관리 DevOps 풀 보안 설정 구성

아티클
11/19/2024

보안 탭을 사용하고 보안 설정 창을 사용하여 풀을 만든 후 풀을 만드는 동안 관리되는 DevOps 풀에 대한 보안 설정을 구성할 수 있습니다.

조직 액세스 구성

기본적으로 관리형 DevOps 풀은 조직의 모든 프로젝트에 부여된 풀에 대한 액세스 권한으로 단일 조직에 대해 구성됩니다. 필요에 따라 조직의 특정 프로젝트에 대한 액세스를 제한할 수 있으며 원하는 경우 추가 조직에 대한 액세스 권한을 부여할 수 있습니다.

단일 조직에서 풀 사용
여러 조직에서 풀 사용

단일 조직에서 풀 사용

기본적으로 관리되는 DevOps 풀은 풀을 만들 때 지정하는 단일 Azure DevOps 조직에서 사용하도록 구성됩니다. 풀이 단일 조직에 대해 구성된 경우 풀 설정에서 조직 이름이 표시되고 구성됩니다.

기본적으로 모든 프로젝트에 풀 추가는 예로 설정되며 관리형 DevOps 풀에 대한 액세스 권한은 조직의 모든 프로젝트에 부여됩니다. 아니요를 선택하여 조직에서 풀을 사용할 수 있는 프로젝트를 제한할 프로젝트 목록을 지정합니다.

단일 조직에 대한 프로젝트를 구성하는 스크린샷

조직은 관리형 DevOps 풀 리소스의 속성에 organizationProfile 구성됩니다.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "name": "fabrikam-managed-pool",
            "type": "microsoft.devopsinfrastructure/pools",
            "apiVersion": "2024-10-19",
            "location": "eastus",
            "properties": {
            ...
            "organizationProfile": {
                "organizations": [
                    {
                        "url": "https://dev.azure.com/fabrikam-tailspin",
                        "projects": [],
                        "parallelism": 4
                    }
                ],
                "permissionProfile": {
                    "kind": "CreatorOnly"
                },
                "kind": "AzureDevOps"
            }
        }
    ]
}

섹션 organizationProfile 에는 다음과 같은 속성이 있습니다.

속성	설명
`organizations`	풀을 사용할 수 있는 조직의 목록입니다. `url`는 조직의 URL을 지정하고`parallelism`, `projects` 풀을 사용할 수 있는 프로젝트 이름 목록이며(빈 목록은 조직의 모든 프로젝트를 지원함) 이 조직에서 사용할 수 있는 에이전트 수를 지정합니다. 조직에 대한 병렬 처리의 합계는 풀에 대한 최대 에이전트 설정과 일치해야 합니다.
`permissionProfile`	Azure DevOps 풀을 만들 때 부여된 권한을 지정합니다. 이 값은 풀을 만드는 동안에만 설정할 수 있습니다. 허용되는 값은 `Inherit`, `CreatorOnly` 및 `SpecificAccounts`입니다. 지정 된 경우 `specificAccounts` 단일 전자 메일 주소 또는 속성에 대 `users` 한 전자 메일 주소 목록을 제공 합니다. 그렇지 않으면 생략 `users`합니다. 자세한 내용은 풀 관리 권한을 참조 하세요.
`kind`	이 값은 풀에 대한 조직의 형식을 지정하며 ,로 설정 `Azure DevOps`해야 합니다.

조직은 풀을 만들거나 업데이트할 organization-profile 때 매개 변수에 구성됩니다.

az mdp pool create \
   --organization-profile organization-profile.json
   # other parameters omitted for space

다음 예제에서는 설정 된 조직의 parallelism 모든 프로젝트에 fabrikam-tailspin 대 한 구성 된 개체를 보여 organization-profile 집니다1.

{
  "AzureDevOps":
  {
      "organizations": [
      {
          "url": "https://dev.azure.com/fabrikam-tailspin",
          "projects": [],
          "parallelism": 1
      }
    ]
  }
}

섹션 organizationProfile 에는 다음과 같은 속성이 있습니다.

속성	설명
`AzureDevOps`	이 값은 정의된 `organization-profile` 개체의 이름이며 으로 설정 `Azure DevOps`해야 합니다.
`organizations`	풀을 사용할 수 있는 조직의 목록입니다. `url`는 조직의 URL을 지정하고`parallelism`, `projects` 풀을 사용할 수 있는 프로젝트 이름 목록이며(빈 목록은 조직의 모든 프로젝트를 지원함) 이 조직에서 사용할 수 있는 에이전트 수를 지정합니다. 조직에 대한 병렬 처리의 합계는 풀에 대한 최대 에이전트 설정과 일치해야 합니다.
`permissionProfile`	Azure DevOps 풀을 만들 때 부여된 권한을 지정합니다. 이 값은 풀을 만드는 동안에만 설정할 수 있습니다. 허용되는 값은 `Inherit`, `CreatorOnly` 및 `SpecificAccounts`입니다. 지정 된 경우 `specificAccounts` 단일 전자 메일 주소 또는 속성에 대 `users` 한 전자 메일 주소 목록을 제공 합니다. 그렇지 않으면 생략 `users`합니다. 자세한 내용은 풀 관리 권한을 참조 하세요.

여러 조직에서 풀 사용

여러 조직에서 풀을 사용하여 여러 Azure DevOps 조직에서 풀을 사용하도록 설정합니다. 각 조직에 대해 풀을 사용할 수 있는 프로젝트를 지정하거나 모든 프로젝트를 허용하려면 비워 둡니다. 풀의 최대 에이전트에서 지정한 대로 각 조직에 할당할 동시성의 어떤 부분을 지정하여 각 조직에 대한 병렬 처리를 구성합니다. 모든 조직에 대한 병렬 처리의 합계는 풀의 최대 동시성과 같아야 합니다. 예를 들어 최대 에이전트가 5로 설정된 경우 지정된 조직의 병렬 처리 합계는 5개여야 합니다. 최대 에이전트가 1로 설정된 경우 하나의 조직에서만 풀을 사용할 수 있습니다.

다음 예제에서는 fabrikam-tailspin 조직의 FabrikamResearch 및 FabrikamTest 프로젝트와 fabrikam-blue 조직의 모든 프로젝트에 풀을 사용할 수 있도록 구성됩니다.

여러 조직을 구성하는 스크린샷.

같은 The sum of parallelism for all organizations must equal the max concurrency.오류가 표시되는 경우 풀의 최대 에이전트 수가 Parallelism 열의 합계와 일치하는지 확인합니다.

조직 목록에 조직을 추가하여 여러 조직에서 사용할 풀을 구성합니다. 다음 예제에는 두 개의 조직이 구성되어 있습니다. 첫 번째 조직은 모든 프로젝트에 대해 관리형 DevOps 풀을 사용하도록 구성되고 두 번째 조직은 두 개의 프로젝트로 제한됩니다. 이 예제에서 풀에 대한 최대 에이전트 설정은 4개이며 각 조직에서는 이러한 4개 에이전트 중 2개를 사용할 수 있습니다.

"organizationProfile": {
    "organizations": [
        {
            "url": "https://dev.azure.com/fabrikam-tailspin",
            "projects": [],
            "parallelism": 2
        },
        {
            "url": "https://dev.azure.com/fabrikam-prime",
            "projects": [ "fabrikam-dev", "fabrikam-test" ],
            "parallelism": 2
        }
    ],
    "permissionProfile": {
        "kind": "CreatorOnly"
    },
    "kind": "AzureDevOps"
}

조직은 풀을 만들거나 업데이트할 organization-profile 때 매개 변수에 구성됩니다.

az mdp pool create \
   --organization-profile organization-profile.json
   # other parameters omitted for space

{
  "AzureDevOps":
  {
      "organizations": [
        {
            "url": "https://dev.azure.com/fabrikam-tailspin",
            "projects": [],
            "parallelism": 2
        },
        {
            "url": "https://dev.azure.com/fabrikam-prime",
            "projects": [ "fabrikam-dev", "fabrikam-test" ],
            "parallelism": 2
        }
    ]
  }
}

대화형 모드 구성

테스트에 UI 테스트를 위한 대화형 로그인이 필요한 경우 EnableInteractiveMode 설정을 사용하도록 설정하여 대화형 로그인을 사용하도록 설정합니다.

대화형 모드를 구성하는 스크린샷

대화형 모드는 속성의 osProfile 섹션에서 구성됩니다 fabricProfile . 대화형 모드를 Interactive 사용하도록 설정하거나 Service 대화형 모드를 사용하지 않도록 설정합니다logonType.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "name": "fabrikam-managed-pool",
            "type": "microsoft.devopsinfrastructure/pools",
            "apiVersion": "2024-10-19",
            "location": "eastus",
            "properties": {
            ...
            "fabricProfile": {
                "sku": {...},
                "images": [...],
                "osProfile": {
                    "secretsManagementSettings": {...},
                    "logonType": "Interactive"
                },
                "storageProfile": {...},
                "kind": "Vmss"
            }
        }
    ]
}

대화형 모드는 풀을 만들거나 업데이트할 때 매개 변수의 섹션에 fabric-profile 있는 속성을 osProfile 사용하여 구성됩니다. logonType

az mdp pool create \
   --fabric-profile fabric-profile.json
   # other parameters omitted for space

다음 예제에서는 모드가 osProfile 설정된 fabric-profile.json 파일 Interactive 의 섹션을 보여 줍니다.

{
  "vmss": {
    "sku": {...},
    "images": [...],
    "osProfile": {
      "secretsManagementSettings": {...},
      "logonType": "Interactive"
    },
    "storageProfile": {...}
  }
}

풀 관리 권한

관리되는 DevOps 풀 만들기 프로세스의 일부로 Azure DevOps에서 조직 수준 에이전트 풀이 만들어집니다. 풀 관리 권한 설정은 새로 만든 Azure DevOps 풀의 관리자 역할을 부여받은 사용자를 지정합니다. 관리되는 DevOps 풀을 만든 후 Azure DevOps 에이전트 풀 권한을 보고 관리하려면 에이전트 풀 만들기 및 관리 - 에이전트 풀의 보안을 참조 하세요.

풀 관리 권한을 구성하는 스크린샷.

작성자 전용 - 관리형 DevOps 풀을 만든 사용자가 Azure DevOps 에이전트 풀의 관리자로 추가되고 에이전트 풀 보안 설정에서 상속이 해제로 설정됩니다. 작성자만 기본 설정입니다.
프로젝트에서 사용 권한 상속 - 관리되는 DevOps 풀을 만든 사용자는 Azure DevOps 에이전트 풀의 관리자로 추가되고 상속은 에이전트 풀 보안 설정에서 켜짐으로 설정됩니다.
특정 계정 - Azure DevOps에서 만든 에이전트 풀의 관리자로 추가할 계정을 지정합니다. 기본적으로 Managed DevOps 풀 작성자는 목록에 추가됩니다.

참고 항목

풀 관리 권한 설정은 풀을 만들 때 보안 탭에서 구성되며 풀을 만든 후에는 보안 설정에 표시되지 않습니다. 관리되는 DevOps 풀을 만든 후 Azure DevOps 에이전트 풀 권한을 보고 관리하려면 에이전트 풀 만들기 및 관리 - 에이전트 풀의 보안을 참조 하세요.

풀 관리 권한은 관리되는 DevOps 풀 리소스 섹션의 organizationProfile 속성에 구성 permissionsProfile 됩니다.

{
"organizationProfile": {
    "organizations": [...],
    "permissionProfile": {
        "kind": "CreatorOnly"
    },
    "kind": "AzureDevOps"
}

풀을 permissionProfile 만드는 동안에만 속성을 설정할 수 있습니다. 허용되는 값은 Inherit, CreatorOnly 및 SpecificAccounts입니다.

CreatorOnly- 관리되는 DevOps 풀을 만든 사용자는 Azure DevOps 에이전트 풀의 관리자로 추가되고 상속은 에이전트 풀 보안 설정에서 해제로 설정됩니다. 작성자만 기본 설정입니다.
Inherit- 관리되는 DevOps 풀을 만든 사용자가 Azure DevOps 에이전트 풀의 관리자로 추가되고 에이전트 풀 보안 설정에서 상속이 켜짐으로 설정됩니다.
SpecificAccounts - Azure DevOps에서 만든 에이전트 풀의 관리자로 추가할 계정을 지정합니다. 기본적으로 Managed DevOps 풀 작성자는 목록에 추가됩니다. 속성에 대한 users 단일 전자 메일 주소 또는 전자 메일 주소 목록을 제공합니다. 그렇지 않으면 생략합니다 users.
```
{
"organizationProfile": {
     "organizations": [...],
     "permissionProfile": {
         "kind": "SpecificAccounts",
         "users" : ["User1@fabrikam.com", "User2@fabrikam.com" ]
     },
     "kind": "AzureDevOps"
  }
```

풀 관리 권한은 풀을 만들때 매개 변수에 organization-profile 구성됩니다.

az mdp pool create \
   --organization-profile organization-profile.json
   # other parameters omitted for space

{
  "AzureDevOps":
  {
    "organizations":  [...],
    "permissionProfile": {
        "kind": "CreatorOnly"
    }
  }
}

풀을 permissionProfile 만드는 동안에만 속성을 설정할 수 있습니다. 허용되는 값은 Inherit, CreatorOnly 및 SpecificAccounts입니다.

CreatorOnly- 관리되는 DevOps 풀을 만든 사용자는 Azure DevOps 에이전트 풀의 관리자로 추가되고 상속은 에이전트 풀 보안 설정에서 해제로 설정됩니다. 작성자만 기본 설정입니다.
Inherit- 관리되는 DevOps 풀을 만든 사용자가 Azure DevOps 에이전트 풀의 관리자로 추가되고 에이전트 풀 보안 설정에서 상속이 켜짐으로 설정됩니다.
SpecificAccounts - Azure DevOps에서 만든 에이전트 풀의 관리자로 추가할 계정을 지정합니다. 기본적으로 Managed DevOps 풀 작성자는 목록에 추가됩니다. 속성에 대한 users 단일 전자 메일 주소 또는 전자 메일 주소 목록을 제공합니다. 그렇지 않으면 생략합니다 users.
```
  {
      "AzureDevOps" : {
          "organizationProfile": {
          "organizations": [...],
          "permissionProfile": {
          "kind": "SpecificAccounts",
          "users" : ["User1@fabrikam.com", "User2@fabrikam.com" ]
          }
      }
  }
```

Key Vault 구성

관리형 DevOps 풀은 프로비전하는 동안 Azure Key Vault에서 인증서를 가져오는 기능을 제공합니다. 즉, Azure DevOps 파이프라인을 실행할 때까지 인증서가 컴퓨터에 이미 존재합니다. 이 기능을 사용하려면 풀에서 ID를 구성해야 하며, 이 ID에는 Key Vault에서 비밀을 가져올 수 있는 Key Vault 비밀 사용자 권한이 있어야 합니다. Key Vault 비밀 사용자 역할에 ID를 할당하려면 Azure 역할 기반 액세스 제어를 사용하여 Key Vault 키, 인증서 및 비밀에 대한 액세스 제공을 참조하세요.

참고 항목

api-version 2024-10-19현재 이 기능을 사용하는 경우 풀에서 단일 ID만 사용할 수 있습니다. 여러 ID에 대한 지원이 곧 추가될 예정입니다.

Key Vault에서 비밀을 가져오는 데는 하나의 ID만 사용할 수 있습니다.

Key Vault 통합은 설정 > 보안에서 구성됩니다.

Key Vault 인증서를 구성하는 스크린샷

참고 항목

Key Vault 통합 설정은 풀을 만든 후에만 구성할 수 있습니다. Key Vault 통합 설정은 풀을 만드는 동안 구성할 수 없으며 풀을 만드는 동안 보안 탭에 표시되지 않습니다.

Azure Key Vault는 속성의 섹션에서 구성 osProfile 됩니다 fabricProfile . 원하는 인증서에 secretManagementSettings 액세스할 수 있도록 설정합니다.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "name": "fabrikam-managed-pool",
            "type": "microsoft.devopsinfrastructure/pools",
            "apiVersion": "2024-10-19",
            "location": "eastus",
            "properties": {
            ...
            "fabricProfile": {
                "sku": {...},
                "images": [...],
                "osProfile": {
                    "secretsManagementSettings": {
                        "certificateStoreLocation": "LocalMachine",
                        "observedCertificates": [
                            "https://<keyvault-uri>/secrets/<certificate-name>"
                        ],
                        "keyExportable": false
                    }
                },
                "storageProfile": {...},
                "kind": "Vmss"
            }
        }
    ]
}

Azure Key Vault는 풀을 osProfile 만들거나 업데이트할 fabricProfile 때 속성 섹션에서 구성됩니다. 원하는 인증서에 secretManagementSettings 액세스할 수 있도록 설정합니다.

az mdp pool create \
   --fabric-profile fabric-profile.json
   # other parameters omitted for space

다음 예제에서는 구성된 fabric-profile.json 파일의 섹션을 secretsManagementSettings보여줍니다osProfile.

{
  "vmss": {
    "sku": {...},
    "images": [...],
    "osProfile": {
      "secretsManagementSettings": {
          "certificateStoreLocation": "LocalMachine",
          "observedCertificates": [
              "https://<keyvault-uri>/secrets/<certificate-name>"
          ],
          "keyExportable": false
      },
      "logonType": "Interactive"
    },
    "storageProfile": {...}
  }
}

SecretManagementSettings 구성

풀에서 SecretManagementSettings 검색된 인증서는 Key Vault 내에 게시된 최신 버전과 자동으로 동기화됩니다. 이러한 비밀은 Azure DevOps 파이프라인을 실행할 때까지 머신에 있습니다. 즉, 시간을 절약하고 인증서를 가져오기 위한 작업을 제거할 수 있습니다.

Important

권한 또는 네트워크 문제로 인해 Key Vault에서 비밀을 가져올 수 없는 경우 에이전트 가상 머신의 프로비저닝이 실패합니다.

Windows
Linux

Windows의 경우 인증서 저장소 위치를 설정할 LocalMachine 수 있습니다 CurrentUser. 이 설정은 비밀이 컴퓨터의 해당 위치에 설치되도록 합니다. 비밀 검색의 작동 방식에 대한 구체적인 동작은 Windows용 Azure VMSS Key Vault 확장에 대한 설명서를 참조 하세요.

참고 항목

풀 설정 구성

다음을 통해 공유

관리 DevOps 풀 보안 설정 구성

조직 액세스 구성

단일 조직에서 풀 사용

여러 조직에서 풀 사용

대화형 모드 구성

풀 관리 권한

Key Vault 구성

SecretManagementSettings 구성

참고 항목

피드백

추가 리소스