Usar a CLI do Azure para gerenciar informações confidenciais
Quando você gerencia recursos do Azure, a saída de um comando da CLI do Azure pode expor informações confidenciais que devem ser protegidas. Por exemplo, chaves, senhas e cadeias de conexão podem ser criadas por comandos da CLI do Azure e exibidas em uma janela de terminal. A saída para alguns comandos também pode ser armazenada em arquivos de log, Isso geralmente é o caso ao trabalhar com ações do GitHub e outros executores de DevOps.
É fundamental proteger essas informações! Se adquirida publicamente de ambientes com menos permissões, a exposição de segredos pode causar sérios danos e levar à perda de confiança nos produtos e serviços da sua empresa. Para ajudá-lo a proteger informações confidenciais, a CLI do Azure detecta segredos na saída de alguns comandos de referência e exibe uma mensagem de aviso quando um segredo é identificado.
Configuração de aviso de definição de segredos
A partir da CLI 2.57 do Azure, uma mensagem de aviso pode ser exibida quando comandos de referência resultam na saída de informações confidenciais.
Ativar/desativar avisos de informações confidenciais definindo a clients.show_secrets_warning propriedade de configuração como yes ou no.
az config set clients.show_secrets_warning=yes
Considerações
O objetivo da mensagem de aviso é diminuir a exposição não intencional de segredos, mas essas mensagens podem exigir que você faça alterações em scripts existentes.
Importante
As novas mensagens de aviso são enviadas para Standard Error (STDERR), não Standard Out (STDOUT).
Portanto, se você estiver executando um comando da CLI do Azure que resulta na saída de informações confidenciais, talvez seja necessário interceptar a mensagem de aviso ou desativar os avisos usando clients.show_secrets_warning=noo .
Por exemplo, nos pipelines dos Serviços de DevOps do Azure, se o parâmetro estiver definido como True da tarefa Bash v3, a mensagem de aviso interromperá o failOnStderrpipeline. Considere habilitar a show_secrets_warning mensagem para identificar se algum segredo está exposto em seus pipelines e, em seguida, execute ações de correção.
Comportamento padrão
Os avisos são habilitados por padrão no Azure Cloud Shell. Se você executar a CLI do Azure localmente por meio de qualquer shell com suporte (PowerShell ou zsh, por exemplo), os avisos serão desabilitados por padrão.