Redação de credencial

Databricks edita key e credenciais em logs de auditoria e log4j Apache Spark logs para proteger seus dados contra vazamento de informações. O Databricks edita três tipos de credenciais no momento do registro: key de acesso da AWS, key de acesso secreta da AWS e credenciais no URI. Após a detecção desses segredos, o Databricks os substitui por espaços reservados. Para alguns tipos de credencial, o Databricks também acrescenta um hash_prefix, que são os primeiros 8 bytes hexadecimais da soma de verificação md5 da credencial para fins de verificação.

Redação da chave de acesso da AWS

Para key de acesso da AWS, o Databricks pesquisa strings começando com AKIA e as substitui por REDACTED_AWS_ACCESS_KEY(hash_prefix). Por exemplo, Databricks logs 2017/02/08: Accessing AWS using AKIADEADBEEFDEADBEEF como 2017/01/08: Accessing AWS using REDACTED_AWS_ACCESS_KEY(655f9d2f)

Redação da chave de acesso secreto da AWS

O Databricks substitui uma key de acesso secreta da AWS por REDACTED_POSSIBLE_AWS_SECRET_ACCESS_KEY sem anexar seu hash. Por exemplo, Databricks logs 2017/01/08: Accessing AWS using 99Abcdeuw+zXXAxllliupwqqqzDEUFdAtaBrickX como 2017/01/08: Accessing AWS using REDACTED_POSSIBLE_AWS_SECRET_ACCESS_KEY.

Como a AWS não tem um identificador explícito para key de acesso secreta, é possível que o Databricks edite algumas strings de 40 caracteres aparentemente geradas aleatoriamente, diferentes da key de acesso secreta da AWS.

Credenciais na redação de URI

Databricks detecta //username:password@mycompany.com no URI e substitui username:password por REDACTED_CREDENTIALS(hash_prefix). Databricks compute o hash de username:password (incluindo o :). Por exemplo, Databricks logs 2017/01/08: Accessing https://admin:admin@mycompany.com como 2017/01/08: Accessing https://REDACTED_CREDENTIALS(d2abaa37)@mycompany.com.