#azure-functions
#azure-функции
Вопрос:
Можно ли как-то контролировать, как запретить публикацию функции Azure непосредственно из кода Visual Studio? Я хотел бы иметь только возможность публиковать функцию из репозитория из Azure DevOps.
Комментарии:
1. нельзя ли применить политику группы ресурсов или уровня ресурсов, чтобы остановить действие развертывания, за исключением использования определенного принципа обслуживания?
Ответ №1:
Я не думаю, что есть какой-то конкретный параметр, который вы могли бы установить. В рамках развертывания VS Code аналогичные API Kudo используются в качестве задачи выпуска в агенте сборки Azure DevOps.
Что вы можете сделать:
- Ограничить доступ на запись в целом, особенно в производственных средах. Обычно ни один физический пользователь не должен иметь (давний) доступ на запись, только принципы обслуживания. Таким образом, вы можете гарантировать, что ни один пользователь не сможет выполнить развертывание из VS Code или просто где угодно. Примечание: Это общая рекомендация, которой вы должны следовать, несмотря ни на что.
- Используйте ограничения IP для конечной точки SCM (развертывания) приложения функции. Если вы используете автономные агенты сборки в ADO, это было бы правильным подходом, поскольку вы бы знали общедоступный IP-адрес или, что еще лучше, разместили агент сборки в виртуальной сети и разрешили доступ к сайту SCM только из этой подсети