Nastavení zabezpečení pro spravované fondy DevOps můžete nakonfigurovat při vytváření fondu pomocí karty Zabezpečení a po vytvoření fondu pomocí podokna Nastavení zabezpečení .
Konfigurace přístupu k organizaci
Ve výchozím nastavení jsou spravované fondy DevOps nakonfigurované pro jednu organizaci s přístupem k fondu uděleným všem projektům v organizaci. Volitelně můžete omezit přístup k určitým projektům v organizaci a v případě potřeby můžete udělit přístup k dalším organizacím.
Spravované fondy DevOps se ve výchozím nastavení konfigurují pro použití s jednou organizací Azure DevOps, kterou určíte při vytváření fondu. Pokud je fond nakonfigurovaný pro jednu organizaci, zobrazí se název organizace a nakonfiguruje se v nastavení fondu.
Ve výchozím nastavení je možnost Přidat fond do všech projektů nastavená na Ano a přístup ke spravovanému fondu DevOps se uděluje všem projektům v organizaci. Zvolte Ne a určete seznam projektů, které omezí, které projekty ve vaší organizaci můžou fond používat.
Organizace jsou nakonfigurované ve organizationProfile vlastnosti prostředku Spravované fondy DevOps.
Oddíl organizationProfile má následující vlastnosti.
Vlastnost
Popis
organizations
Seznam organizací, které můžou fond používat. url určuje adresu URL organizace, je seznam názvů projektů, projects které můžou fond používat (prázdný seznam podporuje všechny projekty v organizaci) a parallelism určuje počet agentů, které může tato organizace používat. Součet paralelismu pro organizace musí odpovídat maximálnímu nastavení agentů pro fond.
permissionProfile
Zadejte oprávnění udělená fondu Azure DevOps při jeho vytvoření. Tuto hodnotu lze nastavit pouze při vytváření fondu. Povolené hodnoty jsou Inherit, CreatorOnlya SpecificAccounts. Pokud specificAccounts je zadána, zadejte jednu e-mailovou adresu nebo seznam e-mailových adres pro users vlastnost; jinak vynecháte users. Další informace najdete v tématu Oprávnění pro správu fondu.
kind
Tato hodnota určuje typ organizace pro fond a musí být nastaven na Azure DevOpshodnotu .
Organizace jsou nakonfigurované v parametru organization-profile při vytváření nebo aktualizaci fondu.
az mdp pool create \
--organization-profile organization-profile.json
# other parameters omitted for space
Následující příklad ukazuje organization-profile objekt, který je nakonfigurován pro všechny projekty v fabrikam-tailspin organizaci s parallelism nastavenou na 1.
Oddíl organizationProfile má následující vlastnosti.
Vlastnost
Popis
AzureDevOps
Tato hodnota je název objektu definovaného v organization-profile a musí být nastaven na Azure DevOps.
organizations
Seznam organizací, které můžou fond používat. url určuje adresu URL organizace, je seznam názvů projektů, projects které můžou fond používat (prázdný seznam podporuje všechny projekty v organizaci) a parallelism určuje počet agentů, které může tato organizace používat. Součet paralelismu pro organizace musí odpovídat maximálnímu nastavení agentů pro fond.
permissionProfile
Zadejte oprávnění udělená fondu Azure DevOps při jeho vytvoření. Tuto hodnotu lze nastavit pouze při vytváření fondu. Povolené hodnoty jsou Inherit, CreatorOnlya SpecificAccounts. Pokud specificAccounts je zadána, zadejte jednu e-mailovou adresu nebo seznam e-mailových adres pro users vlastnost; jinak vynecháte users. Další informace najdete v tématu Oprávnění pro správu fondu.
Povolte použití fondu ve více organizacích , abyste mohli fond používat s několika organizacemi Azure DevOps. Pro každou organizaci zadejte projekty, které mají povoleno používat fond, nebo ponechte prázdné, aby bylo možné povolit všechny projekty. Konfigurujte paralelismus pro každou organizaci tak, že určíte, jaké části souběžnosti určí maximální počet agentů fondu, aby se přidělily jednotlivým organizacím. Součet paralelismu pro všechny organizace musí odpovídat maximální souběžnosti fondu. Pokud je například maximální počet agentů nastaven na pět, musí být součet paralelismu pro zadané organizace pět. Pokud je maximální počet agentů nastavený na jednu, můžete fond používat jenom s jednou organizací.
V následujícím příkladu je fond nakonfigurovaný tak, aby byl dostupný pro projekty FabrikamResearch a FabrikamTest v organizaci fabrikam-tailspin a pro všechny projekty v organizaci fabrikam-blue .
Pokud se zobrazí chyba podobná The sum of parallelism for all organizations must equal the max concurrency., ujistěte se, že maximální počet agentů pro fond odpovídá součtu sloupce Paralelismus .
Přidejte do seznamu organizací další organizace a nakonfigurujte fond pro použití s více organizacemi. V následujícím příkladu jsou nakonfigurované dvě organizace. První organizace je nakonfigurovaná tak, aby používala spravované fondy DevOps pro všechny projekty a druhá organizace je omezená na dva projekty. V tomto příkladu je nastavení maximálního počtu agentů pro fond čtyři a každá organizace může používat dva z těchto čtyř agentů.
Organizace jsou nakonfigurované v parametru organization-profile při vytváření nebo aktualizaci fondu.
az mdp pool create \
--organization-profile organization-profile.json
# other parameters omitted for space
Přidejte do seznamu organizací další organizace a nakonfigurujte fond pro použití s více organizacemi. V následujícím příkladu jsou nakonfigurované dvě organizace. První organizace je nakonfigurovaná tak, aby používala spravované fondy DevOps pro všechny projekty a druhá organizace je omezená na dva projekty. V tomto příkladu je nastavení maximálního počtu agentů pro fond čtyři a každá organizace může používat dva z těchto čtyř agentů.
Interaktivní režim je nakonfigurován v osProfile části fabricProfile vlastnosti. Nastavte logonType na Interactive povolení interaktivního režimu nebo Service zakázat interaktivní režim.
V rámci procesu vytváření spravovaného fondu DevOps se v Azure DevOps vytvoří fond agentů na úrovni organizace. Nastavení oprávnění pro správu fondu určuje, kteří uživatelé mají udělenou roli správce nově vytvořeného fondu Azure DevOps. Pokud chcete zobrazit a spravovat oprávnění fondu agentů Azure DevOps po vytvoření spravovaného fondu DevOps, přečtěte si téma Vytvoření a správa fondů agentů – Zabezpečení fondů agentů.
Pouze autor – Uživatel, který vytvořil spravovaný fond DevOps, se přidá jako správce fondu agentů Azure DevOps a dědičnost je v nastavení zabezpečení fondu agentů vypnutá. Výchozí nastavení je jenom Tvůrce.
Dědit oprávnění z projektu – Uživatel, který vytvořil spravovaný fond DevOps, se přidá jako správce fondu agentů Azure DevOps a dědičnost je v nastavení zabezpečení fondu agentů nastavená na Zapnuto .
Konkrétní účty – Zadejte účty , které se mají přidat jako správci vytvořeného fondu agentů v Azure DevOps. Ve výchozím nastavení se do seznamu přidá tvůrce spravovaného fondu DevOps.
Poznámka:
Nastavení oprávnění pro správu fondu je nakonfigurováno na kartě Zabezpečení při vytváření fondu a po vytvoření fondu se v nastavení zabezpečení nezobrazí. Pokud chcete zobrazit a spravovat oprávnění fondu agentů Azure DevOps po vytvoření spravovaného fondu DevOps, přečtěte si téma Vytvoření a správa fondů agentů – Zabezpečení fondů agentů.
Oprávnění pro správu fondu se konfigurují ve permissionsProfile vlastnosti organizationProfile oddílu prostředku Spravované fondy DevOps.
Vlastnost permissionProfile lze nastavit pouze při vytváření fondu. Povolené hodnoty jsou Inherit, CreatorOnlya SpecificAccounts.
CreatorOnly– Uživatel, který vytvořil spravovaný fond DevOps, se přidá jako správce fondu agentů Azure DevOps a dědičnost je v nastavení zabezpečení fondu agentů vypnutá. Výchozí nastavení je jenom Tvůrce.
Inherit – Uživatel, který vytvořil spravovaný fond DevOps, se přidá jako správce fondu agentů Azure DevOps a v nastavení zabezpečení fondu agentů se dědičnost nastaví na Zapnuto .
SpecificAccounts – Zadejte účty, které se mají přidat jako správci vytvořeného fondu agentů v Azure DevOps. Ve výchozím nastavení se do seznamu přidá tvůrce spravovaného fondu DevOps. Zadejte jednu e-mailovou adresu nebo seznam e-mailových adres pro users vlastnost, jinak je vynecháte users.
Vlastnost permissionProfile lze nastavit pouze při vytváření fondu. Povolené hodnoty jsou Inherit, CreatorOnlya SpecificAccounts.
CreatorOnly– Uživatel, který vytvořil spravovaný fond DevOps, se přidá jako správce fondu agentů Azure DevOps a dědičnost je v nastavení zabezpečení fondu agentů vypnutá. Výchozí nastavení je jenom Tvůrce.
Inherit – Uživatel, který vytvořil spravovaný fond DevOps, se přidá jako správce fondu agentů Azure DevOps a v nastavení zabezpečení fondu agentů se dědičnost nastaví na Zapnuto .
SpecificAccounts – Zadejte účty, které se mají přidat jako správci vytvořeného fondu agentů v Azure DevOps. Ve výchozím nastavení se do seznamu přidá tvůrce spravovaného fondu DevOps. Zadejte jednu e-mailovou adresu nebo seznam e-mailových adres pro users vlastnost, jinak je vynecháte users.
Spravované fondy DevOps nabízejí možnost načíst certifikáty ze služby Azure Key Vault během zřizování, což znamená, že certifikáty už na počítači budou existovat v době, kdy spouští vaše kanály Azure DevOps. Pokud chcete tuto funkci použít, musíte nakonfigurovat identitu ve fondu a tato identita musí mít oprávnění uživatele tajných kódů služby Key Vault k načtení tajného klíče ze služby Key Vault. Pokud chcete přiřadit svou identitu k roli uživatele tajných kódů služby Key Vault, přečtěte si téma Poskytnutí přístupu ke klíčům, certifikátům a tajným kódům služby Key Vault pomocí řízení přístupu na základě role v Azure.
Poznámka:
api-version 2024-10-19Pokud tuto funkci používáte, můžete v rámci fondu použít pouze jednu identitu. Podpora více identit bude brzy přidána.
K načtení tajných kódů ze služby Key Vault je možné použít pouze jednu identitu.
Integrace služby Key Vault se konfiguruje v nastavení > zabezpečení.
Poznámka:
Nastavení integrace služby Key Vault je možné nakonfigurovat až po vytvoření fondu. Nastavení integrace služby Key Vault není možné nakonfigurovat během vytváření fondu a během vytváření fondu se na kartě Zabezpečení nezobrazují.
Služba Azure Key Vault je nakonfigurovaná v osProfile části fabricProfile vlastnosti. secretManagementSettings Nastavte, aby měl přístup k požadovanému certifikátu.
Služba Azure Key Vault je nakonfigurovaná v osProfile části fabricProfile vlastnosti při vytváření nebo aktualizaci fondu. secretManagementSettings Nastavte, aby měl přístup k požadovanému certifikátu.
az mdp pool create \
--fabric-profile fabric-profile.json
# other parameters omitted for space
Následující příklad ukazuje osProfile část souboru fabric-profile.json s nakonfigurovaným kódemsecretsManagementSettings.
Certifikáty načtené pomocí fondu SecretManagementSettings se automaticky synchronizují s nejnovějšími verzemi publikovanými ve službě Key Vault. Tyto tajné kódy budou na počítači v době, kdy spouští jakýkoli kanál Azure DevOps, což znamená, že můžete ušetřit čas a odebrat úlohy pro načítání certifikátů.
Důležité
Zřízení virtuálních počítačů agenta selže, pokud se tajný klíč nedá načíst ze služby Key Vault kvůli oprávněním nebo problému se sítí.
Pro Windows může být umístění úložiště certifikátů nastaveno na LocalMachine hodnotu nebo CurrentUser. Toto nastavení zajistí instalaci tajného klíče v tomto umístění na počítači. Konkrétní chování fungování načítání tajných kódů najdete v dokumentaci k rozšíření Azure VMSS Key Vault pro Windows.
V případě Linuxu může být umístění úložiště certifikátů libovolným adresářem na počítači a certifikáty se stáhnou a synchronizují do daného umístění. Konkrétní informace o výchozím nastavení a chování tajných kódů najdete v dokumentaci k rozšíření Azure VMSS Key Vault pro Linux.
