Поделиться через

Управление конфиденциальной информацией с помощью Azure CLI

  • Статья

При управлении ресурсами Azure выходные данные команды Azure CLI могут предоставлять конфиденциальную информацию, которая должна быть защищена. Например, ключи, пароли и строка подключения можно создавать с помощью команд Azure CLI и отображаться в окне терминала. Выходные данные некоторых команд также могут храниться в файлах журналов. Это часто происходит при работе с действиями GitHub и другими средствами выполнения DevOps.

Очень важно защитить эту информацию! Если вы приобрели публично из сред с меньшими разрешениями, воздействие секретов может привести к серьезному ущербу и привести к потере доверия к продуктам и службам вашей компании. Чтобы защитить конфиденциальную информацию, Azure CLI обнаруживает секреты в выходных данных некоторых ссылочных команд и отображает предупреждение при обнаружении секрета.

Настройка конфигурации предупреждений о секретах

Начиная с Azure CLI 2.61, предупреждение отображается, когда ссылки команды приводят к выводу конфиденциальной информации.

Предупреждения о конфиденциальной информации включены по умолчанию. Отключите предупреждения конфиденциальной clients.show_secrets_warning информации, задав для свойства конфигурации значение no.

az config set clients.show_secrets_warning=no

Рекомендации

Целью предупреждения является уменьшение непреднамеренного раскрытия секретов, но эти сообщения могут потребовать внесения изменений в существующие скрипты.

Внимание

Новые предупреждающие сообщения отправляются в стандартную ошибку (STDERR), а не "Стандартный" (STDOUT). Таким образом, если вы выполняете команду Azure CLI, которая приводит к выводу конфиденциальной информации, может потребоваться ловушка для предупреждения или отключение предупреждений.

Например, в конвейерах Azure DevOps Services, если failOnStderr для параметра задана True задача Bash версии 3, сообщение предупреждения останавливает конвейер. Рассмотрите show_secrets_warning возможность включения сообщения, чтобы определить, предоставляются ли в конвейерах какие-либо секреты, а затем предпринять действия по исправлению.

См. также