你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Azure CLI 管理敏感信息
管理 Azure 资源时,Azure CLI 命令的输出可能会公开必须保护的敏感信息。 例如,密钥、密码和连接字符串可由 Azure CLI 命令创建,并在终端窗口中显示。 某些命令的输出也可以存储在日志文件中,这通常是使用 GitHub 操作和其他 DevOps 运行程序时的情况。
保护此信息至关重要! 如果从拥有较少权限的环境公开获取,则机密的泄露可能会造成严重损害,并导致对公司产品和服务的信任丢失。 为了帮助保护敏感信息,Azure CLI 会在某些引用命令的输出中检测机密,并在标识机密时显示警告消息。
设置机密警告配置
从 Azure CLI 2.57 开始,当引用命令导致敏感信息输出时,可以显示警告消息。
通过将配置属性设置为yes
或将其设置为clients.show_secrets_warning
或no
关闭敏感信息警告。
az config set clients.show_secrets_warning=yes
注意事项
警告消息的目的是减少机密的无意泄露,但这些消息可能要求你在现有脚本中进行更改。
重要
新的警告消息将发送到标准错误(STDERR),而不是标准输出(STDOUT)。
因此,如果运行的 Azure CLI 命令会导致敏感信息输出,则可能需要捕获警告消息,或者使用 clients.show_secrets_warning=no
关闭警告。
例如,在 Azure DevOps Services 管道中,如果参数 failOnStderr
设置为 True
Bash v3 任务,则警告消息将停止管道。 请考虑启用 show_secrets_warning
消息来识别管道中是否公开了任何机密,然后采取修正措施。
默认行为
默认情况下,在 Azure Cloud Shell 中启用警告。 如果通过任何受支持的 shell(例如 PowerShell 或 zsh)在本地运行 Azure CLI,则默认禁用警告。