Az - Local Cloud Credentials
ローカルトークンストレージとセキュリティ考慮事項
Azure CLI(Command-Line Interface)
Azure CLIによってトークンや機密データがローカルに保存され、セキュリティ上の懸念が引き起こされます:
アクセストークン:
C:\Users\<username>\.Azure
にあるaccessTokens.json
内に平文で保存されています。サブスクリプション情報:同じディレクトリ内の
azureProfile.json
にはサブスクリプションの詳細が保存されています。ログファイル:
.azure
内のErrorRecords
フォルダには、以下のような機密情報を公開する可能性があるログが含まれています:資格情報が埋め込まれた実行されたコマンド。
トークンを使用してアクセスされたURLなど、機密情報を明らかにする可能性があるもの。
Azure PowerShell
Azure PowerShellもトークンや機密データを保存し、ローカルでアクセスできます:
アクセストークン:
C:\Users\<username>\.Azure
にあるTokenCache.dat
にアクセストークンが平文で保存されています。サービスプリンシパルのシークレット:これらは
AzureRmContext.json
に暗号化されていない状態で保存されています。トークン保存機能:ユーザーは
Save-AzContext
コマンドを使用してトークンを永続化する機能を持っていますが、権限なくアクセスされることを防ぐために慎重に使用する必要があります。
それらを見つけるための自動ツール
セキュリティ推奨事項
平文で機密データを保存していることを考慮すると、これらのファイルとディレクトリを保護するために次のような対策を取ることが重要です:
これらのファイルへのアクセス権を制限する。
これらのディレクトリを権限なくアクセスしたり予期しない変更があったりするかどうかを定期的に監視および監査する。
可能な限り機密ファイルを暗号化する。
このような機密情報を取り扱う際のリスクやベストプラクティスについてユーザーに教育する。
最終更新