Zarządzanie poufnymi informacjami przy użyciu interfejsu wiersza polecenia platformy Azure

Podczas zarządzania zasobami platformy Azure dane wyjściowe polecenia interfejsu wiersza polecenia platformy Azure mogą uwidaczniać poufne informacje, które muszą być chronione. Na przykład klucze, hasła i parametry połączenia mogą być tworzone przez polecenia interfejsu wiersza polecenia platformy Azure i wyświetlane w oknie terminalu. Dane wyjściowe niektórych poleceń mogą być również przechowywane w plikach dziennika. Jest to często przypadek podczas pracy z akcjami Usługi GitHub i innymi modułami uruchamiającym metodyki DevOps.

Ochrona tych informacji ma kluczowe znaczenie! W przypadku uzyskania publicznie ze środowisk z mniejszymi uprawnieniami ujawnienie wpisów tajnych może spowodować poważne szkody i prowadzić do utraty zaufania do produktów i usług firmy. Aby ułatwić ochronę poufnych informacji, interfejs wiersza polecenia platformy Azure wykrywa wpisy tajne w danych wyjściowych niektórych poleceń referencyjnych i wyświetla komunikat ostrzegawczy po zidentyfikowaniu wpisu tajnego.

Ustawianie konfiguracji ostrzeżeń dotyczących wpisów tajnych

Począwszy od interfejsu wiersza polecenia platformy Azure w wersji 2.57, można wyświetlić komunikat ostrzegawczy, gdy polecenia referencyjne spowodują wyświetlenie danych wyjściowych poufnych informacji.

Włącz/wyłącz ostrzeżenia dotyczące informacji poufnych, ustawiając clients.show_secrets_warning właściwość konfiguracji na yes lub no.

az config set clients.show_secrets_warning=yes

Kwestie wymagające rozważenia

Celem komunikatu ostrzegawczego jest zmniejszenie niezamierzonego ujawnienia wpisów tajnych, ale te komunikaty mogą wymagać wprowadzenia zmian w istniejących skryptach.

Ważne

Nowe komunikaty ostrzegawcze są wysyłane do standardowego błędu (STDERR), a nie standardowego out (STDOUT). W związku z tym, jeśli uruchamiasz polecenie interfejsu wiersza polecenia platformy Azure, które powoduje wyświetlenie danych wyjściowych informacji poufnych, może być konieczne wychwytanie komunikatu ostrzegawczego lub wyłączenie ostrzeżeń przy użyciu polecenia clients.show_secrets_warning=no.

Na przykład w potokach usługi Azure DevOps Services, jeśli failOnStderr parametr jest ustawiony na True zadanie Bash w wersji 3, komunikat ostrzegawczy zatrzymuje potok. Rozważ włączenie komunikatu w show_secrets_warning celu określenia, czy jakiekolwiek wpisy tajne są uwidocznione w potokach, a następnie podejmij działania korygujące.

Zachowanie domyślne

Ostrzeżenia są domyślnie włączone w usłudze Azure Cloud Shell. Jeśli uruchamiasz interfejs wiersza polecenia platformy Azure lokalnie za pośrednictwem dowolnej obsługiwanej powłoki (na przykład programu PowerShell lub zsh), ostrzeżenia są domyślnie wyłączone .

Zobacz też

• Konfiguracja interfejsu wiersza polecenia platformy Azure
• Format danych wyjściowych interfejsu wiersza polecenia platformy Azure "none"
• Wskazówki firmy Microsoft dotyczące wycieku poświadczeń do dzienników funkcji GitHub Actions za pośrednictwem interfejsu wiersza polecenia platformy Azure