security - 如何在 Azure DevOps 组织中有效处理个人访问 token ?

标签 security azure-devops devops

上下文:
我们正在使用 Azure DevOps,并且开始在我们的 DevOps 周期和流程中利用越来越多的 PAT。我们有大约 30 个用户,他们每个人都在他们的个人帐户下为不同的用例创建了一堆用户。
以下是使用它们的一些场景:

  • 自托管代理配置(Windows 和 docker)
  • Microsoft Teams 机器人的 API 调用
  • 与 Azure DevOps 和其他系统的自制集成

    • 基本上,我们开始放松对以下方面的控制:
  • 创建了什么样的 PAT
  • 哪里使用了 PAT
  • PAT 上定义的范围

    • 例如,我们有一些用户创建 PAT 来配置代理。他们将授予对此 PAT 的完全访问权限,而不是为其选择适当的范围。正如我们所知,最终用户并不真正关心安全性,我们知道我们需要教育我们的开发人员。但是,我们仍然希望有办法控制这些 PAT。
    问题:
  • 有没有办法在组织级别查看所有使用的 PAT?
  • 是否可以消除特定用户创建 PAT 的可能性,而只将该功能提供给管理员用户?
  • 是否可以撤销组织级别的所有 PAT?
  • 您能否分享您如何在组织中有效处理 PAT 的经验和技巧,更具体地说是在安全方面?

    • 最佳答案

    也许这可以帮助您限制 PAT 的使用
    https://devblogs.microsoft.com/devops/new-policies-to-restrict-personal-access-token-scope-and-lifespan/

    Is there a way to view in the organization level all the PATs that used?


    不是我知道

    Is it possible to remove the possibility for a specific user to create PATs and only give that feature to the admin users?


    从文章中,是的,管理员现在可以这样做

    Is it possible to revoke all the PATs on the organization level?


    是的,见 https://docs.microsoft.com/en-us/rest/api/azure/devops/tokenadministration/token%20revocations/revoke%20authorizations?view=azure-devops-rest-5.0&preserve-view=true

    关于security - 如何在 Azure DevOps 组织中有效处理个人访问 token ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/67875903/

    上一篇:python - 将展开的 GAN 更新为 TF2

    下一篇:python - 如何在将行推送到 pgsql 之前验证它是否合规?

    相关文章:

    android - Android应用程序上的高级用户可以读取内存存储的变量吗

    azure-devops - Azure Devops 管道环境资源代理安装问题

    azure-devops - Azure Devops 警告内联 shell 脚本

    azure - 提供数组作为 devops 管道的参数

    google-cloud-platform - 如何从 GUI 生成 Cloud Deployment Manager 配置 YAML?

    javascript - 地址栏中的Facebook javascript,可以复制吗?

    azure - Azure Kubernetes 服务的沙盒(gVisor 或 Kata 容器)以运行不受信任的代码

    java - 如何在代码中的任意位置访问 JAAS 角色?

    nuget - VSTS 发布任务 - 推送到 Nuget

    continuous-integration - Packer 不会在 GCloud 上创建镜像

    ©2024 IT工具网  联系我们