Udostępnij za pośrednictwem


Zarządzanie poufnymi informacjami przy użyciu interfejsu wiersza polecenia platformy Azure

Podczas zarządzania zasobami platformy Azure dane wyjściowe polecenia interfejsu wiersza polecenia platformy Azure mogą uwidaczniać poufne informacje, które muszą być chronione. Na przykład klucze, hasła i parametry połączenia mogą być tworzone przez polecenia interfejsu wiersza polecenia platformy Azure i wyświetlane w oknie terminalu. Dane wyjściowe niektórych poleceń mogą być również przechowywane w plikach dziennika. Jest to często przypadek podczas pracy z akcjami Usługi GitHub i innymi modułami uruchamiającym metodyki DevOps.

Ochrona tych informacji ma kluczowe znaczenie! W przypadku uzyskania publicznie ze środowisk z mniejszymi uprawnieniami ujawnienie wpisów tajnych może spowodować poważne szkody i prowadzić do utraty zaufania do produktów i usług firmy. Aby ułatwić ochronę poufnych informacji, interfejs wiersza polecenia platformy Azure wykrywa wpisy tajne w danych wyjściowych niektórych poleceń referencyjnych i wyświetla komunikat ostrzegawczy po zidentyfikowaniu wpisu tajnego.

Ustawianie konfiguracji ostrzeżeń dotyczących wpisów tajnych

Począwszy od interfejsu wiersza polecenia platformy Azure w wersji 2.61, zostanie wyświetlony komunikat ostrzegawczy, gdy polecenia odwołania spowodują wyświetlenie danych poufnych.

Ostrzeżenia dotyczące informacji poufnych są domyślnie włączone . Wyłącz ostrzeżenia dotyczące informacji poufnych, ustawiając clients.show_secrets_warning właściwość konfiguracji na no.

az config set clients.show_secrets_warning=no

Kwestie wymagające rozważenia

Celem komunikatu ostrzegawczego jest zmniejszenie niezamierzonego ujawnienia wpisów tajnych, ale te komunikaty mogą wymagać wprowadzenia zmian w istniejących skryptach.

Ważne

Nowe komunikaty ostrzegawcze są wysyłane do standardowego błędu (STDERR), a nie standardowego out (STDOUT). W związku z tym, jeśli uruchamiasz polecenie interfejsu wiersza polecenia platformy Azure, które powoduje wyświetlenie danych wyjściowych informacji poufnych, może być konieczne wychwytanie komunikatu ostrzegawczego lub wyłączenie ostrzeżeń.

Na przykład w potokach usługi Azure DevOps Services, jeśli failOnStderr parametr jest ustawiony na True zadanie Bash w wersji 3, komunikat ostrzegawczy zatrzymuje potok. Rozważ włączenie komunikatu w show_secrets_warning celu określenia, czy jakiekolwiek wpisy tajne są uwidocznione w potokach, a następnie podejmij działania korygujące.

Zobacz też