使用 Azure CLI 來管理敏感性資訊
當您管理 Azure 資源時,Azure CLI 命令的輸出可能會公開必須保護的敏感性資訊。 例如,Azure CLI 命令可以建立金鑰、密碼和 連接字串,並顯示在終端機視窗中。 某些命令的輸出也可以儲存在記錄檔中,這通常是使用 GitHub 動作和其他 DevOps 執行器時的情況。
保護此資訊非常重要! 如果從具有較少許可權的環境公開取得,則公開秘密可能會導致嚴重損害,並導致公司產品和服務失去信任。 為了協助您保護敏感性資訊,Azure CLI 會在某些參考命令的輸出中偵測秘密,並在識別秘密時顯示警告訊息。
設定秘密警告設定
從 Azure CLI 2.57 開始,當參考命令導致敏感性資訊的輸出時,可能會顯示警告訊息。
將組態屬性設定 clients.show_secrets_warning 為 yes 或 no,以開啟/關閉敏感性資訊警告。
az config set clients.show_secrets_warning=yes
考量
警告訊息的目的是減少秘密的意外暴露,但這些訊息可能需要您在現有的腳本中進行變更。
重要
新的警告訊息會傳送至標準錯誤 (STDERR),而不是標準輸出 (STDOUT)。
因此,如果您正在執行會導致敏感性信息輸出的 Azure CLI 命令,您可能需要針對警告訊息設陷,或使用 關閉 clients.show_secrets_warning=no警告。
例如,在 Azure DevOps Services 管線中,如果 failOnStderr 參數設定為 True Bash v3 工作,警告訊息會停止管線。 請考慮讓 show_secrets_warning 訊息識別管線中是否有任何秘密公開,然後採取補救動作。
預設行為
根據預設,Azure Cloud Shell 中會啟用警告。 如果您透過任何支援的殼層在本機執行 Azure CLI(例如 PowerShell 或 zsh),預設會停用警告。