Proteger segredos no Azure PowerShell

Quando você gerencia recursos do Azure com o Azure PowerShell, a saída de comandos pode expor informações confidenciais que você deve proteger. Por exemplo, o Azure PowerShell pode exibir senhas, tokens ou chaves na saída quando você os cria. Alguns comandos também podem armazenar a saída em arquivos de log. Esse cenário geralmente é o caso ao trabalhar com o GitHub Actions ou o Azure DevOps.

Entenda o risco

É fundamental proteger segredos e informações confidenciais. Quando mal manuseados, podem tornar-se acessíveis a utilizadores não autorizados. Erros do usuário, como scripts configurados incorretamente ou inserção de segredos em texto sem formatação como valores para parâmetros, podem expor detalhes confidenciais em logs, histórico de comandos ou sistemas de controle de versão.

Mensagem de aviso

O Azure PowerShell exibe uma mensagem de aviso por padrão, começando com a versão 12.0.0, para ajudá-lo a proteger informações confidenciais quando identifica um segredo potencial na saída de um comando.

Desativar a mensagem de aviso

No exemplo a seguir, o cmdlet Update-AzConfig é usado para desabilitar a mensagem de aviso.

Update-AzConfig -DisplaySecretsWarning $false

Você também pode usar a variável de ambiente $Env:AZURE_CLIENTS_SHOW_SECRETS_WARNING para desativar a mensagem de aviso.

Set-Item -Path Env:\AZURE_CLIENTS_SHOW_SECRETS_WARNING -Value $false

Transição de Strings para SecureStrings

Por motivos de segurança, o tipo de saída padrão do cmdlet Get-AzAccessToken está agendado para mudar de texto sem formatação String para SecureString. Para se preparar para essa atualização, use o parâmetro AsSecureString antes que a alteração de quebra ocorra.

Essa alteração foi projetada para evitar a exposição inadvertida de tokens confidenciais em texto sem formatação. Para garantir uma transição suave, atualize seus scripts para usar o parâmetro AsSecureString, conforme mostrado no exemplo a seguir:

$token = Get-AzAccessToken -AsSecureString