Azure CLI を使用して機密情報を管理する

Azure リソースを管理する場合、Azure CLI コマンドの出力によって、保護する必要がある機密情報が公開される場合があります。 たとえば、キー、パスワード、接続文字列は、Azure CLI コマンドで作成し、ターミナル ウィンドウに表示できます。 一部のコマンドの出力はログ ファイルにも格納できます。これは、GitHub アクションやその他の DevOps ランナーを操作する場合によくあることです。

この情報を保護することが重要です。 アクセス許可の少ない環境からパブリックに取得した場合、シークレットの公開によって重大な損害が発生し、会社の製品やサービスに対する信頼が失われる可能性があります。 機密情報を保護するために、Azure CLI では、いくつかの参照コマンドの出力でシークレットが検出され、シークレットが識別されたときに警告メッセージが表示されます。

シークレットの警告構成を設定する

Azure CLI 2.61 以降では、参照コマンドによって機密情報が出力されると、警告メッセージが表示されます。

機密情報の警告は既定 で有効になっています 。 構成プロパティを に設定して、機密情報の警告をclients.show_secrets_warningnoオフにします。

az config set clients.show_secrets_warning=no

考慮事項

警告メッセージの目的は、意図しないシークレットの公開を減らすることですが、これらのメッセージでは既存のスクリプトを変更する必要がある場合があります。

重要

新しい警告メッセージは、標準出力 (STDOUT) ではなく標準エラー (STDERR) に送信されます。 そのため、機密情報の出力が発生する Azure CLI コマンドを実行している場合は、警告メッセージをトラップするか、警告をオフにする必要があります。

たとえば、Azure DevOps Services パイプラインで、パラメーターが failOnStderr Bash v3 タスクに True 設定されている場合、警告メッセージはパイプラインを停止します。 メッセージを show_secrets_warning 有効にして、パイプラインでシークレットが公開されているかどうかを特定し、修復アクションを実行することを検討してください。

関連項目