Usar a CLI do Azure para gerenciar informações confidenciais
Quando você gerencia recursos do Azure, a saída de um comando da CLI do Azure pode expor informações confidenciais que devem ser protegidas. Por exemplo, chaves, senhas e cadeias de conexão podem ser criadas por comandos da CLI do Azure e exibidas em uma janela de terminal. A saída para alguns comandos também pode ser armazenada em arquivos de log, este é geralmente o caso ao trabalhar com ações do GitHub e outros executores de DevOps.
É fundamental proteger essas informações! Se adquiridos publicamente em ambientes com menos permissões, a exposição de segredos pode causar sérios danos e levar a uma perda de confiança nos produtos e serviços da sua empresa. Para ajudá-lo a proteger informações confidenciais, a CLI do Azure deteta segredos na saída de alguns comandos de referência e exibe uma mensagem de aviso quando um segredo é identificado.
Definir configuração de aviso de segredos
A partir da CLI 2.57 do Azure, uma mensagem de aviso pode ser exibida quando os comandos de referência resultam na saída de informações confidenciais.
Ative ou desative avisos de informações confidenciais definindo a clients.show_secrets_warning propriedade de configuração como yes ou no.
az config set clients.show_secrets_warning=yes
Considerações
O objetivo da mensagem de aviso é diminuir a exposição não intencional de segredos, mas essas mensagens podem exigir que você faça alterações nos scripts existentes.
Importante
As novas mensagens de aviso são enviadas para Standard Error (STDERR), não Standard out (STDOUT).
Portanto, se você estiver executando um comando da CLI do Azure que resulte em saída de informações confidenciais, talvez seja necessário intercetar a mensagem de aviso ou desativar os avisos usando clients.show_secrets_warning=no.
Por exemplo, nos pipelines dos Serviços de DevOps do Azure, se o parâmetro for definido como True da tarefa Bash v3, a mensagem de aviso interromperá o failOnStderrpipeline. Considere habilitar a show_secrets_warning mensagem para identificar se algum segredo está exposto em seus pipelines e, em seguida, execute ações de correção.
Comportamento predefinido
Os avisos são habilitados por padrão no Azure Cloud Shell. Se você executar a CLI do Azure localmente por meio de qualquer shell com suporte (PowerShell ou zsh, por exemplo), os avisos serão desabilitados por padrão.