Мы все были там, из удобства вы создаете принцип услуги, чтобы подключить проект Azure DevOps с вашими подпискими на Azure. Пока IAM (управление идентификацией и доступом) настроен правильно в вашей подписке, так легко просто щелкнуть, создать, идти и никогда не оглядываться назад. Тем не менее, могут быть последствия для этого, Некоторые я идентифицировал ниже:
- дублировать директоров обслуживания с одинаковыми правами доступа;
- доступ к ресурсам, которые не должны быть доступны;
- Дублируют имена отображения, вызывающие неумелое управление.
Это может вызвать удар по эффекту, в результате чего на безопасность затрагивается или нарушение трубопровода, вызванные ошибкой пользователя. В этом посте будет рассмотрено, как мы можем убирать после себя и реализовать лучшие практики при создании директоров обслуживания для использования с Azure DevOps.
Чтобы внести какие -либо изменения, вам понадобится:
- быть администратором проекта или владеть разрешениями в рамках проекта по управлению директорами услуг;
- правильное количество разрешений в рамках подписки для управления IAM;
- Azure Active Directory Разрешения для управления регистрациями приложений.
Определение дублирования директоров обслуживания
Чтобы определить, есть ли в DevOps дубликаты директоров обслуживания, вам сначала нужно перейти в проект, в котором вы их используете. Оказавшись в рамках проекта, выберите Настройки проекта Слева от нижней части экрана, а затем Сервисные соединения под заголовком Трубопроводы . Отсюда вы сможете увидеть список принципалов обслуживания, подключенный к вашему проекту, выберите каждый принципал службы, который подключается к Azure, и выберите Редактировать кнопка. Вы увидите детали подписки, к которому подключено эта служба подключения, и если оно подключено к группе ресурсов.
Если поле группы ресурсов является пустым, это может означать, что у принципала услуги есть разрешения на подписку и все ресурсы. Повторите эти шаги, чтобы перейти в каждый принципал службы, чтобы идентифицировать, настроены ли таковые таковые на одну и ту же группу подписки и/или ресурсов.
Чтобы углубиться в разрешения принципала службы, отменить из окна редактирования и выберите Управление ролями подключения к сервису под Детали заголовок. Это приведет вас к группе подписки или ресурсов, где вы можете определить, какие разрешения были установлены.
Является директором услуги в использовании
В пределах Сервисные соединения Страница под Настройки проекта , выберите директор службы и выберите История использования Анкет Отсюда вы можете определить, какие трубопроводы использовали принцип услуги и даты. Вы должны быть в состоянии определить, является ли принципал обслуживания больше не нужна на основе его использования.
Возможно, вы захотите проконсультироваться с теми, кто в прошлом использовал директор службы, чтобы их трубопроводы увидели, будут ли они снова использоваться в будущем или будут ли они использовать другое соединение.
Переименование дублирующих имен отображения в Azure Active Directory и DevOps
Когда вы автоматически генерируете принцип службы в DevOps с одной и той же подпиской, вы заметите, что имя дисплея будет в одном и том же формате. Есть два места, где вам нужно переименовать принципы обслуживания, чтобы они идентифицировались в DevOps и Azure AD. Во -первых, внутри Сервисные соединения Страница, вы можете выбрать Редактировать Опция на странице конфигурации директоров службы и введите новое отображаемое имя в поле Сервисное подключение имя .
Второе место для переименования находится в Azure Ad. Вам нужно будет выбрать Управление принципалом обслуживания В рамках страницы основного соединения службы.
Как только страница загружается, выберите Брендинг В левой стороне меню и введите имя отображения в Имя Поле (не забудьте нажать «Сохранить» после завершения).
Установите, кто может использовать директора услуг в DevOps
Откройте принципал обслуживания из Сервисные соединения Страница и выберите три пунктирного значка в правом верхнем углу экрана и выберите Безопасность Анкет
Внутри этого окна вы можете указать, кто может управлять или использовать соединение, какие трубопроводы могут использовать принципал сервиса и какие другие проекты могут использовать соединение.
Перед созданием каких -либо новых директоров услуг
- Проверьте, что у вас нет принципала услуги, уже созданного с необходимыми вам требованиями доступа;
- Определите, какой уровень доступа вам нужен для директора службы, чтобы завершить работу. Вы можете отредактировать разрешения по умолчанию. Таким образом, они имеют более строгий доступ;
- Подумайте, кто должен иметь разрешения на управление директором службы, а кто может его использовать. Чем меньше список, тем более безопасной находится ваша среда;
- Удалите опцию «Разрешение на доступ к доступу на все трубопроводы» и вручную настроить, какие трубопроводы должны иметь доступ для использования принципала обслуживания.
Оригинал: «https://dev.to/officialcookj/cleanup-your-azure-devops-service-principals-22el»