Usare l'interfaccia della riga di comando di Azure per gestire le informazioni riservate
Quando si gestiscono le risorse di Azure, l'output di un comando dell'interfaccia della riga di comando di Azure potrebbe esporre informazioni riservate che devono essere protette. Ad esempio, le chiavi, le password e i stringa di connessione possono essere creati dai comandi dell'interfaccia della riga di comando di Azure e visualizzati in una finestra del terminale. L'output per alcuni comandi può anche essere archiviato nei file di log, questo è spesso il caso quando si usano gitHub actions e altri strumenti di esecuzione DevOps.
È fondamentale proteggere queste informazioni. Se acquisito pubblicamente da ambienti con autorizzazioni minori, l'esposizione dei segreti può causare gravi danni e causare una perdita di fiducia nei prodotti e nei servizi dell'azienda. Per proteggere le informazioni riservate, l'interfaccia della riga di comando di Azure rileva i segreti nell'output di alcuni comandi di riferimento e visualizza un messaggio di avviso quando viene identificato un segreto.
Impostare la configurazione dell'avviso dei segreti
A partire dall'interfaccia della riga di comando di Azure 2.57, è possibile visualizzare un messaggio di avviso quando i comandi di riferimento generano l'output di informazioni riservate.
Attivare/disattivare gli avvisi relativi alle informazioni riservate impostando la clients.show_secrets_warning proprietà di configurazione su yes o no.
az config set clients.show_secrets_warning=yes
Considerazioni
Lo scopo del messaggio di avviso è ridurre l'esposizione involontaria dei segreti, ma questi messaggi potrebbero richiedere di apportare modifiche negli script esistenti.
Importante
I nuovi messaggi di avviso vengono inviati a STDERR (Standard Error), non a Standard Out (STDOUT).
Pertanto, se si esegue un comando dell'interfaccia della riga di comando di Azure che genera un output di informazioni riservate, potrebbe essere necessario intercettare il messaggio di avviso o disattivare gli avvisi usando clients.show_secrets_warning=no.
Ad esempio, nelle pipeline di Azure DevOps Services, se il failOnStderr parametro è impostato su True dell'attività Bash v3, il messaggio di avviso interrompe la pipeline. Valutare la possibilità di abilitare il show_secrets_warning messaggio per identificare se i segreti vengono esposti nelle pipeline e quindi eseguire azioni correttive.
Comportamento predefinito
Gli avvisi sono abilitati per impostazione predefinita in Azure Cloud Shell. Se si esegue l'interfaccia della riga di comando di Azure in locale tramite qualsiasi shell supportata (ad esempio PowerShell o zsh), gli avvisi vengono disabilitati per impostazione predefinita.