Usar a CLI do Azure para gerenciar informações confidenciais
Quando você gerencia recursos do Azure, a saída de um comando da CLI do Azure pode expor informações confidenciais que devem ser protegidas. Por exemplo, chaves, senhas e cadeias de conexão podem ser criadas por comandos da CLI do Azure e exibidas em uma janela de terminal. A saída para alguns comandos também pode ser armazenada em arquivos de log, Isso geralmente é o caso ao trabalhar com ações do GitHub e outros executores de DevOps.
É fundamental proteger essas informações! Se adquirida publicamente de ambientes com menos permissões, a exposição de segredos pode causar sérios danos e levar à perda de confiança nos produtos e serviços da sua empresa. Para ajudá-lo a proteger informações confidenciais, a CLI do Azure detecta segredos na saída de alguns comandos de referência e exibe uma mensagem de aviso quando um segredo é identificado.
Configuração de aviso de definição de segredos
A partir da CLI 2.61 do Azure, uma mensagem de aviso é exibida quando comandos de referência resultam na saída de informações confidenciais.
Os avisos de informações confidenciais são habilitados por padrão. Desative os avisos de informações confidenciais definindo a clients.show_secrets_warning
propriedade de configuração como no
.
az config set clients.show_secrets_warning=no
Considerações
O objetivo da mensagem de aviso é diminuir a exposição não intencional de segredos, mas essas mensagens podem exigir que você faça alterações em scripts existentes.
Importante
As novas mensagens de aviso são enviadas para Standard Error (STDERR), não Standard Out (STDOUT). Portanto, se você estiver executando um comando da CLI do Azure que resulta na saída de informações confidenciais, talvez seja necessário interceptar a mensagem de aviso ou desativar os avisos.
Por exemplo, nos pipelines dos Serviços de DevOps do Azure, se o failOnStderr
parâmetro estiver definido como True
da tarefa Bash v3, a mensagem de aviso interromperá o pipeline. Considere habilitar a show_secrets_warning
mensagem para identificar se algum segredo está exposto em seus pipelines e, em seguida, execute ações de correção.