Configuración de las opciones de seguridad de grupos de DevOps administrados
Artículo
Puede configurar la configuración de seguridad para grupos de DevOps administrados durante la creación del grupo mediante la pestaña Seguridad y después de la creación del grupo mediante el panel Configuración de seguridad.
Configuración del acceso de la organización
De forma predeterminada, los grupos de DevOps administrados están configurados para una sola organización, con acceso al grupo concedido a todos los proyectos de la organización. Opcionalmente, puede limitar el acceso a proyectos específicos de la organización y puede conceder acceso a organizaciones adicionales si lo desea.
De forma predeterminada, los grupos de DevOps administrados se configuran para su uso con una sola organización de Azure DevOps que especifique al crear el grupo. Cuando el grupo está configurado para una sola organización, el nombre de la organización se muestra y se configura en Configuración del grupo.
De forma predeterminada, Agregar grupo a todos los proyectos se establece en Sí y se concede acceso al grupo de DevOps administrado a todos los proyectos de la organización. Elija No para especificar una lista de proyectos para limitar qué proyectos de su organización pueden usar el grupo.
Las organizaciones se configuran en la organizationProfile propiedad del recurso Grupos de DevOps administrados.
La organizationProfile sección tiene las siguientes propiedades.
Propiedad
Descripción
organizations
Lista de las organizaciones que pueden usar el grupo. url especifica la dirección URL de la organización, projects es una lista de nombres de proyecto que pueden usar el grupo (una lista vacía admite todos los proyectos de la organización) y parallelism especifica el número de agentes que puede usar esta organización. La suma del paralelismo de las organizaciones debe coincidir con la configuración máxima de agentes del grupo.
permissionProfile
Especifique el permiso concedido al grupo de Azure DevOps cuando se cree. Este valor solo se puede establecer durante la creación del grupo. Los valores permitidos son Inherit, CreatorOnly y SpecificAccounts. Si specificAccounts se especifica , proporcione una sola dirección de correo electrónico o una lista de direcciones de correo electrónico para la users propiedad; de lo contrario, omita users. Para más información, consulte Permisos de administración de grupos.
kind
Este valor especifica el tipo de organización para el grupo y debe establecerse en Azure DevOps.
Las organizaciones se configuran en el organization-profile parámetro al crear o actualizar un grupo.
az mdp pool create \
--organization-profile organization-profile.json
# other parameters omitted for space
En el ejemplo siguiente se muestra un organization-profile objeto configurado para todos los proyectos de la fabrikam-tailspin organización con parallelism establecido en 1.
La organizationProfile sección tiene las siguientes propiedades.
Propiedad
Descripción
AzureDevOps
Este valor es el nombre del objeto definido en y debe establecerse Azure DevOpsen organization-profile .
organizations
Lista de las organizaciones que pueden usar el grupo. url especifica la dirección URL de la organización, projects es una lista de nombres de proyecto que pueden usar el grupo (una lista vacía admite todos los proyectos de la organización) y parallelism especifica el número de agentes que puede usar esta organización. La suma del paralelismo de las organizaciones debe coincidir con la configuración máxima de agentes del grupo.
permissionProfile
Especifique el permiso concedido al grupo de Azure DevOps cuando se cree. Este valor solo se puede establecer durante la creación del grupo. Los valores permitidos son Inherit, CreatorOnly y SpecificAccounts. Si specificAccounts se especifica , proporcione una sola dirección de correo electrónico o una lista de direcciones de correo electrónico para la users propiedad; de lo contrario, omita users. Para más información, consulte Permisos de administración de grupos.
Habilite Uso del grupo en varias organizaciones para usar el grupo con varias organizaciones de Azure DevOps. Para cada organización, especifique los proyectos que pueden usar el grupo o deje en blanco para permitir todos los proyectos. Configure el paralelismo para cada organización especificando las partes de la simultaneidad, según lo especificado por Máximo de agentes para el grupo, para asignar a cada organización. La suma del paralelismo para todas las organizaciones debe ser igual a la simultaneidad máxima del grupo. Por ejemplo, si Máximo de agentes se establece en cinco, la suma del paralelismo para las organizaciones especificadas debe ser cinco. Si Máximo de agentes se establece en uno, solo puede usar el grupo con una organización.
En el ejemplo siguiente, el grupo está configurado para que esté disponible para los proyectos FabrikamResearch y FabrikamTest de la organización fabrikam-tailspin y para todos los proyectos de la organización fabrikam-blue .
Si recibe un error como The sum of parallelism for all organizations must equal the max concurrency., asegúrese de que el número máximo de agentes para el grupo coincide con la suma de la columna Parallelism .
Agregue más organizaciones a la lista de organizaciones para configurar el grupo para su uso con varias organizaciones. En el ejemplo siguiente se han configurado dos organizaciones. La primera organización está configurada para usar grupos de DevOps administrados para todos los proyectos y la segunda organización está limitada a dos proyectos. En este ejemplo, la configuración máxima de agentes para el grupo es cuatro y cada organización puede usar dos de estos cuatro agentes.
Las organizaciones se configuran en el organization-profile parámetro al crear o actualizar un grupo.
az mdp pool create \
--organization-profile organization-profile.json
# other parameters omitted for space
Agregue más organizaciones a la lista de organizaciones para configurar el grupo para su uso con varias organizaciones. En el ejemplo siguiente se han configurado dos organizaciones. La primera organización está configurada para usar grupos de DevOps administrados para todos los proyectos y la segunda organización está limitada a dos proyectos. En este ejemplo, la configuración máxima de agentes para el grupo es cuatro y cada organización puede usar dos de estos cuatro agentes.
Si las pruebas necesitan un inicio de sesión interactivo para las pruebas de IU, habilite el inicio de sesión interactivo habilitando la configuración EnableInteractiveMode .
El modo interactivo se configura en la osProfile sección de la fabricProfile propiedad . Establézcalo logonType en Interactive para habilitar el modo interactivo o Service para deshabilitar el modo interactivo.
Como parte del proceso de creación de grupos de DevOps administrados, se crea un grupo de agentes de nivel de organización en Azure DevOps. La configuración permisos de administración del grupo especifica qué usuarios se les concede el rol de administrador del grupo de Azure DevOps recién creado. Para ver y administrar los permisos del grupo de agentes de Azure DevOps después de crear el grupo de DevOps administrado, consulte Creación y administración de grupos de agentes: seguridad de los grupos de agentes.
Solo Creador: el usuario que creó el grupo de DevOps administrado se agrega como administrador del grupo de agentes de Azure DevOps y la herencia se establece en Desactivado en la configuración de seguridad del grupo de agentes. Creator solo es la configuración predeterminada.
Heredar permisos del proyecto : el usuario que creó el grupo de DevOps administrado se agrega como administrador del grupo de agentes de Azure DevOps y la herencia se establece en Activado en la configuración de seguridad del grupo de agentes.
Cuentas específicas: especifique las cuentas que se van a agregar como administradores del grupo de agentes creado en Azure DevOps. De forma predeterminada, el creador del grupo de DevOps administrado se agrega a la lista.
Nota:
La opción Permisos de administración del grupo se configura en la pestaña Seguridad cuando se crea el grupo y no se muestra en la configuración seguridad después de crear el grupo. Para ver y administrar los permisos del grupo de agentes de Azure DevOps después de crear el grupo de DevOps administrado, consulte Creación y administración de grupos de agentes: seguridad de los grupos de agentes.
Los permisos de administración del grupo se configuran en la permissionsProfile propiedad de la organizationProfile sección del recurso Grupos de DevOps administrados.
La permissionProfile propiedad solo se puede establecer durante la creación del grupo. Los valores permitidos son Inherit, CreatorOnly y SpecificAccounts.
CreatorOnly : el usuario que creó el grupo de DevOps administrado se agrega como administrador del grupo de agentes de Azure DevOps y la herencia se establece en Desactivado en la configuración de seguridad del grupo de agentes. Creator solo es la configuración predeterminada.
Inherit : el usuario que creó el grupo de DevOps administrado se agrega como administrador del grupo de agentes de Azure DevOps y la herencia se establece en Activado en la configuración de seguridad del grupo de agentes.
SpecificAccounts : especifique las cuentas que se van a agregar como administradores del grupo de agentes creados en Azure DevOps. De forma predeterminada, el creador del grupo de DevOps administrado se agrega a la lista. Proporcione una sola dirección de correo electrónico o una lista de direcciones de correo electrónico para la users propiedad; de lo contrario, omita users.
La permissionProfile propiedad solo se puede establecer durante la creación del grupo. Los valores permitidos son Inherit, CreatorOnly y SpecificAccounts.
CreatorOnly : el usuario que creó el grupo de DevOps administrado se agrega como administrador del grupo de agentes de Azure DevOps y la herencia se establece en Desactivado en la configuración de seguridad del grupo de agentes. Creator solo es la configuración predeterminada.
Inherit : el usuario que creó el grupo de DevOps administrado se agrega como administrador del grupo de agentes de Azure DevOps y la herencia se establece en Activado en la configuración de seguridad del grupo de agentes.
SpecificAccounts : especifique las cuentas que se van a agregar como administradores del grupo de agentes creados en Azure DevOps. De forma predeterminada, el creador del grupo de DevOps administrado se agrega a la lista. Proporcione una sola dirección de correo electrónico o una lista de direcciones de correo electrónico para la users propiedad; de lo contrario, omita users.
Los grupos de DevOps administrados ofrecen la capacidad de capturar certificados de una instancia de Azure Key Vault durante el aprovisionamiento, lo que significa que los certificados ya existirán en la máquina en el momento en que ejecuta las canalizaciones de Azure DevOps. Para usar esta característica, debe configurar una identidad en el grupo y esta identidad debe tener permisos de usuario de secretos de Key Vault para capturar el secreto de Key Vault. Para asignar la identidad al rol De usuario secretos de Key Vault, consulte Proporcionar acceso a claves, certificados y secretos de Key Vault con un control de acceso basado en rol de Azure.
Nota:
A partir de api-version 2024-10-19, si usa esta característica, solo puede usar una sola identidad en el grupo. Pronto se agregará compatibilidad con varias identidades.
Solo se puede usar una identidad para capturar secretos de Key Vault.
La integración de Key Vault se configura en Configuración > seguridad.
Nota:
La configuración de integración de Key Vault solo se puede configurar después de crear el grupo. La configuración de integración de Key Vault no se puede configurar durante la creación del grupo y no se muestra en la pestaña Seguridad durante la creación del grupo.
Azure Key Vault está configurado en la osProfile sección de la fabricProfile propiedad . Establezca para secretManagementSettings poder acceder al certificado deseado.
Azure Key Vault se configura en la osProfile sección de la fabricProfile propiedad al crear o actualizar un grupo. Establezca para secretManagementSettings poder acceder al certificado deseado.
az mdp pool create \
--fabric-profile fabric-profile.json
# other parameters omitted for space
En el ejemplo siguiente se muestra la osProfile sección del archivo fabric-profile.json con secretsManagementSettingsconfigurado.
Los certificados recuperados con en el SecretManagementSettings grupo se sincronizarán automáticamente con las versiones más recientes publicadas en Key Vault. Estos secretos estarán en la máquina en el momento en que ejecuta cualquier canalización de Azure DevOps, lo que significa que puede ahorrar tiempo y quitar tareas para capturar certificados.
Importante
Se producirá un error en el aprovisionamiento de las máquinas virtuales del agente si el secreto no se puede capturar desde Key Vault debido a un problema de red o permisos.
Para Windows, se permite establecer la ubicación del almacén de certificados en LocalMachine o CurrentUser. Esta configuración garantizará que el secreto esté instalado en esa ubicación en el equipo. Para obtener un comportamiento específico de cómo funciona la recuperación de secretos, consulte la documentación de la extensión de Key Vault de Azure VMSS para Windows.
Para Linux, la ubicación del almacén de certificados puede ser cualquier directorio de la máquina y los certificados se descargarán y sincronizarán con esa ubicación. Para obtener información específica sobre la configuración predeterminada y el comportamiento de secretos, consulte la documentación de la extensión de Key Vault de Azure VMSS para Linux.
