Redaction poświadczeń

Ten artykuł zawiera omówienie sposobu redagowania kluczy dostępu i poświadczeń w dziennikach w usłudze Azure Databricks.

Omówienie redaction poświadczeń

Ukrywanie poświadczeń jest krytyczną praktyką zabezpieczeń, która obejmuje maskowanie poufnych informacji, takich jak hasła lub klucze interfejsu API, aby zapobiec nieautoryzowanemu dostępowi. Usługa Azure Databricks ukrywa klucze i poświadczenia w dziennikach inspekcji oraz w dziennikach log4j platformy Apache Spark, aby chronić dane przed wyciekiem informacji. Usługa Azure Databricks automatycznie usuwa poświadczenia w chmurze oraz poświadczenia w identyfikatorze URI. Redakcja opiera się na wartości pobranej z sekretu, niezależnie od zmiennej lub kontekstu, w którym jest używana.

W przypadku niektórych typów poświadczeń usługa Azure Databricks dodaje element hash_prefix, który jest krótkim kodem wygenerowanym na podstawie poświadczeń przy użyciu metody o nazwie MD5. Ten kod służy do sprawdzania, czy poświadczenie jest prawidłowe i nie zostało zmienione.

Usuwanie poświadczeń w chmurze

Zredagowane poświadczenia w chmurze mogą mieć jedną z kilku zastąpień redakcji. Niektórzy mówią [REDACTED], podczas gdy inne mogą mieć bardziej szczegółowe zamienniki, takie jak REDACTED_POSSIBLE_CLOUD_SECRET_ACCESS_KEY.

Usługa Azure Databricks może ukrywać niektóre długie ciągi, które wydają się być generowane losowo, nawet jeśli nie są poświadczeniami w chmurze.

Redagowanie poświadczeń w identyfikatorze URI

Usługa Azure Databricks wykrywa //username:password@mycompany.com w identyfikatorze URI i zastępuje element username:passwordREDACTED_CREDENTIALS(hash_prefix). Usługa Azure Databricks oblicza skrót z username:password (w tym :).

Na przykład usługa Azure Databricks rejestruje 2017/01/08: Accessing https://admin:admin@mycompany.com jako 2017/01/08: Accessing https://REDACTED_CREDENTIALS(d2abaa37)@mycompany.com.