Pular para o conteúdo principal

Redação de credenciais

Este artigo fornece uma visão geral de como o site Databricks redige a chave de acesso e as credenciais em logs.

Visão geral da redação de credenciais

A redação de credenciais é uma prática de segurança essencial que envolve o mascaramento de informações confidenciais, como senhas ou chaves API, para evitar o acesso não autorizado. Databricks redige chaves e credenciais em audit logs e log4j Apache Spark logs para proteger seus dados contra vazamento de informações. O Databricks redige automaticamente as credenciais de nuvem e as credenciais no URI.

Para alguns tipos de credenciais, a Databricks adiciona um hash_prefix, que é um código curto gerado a partir da credencial usando um método chamado MD5. Esse código é usado para verificar se a credencial é válida e não foi alterada.

Edição de credenciais na nuvem

As credenciais de nuvem editadas podem ter uma das várias substituições de redação. Alguns dizem [REDACTED], enquanto outros podem ter substitutos mais específicos, como REDACTED_POSSIBLE_CLOUD_SECRET_ACCESS_KEY.

Databricks pode redigir certos strings longos que parecem gerados aleatoriamente, mesmo que não sejam credenciais de nuvem.

AWS acesso redaction key

Para a chave de acesso AWS, Databricks procura por strings começando com AKIA e substitui por REDACTED_AWS_ACCESS_KEY(hash_prefix).

Por exemplo, Databricks logs 2017/02/08: Accessing AWS using AKIADEADBEEFDEADBEEF como 2017/01/08: Accessing AWS using REDACTED_AWS_ACCESS_KEY(655f9d2f)

AWS Acesso secreto redaction key

Databricks substitui um acesso secreto AWS key por REDACTED_POSSIBLE_AWS_SECRET_ACCESS_KEY sem anexar seu hash.

Por exemplo, Databricks logs 2017/01/08: Accessing AWS using 99Abcdeuw+zXXAxllliupwqqqzDEUFdAtaBrickX como 2017/01/08: Accessing AWS using REDACTED_POSSIBLE_AWS_SECRET_ACCESS_KEY.

Como o site AWS não tem um identificador explícito para a chave de acesso secreta, é possível que o site Databricks redija uma chave de acesso secreta de 40 caracteres aparentemente gerada aleatoriamente para o site strings que não seja o site AWS.

Credenciais na redação de URI

O Databricks detecta //username:password@mycompany.com no URI e substitui username:password por REDACTED_CREDENTIALS(hash_prefix). Databricks computar o hash de username:password (incluindo o :).

Por exemplo, Databricks logs 2017/01/08: Accessing https://admin:admin@mycompany.com como 2017/01/08: Accessing https://REDACTED_CREDENTIALS(d2abaa37)@mycompany.com.

Última atualização em