Definir configurações de segurança de Pools de DevOps Gerenciados
Artigo
Você pode definir a configuração de segurança para Pools de DevOps Gerenciados durante a criação do pool usando a guia Segurança e após a criação do pool usando o painel Configurações de segurança.
Configurar o acesso da organização
Por padrão, os Pools de DevOps Gerenciados são configurados para uma única organização, com acesso ao pool concedido a todos os projetos da organização. Opcionalmente, você pode limitar o acesso a projetos específicos na organização e conceder acesso a organizações adicionais, se desejar.
Por padrão, os Pools de DevOps Gerenciados são configurados para uso com uma única organização do Azure DevOps que você especifica ao criar o pool. Quando o pool é configurado para uma única organização, o nome da organização é exibido e configurado em Configurações do pool
Por padrão, Adicionar pool a todos os projetos é definido como Sim e o acesso ao Pool de DevOps Gerenciado é concedido a todos os projetos na organização. Escolha Não para especificar uma lista de projetos para limitar quais projetos em sua organização podem usar o pool.
As organizações são configuradas na organizationProfile propriedade do recurso Pools de DevOps Gerenciados.
A organizationProfile seção tem as seguintes propriedades.
Propriedade
Descrição
organizations
Uma lista das organizações que podem usar seu pool. url especifica a URL da organização, projects é uma lista de nomes de projetos que podem usar o pool (uma lista vazia suporta todos os projetos na organização) e parallelism especifica o número de agentes que podem ser usados por essa organização. A soma do paralelismo das organizações deve corresponder à configuração máxima de agentes para o pool.
permissionProfile
Especifique a permissão concedida ao pool do Azure DevOps quando ele for criado. Esse valor pode ser definido somente durante a criação do pool. Os valores permitidos são Inherit, CreatorOnly e SpecificAccounts. Se specificAccounts for especificado, forneça um único endereço de e-mail ou uma lista de endereços de e-mail para a users propriedade; caso contrário, omita users. Para obter mais informações, consulte Permissões de administração do pool.
kind
Esse valor especifica o tipo de organização do pool e deve ser definido como Azure DevOps.
As organizações são configuradas no organization-profile parâmetro ao criar ou atualizar um pool.
az mdp pool create \
--organization-profile organization-profile.json
# other parameters omitted for space
O exemplo a seguir mostra um organization-profile objeto configurado para todos os projetos na fabrikam-tailspin organização com parallelism .1
A organizationProfile seção tem as seguintes propriedades.
Propriedade
Descrição
AzureDevOps
Esse valor é o nome do objeto definido em organization-profile e deve ser definido como Azure DevOps.
organizations
Uma lista das organizações que podem usar seu pool. url especifica a URL da organização, projects é uma lista de nomes de projetos que podem usar o pool (uma lista vazia suporta todos os projetos na organização) e parallelism especifica o número de agentes que podem ser usados por essa organização. A soma do paralelismo das organizações deve corresponder à configuração máxima de agentes para o pool.
permissionProfile
Especifique a permissão concedida ao pool do Azure DevOps quando ele for criado. Esse valor pode ser definido somente durante a criação do pool. Os valores permitidos são Inherit, CreatorOnly e SpecificAccounts. Se specificAccounts for especificado, forneça um único endereço de e-mail ou uma lista de endereços de e-mail para a users propriedade; caso contrário, omita users. Para obter mais informações, consulte Permissões de administração do pool.
Habilite Usar pool em várias organizações para usar seu pool com várias organizações do Azure DevOps. Para cada organização, especifique os projetos que têm permissão para usar o pool ou deixe em branco para permitir todos os projetos. Configure o paralelismo para cada organização especificando quais partes da simultaneidade, conforme especificado por Máximo de agentes para o pool, devem ser alocadas para cada organização. A soma do paralelismo para todas as organizações deve ser igual à simultaneidade máxima do pool. Por exemplo, se Máximo de agentes for definido como cinco, a soma do paralelismo para as organizações especificadas deverá ser cinco. Se o Máximo de agentes estiver definido como um, você só poderá usar o pool com uma organização.
No exemplo a seguir, o pool está configurado para estar disponível para os projetos FabrikamResearch e FabrikamTest na organização fabrikam-tailspin e para todos os projetos na organização fabrikam-blue .
Se você receber um erro como The sum of parallelism for all organizations must equal the max concurrency., verifique se a contagem máxima de agentes para o pool corresponde à soma da coluna Paralelismo .
Adicione outras organizações à lista de organizações para configurar seu pool para uso com várias organizações. O exemplo a seguir tem duas organizações configuradas. A primeira organização está configurada para usar pools de DevOps gerenciados para todos os projetos e a segunda organização está limitada a dois projetos. Neste exemplo, a configuração máxima de agentes para o pool é quatro, e cada organização pode usar dois desses quatro agentes.
As organizações são configuradas no organization-profile parâmetro ao criar ou atualizar um pool.
az mdp pool create \
--organization-profile organization-profile.json
# other parameters omitted for space
Adicione outras organizações à lista de organizações para configurar seu pool para uso com várias organizações. O exemplo a seguir tem duas organizações configuradas. A primeira organização está configurada para usar pools de DevOps gerenciados para todos os projetos e a segunda organização está limitada a dois projetos. Neste exemplo, a configuração máxima de agentes para o pool é quatro, e cada organização pode usar dois desses quatro agentes.
Se seus testes precisarem de um logon interativo para teste de interface do usuário, habilite o logon interativo habilitando a configuração EnableInteractiveMode .
O modo interativo é configurado na osProfile seção da fabricProfile propriedade. Defina logonType como Interactive para ativar o modo interativo ou Service para desativar o modo interativo.
Como parte do processo de criação do Pool de DevOps Gerenciado, um pool de agentes no nível da organização é criado no Azure DevOps. A configuração Permissões de administração do pool especifica quais usuários recebem a função de administrador do pool do Azure DevOps recém-criado. Para exibir e gerenciar as permissões do pool de agentes do Azure DevOps após a criação do Pool de DevOps Gerenciado, consulte Criar e gerenciar pools de agentes – Segurança de pools de agentes.
Somente criador – o usuário que criou o Pool de DevOps Gerenciado é adicionado como administrador do pool de agentes do Azure DevOps e a Herança é definida como Desativada nas configurações de segurança do pool de agentes. Somente criador é a configuração padrão.
Herdar permissões do projeto – o usuário que criou o Pool de DevOps Gerenciado é adicionado como administrador do pool de agentes do Azure DevOps e a Herança é definida como Ativada nas configurações de segurança do pool de agentes.
Contas específicas – especifique as contas a serem adicionadas como administradores do pool de agentes criado no Azure DevOps. Por padrão, o criador do Pool de DevOps Gerenciado é adicionado à lista.
Observação
A configuração Permissões de administração do pool é definida na guia Segurança quando o pool é criado e não é exibida nas configurações de segurança depois que o pool é criado. Para exibir e gerenciar as permissões do pool de agentes do Azure DevOps após a criação do Pool de DevOps Gerenciado, consulte Criar e gerenciar pools de agentes – Segurança de pools de agentes.
As permissões de administração do pool são configuradas na permissionsProfile propriedade da organizationProfile seção do recurso Pools de DevOps Gerenciados.
A permissionProfile propriedade pode ser definida somente durante a criação do pool. Os valores permitidos são Inherit, CreatorOnly e SpecificAccounts.
CreatorOnly - O usuário que criou o Pool de DevOps Gerenciado é adicionado como administrador do pool de agentes do Azure DevOps e a Herança é definida como Desativada nas configurações de segurança do pool de agentes. Somente criador é a configuração padrão.
Inherit - O usuário que criou o Pool de DevOps Gerenciado é adicionado como administrador do pool de agentes do Azure DevOps e a Herança é definida como Ativada nas configurações de segurança do pool de agentes.
SpecificAccounts - Especifique as contas a serem adicionadas como administradores do pool de agentes criado no Azure DevOps. Por padrão, o criador do Pool de DevOps Gerenciado é adicionado à lista. Forneça um único endereço de e-mail ou uma lista de endereços de e-mail para a users propriedade; caso contrário, omita users.
A permissionProfile propriedade pode ser definida somente durante a criação do pool. Os valores permitidos são Inherit, CreatorOnly e SpecificAccounts.
CreatorOnly - O usuário que criou o Pool de DevOps Gerenciado é adicionado como administrador do pool de agentes do Azure DevOps e a Herança é definida como Desativada nas configurações de segurança do pool de agentes. Somente criador é a configuração padrão.
Inherit - O usuário que criou o Pool de DevOps Gerenciado é adicionado como administrador do pool de agentes do Azure DevOps e a Herança é definida como Ativada nas configurações de segurança do pool de agentes.
SpecificAccounts - Especifique as contas a serem adicionadas como administradores do pool de agentes criado no Azure DevOps. Por padrão, o criador do Pool de DevOps Gerenciado é adicionado à lista. Forneça um único endereço de e-mail ou uma lista de endereços de e-mail para a users propriedade; caso contrário, omita users.
Os Pools de DevOps Gerenciados oferecem a capacidade de buscar certificados de um Azure Key Vault durante o provisionamento, o que significa que os certificados já existirão no computador no momento em que ele executar seus pipelines do Azure DevOps. Para usar esse recurso, você deve configurar uma identidade em seu pool e essa identidade deve ter permissões de usuário de segredos do Key Vault para buscar o segredo do Key Vault. Para atribuir sua identidade à função Usuário de Segredos do Key Vault, consulte Fornecer acesso a chaves, certificados e segredos do Key Vault com um controle de acesso baseado em função do Azure.
Observação
A partir de api-version 2024-10-19, se você usar esse recurso, só poderá usar uma única identidade no pool. O suporte para várias identidades será adicionado em breve.
Apenas uma identidade pode ser usada para buscar segredos do Key Vault.
A integração do Key Vault é configurada em Configurações > de Segurança.
Observação
As configurações de integração do Key Vault podem ser definidas somente após a criação do pool. As configurações de integração do Key Vault não podem ser definidas durante a criação do pool e não são exibidas na guia Segurança durante a criação do pool.
O Azure Key Vault é configurado na osProfile seção da fabricProfile propriedade. Defina o secretManagementSettings para poder acessar o certificado desejado.
O osProfile Azure Key Vault é configurado na seção da fabricProfile propriedade ao criar ou atualizar um pool. Defina o secretManagementSettings para poder acessar o certificado desejado.
az mdp pool create \
--fabric-profile fabric-profile.json
# other parameters omitted for space
O exemplo a seguir mostra a osProfileseção do arquivo fabric-profile.json com secretsManagementSettingsconfigurado.
Os certificados recuperados usando o SecretManagementSettings no pool serão sincronizados automaticamente com as versões mais recentes publicadas no Key Vault. Esses segredos estarão no computador no momento em que ele executar qualquer pipeline do Azure DevOps, o que significa que você pode economizar tempo e remover tarefas para buscar certificados.
Importante
O provisionamento das máquinas virtuais do agente falhará se o segredo não puder ser buscado no Key Vault devido a um problema de permissão ou rede.
Para Windows, o Local do Repositório de Certificados pode ser definido como LocalMachine ou CurrentUser. Essa configuração garantirá que o segredo seja instalado nesse local na máquina. Para obter um comportamento específico de como funciona a recuperação de segredos, consulte a documentação da extensão do Azure VMSS Key Vault para Windows.
Para Linux, o Local do Repositório de Certificados pode ser qualquer diretório na máquina, e os certificados serão baixados e sincronizados com esse local. Para obter detalhes sobre as configurações padrão e o comportamento secreto, consulte a documentação da extensão do Azure VMSS Key Vault para Linux.
