Предоставить конвейеру разрешение на использование служебного подключения

В моем проекте я хочу создать несколько подключений к службе AzureRM с разными уровнями доступа. Я хочу разрешить использовать служебные соединения только определенным конвейерам. И я собираюсь использовать для этого API или расширение az DevOps. Портал уже позволяет выбирать, каким конвейерам разрешено использовать соединение с сервисом, через настройки безопасности соединения с сервисом.

Пока мне удалось найти соответствующее разрешение в пространстве имен ServiceEndpoints.

Имя Разрешение Описание Бит разрешения

Использовать использование служебного подключения 1

Однако я не знаю, как дать разрешение на трубопровод. Я думаю, что должен использовать «обновление разрешений безопасности az DevOps» из расширения, но не могу понять, какой должна быть тема в случае конвейера. Глядя на вывод «az pipelines build definition show», я не вижу какого-либо уникального идентификатора для конвейера, а в документации по обновлению разрешений безопасности говорится, что субъект должен быть пользователем группы.

Если я хочу использовать API, мне нужно будет знать, как создать дескриптор для передачи в Set Access Control Lists.

Любой намек приветствуется.


azure-devops azure-pipelines serviceconnection
person Vad    schedule 25.07.2020    source источник
comment
Есть какие-нибудь обновления по этой проблеме? Вы решили эту проблему? Если нет, не могли бы вы сообщить мне самую свежую информацию об этой проблеме? Если да, вы можете принять его как ответ, чтобы он могли бы помочь другим участникам сообщества, у которых возникли те же проблемы, и мы могли бы заархивировать эту ветку, спасибо.   -  person Leo Liu-MSFT    schedule 28.07.2020

Ответы (1)


arrow_upward
0
arrow_downward

Предоставить конвейеру разрешение на использование служебного подключения

Согласно документу разрешение безопасности az DevOps, мы могли бы использовать az devops security permission update для обновления разрешения безопасности azure DevOps:

az devops security permission update --id
                                     --subject
                                     --token
                                     [--allow-bit]
                                     [--deny-bit]
                                     [--detect {false, true}]
                                     [--merge {false, true}]
                                     [--org]

однако не могу понять, какой должна быть тема в случае конвейера.

В качестве утверждения для параметров мы могли бы знать:

--subject

   User Email ID or Group descriptor.

Итак, если мы обновим разрешение для данного пользователя, нам просто нужно указать User Email в приведенной выше команде. Если мы хотим обновить разрешение для данной группы, нам нужно предоставить Group descriptor.

Чтобы получить Group descriptor, мы могли бы использовать az devops security group list.

Вы можете проверить эту ветку для получения более подробной информации.

person Leo Liu-MSFT    schedule 27.07.2020