Bonnes pratiques en matière de collaboration de données dans AWS Clean Rooms - AWS Clean Rooms
Les meilleures pratiques avec AWS Clean RoomsBonnes pratiques d'utilisation des règles d'analyse dans AWS Clean Rooms

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques en matière de collaboration de données dans AWS Clean Rooms

Cette rubrique décrit les meilleures pratiques pour mener des collaborations de données dans AWS Clean Rooms.

AWS Clean Rooms suit le modèle de responsabilitéAWS partagée. AWS Clean Rooms propose des règles d'analyse que vous pouvez configurer pour renforcer votre capacité à protéger les données sensibles dans le cadre d'une collaboration. Les règles d'analyse que vous configurez dans AWS Clean Rooms appliqueront les restrictions (contrôles de requête et contrôles de sortie de requête) que vous avez configurées. Il vous incombe de déterminer les restrictions et de configurer les règles d'analyse en conséquence.

Les collaborations en matière de données peuvent impliquer bien plus que votre simple utilisation de AWS Clean Rooms. Pour vous aider à tirer le meilleur parti des collaborations de données, nous vous recommandons de suivre les meilleures pratiques suivantes en utilisant AWS Clean Rooms et en particulier en ce qui concerne les règles d'analyse.

Les meilleures pratiques avec AWS Clean Rooms

Vous êtes chargé d'évaluer le risque lié à chaque collaboration sur les données et de le comparer à vos exigences en matière de confidentialité, telles que les programmes et politiques de conformité externes et internes. Nous vous recommandons de prendre des mesures supplémentaires lors de l'utilisation de AWS Clean Rooms. Ces actions peuvent contribuer à mieux gérer les risques et à vous prémunir contre les tentatives de tiers visant à réidentifier vos données (par exemple, des attaques différenciées ou des attaques par canal secondaire).

Par exemple, envisagez de faire preuve de diligence raisonnable à l'égard de vos autres collaborateurs et de conclure des accords juridiques avec eux avant de vous engager dans une collaboration. Pour surveiller l'utilisation de vos données, envisagez également d'adopter d'autres mécanismes d'audit lorsque vous utilisez AWS Clean Rooms.

Bonnes pratiques d'utilisation des règles d'analyse dans AWS Clean Rooms

Les règles d'analyse vous AWS Clean Rooms permettent de limiter les requêtes pouvant être exécutées en définissant des contrôles de requête sur une table configurée. Par exemple, vous pouvez définir un contrôle de requête indiquant comment une table configurée peut être jointe et quelles colonnes peuvent être sélectionnées. Vous pouvez également restreindre le résultat de la requête en définissant des contrôles des résultats de requête tels que des seuils d'agrégation sur les lignes de sortie. Le service rejette toute requête et supprime les lignes non conformes aux règles d'analyse définies par les membres sur leurs tables configurées dans la requête.

Nous recommandons les 10 meilleures pratiques suivantes pour utiliser les règles d'analyse sur votre table configurée :

  • Créez des tables configurées distinctes pour des cas d'utilisation de requêtes distincts (par exemple, planification d'audience ou attribution). Vous pouvez créer plusieurs tables configurées avec la même AWS Glue table sous-jacente.

  • Spécifiez les colonnes de la règle d'analyse (par exemple, les colonnes de dimension, les colonnes de liste, les colonnes de jointure) qui sont nécessaires pour les requêtes dans le cadre d'une collaboration. Cela peut contribuer à atténuer le risque de différenciation des attaques ou de permettre à d'autres membres de rétroconcevoir vos données. Utilisez la fonctionnalité des colonnes autorisées pour noter les autres colonnes que vous souhaiterez peut-être rendre interrogeables à l'avenir. Pour personnaliser les colonnes qui peuvent être utilisées pour une collaboration donnée, créez des tables configurées supplémentaires avec la même AWS Glue table sous-jacente.

  • Spécifiez dans la règle d'analyse les fonctions nécessaires à l'analyse dans le cadre de la collaboration. Cela peut contribuer à atténuer les risques liés à de rares erreurs de fonctionnement susceptibles de présenter des informations sur un point de données individuel. Pour personnaliser les fonctions qui peuvent être utilisées pour une collaboration donnée, créez des tables configurées supplémentaires avec la même AWS Glue table sous-jacente.

  • Ajoutez des contraintes d'agrégation à toutes les colonnes dont les valeurs au niveau des lignes sont sensibles. Cela inclut les colonnes de votre table configurée qui existent également dans les tables des autres membres de la collaboration et les règles d'analyse en tant que contrainte d'agrégation. Cela inclut également les colonnes de votre table configurée qui ne sont pas interrogeables, c'est-à-dire les colonnes qui se trouvent dans votre table configurée mais qui ne figurent pas dans la règle d'analyse. Les contraintes d'agrégation peuvent contribuer à atténuer les risques liés à la corrélation des résultats des requêtes avec des données extérieures à la collaboration.

  • Créez des collaborations de test et des règles d'analyse pour tester les restrictions créées avec des règles d'analyse spécifiées.

  • Passez en revue les tables configurées par le collaborateur et les règles d'analyse des membres sur les tables configurées pour vérifier qu'elles correspondent à ce qui a été convenu pour la collaboration. Cela peut aider à atténuer les risques liés à l'ingénierie par les autres membres de leurs propres données pour exécuter des requêtes non approuvées.

  • Consultez l'exemple de requête fourni (console uniquement) qui est activé sur votre table configurée une fois que vous avez configuré la règle d'analyse.

    Note

    Outre l'exemple de requête fourni, d'autres requêtes sont possibles en fonction de la règle d'analyse, d'autres tables de membres de collaboration et de règles d'analyse.

  • Vous pouvez ajouter ou mettre à jour une règle d'analyse pour une table configurée dans une collaboration. Lorsque vous le faites, passez en revue toutes les collaborations auxquelles la table configurée est associée et l'impact qui en résulte. Cela permet de s'assurer qu'aucune collaboration n'utilise de règles d'analyse obsolètes.

  • Passez en revue les requêtes exécutées dans le cadre de la collaboration pour vérifier qu'elles correspondent aux cas d'utilisation ou aux requêtes convenus pour la collaboration. (Les requêtes sont disponibles dans les journaux des requêtes lorsque la fonctionnalité de journalisation des requêtes est activée.) Cela peut aider à atténuer les risques liés à l'exécution par les membres d'analyses non approuvées et aux attaques potentielles telles que les attaques par canal secondaire.

  • Passez en revue les colonnes de table configurées utilisées dans les règles d'analyse des membres de la collaboration et dans les requêtes pour vérifier qu'elles correspondent à ce qui a été convenu dans le cadre de la collaboration. (Les requêtes sont disponibles dans les journaux de requêtes lorsque cette fonctionnalité est activée.) Cela peut aider à atténuer les risques liés à l'ingénierie par les autres membres de leurs propres données pour effectuer des requêtes non approuvées.