我们希望使用 VMSS 实例作为我们的 Azure Devops Agent 池。agentpool 将 TeamServicesAgent 虚拟机扩展部署到已部署的实例。此扩展调用脚本:https://vstsagenttools.blob.core.windows.net/tools/ElasticPools/Windows/17/enableagent.ps1
在此脚本中,创建了用户 azdevops 并将其添加到管理员组。我们认为这不太安全,因此我们希望对该用户应用最小权限方案。
有没有官方的方法或好的替代方案可以实现这一点?我创建了一个解决方法,我们将此脚本托管在存储帐户中,然后跳过“添加到管理员”部分,然后为用户提供 SeBatchLogonRight。这可行,但我希望有一种更强大的方法来实现这一点。
另外,似乎没有关于 TeamServicesAgent 扩展的文档。允许哪些参数等等。
你对我有什么建议吗?
提前感谢大家与我一起思考,
弥敦道
答案1
我查看了脚本。我很惊讶它竟然将用户添加到管理员组,而不是像您正确做的那样正确地添加必要的权限并以批处理权限登录到标准用户。这很草率,而且不安全。
我在网上搜索,没找到更强大的东西。至于官方,这个脚本是官方的。但看起来这里的一些流程已经崩溃,因为安全审查应该已经发现这一点……17 次。
我建议您向 Microsoft 报告此问题。您可以在此处进行报告。
https://www.microsoft.com/en-us/msrc
我之所以听从你的建议,是因为他们有一个悬赏计划。我不确定这是否有资格获得悬赏,但你发现了它,并且可能已经在你改编的脚本中实现了解决方案。所以你当然应该得到赞扬。
所以,我猜答案是...MS 需要更新该脚本。