернуть несохраненные изменения.

Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности, выполните следующие действия.

  1. Выберите Добавить.
  2. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
  3. Выберите роль.
  4. Выберите Добавить, чтобы сохранить изменения.

Настройка безопасности подключения службы на уровне объекта

Вы можете задать роли безопасности для пользователей и групп, а также доступ к конвейеру и проекту к подключению к службе. Отдельные подключения к сервисам наследуют назначение ролей на уровне проекта для пользователей и групп по умолчанию.

Чтобы открыть диалоговое окно безопасности для отдельного подключения к службе, сделайте следующее:

  1. В проекте выберите параметры проекта.
  2. Выберите Подключения к службе в разделе Pipelines.
  3. Выберите подключение службы.
  4. Выберите "Дополнительные действия" и выберите "Безопасность".

Настройка ролей безопасности подключения службы для пользователей и групп

Можно переопределить унаследованные роли для пользователей и групп. Наследование должно быть отключено, чтобы удалить наследуемого пользователя или группы или снизить уровень привилегий унаследованной роли.

Чтобы управлять ролями безопасности для отдельного подключения к службе, выполните следующие действия.

  1. В разделе "Разрешения пользователя" диалогового окна "Безопасность" выберите "Проект" для управления пользователями и группами на уровне проекта или организацией для управления пользователями и группами уровня организации.

    Снимок экрана: диалоговое окно разрешений пользователя для отдельных подключений к службе.

  2. Выберите пользователей и группы и измените их роли. Чтобы снизить уровень привилегий наследуемой роли, необходимо отключить наследование.

  3. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить ". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.

  4. Нажмите кнопку "Сохранить", чтобы сохранить изменения или отменить их, чтобы вернуть несохраненные изменения.

При явной настройке роли отключается наследование для этого пользователя или группы. Чтобы отключить наследование для всех пользователей и групп, отключите параметр наследования . Когда вы снова включаете наследование, роли всех пользователей и групп возвращаются к назначениям на уровне проекта.

Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности:

  1. Выберите Добавить.
  2. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.
  3. Выберите роль.
  4. Выберите Добавить, чтобы сохранить изменения.

Установите разрешения для потока сетевых подключений службы

Вы можете задать разрешения конвейера для открытия доступа, позволяя всем конвейерам использовать подключение службы или ограничить доступ к определенным конвейерам.

Если для разрешений конвейера задано значение Open access, можно ограничить доступ, выбрав параметр "Ограничить доступ ".

Снимок экрана: параметр ограничения доступа для отдельного подключения к службе.

Чтобы добавить конвейеры в подключение ограниченной службы, выберите "Добавить конвейер" и выберите конвейер из раскрывающегося меню.

Чтобы изменить подключение службы с ограниченного доступа на открытый доступ, выберите Дополнительные действия и Открыть доступ.

Скриншот параметра доступа в открытом режиме для индивидуального подключения к сервису.

Настройка разрешений проекта подключения службы

Подключение к службе можно совместно использовать в нескольких проектах. Разрешения проекта определяют, какие проекты могут использовать подключение службы. По умолчанию подключения к службам не делятся с другими проектами.

  • Только администраторы с уровня организации в разрешениях пользователей могут делиться подключением к службе с другими проектами.
  • Пользователь, который делится подключением к службе с проектом, должен иметь по крайней мере разрешение на создание подключения к службе в целевом проекте.
  • Пользователь, который делится подключением к службе с проектом, становится администратором на уровне проекта для этого подключения к службе. Наследование на уровне проекта установлено в целевом проекте.
  • Имя подключения службы автоматически добавляется к имени проекта и может быть переименовано в контексте целевого проекта.
  • Администратор уровня организации может отменить общий доступ к подключению к службе из любого общего проекта.

Доступ ограничен текущим проектом по умолчанию. Чтобы предоставить доступ к другим проектам в организации или коллекции, нажмите кнопку "Добавить проекты".

Снимок экрана: выбор разрешений проекта для отдельных подключений к службе.

Если у вас возникли проблемы с разрешениями и подключениями к службе, ознакомьтесь с Устранением неполадок подключений службы в Azure Resource Manager.

Настройка разрешений группы задач в Azure Pipelines

Разрешения для групп задач соответствуют иерархической модели. По умолчанию все группы задач наследуют разрешения на уровне проекта. После создания группы задач можно изменить разрешения на уровне проекта и разрешения уровня объекта для отдельных групп задач.

В следующей таблице показаны разрешения для групп задач:

Разрешение Описание
Администрирование разрешений группы задач Может добавлять и удалять пользователей или группы из параметров безопасности группы задач.
Удаление группы задач Может удалить группу задач.
Изменение группы задач Может создавать, изменять или удалять группу задач.

В следующей таблице показаны разрешения по умолчанию для групп безопасности:

Задача Читатели Соавторы Создание администраторов Администраторы проекта Администраторы релиза
Администрирование разрешений группы задач ✔️ ✔️ ✔️
Удаление группы задач ✔️ ✔️ ✔️
Изменение группы задач ✔️ ✔️ ✔️ ✔️

Создатель группы задач имеет все разрешения для группы задач.

Примечание.

Группы задач не поддерживаются в конвейерах YAML, но поддерживаются шаблоны. Для получения дополнительной информации см. справочник по схеме YAML.

Настройка разрешений группы задач уровня проекта

Чтобы задать разрешения для групп задач уровня проекта, сделайте следующее:

  1. В вашем проекте выберите Pipelines>группы задач.

    Снимок экрана: пункт меню группы задач.

  2. Выберите Безопасность.

    Снимок экрана: выбор безопасности групп задач.

  3. Выберите пользователей и группы, чтобы задать их разрешения на разрешение, запрет или не задано.

    Снимок экрана: диалоговое окно безопасности группы задач.

  4. По завершении закройте диалоговое окно, чтобы сохранить изменения.

Добавление пользователей или групп в диалоговое окно разрешений

Чтобы добавить пользователей и группы, которые не перечислены в диалоговом окне разрешений, сделайте следующее:

  1. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска.
  2. Задайте разрешения.
  3. Закройте диалоговое окно.

При повторном открытии диалогового окна безопасности отображается пользователь или группа.

Удаление пользователей или групп из диалогового окна разрешений

Чтобы удалить пользователя из списка разрешений, сделайте следующее:

  1. Выберите пользователя или группу.

  2. Выберите "Удалить и очистить явные разрешения".

    Снимок экрана: удаление выбора пользователя или группы.

  3. По завершении закройте диалоговое окно, чтобы сохранить изменения.

Настройка разрешений группы задач на уровне объекта

Чтобы задать разрешения для отдельных групп задач, сделайте следующее:

  1. В вашем проекте выберите Pipelines>группы задач.

    Снимок экрана: выбор группы задач.

  2. Выберите группу задач.

  3. Выберите "Дополнительные команды"и выберите "Безопасность".

  4. Выберите пользователей и группы, чтобы задать их разрешения на разрешение, запрет или не задано.

    Снимок экрана: диалоговое окно безопасности группы задач уровня объекта.

  5. По завершении закройте диалоговое окно, чтобы сохранить изменения.

Если разрешение для наследуемого пользователя или группы явно задано, наследование отключено для этого конкретного разрешения. Измените разрешение на не задано для восстановления наследования. Чтобы отключить наследование для всех разрешений пользователя и группы, отключите параметр наследования . После повторного включения наследования параметры для всех разрешений возвращаются на уровень проекта.

Добавление пользователей или групп в диалоговое окно разрешений

Чтобы добавить пользователей и группы, которые не перечислены в диалоговом окне разрешений, сделайте следующее:

  1. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска.
  2. Задайте разрешения.
  3. Закройте диалоговое окно.

При повторном открытии диалогового окна безопасности отображается пользователь или группа.

Удаление пользователей или групп из диалогового окна разрешений

Пользователи и группы можно удалить из группы задач. Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.

  1. Выберите пользователя или группу.

  2. Выберите "Удалить и очистить явные разрешения".

    Снимок экрана: удаление выбора пользователя или группы.

  3. По завершении закройте диалоговое окно, чтобы сохранить изменения.

Настройка безопасности пула агентов в Azure Pipelines

Пулы агентов — это набор агентов, которые используются для запуска заданий сборки и выпуска.

Пулы агентов можно создавать либо в области организации, либо в области проекта. Пулы агентов на уровне организации доступны для всех существующих и новых проектов в её рамках, и каждая организация по умолчанию имеет два пула агентов: Azure Pipelines и Default. Эти пулы по умолчанию доступны для всех проектов в организации.

Пулы агентов, предназначенные для конкретного проекта, создаются на уровне проекта и доступны только для этого проекта.

В параметрах организации можно управлять параметрами безопасности на уровне организации для всех пулов агентов в организации и для отдельных пулов агентов. Роли безопасности уровня организации и проекта можно управлять с помощью параметров проекта.

Пулы агентов можно создать на уровне коллекции или на уровне проекта. Пулы агентов на уровне коллекции доступны для всех существующих или новых проектов в этой коллекции, и по умолчанию каждая коллекция имеет два пула агентов: Azure Pipelines и Default. Эти пулы по умолчанию доступны для всех проектов в коллекции.

Пулы агентов, предназначенные для конкретного проекта, создаются на уровне проекта и доступны только для этого проекта.

В параметрах коллекции можно управлять параметрами безопасности на уровне коллекции для всех пулов агентов в коллекции и для отдельных пулов агентов. Роли безопасности уровня коллекции и проекта можно управлять на уровне объекта из параметров проекта.

Используйте предопределенные роли безопасности для управления безопасностью пулов агентов.

В следующей таблице показаны роли безопасности для пулов агентов:

Роль Цель
Читатель Может просматривать пулы агентов.
Пользователь Можно использовать пулы агентов в классических и YAML-конвейерах сборки и выпуска.
Создатель Может создавать пулы агентов в проекте. Эта роль является только ролью уровня проекта.
Сервисная учетная запись Может просматривать агентов, создавать сеансы и отслеживать задания из пула агентов. Эта роль устанавливается только на уровне организации или коллекции.
Администратор Может управлять пулами агентов и управлять ролями для других пользователей и групп.

В следующей таблице показаны роли безопасности проекта и объекта по умолчанию для пулов агентов.

Группа Роль
[имя проекта]\Администраторы проекта Администратор
[название проекта]\Администраторы сборки Администратор
[имя проекта]\Допустимые пользователи проекта Читатель
[название проекта]\Администраторы релиза Администратор
Пользователь, создавший пул агентов Администратор

Добавьте директора в качестве пользователя

Прежде чем добавить пользователя или служебного принципала в настройки безопасности агентского пула, необходимо сначала добавить его как пользователя в вашей организации.

  1. Перейдите к параметрам организации.
  2. Выберите Пользователи.
  3. Добавьте пользователя или учетную запись службы с доступом не ниже базового.

Настройка безопасности организации для пулов агентов

Вы можете управлять пользователями и группами на уровне коллекции для всех пулов агентов в организации или для отдельных пулов агентов, ориентированных на проект. Роли безопасности для пулов агентов — читатель, учетная запись службы и администратор. Роли пользователя и создателя недоступны на уровне организации.

Настройка безопасности организации для всех пулов агентов

По умолчанию пользователи или группы не имеют явных ролей для всех пулов на уровне организации. Вы можете добавить пользователей и группы уровня организации и управлять ролями безопасности для всех пулов агентов в организации.

Чтобы управлять ролями безопасности для всех пулов агентов в организации, сделайте следующее:

  1. Добавьте пользователя или группу в качестве пользователя в организацию.

  2. Перейдите в параметры организации и выберите пулы агентов.

  3. Выберите Безопасность.

    Снимок экрана: выбор безопасности на уровне организации для всех пулов агентов.

  4. Чтобы добавить пользователей и группы, выполните приведенные ниже действия.

    1. Выберите Добавить
    2. Введите пользователя или группу и выберите его из результатов поиска.
    3. Выберите роль и нажмите кнопку "Добавить".
    4. Повторите предыдущий шаг, чтобы добавить пользователей и группы.
    5. Нажмите кнопку "Сохранить", чтобы сохранить изменения.
    6. Убедитесь, что новые пользователи сохраняются в списке. Если они не сохранили, убедитесь, что пользователи являются членами вашей организации с по крайней мере базовым доступом и повторите попытку.
    7. Нажмите кнопку "Закрыть", чтобы закрыть окно разрешений пользователя .

  5. Чтобы создать новый конвейер, вам нужны разрешения на создание конвейера сборки. Чтобы добавить разрешение, откройте параметры безопасности для всех конвейеров и убедитесь, что к группе безопасности применено "Разрешить" для "Создать конвейер сборки".

  6. Чтобы удалить пользователя или группу из списка, выберите пользователя или группу и нажмите кнопку "Удалить ".

  7. Чтобы изменить роль безопасности, выберите пользователя или группу и выберите роль из раскрывающегося списка.

  8. Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.

    Снимок экрана: диалоговое окно безопасности уровня организации для всех пулов агентов.

  9. Закройте диалоговое окно.

Настройка безопасности организации для отдельных пулов агентов

Отдельные пулы агентов наследуют назначения безопасности на уровне организации. Пулы агентов Default и Azure Pipelines включают группу Project Valid Users для каждого проекта в организации.

Пулы агентов, созданные на уровне проекта, автоматически назначаются группе [<имя проекта>]\Project Valid Users и создателю пула агентов. Создатель не может быть удален или изменен. Здесь перечислены все пользователи и группы уровня организации, добавленные из параметров проекта.

Вы можете добавлять и удалять пользователей и групп уровня организации и задавать роли безопасности для отдельного пула агентов. Роли безопасности на этом уровне — читатель, учетная запись службы и администратор.

Чтобы управлять ролями безопасности для всех пулов агентов в коллекции, сделайте следующее:

  1. Перейдите в параметры организации и выберите пулы агентов.
  2. Выберите пул агентов.
  3. Выберите Безопасность.
  4. Чтобы добавить пользователей и группы, выполните приведенные ниже действия.
    1. Выберите Добавить
    2. Введите пользователя или группу и выберите его из результатов поиска.
    3. Повторите предыдущий шаг, чтобы добавить пользователей и группы.
    4. Выберите роль и нажмите кнопку "Добавить".
      Снимок экрана: добавление пользователя на уровне организации для пула агентов.
  5. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить ".
  6. Чтобы изменить роль безопасности, выберите пользователя или группу и выберите роль из раскрывающегося списка.
  7. Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения. Снимок экрана: диалоговое окно безопасности уровня организации для отдельного пула агентов.
  8. Закройте диалоговое окно.

Настройка безопасности коллекции для пулов агентов

Вы можете управлять пользователями и группами на уровне коллекции для всех пулов агентов в коллекции или на уровне объекта для пулов агентов, принадлежащих проекту. Роли безопасности для пулов агентов: Читатель, учетная запись службы, и администратор. Роли пользователя и создателя недоступны на уровне коллекции.

Настройка безопасности коллекции для всех пулов агентов

По умолчанию никакие пользователи или группы не имеют явных ролей для всех пулов в коллекции. Вы можете добавлять пользователей и группы уровня коллекции и управлять ролями безопасности для всех пулов агентов в коллекции.

Чтобы управлять ролями безопасности для всех пулов агентов в коллекции, сделайте следующее:

  1. Перейдите к параметрам коллекции: и выберите пулы агентов.

  2. Выберите Безопасность.

    Снимок экрана: выбор безопасности на уровне коллекции для всех пулов агентов.

  3. Чтобы добавить пользователей и группы, выполните приведенные ниже действия.

    1. Выберите Добавить

    2. Введите пользователя или группу и выберите его из результатов поиска.

    3. Повторите предыдущий шаг, чтобы добавить пользователей и группы.

    4. Выберите роль и нажмите кнопку "Добавить".

      Снимок экрана: диалоговое окно добавления пользователя для всех пулов агентов.

  4. Чтобы удалить пользователя или группу из списка, выберите пользователя или группу и нажмите кнопку "Удалить ". Наследование должно быть отключено или пользователь или группа не должны наследоваться от параметров безопасности на уровне проекта.

  5. Чтобы изменить роль безопасности, выберите пользователя или группу и выберите роль из раскрывающегося списка.

  6. Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.

    Снимок экрана: диалоговое окно безопасности уровня коллекции для всех пулов агентов.

  7. Закройте диалоговое окно.

Установка безопасности сбора для отдельных пулов агентов

Отдельные пулы агентов наследуют назначения безопасности на уровне коллекции. Пулы агентов Default и Azure Pipelines включают группу Project Valid Users для каждого проекта в коллекции.

Пулы агентов, созданные на уровне проекта, автоматически назначаются группе [<имя проекта>]\Project Valid Users и создателю пула агентов. Создатель не может быть удален или изменен. Здесь перечислены все пользователи и группы уровня коллекции, добавленные из параметров проекта.

Вы можете добавлять и удалять пользователей и групп уровня коллекции и задавать роли безопасности для отдельного пула агентов. Роли безопасности на этом уровне — читатель, учетная запись службы и администратор. Чтобы снизить уровень привилегий наследуемой роли, необходимо отключить наследование.

Чтобы управлять ролями безопасности для всех пулов агентов в коллекции, сделайте следующее:

  1. Перейдите к параметрам коллекции: и выберите пулы агентов.

  2. Выберите пул агентов.

  3. Выберите Безопасность.

  4. Чтобы добавить пользователей и группы, выполните приведенные ниже действия.

    1. Выберите Добавить

    2. Введите пользователя или группу и выберите его из результатов поиска.

    3. Повторите предыдущий шаг, чтобы добавить пользователей и группы.

    4. Выберите роль и нажмите кнопку "Добавить".

      Снимок экрана: диалоговое окно добавления пользователя на уровне коллекции.

  5. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить ".

  6. Чтобы изменить роль безопасности, выберите пользователя или группу и выберите роль из раскрывающегося списка.

  7. Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.

    Снимок экрана: диалоговое окно безопасности для пула агентов на уровне коллекции.

  8. Закройте диалоговое окно.

Настройка безопасности пула агентов уровня проекта

Чтобы задать роли безопасности уровня проекта для всех пулов агентов, сделайте следующее:

  1. В проекте выберите параметры проекта и выберите пулы агентов.

  2. Выберите Безопасность.

    Снимок экрана: выбор безопасности для всех пулов агентов.

  3. Выберите пользователя или группу и задайте роль читателя, пользователя, создателя или администратора.

    Снимок экрана: диалоговое окно безопасности для всех пулов агентов.

  4. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить ".

  5. Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.

Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности:

  1. Выберите Добавить.

  2. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.

  3. Выберите роль.

  4. Выберите Добавить, чтобы сохранить изменения.

    Снимок экрана: диалоговое окно добавления пользователя.

Настройка безопасности пула агентов уровня объекта

Вы можете переопределить назначения ролей пользователей и групп на уровне проекта и задать права конвейера для отдельного пула агентов. Чтобы удалить унаследованного пользователя или группу или снизить уровень привилегий наследуемой роли, необходимо отключить наследование.

Чтобы открыть диалоговое окно безопасности, выполните следующие действия.

  1. В проекте выберите параметры проекта и выберите пулы агентов.

  2. Выберите пул агентов.

  3. Выберите Безопасность.

Задание разрешений конвейера для отдельного пула агентов

Чтобы задать разрешения конвейера для отдельного пула агентов, выполните следующие действия.

  1. Выберите " Ограничить разрешение". Этот параметр доступен только в том случае, если пул не ограничен определенными конвейерами.

    Снимок экрана: диалоговое окно разрешений канала для отдельного агентского пула.

  2. Выберите "Добавить конвейер ".

    Снимок экрана: кнопка для добавления конвейера.

  3. Выберите конвейер обработки данных, который нужно добавить в пул агентов, из раскрывающегося меню.

Чтобы открыть доступ ко всем конвейерам, выберите "Дополнительные действия", а затем выберите "Открыть доступ".

Снимок экрана: открытый доступ к пулу агентов для всех выбранных конвейеров.

Установите разрешения пользователя пула агентов на уровне объекта

В разделе разрешений пользователя диалогового окна безопасности:

  1. Выберите пользователя или группу и задайте роль читателю, пользователю или администратору.

    Снимок экрана: диалоговое окно разрешений пользователя для отдельного пула агентов.

  2. Чтобы удалить пользователя или группу, выберите пользователя или группу и нажмите кнопку "Удалить ". Унаследованные пользователи и группы не могут быть удалены, если наследование не отключено.

  3. Нажмите кнопку "Сохранить изменения", чтобы сохранить изменения или сбросить изменения, чтобы вернуть несохраненные изменения.

При явной настройке роли отключается наследование для этого пользователя или группы. Чтобы отключить наследование для всех пользователей и групп, отключите параметр наследования . Когда вы снова включаете наследование, роли всех пользователей и групп возвращаются к назначениям на уровне проекта.

Чтобы добавить пользователей или группы проекта, которые не перечислены в диалоговом окне безопасности, выполните следующие действия.

  1. Выберите Добавить.

  2. Введите пользователя или группу в строке поиска, а затем выберите пользователя или группу из результата поиска. Можно добавить нескольких пользователей и групп.

  3. Выберите роль.

  4. Выберите Добавить, чтобы сохранить изменения.

    Снимок экрана: диалоговое окно добавления пользователя.

Связанный контент

  • Last updated on