Verwenden der Azure CLI zum Verwalten vertraulicher Informationen

Wenn Sie Azure-Ressourcen verwalten, kann die Ausgabe eines Azure CLI-Befehls vertrauliche Informationen verfügbar machen, die geschützt werden müssen. Beispielsweise können Schlüssel, Kennwörter und Verbindungszeichenfolge von Azure CLI-Befehlen erstellt und in einem Terminalfenster angezeigt werden. Die Ausgabe für einige Befehle kann auch in Protokolldateien gespeichert werden. Dies ist häufig der Fall beim Arbeiten mit GitHub-Aktionen und anderen DevOps-Läufern.

Es ist wichtig, diese Informationen zu schützen! Wenn sie öffentlich aus Umgebungen mit geringeren Berechtigungen erworben werden, kann die Exposition von Geheimnissen schwerwiegende Schäden verursachen und zu einem Vertrauensverlust in die Produkte und Dienstleistungen Ihres Unternehmens führen. Damit Sie vertrauliche Informationen schützen können, erkennt die Azure CLI geheime Schlüssel in der Ausgabe einiger Referenzbefehle und zeigt eine Warnmeldung an, wenn ein geheimer Schlüssel identifiziert wird.

Festlegen der Warnungskonfiguration für geheime Schlüssel

Ab Azure CLI 2.61 wird eine Warnmeldung angezeigt, wenn Verweisbefehle zur Ausgabe vertraulicher Informationen führen.

Warnungen zu vertraulichen Informationen sind standardmäßig aktiviert . Deaktivieren Sie Warnungen zu vertraulichen Informationen, indem Sie die clients.show_secrets_warning Konfigurationseigenschaft auf no.

az config set clients.show_secrets_warning=no

Überlegungen

Der Zweck der Warnmeldung besteht darin, die unbeabsichtigte Belichtung geheimer Schlüssel zu verringern, aber diese Nachrichten erfordern möglicherweise, dass Sie Änderungen an vorhandenen Skripts vornehmen müssen.

Wichtig

Die neuen Warnmeldungen werden an Standardfehler (STANDARD Error, STDERR) und nicht an "Standard Out" (STDOUT) gesendet. Wenn Sie daher einen Azure CLI-Befehl ausführen, der zu einer Ausgabe vertraulicher Informationen führt, müssen Sie möglicherweise die Warnmeldung abfangen oder Warnungen deaktivieren.

Wenn der failOnStderr Parameter beispielsweise in Azure DevOps Services-Pipelines auf True die Bash v3-Aufgabe festgelegt ist, hält die Warnmeldung die Pipeline an. Erwägen Sie, die show_secrets_warning Nachricht zu aktivieren, um festzustellen, ob geheime Schlüssel in Ihren Pipelines verfügbar gemacht werden, und ergreifen Sie dann Abhilfemaßnahmen.

Weitere Informationen

• Azure CLI-Konfiguration
• Azure CLI-Ausgabeformat von "none"
• Microsoft-Leitfaden zu Anmeldeinformationen, die über Azure CLI an GitHub-Aktionsprotokolle geleert wurden