Настройка параметров безопасности управляемых пулов DevOps
Статья
Вы можете настроить параметр безопасности для управляемых пулов DevOps во время создания пула с помощью вкладки "Безопасность " и после создания пула с помощью области параметров безопасности .
Настройка доступа организации
По умолчанию управляемые пулы DevOps настроены для одной организации с доступом к пулу, предоставленному всем проектам в организации. При желании вы можете ограничить доступ к определенным проектам в организации, а при необходимости предоставить доступ к дополнительным организациям.
По умолчанию управляемые пулы DevOps настроены для использования с одной организацией Azure DevOps, указанной при создании пула. Если пул настроен для одной организации, имя организации отображается и настраивается в параметрах пула.
По умолчанию для всех проектов задано значение "Да", а доступ к управляемому пулу DevOps предоставляется всем проектам в организации. Выберите "Нет ", чтобы указать список проектов, чтобы ограничить, какие проекты в организации могут использовать пул.
Организации настраиваются в свойстве organizationProfile ресурса Managed DevOps Pools.
В organizationProfile разделе содержатся следующие свойства.
Свойство
Description
organizations
Список организаций, которые могут использовать пул. url указывает URL-адрес организации, projects представляет собой список имен проектов, которые могут использовать пул (пустой список поддерживает все проекты в организации) и parallelism указывает количество агентов, которые могут использоваться этой организацией. Сумма параллелизма для организаций должна соответствовать максимальному параметру агентов для пула.
permissionProfile
Укажите разрешение, предоставленное пулу Azure DevOps при его создании. Это значение можно задать только во время создания пула. Допустимые значения: Inherit, CreatorOnly и SpecificAccounts. Если specificAccounts задано, укажите один адрес электронной почты или список адресов электронной почты для users свойства; в противном случае не указано users. Дополнительные сведения см. в разделе "Разрешения администрирования пула".
kind
Это значение указывает тип организации для пула и должен иметь значение Azure DevOps.
Организации настраиваются в параметре organization-profile при создании или обновлении пула.
az mdp pool create \
--organization-profile organization-profile.json
# other parameters omitted for space
В следующем примере показан объект, настроенный organization-profile для всех проектов в fabrikam-tailspin организации с parallelism заданным значением 1.
В organizationProfile разделе содержатся следующие свойства.
Свойство
Description
AzureDevOps
Это значение — имя объекта, определенного в organization-profile , и должно иметь значение Azure DevOps.
organizations
Список организаций, которые могут использовать пул. url указывает URL-адрес организации, projects представляет собой список имен проектов, которые могут использовать пул (пустой список поддерживает все проекты в организации) и parallelism указывает количество агентов, которые могут использоваться этой организацией. Сумма параллелизма для организаций должна соответствовать максимальному параметру агентов для пула.
permissionProfile
Укажите разрешение, предоставленное пулу Azure DevOps при его создании. Это значение можно задать только во время создания пула. Допустимые значения: Inherit, CreatorOnly и SpecificAccounts. Если specificAccounts задано, укажите один адрес электронной почты или список адресов электронной почты для users свойства; в противном случае не указано users. Дополнительные сведения см. в разделе "Разрешения администрирования пула".
Включение пула в нескольких организациях для использования пула с несколькими организациями Azure DevOps. Для каждой организации укажите проекты, которые разрешены использовать пул, или оставьте пустыми, чтобы разрешить все проекты. Настройте параллелизм для каждой организации, указав, какие части параллелизма, как указано максимальными агентами для пула, чтобы выделить для каждой организации. Сумма параллелизма для всех организаций должна соответствовать максимальному параллелизму пула. Например, если для максимального числа агентов задано значение пять, сумма параллелизма для указанных организаций должна быть пятью. Если для одного параметра задано максимальное число агентов , можно использовать пул только с одной организацией.
В следующем примере пул настроен для проектов FabrikamResearch и FabrikamTest в организации fabrikam-tailspin и для всех проектов в организации fabrikam-blue.
Если возникает ошибка The sum of parallelism for all organizations must equal the max concurrency., убедитесь, что максимальное число агентов для пула соответствует сумме столбца Parallelism .
Добавьте дополнительные организации в список организаций, чтобы настроить пул для использования с несколькими организациями. В следующем примере настроены две организации. Первая организация настроена на использование управляемых пулов DevOps для всех проектов, а вторая организация ограничена двумя проектами. В этом примере максимальный параметр агентов для пула составляет четыре, и каждая организация может использовать два из этих четырех агентов.
Организации настраиваются в параметре organization-profile при создании или обновлении пула.
az mdp pool create \
--organization-profile organization-profile.json
# other parameters omitted for space
Добавьте дополнительные организации в список организаций, чтобы настроить пул для использования с несколькими организациями. В следующем примере настроены две организации. Первая организация настроена на использование управляемых пулов DevOps для всех проектов, а вторая организация ограничена двумя проектами. В этом примере максимальный параметр агентов для пула составляет четыре, и каждая организация может использовать два из этих четырех агентов.
Интерактивный режим настраивается в osProfile разделе fabricProfile свойства. Установите для logonTypeInteractive включения интерактивного режима или Service отключения интерактивного режима.
В рамках процесса создания пула Managed DevOps в Azure DevOps создается пул агентов уровня организации. Параметр разрешений администрирования пула указывает, какие пользователи получают роль администратора только что созданного пула Azure DevOps. Сведения о просмотре разрешений пула агентов Azure DevOps и управлении ими после создания управляемого пула DevOps см. в статье "Создание пулов агентов и управление ими — безопасность пулов агентов".
Только создатель. Пользователь, создавший управляемый пул DevOps, добавляется в качестве администратора пула агентов Azure DevOps, а наследование имеет значение Off в параметрах безопасности пула агентов. Создатель — это только параметр по умолчанию.
Наследование разрешений от проекта . Пользователь, создавший управляемый пул DevOps, добавляется в качестве администратора пула агентов Azure DevOps, а наследование имеет значение On в параметрах безопасности пула агентов.
Конкретные учетные записи. Укажите учетные записи, которые необходимо добавить в качестве администраторов созданного пула агентов в Azure DevOps. По умолчанию в список добавляется создатель управляемого пула DevOps.
Примечание.
Параметр разрешений администрирования пула настраивается на вкладке "Безопасность " при создании пула и не отображается в параметрах безопасности после создания пула. Сведения о просмотре разрешений пула агентов Azure DevOps и управлении ими после создания управляемого пула DevOps см. в статье "Создание пулов агентов и управление ими — безопасность пулов агентов".
Разрешения администрирования пула organizationProfile настраиваются в permissionsProfile свойстве раздела ресурса Managed DevOps Pool.
Свойство permissionProfile можно задать только во время создания пула. Допустимые значения: Inherit, CreatorOnly и SpecificAccounts.
CreatorOnly — Пользователь, создавший управляемый пул DevOps, добавляется в качестве администратора пула агентов Azure DevOps, а наследование имеет значение Off в параметрах безопасности пула агентов. Создатель — это только параметр по умолчанию.
Inherit — Пользователь, создавший управляемый пул DevOps, добавляется в качестве администратора пула агентов Azure DevOps, а наследование имеет значение On в параметрах безопасности пула агентов.
SpecificAccounts — Укажите учетные записи, которые необходимо добавить в качестве администраторов созданного пула агентов в Azure DevOps. По умолчанию в список добавляется создатель управляемого пула DevOps. Укажите один адрес электронной почты или список адресов электронной почты для users свойства; в противном случае опустить users.
Свойство permissionProfile можно задать только во время создания пула. Допустимые значения: Inherit, CreatorOnly и SpecificAccounts.
CreatorOnly — Пользователь, создавший управляемый пул DevOps, добавляется в качестве администратора пула агентов Azure DevOps, а наследование имеет значение Off в параметрах безопасности пула агентов. Создатель — это только параметр по умолчанию.
Inherit — Пользователь, создавший управляемый пул DevOps, добавляется в качестве администратора пула агентов Azure DevOps, а наследование имеет значение On в параметрах безопасности пула агентов.
SpecificAccounts — Укажите учетные записи, которые необходимо добавить в качестве администраторов созданного пула агентов в Azure DevOps. По умолчанию в список добавляется создатель управляемого пула DevOps. Укажите один адрес электронной почты или список адресов электронной почты для users свойства; в противном случае опустить users.
Управляемые пулы DevOps предоставляют возможность получения сертификатов из Azure Key Vault во время подготовки, что означает, что сертификаты уже будут существовать на компьютере к моменту запуска конвейеров Azure DevOps. Чтобы использовать эту функцию, необходимо настроить удостоверение в пуле, и у этого удостоверения должны быть разрешения пользователя секретов Key Vault, чтобы получить секрет из Key Vault. Чтобы назначить удостоверение роли пользователя секретов Key Vault, см. раздел "Предоставление доступа к ключам, сертификатам и секретам Azure" с помощью управления доступом на основе ролей Azure.
Примечание.
api-version 2024-10-19Если вы используете эту функцию, вы можете использовать только одно удостоверение в пуле. Поддержка нескольких удостоверений будет добавлена в ближайшее время.
Только одно удостоверение можно использовать для получения секретов из Key Vault.
Интеграция Key Vault настроена в разделе "Безопасность параметров>".
Примечание.
Параметры интеграции Key Vault можно настроить только после создания пула. Параметры интеграции Key Vault нельзя настроить во время создания пула и не отображаются на вкладке "Безопасность " во время создания пула.
Azure Key Vault настраивается в osProfile разделе fabricProfile свойства. secretManagementSettings Задайте для доступа к нужному сертификату.
Azure Key Vault настраивается в osProfile разделе fabricProfile свойства при создании или обновлении пула. secretManagementSettings Задайте для доступа к нужному сертификату.
az mdp pool create \
--fabric-profile fabric-profile.json
# other parameters omitted for space
В следующем примере показан osProfile раздел файла fabric-profile.json с настроенным secretsManagementSettingsпараметром.
Сертификаты, полученные с помощью пула SecretManagementSettings , автоматически синхронизируются с последними версиями, опубликованными в Key Vault. Эти секреты будут находиться на компьютере по времени запуска любого конвейера Azure DevOps, что означает, что вы можете сэкономить время и удалить задачи для получения сертификатов.
Внимание
Подготовка виртуальных машин агента завершится ошибкой, если секрет не может быть получен из Key Vault из-за разрешений или проблемы с сетью.
Для Windows расположение хранилища сертификатов разрешено задать LocalMachine или CurrentUser. Этот параметр гарантирует, что секрет установлен в этом расположении на компьютере. Сведения о том, как работает извлечение секретов, см . в документации по расширению Azure VMSS Key Vault для Windows.
Для Linux расположение хранилища сертификатов может быть любым каталогом на компьютере, а сертификаты будут скачаны и синхронизированы с этим расположением. Сведения о параметрах по умолчанию и поведении секретов см . в документации по расширению Azure VMSS Key Vault для Linux.
