Azure CLI gebruiken om gevoelige informatie te beheren
Wanneer u Azure-resources beheert, kan de uitvoer van een Azure CLI-opdracht gevoelige informatie beschikbaar maken die moet worden beveiligd. Sleutels, wachtwoorden en verbindingsreeks s kunnen bijvoorbeeld worden gemaakt door Azure CLI-opdrachten en worden weergegeven in een terminalvenster. De uitvoer voor sommige opdrachten kan ook worden opgeslagen in logboekbestanden. Dit is vaak het geval bij het werken met GitHub-acties en andere DevOps-runners.
Het is essentieel om deze informatie te beschermen. Als geheimen openbaar worden verkregen uit omgevingen met minder machtigingen, kan de blootstelling van geheimen ernstige schade veroorzaken en leiden tot verlies van vertrouwen in de producten en services van uw bedrijf. Om u te helpen gevoelige informatie te beveiligen, detecteert de Azure CLI geheimen in de uitvoer van een aantal referentieopdrachten en geeft een waarschuwingsbericht weer wanneer een geheim wordt geïdentificeerd.
Waarschuwingsconfiguratie voor geheimen instellen
Vanaf Azure CLI 2.57 kan een waarschuwingsbericht worden weergegeven wanneer verwijzingsopdrachten resulteren in de uitvoer van gevoelige informatie.
Schakel waarschuwingen voor gevoelige informatie in of uit door de clients.show_secrets_warning configuratie-eigenschap in te stellen op yes of no.
az config set clients.show_secrets_warning=yes
Overwegingen
Het doel van het waarschuwingsbericht is om de onbedoelde blootstelling van geheimen te verminderen, maar voor deze berichten moet u mogelijk wijzigingen aanbrengen in bestaande scripts.
Belangrijk
De nieuwe waarschuwingsberichten worden verzonden naar Standard Error (STDERR), niet Standard Out (STDOUT).
Als u een Azure CLI-opdracht uitvoert die resulteert in uitvoer van gevoelige informatie, moet u mogelijk traps uitvoeren voor het waarschuwingsbericht of waarschuwingen uitschakelen met behulp van clients.show_secrets_warning=no.
Als de failOnStderr parameter bijvoorbeeld is ingesteld op True de Bash v3-taak in Azure DevOps Services-pijplijnen, stopt het waarschuwingsbericht de pijplijn. Overweeg het show_secrets_warning bericht in te schakelen om te bepalen of er geheimen in uw pijplijnen worden weergegeven en voer vervolgens herstelacties uit.
Standaardgedrag
Waarschuwingen zijn standaard ingeschakeld in Azure Cloud Shell. Als u de Azure CLI lokaal uitvoert via een ondersteunde shell (bijvoorbeeld PowerShell of zsh), worden waarschuwingen standaard uitgeschakeld .