Delen via


Resourcebeveiliging

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020

In dit artikel worden beveiligingsfuncties van Azure Pipelines beschreven die uw pijplijnen en resources beschermen. Pijplijnen hebben toegang tot twee typen resources, geopend of beveiligd.

Artefacten, pijplijnen, testplannen en werkitems worden beschouwd als open resources die niet dezelfde beperkingen hebben als beveiligde resources. U kunt werkstromen volledig automatiseren door u te abonneren op het activeren van gebeurtenissen op geopende resources. Zie Projecten beveiligen voor meer informatie over het beveiligen van open resources.

Met machtigingen en goedkeuringscontroles kunnen pijplijnen toegang krijgen tot beveiligde resources tijdens pijplijnuitvoeringen. Om beveiligde resources veilig te houden, kunnen controles een pijplijnuitvoering onderbreken of mislukken.

Beveiligde resources

Beveiligd betekent dat alleen specifieke gebruikers en pijplijnen binnen het project toegang hebben tot de resource. Voorbeelden van beveiligde resources zijn:

U kunt controles definiëren waaraan moet worden voldaan voordat een fase die een beveiligde resource verbruikt, kan worden gestart. U kunt bijvoorbeeld handmatige goedkeuring vereisen voordat de fase de beveiligde resource kan gebruiken.

Beveiliging van opslagplaatsen

U kunt opslagplaatsen desgewenst beveiligen door het bereik van het toegangstoken van Azure Pipelines te beperken. U geeft agents alleen het toegangstoken voor opslagplaatsen die expliciet worden vermeld in de sectie van resources de pijplijn.

Voor het toevoegen van een opslagplaats aan een pijplijn is autorisatie van een gebruiker met Bijdragen-toegang tot de opslagplaats vereist. Zie Een opslagplaatsresource beveiligen voor meer informatie.

Machtigingen

Er zijn twee typen machtigingen voor beveiligde resources, gebruikersmachtigingen en pijplijnmachtigingen.

Gebruikersmachtigingen vormen de frontlinie van verdediging voor beveiligde resources. U moet alleen machtigingen verlenen aan gebruikers die ze nodig hebben. Leden van de gebruikersrol voor een resource kunnen goedkeuringen en controles beheren.

Pijplijnmachtigingen beschermen tegen het kopiëren van beveiligde resources naar andere pijplijnen. U moet de beheerdersrol hebben om toegang tot een beveiligde resource in te schakelen voor alle pijplijnen in een project.

Schermopname van gebruikers- en pijplijnmachtigingen.

Als u pijplijnmachtigingen wilt beheren, verleent u expliciet toegang tot specifieke pijplijnen die u vertrouwt. Zorg ervoor dat u Open Access niet inschakelt, zodat alle pijplijnen in het project de resource kunnen gebruiken. Zie Over pijplijnresources en resourcebeveiliging toevoegen voor meer informatie.

Controles

Gebruikers- en pijplijnmachtigingen beveiligen geen volledig beveiligde resources in pijplijnen. U kunt ook controles toevoegen die voorwaarden opgeven waaraan moet worden voldaan voordat een fase in elke pijplijn de resource kan gebruiken. U kunt specifieke goedkeuringen of andere criteria vereisen voordat pijplijnen de beveiligde resource kunnen gebruiken. Zie Goedkeuringen en controles definiëren voor meer informatie.

Schermopname van het configureren van controles.

Handmatige goedkeuringscontrole

U kunt pijplijnaanvragen blokkeren om een beveiligde resource te gebruiken totdat deze handmatig is goedgekeurd door opgegeven gebruikers of groepen. Deze controle geeft u de mogelijkheid om de code te controleren en biedt een extra beveiligingslaag voordat u doorgaat met een pijplijnuitvoering.

Controle van beveiligde vertakking

Als u handmatige codebeoordelingsprocessen voor specifieke vertakkingen hebt, kunt u deze beveiliging uitbreiden naar pijplijnen. Vertakkingsbeheer zorgt ervoor dat alleen geautoriseerde vertakkingen toegang hebben tot beveiligde resources. Een beveiligde vertakkingscontrole voor een resource voorkomt dat pijplijnen automatisch worden uitgevoerd op niet-geautoriseerde vertakkingen.

Controle kantooruren

Gebruik deze controle om ervoor te zorgen dat een pijplijnimplementatie binnen een opgegeven dag en tijdvenster wordt gestart.

Volgende stap