Управление конфиденциальной информацией с помощью Azure CLI
При управлении ресурсами Azure выходные данные команды Azure CLI могут предоставлять конфиденциальную информацию, которая должна быть защищена. Например, ключи, пароли и строка подключения можно создавать с помощью команд Azure CLI и отображаться в окне терминала. Выходные данные некоторых команд также могут храниться в файлах журналов. Это часто происходит при работе с действиями GitHub и другими средствами выполнения DevOps.
Очень важно защитить эту информацию! Если вы приобрели публично из сред с меньшими разрешениями, воздействие секретов может привести к серьезному ущербу и привести к потере доверия к продуктам и службам вашей компании. Чтобы защитить конфиденциальную информацию, Azure CLI обнаруживает секреты в выходных данных некоторых ссылочных команд и отображает предупреждение при обнаружении секрета.
Настройка конфигурации предупреждений о секретах
Начиная с Azure CLI 2.57, предупреждение может отображаться, когда ссылки команды приводят к выводу конфиденциальной информации.
Включите или отключите предупреждения конфиденциальной clients.show_secrets_warning информации, задав для свойства конфигурации значение yes или no.
az config set clients.show_secrets_warning=yes
Рекомендации
Целью предупреждения является уменьшение непреднамеренного раскрытия секретов, но эти сообщения могут потребовать внесения изменений в существующие скрипты.
Важно!
Новые предупреждающие сообщения отправляются в стандартную ошибку (STDERR), а не "Стандартный" (STDOUT).
Таким образом, если выполняется команда Azure CLI, которая приводит к выводу конфиденциальной информации, может потребоваться ловушка для предупреждения или отключение предупреждений с помощью clients.show_secrets_warning=no.
Например, в конвейерах Azure DevOps Services, если failOnStderr для параметра задана True задача Bash версии 3, сообщение предупреждения останавливает конвейер. Рассмотрите show_secrets_warning возможность включения сообщения, чтобы определить, предоставляются ли в конвейерах какие-либо секреты, а затем предпринять действия по исправлению.
Поведение по умолчанию
Предупреждения включены по умолчанию в Azure Cloud Shell. Если вы запускаете Azure CLI локально с помощью любой поддерживаемой оболочки (Например, PowerShell или zsh), предупреждения отключены по умолчанию.