Uso de la CLI de Azure para administrar información confidencial
Al administrar recursos de Azure, la salida de un comando de la CLI de Azure podría exponer información confidencial que se debe proteger. Por ejemplo, los comandos de la CLI de Azure pueden crear claves, contraseñas y cadena de conexión y mostrarse en una ventana de terminal. La salida de algunos comandos también se puede almacenar en archivos de registro, a menudo es el caso cuando se trabaja con acciones de GitHub y otros ejecutores de DevOps.
¡Es fundamental proteger esta información! Si se adquiere públicamente desde entornos con permisos menores, la exposición de secretos puede causar daños graves y provocar una pérdida de confianza en los productos y servicios de su empresa. Para ayudarle a proteger la información confidencial, la CLI de Azure detecta secretos en la salida de algunos comandos de referencia y muestra un mensaje de advertencia cuando se identifica un secreto.
Establecimiento de la configuración de advertencia de secretos
A partir de la CLI de Azure 2.57, se puede mostrar un mensaje de advertencia cuando los comandos de referencia generan la salida de información confidencial.
Active o desactive las advertencias de información confidencial estableciendo la clients.show_secrets_warning propiedad yes de configuración en o no.
az config set clients.show_secrets_warning=yes
Consideraciones
El propósito del mensaje de advertencia es reducir la exposición involuntaria de secretos, pero estos mensajes pueden requerir que realice cambios en los scripts existentes.
Importante
Los nuevos mensajes de advertencia se envían al error estándar (STDERR), no al estándar out (STDOUT).
Por lo tanto, si ejecuta un comando de la CLI de Azure que da como resultado una salida de información confidencial, es posible que tenga que interceptar el mensaje de advertencia o desactivar las advertencias mediante clients.show_secrets_warning=no.
Por ejemplo, en canalizaciones de Azure DevOps Services, si el failOnStderr parámetro está establecido True en de la tarea de Bash v3, el mensaje de advertencia detiene la canalización. Considere la posibilidad de habilitar el show_secrets_warning mensaje para identificar si se exponen secretos en las canalizaciones y, a continuación, realizar acciones de corrección.
Comportamiento predeterminado
Las advertencias están habilitadas de forma predeterminada en Azure Cloud Shell. Si ejecuta la CLI de Azure localmente a través de cualquier shell compatible (PowerShell o zsh, por ejemplo), las advertencias se deshabilitan de forma predeterminada.