Uso de la CLI de Azure para administrar información confidencial
Al administrar recursos de Azure, la salida de un comando de la CLI de Azure podría exponer información confidencial que se debe proteger. Por ejemplo, los comandos de la CLI de Azure pueden crear claves, contraseñas y cadena de conexión y mostrarse en una ventana de terminal. La salida de algunos comandos también se puede almacenar en archivos de registro, a menudo es el caso cuando se trabaja con acciones de GitHub y otros ejecutores de DevOps.
¡Es fundamental proteger esta información! Si se adquiere públicamente desde entornos con permisos menores, la exposición de secretos puede causar daños graves y provocar una pérdida de confianza en los productos y servicios de su empresa. Para ayudarle a proteger la información confidencial, la CLI de Azure detecta secretos en la salida de algunos comandos de referencia y muestra un mensaje de advertencia cuando se identifica un secreto.
Establecimiento de la configuración de advertencia de secretos
A partir de la CLI de Azure 2.61, se muestra un mensaje de advertencia cuando los comandos de referencia generan la salida de información confidencial.
Las advertencias de información confidencial están habilitadas de forma predeterminada. Desactive las advertencias de información confidencial estableciendo la clients.show_secrets_warning
propiedad no
de configuración en .
az config set clients.show_secrets_warning=no
Consideraciones
El propósito del mensaje de advertencia es reducir la exposición involuntaria de secretos, pero estos mensajes pueden requerir que realice cambios en los scripts existentes.
Importante
Los nuevos mensajes de advertencia se envían al error estándar (STDERR), no al estándar out (STDOUT). Por lo tanto, si ejecuta un comando de la CLI de Azure que da como resultado una salida de información confidencial, es posible que tenga que interceptar el mensaje de advertencia o desactivar las advertencias.
Por ejemplo, en canalizaciones de Azure DevOps Services, si el failOnStderr
parámetro está establecido True
en de la tarea de Bash v3, el mensaje de advertencia detiene la canalización. Considere la posibilidad de habilitar el show_secrets_warning
mensaje para identificar si se exponen secretos en las canalizaciones y, a continuación, realizar acciones de corrección.