Redação de credenciais

Databricks redige chaves e credenciais em audit logs e log4j Apache Spark logs para proteger seus dados contra vazamento de informações. Databricks redige três tipos de credenciais no momento do registro: AWS access key, AWS secret access key e credenciais no URI. Após a detecção desses segredos, o Databricks substitui por marcadores de posição. Para alguns tipos de credenciais, a Databricks também anexa um hash_prefix, que são os primeiros 8 bytes hexadecimais da soma de verificação md5 da credencial para fins de verificação.

AWS acesso redaction key

Para a chave de acesso AWS, Databricks procura por strings começando com AKIA e substitui por REDACTED_AWS_ACCESS_KEY(hash_prefix). Por exemplo, Databricks logs 2017/02/08: Accessing AWS using AKIADEADBEEFDEADBEEF como 2017/01/08: Accessing AWS using REDACTED_AWS_ACCESS_KEY(655f9d2f)

AWS Acesso secreto redaction key

Databricks substitui um acesso secreto AWS key por REDACTED_POSSIBLE_AWS_SECRET_ACCESS_KEY sem anexar seu hash. Por exemplo, Databricks logs 2017/01/08: Accessing AWS using 99Abcdeuw+zXXAxllliupwqqqzDEUFdAtaBrickX como 2017/01/08: Accessing AWS using REDACTED_POSSIBLE_AWS_SECRET_ACCESS_KEY.

Como o site AWS não tem um identificador explícito para a chave de acesso secreta, é possível que o site Databricks redija uma chave de acesso secreta de 40 caracteres aparentemente gerada aleatoriamente para o site strings que não seja o site AWS.

Credenciais na redação de URI

A Databricks detecta //username:password@mycompany.com no URI e substitui username:password por REDACTED_CREDENTIALS(hash_prefix). Databricks computar o hash de username:password (incluindo o :). Por exemplo, Databricks logs 2017/01/08: Accessing https://admin:admin@mycompany.com como 2017/01/08: Accessing https://REDACTED_CREDENTIALS(d2abaa37)@mycompany.com.