この記事では、Azure Databricks がログ内のアクセス キーと資格情報を編集する方法の概要について説明します。
資格情報の編集の概要
資格情報の編集は、承認されていないアクセスを防ぐために、パスワードや API キーなどの機密情報をマスクする重要なセキュリティプラクティスです。 Azure Databricks は、監査ログと log4j Apache Spark ログのキーと資格情報を編集して、情報漏洩からデータを保護します。 Azure Databricks は、クラウドの資格情報と URI の資格情報を自動的にマスクします。 Redaction は、使用される変数やコンテキストに関係なく、シークレットから取得された値に基づきます。
一部の資格情報の種類では、Azure Databricks によって hash_prefixが追加されます。これは、MD5 というメソッドを使用して資格情報から生成される短いコードです。 このコードは、資格情報が有効であり、変更されていないことを確認するために使用されます。
クラウド資格情報の編集
編集されたクラウド認証情報には、いくつかの編集リプレイスメントの候補が含まれることがあります。
[REDACTED]と言う人もいますが、他のユーザーは、次のようなより具体的な置換を持つ場合があります。REDACTED_POSSIBLE_CLOUD_SECRET_ACCESS_KEY.
Azure Databricks は、クラウド資格情報ではない場合でも、ランダムに生成された特定の長い文字列を編集する可能性があります。
URI の編集での資格情報
Azure Databricks は URI で //username:password@mycompany.com を検出し、 username:password を REDACTED_CREDENTIALS(hash_prefix)に置き換えます。 Azure Databricks は、(username:passwordを含む) :からハッシュを計算します。
たとえば、Azure Databricks は2017/01/08: Accessing https://admin:admin@mycompany.comを2017/01/08: Accessing https://REDACTED_CREDENTIALS(d2abaa37)@mycompany.comとしてログします。