Maskieren von Anmeldeinformationen

Dieser Artikel bietet einen Überblick darüber, wie Azure Databricks Zugriffsschlüssel und Anmeldeinformationen in Protokollen entfernt.

Übersicht über das Maskieren von Anmeldeinformationen

Die Redaction von Anmeldeinformationen ist eine wichtige Sicherheitspraxis, bei der vertrauliche Informationen, z. B. Kennwörter oder API-Schlüssel, maskiert werden, um nicht autorisierten Zugriff zu verhindern. Azure Databricks redagiert Schlüssel und Anmeldeinformationen in Überwachungsprotokollen und log4j Apache Spark-Protokollen, um Ihre Daten vor Informationslecks zu schützen. Azure Databricks redigiert automatisch Cloud-Anmeldedaten und Anmeldedaten in einer URI. Die Redaktion basiert auf dem Wert, der aus dem Geheimnis abgerufen wird, unabhängig von der Variablen oder dem Kontext, in dem er verwendet wird.

Bei einigen Anmeldeinformationstypen fügt Azure Databricks einen hash_prefix, einen kurzen Code hinzu, der aus den Anmeldeinformationen mithilfe einer Methode namens MD5 generiert wird. Dieser Code wird verwendet, um zu überprüfen, ob die Anmeldeinformationen gültig sind und nicht geändert wurden.

Löschung von Cloud-Zugangsdaten

Cloudanmeldeinformationen können durch einen von mehreren Maskierungsersätzen ersetzt sein. Einige sagen [REDACTED], während andere möglicherweise spezifischere Ersetzungen haben, z. B. REDACTED_POSSIBLE_CLOUD_SECRET_ACCESS_KEY.

Azure Databricks kann bestimmte lange Zeichenfolgen verbergen, die zufällig generiert erscheinen, selbst wenn es sich nicht um Cloud-Anmeldeinformationen handelt.

Anmeldeinformationen in URI-Maskierung

Azure Databricks erkennt //username:password@mycompany.com in URI und ersetzt username:password durch REDACTED_CREDENTIALS(hash_prefix). Azure Databricks berechnet den Hash von username:password (einschließlich des :).

Beispielsweise protokolliert Azure Databricks 2017/01/08: Accessing https://admin:admin@mycompany.com als 2017/01/08: Accessing https://REDACTED_CREDENTIALS(d2abaa37)@mycompany.com.