Usar a CLI do Azure para gerenciar informações confidenciais
Quando você gerencia recursos do Azure, a saída de um comando da CLI do Azure pode expor informações confidenciais que devem ser protegidas. Por exemplo, chaves, senhas e cadeias de conexão podem ser criadas por comandos da CLI do Azure e exibidas em uma janela de terminal. A saída para alguns comandos também pode ser armazenada em arquivos de log, este é geralmente o caso ao trabalhar com ações do GitHub e outros executores de DevOps.
É fundamental proteger essas informações! Se adquiridos publicamente em ambientes com menos permissões, a exposição de segredos pode causar sérios danos e levar a uma perda de confiança nos produtos e serviços da sua empresa. Para ajudá-lo a proteger informações confidenciais, a CLI do Azure deteta segredos na saída de alguns comandos de referência e exibe uma mensagem de aviso quando um segredo é identificado.
Definir configuração de aviso de segredos
A partir da CLI 2.61 do Azure, uma mensagem de aviso é exibida quando os comandos de referência resultam na saída de informações confidenciais.
Os avisos de informações confidenciais são ativados por padrão. Desative os avisos de informações confidenciais definindo a clients.show_secrets_warning
propriedade de configuração como no
.
az config set clients.show_secrets_warning=no
Considerações
O objetivo da mensagem de aviso é diminuir a exposição não intencional de segredos, mas essas mensagens podem exigir que você faça alterações nos scripts existentes.
Importante
As novas mensagens de aviso são enviadas para Standard Error (STDERR), não Standard out (STDOUT). Portanto, se você estiver executando um comando da CLI do Azure que resulte em saída de informações confidenciais, talvez seja necessário intercetar a mensagem de aviso ou desativar os avisos.
Por exemplo, nos pipelines dos Serviços de DevOps do Azure, se o failOnStderr
parâmetro for definido como True
da tarefa Bash v3, a mensagem de aviso interromperá o pipeline. Considere habilitar a show_secrets_warning
mensagem para identificar se algum segredo está exposto em seus pipelines e, em seguida, execute ações de correção.