Utiliser Azure CLI pour gérer les informations sensibles
Lorsque vous gérez des ressources Azure, la sortie d’une commande Azure CLI peut exposer des informations sensibles qui doivent être protégées. Par exemple, les clés, les mots de passe et les chaîne de connexion peuvent être créés par des commandes Azure CLI et affichés dans une fenêtre de terminal. La sortie de certaines commandes peut également être stockée dans des fichiers journaux, c’est souvent le cas lors de l’utilisation d’actions GitHub et d’autres exécuteurs DevOps.
Il est essentiel de protéger ces informations ! Si elle est acquise publiquement à partir d’environnements avec des autorisations moindres, l’exposition des secrets peut causer des dommages graves et entraîner une perte de confiance dans les produits et services de votre entreprise. Pour vous aider à protéger les informations sensibles, Azure CLI détecte les secrets dans la sortie de certaines commandes de référence et affiche un message d’avertissement lorsqu’un secret est identifié.
Définir la configuration d’avertissement des secrets
À compter d’Azure CLI 2.57, un message d’avertissement peut s’afficher lorsque les commandes de référence entraînent la sortie d’informations sensibles.
Activez/désactivez les avertissements relatifs aux informations sensibles en définissant la clients.show_secrets_warning propriété de configuration sur yes ou no.
az config set clients.show_secrets_warning=yes
À propos de l’installation
L’objectif du message d’avertissement est de réduire l’exposition involontaire des secrets, mais ces messages peuvent vous obliger à apporter des modifications dans des scripts existants.
Important
Les nouveaux messages d’avertissement sont envoyés à l’erreur standard (STDERR), et non à standard out (STDOUT).
Par conséquent, si vous exécutez une commande Azure CLI qui génère une sortie d’informations sensibles, vous devrez peut-être intercepter le message d’avertissement ou désactiver les avertissements à l’aide clients.show_secrets_warning=node .
Par exemple, dans les pipelines Azure DevOps Services, si le failOnStderr paramètre est défini sur True la tâche Bash v3, le message d’avertissement arrête le pipeline. Envisagez d’activer le show_secrets_warning message pour identifier si des secrets sont exposés dans vos pipelines, puis effectuez des actions de correction.
Comportement par défaut
Les avertissements sont activés par défaut dans Azure Cloud Shell. Si vous exécutez Azure CLI localement via n’importe quel interpréteur de commandes pris en charge (PowerShell ou zsh par exemple), les avertissements sont désactivés par défaut.