Redação de credencial
Databricks edita key e credenciais em logs de auditoria e log4j Apache Spark logs para proteger seus dados contra vazamento de informações. O Databricks edita três tipos de credenciais no momento do registro: key de acesso da AWS, key de acesso secreta da AWS e credenciais no URI. Após a detecção desses segredos, o Databricks os substitui por espaços reservados. Para alguns tipos de credencial, o Databricks também acrescenta um hash_prefix
, que são os primeiros 8 bytes hexadecimais da soma de verificação md5 da credencial para fins de verificação.
Redação da chave de acesso da AWS
Para key de acesso da AWS, o Databricks pesquisa strings começando com AKIA
e as substitui por REDACTED_AWS_ACCESS_KEY(hash_prefix)
. Por exemplo, Databricks logs 2017/02/08: Accessing AWS using AKIADEADBEEFDEADBEEF
como 2017/01/08: Accessing AWS using REDACTED_AWS_ACCESS_KEY(655f9d2f)
Redação da chave de acesso secreto da AWS
O Databricks substitui uma key de acesso secreta da AWS por REDACTED_POSSIBLE_AWS_SECRET_ACCESS_KEY
sem anexar seu hash. Por exemplo, Databricks logs 2017/01/08: Accessing AWS using 99Abcdeuw+zXXAxllliupwqqqzDEUFdAtaBrickX
como 2017/01/08: Accessing AWS using REDACTED_POSSIBLE_AWS_SECRET_ACCESS_KEY
.
Como a AWS não tem um identificador explícito para key de acesso secreta, é possível que o Databricks edite algumas strings de 40 caracteres aparentemente geradas aleatoriamente, diferentes da key de acesso secreta da AWS.
Credenciais na redação de URI
Databricks detecta //username:password@mycompany.com
no URI e substitui username:password
por REDACTED_CREDENTIALS(hash_prefix)
. Databricks compute o hash de username:password
(incluindo o :
). Por exemplo, Databricks logs 2017/01/08: Accessing https://admin:admin@mycompany.com
como 2017/01/08: Accessing https://REDACTED_CREDENTIALS(d2abaa37)@mycompany.com
.