Didacticiel : Détecter et expurger des DPI avec S3 Object Lambda et Amazon Comprehend

Créer et attacher une politique IAM à votre utilisateur IAM

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

2. Dans le volet de navigation de gauche, choisissez Politiques.

3. Choisissez Créer une politique.

4. Dans l’onglet Éditeur visuel, pour Service, choisissez Choisir un service. Ensuite, choisissez Serverless Application Repository.

5. Pour Actions, sous Actions manuelles, sélectionnez Toutes les actions du Serverless Application Repository (serverlessrepo :*) pour ce didacticiel.

   En tant que bonne pratique de sécurité, vous devez autoriser un utilisateur à accéder uniquement aux actions et ressources qui lui sont nécessaires, selon votre cas d’utilisation. Pour plus d’informations, consultez Bonnes pratiques de sécurité dans IAM dans le Guide de l’utilisateur IAM.

6. Pour Ressources, choisissez Toutes les ressources pour ce didacticiel.

   La bonne pratique consiste à définir des autorisations pour des ressources spécifiques uniquement dans des comptes spécifiques. Vous pouvez autrement accorder le moindre privilège en utilisant des clés de condition. Pour plus d’informations, consultez Accorder le moindre privilège dans le guide de l’utilisateur IAM.

7. Choisissez Suivant : Balises.

8. Choisissez Suivant : Vérification.

9. Dans la page Examiner une politique, saisissez un nom (par exemple, tutorial-serverless-application-repository) et une Description (facultatif) pour la politique que vous êtes en train de créer. Examinez le récapitulatif de la politique afin de vérifier que vous avez accordé les autorisations souhaitées, puis choisissez Créer une politique pour enregistrer votre nouvelle politique.

10. Dans le volet de navigation de gauche, choisissez Utilisateurs. Ensuite, choisissez l’utilisateur IAM pour ce didacticiel.

11. Dans la page Récapitulatif de l’utilisateur sélectionné, choisissez l’onglet Autorisations, puis choisissez Ajouter des autorisations.

12. Sous Octroyer des autorisations, choisissez Attacher directement les politiques existantes.

13. Cochez la case en regard de la politique que vous avez créée (par exemple, tutorial-serverless-application-repository), puis choisissez Suivant : Examiner.

14. Sous Récapitulatif des autorisations, examinez le récapitulatif de la politique afin de vérifier que vous avez attaché la politique prévue. Choisissez ensuite Ajouter des autorisations.

Pour créer un compartiment

1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

2. Dans le panneau de navigation de gauche, choisissez Compartiments.

3. Choisissez Créer un compartiment.

   La page Créer un compartiment s'ouvre.

4. Pour Nom du compartiment, saisissez un nom (par exemple, tutorial-bucket) pour votre compartiment.

   Pour en savoir plus sur les règles d'attribution de noms des compartiments Amazon S3, consultez Règles de dénomination des compartiments à usage général.

5. Dans Région, choisissez la Région AWS dans laquelle le compartiment doit résider.

   Pour en savoir plus sur les régions des compartiments, consultez Présentation des compartiments.

6. Pour Paramètres de blocage de l'accès public à ce compartiment, conservez les paramètres par défaut (Bloquer tout accès public est activé).

   Nous vous recommandons de laisser tous les paramètres de blocage de l’accès public activés, sauf si vous devez en désactiver un ou plusieurs pour votre cas d’utilisation. Pour en savoir plus sur le blocage de l'accès public, consultez Blocage de l’accès public à votre stockage Amazon S3.

7. Pour les paramètres restants, conservez les paramètres par défaut.

   (Facultatif) Si vous souhaitez configurer des paramètres de compartiment supplémentaires pour votre cas d’utilisation particulier, consultez Créer un compartiment.

8. Choisissez Créer un compartiment.

Charger un fichier dans un compartiment

1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

2. Dans le panneau de navigation de gauche, choisissez Compartiments.

3. Dans la liste Compartiments, choisissez le nom du compartiment que vous avez créé à l'étape 1 (par exemple, tutorial-bucket) pour y charger votre fichier.

4. Sous l’onglet Objets de votre compartiment, choisissez Charger.

5. Dans la page Charger, sous Fichiers et dossiers, choisissez Ajouter des fichiers.

6. Choisissez un fichier à charger, puis choisissez Ouvrir. Par exemple, vous pouvez charger le fichier tutorial.txt mentionné précédemment.

7. Choisissez Charger.

Créer un point d’accès

1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

2. Dans le volet de navigation, choisissez Points d’accès.

3. Dans la page Points d’accès, choisissez Créer un point d’accès.

4. Dans le champ Nom du point d’accès, saisissez le nom (par exemple, tutorial-pii-access-point) du point d’accès.

   Pour en savoir plus sur l’attribution de noms aux points d’accès, consultez Règles de dénomination pour les points d'accès Amazon S3.

5. Dans Nom du compartiment, saisissez le nom du compartiment que vous avez créé à l’étape 1 (par exemple, tutorial-bucket). S3 attache le point d’accès à ce compartiment.

   (Facultatif) Vous pouvez choisir Parcourir S3 pour parcourir et rechercher les compartiments inclus dans votre compte. Si vous choisissez Parcourir S3, choisissez le compartiment souhaité, puis choisissez Choisir un chemin pour renseigner le champ Nom du compartiment avec le nom de ce compartiment.

6. Pour Origine du réseau, choisissez Internet.

   Pour en savoir plus sur les origines de réseau des points d’accès, consultez Création de points d’accès restreints à un virtual private cloud.

7. Par défaut, tous les paramètres de blocage d’accès public sont activés pour votre point d’accès. Nous vous recommandons de conserver l’option Bloquer tous les accès publics activée. Pour en savoir plus, consultez Gestion de l’accès public aux points d’accès.

8. Pour tous les autres paramètres de point d’accès, conservez les paramètres par défaut.

   (Facultatif) Vous pouvez modifier les paramètres du point d’accès afin de prendre en charge votre cas d’utilisation. Pour ce didacticiel, nous vous recommandons de conserver les paramètres par défaut.

   (Facultatif) Si vous devez gérer l’accès à votre point d’accès, vous pouvez indiquer une politique de point d’accès. Pour plus d’informations, consultez Exemples de stratégie de point d’accès.

9. Choisissez Créer un point d'accès.

Configurez et déployez la fonction Lambda

1. Connectez-vous au AWS Management Console et visualisez la ComprehendPiiRedactionS3ObjectLambdafonction dans le AWS Serverless Application Repository.

2. Pour les Paramètres de l’application, sous Nom de l’application, conservez la valeur par défaut (ComprehendPiiRedactionS3ObjectLambda) pour ce didacticiel.

   (Facultatif) Vous pouvez saisir le nom que vous souhaitez donner à cette application. Vous pouvez faire ceci si vous prévoyez de configurer plusieurs fonctions Lambda pour différents besoins d’accès au même jeu de données partagé.

3. Pour MaskCharacter, conservez la valeur par défaut (*). Le caractère de masque remplace chaque caractère de l’entité DPI expurgée.

4. Pour MaskMode, conservez la valeur par défaut (MASK). La MaskModevaleur indique si l'entité PII est expurgée avec le MASK caractère ou la PII_ENTITY_TYPE valeur.

5. Pour supprimer les types de données spécifiés, pour PiiEntityTypes, conservez la valeur par défaut ALL. La PiiEntityTypesvaleur indique les types d'entités PII à prendre en compte pour la rédaction.

   Pour en savoir plus sur la liste des types d’entités DPI pris en charge, consultez Détecter les données d’identification personnelle (PII) dans le guide du développeur Amazon Comprehend.

6. Conservez les paramètres restants définis sur les valeurs par défaut.

   (Facultatif) Si vous souhaitez configurer des paramètres supplémentaires pour votre cas d’utilisation spécifique, consultez la section Fichier Readme sur le côté gauche de la page.

7. Cochez la case en regard de Je reconnais que cette application crée des rôles IAM personnalisés.

8. Choisissez Déployer.

9. Dans la page de la nouvelle application, sous Ressources, choisissez l’ID logique de la fonction Lambda que vous avez déployée pour examiner la fonction dans la page de la fonction Lambda.

Créer un point d'accès S3 Object Lambda

1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

2. Dans le volet de navigation de gauche, choisissez Points d’accès Object Lambda.

3. Dans la page Points d'accès Object Lambda), choisissez Créer un point d'accès Object Lambda).

4. Pour Nom du point d’accès Lambda d’objet, saisissez le nom que vous souhaitez utiliser pour le point d’accès Object Lambda (par exemple, tutorial-pii-object-lambda-accesspoint).

5. Pour Point d’accès de prise en charge, saisissez ou accédez au point d’accès standard que vous avez créé à l’étape 3 (par exemple, tutorial-pii-access-point), puis choisissez Choisir un point d’accès de prise en charge.

6. Pour S3 APIs, pour récupérer des objets du compartiment S3 afin que la fonction Lambda les traite, sélectionnez. GetObject

7. Pour Appeler une fonction Lambda, vous pouvez choisir l'une des deux options suivantes pour ce didacticiel.

   • Choisissez Choisir parmi les fonctions de votre compte et choisissez la fonction Lambda que vous avez déployée à l’étape 4 (par exemple, serverlessrepo-ComprehendPiiRedactionS3ObjectLambda) dans la liste déroulante Fonction Lambda.

   • Choisissez Saisir l'ARN, puis saisissez l'Amazon Resource Name (ARN) de la fonction Lambda que vous avez créée à l'étape 4.

8. Pour Version de la fonction Lambda, choisissez $LATEST (la dernière version de la fonction Lambda que vous avez déployée à l’étape 4).

9. (Facultatif) Si vous avez besoin de votre fonction Lambda pour reconnaître et traiter les demandes GET avec des en-têtes de plage et de numéro de partie, sélectionnez La fonction Lambda prend en charge les demandes utilisant la plage et La fonction Lambda prend en charge les demandes utilisant des numéros de partie. Sinon, décochez ces deux cases.

   Pour en savoir plus sur l’utilisation des plages ou des numéros de pièce avec S3 Object Lambda, consultez Travailler avec Range and partNumber headers.

10. (Facultatif) Sous Charge utile – facultatif, ajoutez un texte JSON pour fournir des informations supplémentaires à votre fonction Lambda.

    Une charge utile est un texte JSON facultatif que vous pouvez fournir à votre fonction Lambda comme entrée pour toutes les invocations provenant d’un point d’accès S3 Object Lambda spécifique. Pour personnaliser les comportements de plusieurs points d’accès Object Lambda qui invoquent la même fonction Lambda, vous pouvez configurer des charges utiles avec différents paramètres, augmentant ainsi la flexibilité de votre fonction Lambda.

    Pour en savoir plus sur les charges utiles, consultez Format et utilisation du contexte d’événement.

11. (Facultatif) Pour Métriques de demande – facultatif, choisissez Activer ou Désactiver pour ajouter la surveillance Amazon S3 à votre point d’accès Object Lambda. Les statistiques relatives aux demandes sont facturées au CloudWatch tarif standard d'Amazon. Pour en savoir plus, consultez PricingCloudWatch (Tarification).

12. Sous Politique de point d’accès Object Lambda – facultatif, conservez le paramètre par défaut.

    (Facultatif) Vous pouvez définir une politique de ressource. Cette politique de ressource permet à l’autorisation d’API GetObject d’utiliser le point d’accès Object Lambda spécifié.

13. Conservez les paramètres restants définis sur les valeurs par défaut, et choisissez Créer un point d'accès Object Lambda.

Pour utiliser le point d’accès S3 Object Lambda pour récupérer le fichier expurgé

Lorsque vous demandez de récupérer un fichier via votre point d'accès S3 Object Lambda, vous effectuez un appel d'API GetObject à S3 Object Lambda. L’objet S3 Lambda invoque la fonction Lambda pour expurger vos DPI et retourne les données transformées comme réponse à l’appel d’APIGetObject S3 standard.

1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

2. Dans le panneau de navigation de gauche, choisissez Points d'accès Object Lambda.

3. Sur la page Points d’accès Lambda d’objet, choisissez le point d’accès S3 Object Lambda que vous avez créé à l’étape 5 (par exemple, tutorial-pii-object-lambda-accesspoint).

4. Dans l'onglet Objets de votre point d'accès S3 Object Lambda, sélectionnez le fichier portant le même nom (par exemple, tutorial.txt) comme celui que vous avez chargé dans le compartiment S3 à l'étape 2.

   Ce fichier doit contenir toutes les données transformées.

5. Pour afficher les données transformées, choisissez Ouvrir ou Télécharger.

   Vous devriez pouvoir voir le fichier expurgé, comme illustré dans l’exemple suivant.

   Hello *********. Your AnyCompany Financial Services, 
   LLC credit card account ******************* has a minimum payment 
   of $24.53 that is due by *********. Based on your autopay settings, 
   we will withdraw your payment on the due date from your 
   bank account ********** with the routing number *********. 
   
   Your latest statement was mailed to **********************************. 
   After your payment is received, you will receive a confirmation 
   text message at ************. 
   If you have questions about your bill, AnyCompany Customer Service 
   is available by phone at ************ or 
   email at **********************.                                                        

1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

2. Dans le panneau de navigation de gauche, choisissez Points d'accès Object Lambda.

3. Sur la page Points d’accès Lambda d’objet, choisissez le bouton d’option situé à gauche du point d’accès S3 Object Lambda que vous avez créé à l’étape 5 (par exemple, tutorial-pii-object-lambda-accesspoint).

4. Choisissez Supprimer.

5. Confirmez que vous souhaitez supprimer votre point d’accès Object Lambda en saisissant son nom dans le champ de texte qui s’affiche, puis choisissez Supprimer.

1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

2. Dans le panneau de navigation, choisissez Points d'accès.

3. Accédez au point d’accès que vous avez créé à l’étape 3 (par exemple, tutorial-pii-access-point) et choisissez le bouton d’option en regard du nom du point d’accès.

4. Choisissez Supprimer.

5. Confirmez que vous souhaitez supprimer votre point d'accès en saisissant son nom dans le champ de texte qui s'affiche, puis choisissez Supprimer.

1. Dans la AWS Lambda console https://console.aws.amazon.com/lambda/, sélectionnez Functions dans le volet de navigation de gauche.

2. Choisissez la fonction que vous avez créée à l'étape 4 (par exemple, serverlessrepo-ComprehendPiiRedactionS3ObjectLambda).

3. Choisissez Actions, puis choisissez Supprimer.

4. Dans la boîte de dialogue Supprimer une fonction, choisissez Supprimer.

1. Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.

2. Dans le volet de navigation de gauche, choisissez Groupes de journaux.

3. Recherchez le groupe de journaux dont le nom se termine par la fonction Lambda que vous avez créée à l'étape 4 (par exemple, serverlessrepo-ComprehendPiiRedactionS3ObjectLambda).

4. Choisissez Actions, puis choisissez Supprimer le groupe de journaux.

5. Dans la boîte de dialogue Supprimer le ou les groupes de journaux, choisissez Supprimer.

1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

2. Dans le panneau de navigation de gauche, choisissez Compartiments.

3. Dans la liste Nom du compartiment, choisissez le nom du compartiment vers lequel vous avez chargé le fichier original à l’étape 2 (par exemple, tutorial-bucket).

4. Cochez la case située à gauche du nom de l’objet que vous souhaitez supprimer (par exemple, tutorial.txt).

5. Choisissez Supprimer.

6. Dans la page Supprimer des objets, dans la section Supprimer définitivement les objets ?, confirmez que vous souhaitez supprimer cet objet en saisissant permanently delete dans la zone de texte.

7. Choisissez Supprimer les objets.

1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

2. Dans le panneau de navigation de gauche, choisissez Compartiments.

3. Dans la liste Compartiments, choisissez le bouton d’option en regard du nom du compartiment que vous avez créé à l’étape 1 (par exemple, tutorial-bucket).

4. Choisissez Supprimer.

5. Dans la page Supprimer un compartiment, confirmez que vous souhaitez supprimer le compartiment en saisissant le nom du compartiment dans le champ de texte, puis choisissez Supprimer un compartiment.

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

2. Dans le volet de navigation de gauche, choisissez Rôles, puis cochez la case en regard du rôle à supprimer. Le nom du rôle commence par le nom de la fonction Lambda que vous avez déployée à l’étape 4 (par exemple, serverlessrepo-ComprehendPiiRedactionS3ObjectLambda).

3. Choisissez Supprimer.

4. Dans la boîte de dialogue Supprimer, saisissez le nom du rôle dans le champ de saisie de texte pour confirmer la suppression. Ensuite, choisissez Supprimer.

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

2. Dans le panneau de navigation de gauche, choisissez Politiques.

3. Dans la page Politiques, saisissez le nom de la politique gérée par le client que vous avez créée dans les conditions préalables (par exemple, tutorial-serverless-application-repository) dans la zone de recherche pour filtrer la liste des politiques. Sélectionnez le bouton d’option en regard du nom de la politique à supprimer.

4. Choisissez Actions, puis choisissez Supprimer.

5. Confirmez que vous souhaitez supprimer cette politique en saisissant son nom dans le champ de texte qui s’affiche, puis choisissez Supprimer.

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

2. Dans le volet de navigation, choisissez Utilisateurs, puis cochez la case en regard du nom de l’utilisateur à supprimer.

3. En haut de la page, choisissez Supprimer.

4. Dans le champ Supprimer user name ? boîte de dialogue, entrez le nom d'utilisateur dans le champ de saisie de texte pour confirmer la suppression de l'utilisateur. Sélectionnez Delete (Supprimer).