Защитить Azure файл конвейерного Yaml от редактирования

Question

В настоящее время мы храним наши конвейерные YAML-файлы в нашем git репо в Azure Devops - пытаясь найти способ ограничить определенных пользователей от редактирования / доступа к YAML-файлу или даже, возможно, к папке, содержащей YAML-файл.

Мы хотим внедрить дополнительную безопасность, чтобы наши разработчики не могли изменять наши файлы YAML для возможного использования конфиденциальной информации или вносить изменения, которые мы не одобряем (у нас есть политика PR, но нам нужны дополнительные меры безопасности ).

В идеале - мы можем настроить группу в azure - добавить участников, и только эти участники смогут изменять файлы в указанной папке репозитория c, содержащей наш файл YAML - не уверен, что это так возможно.

Answer 1

Вы можете создать политику репо, которая предотвращает отправку в папку / файлы YAML.

Go в настройки проекта => Репозитарий => Репозитории => Политики:

И предоставить разрешения на обход политики для определенной группы c, которая будет иметь разрешение на редактирование YAML:

Answer 2

Насколько мне известно, не существует такого существующего параметра безопасности, который не позволяет указанным c членам изменять указанные c файлы или папки.

Однако вы можете заблокировать ветку master, а затем установить политики веток для указанных c файлов, таких как файлы yml или указанные c папки.

Пожалуйста, проверьте эту ветку Можем ли мы заблокировать файл в Azure DevOps? и выполнить шаги .

Суть заключается в том, чтобы установить значение «Для запросов извлечения, влияющих на эти папки» в «Автоматически включать рецензентов» в «Политики филиала».

В этом случае для всех изменений в главной ветви потребуется запрос на извлечение, а для изменения файлов yml понадобятся рецензенты, чтобы доказать это.