Mendata data data data data - AWS Panduan Preskriptif
Menggunakan landing zone untuk menutupi data sensitif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mendata data data data data

Biasanya, data sensitif berisi PII atau informasi rahasia yang harus diamankan karena kepatuhan atau alasan hukum. Jika enkripsi hanya diperlukan pada tingkat baris atau kolom, sebaiknya gunakan lapisan landing zone. Ini adalah data yang sebagian sensitif.

Namun, jika bucket bucket bucket Simple Storage Service (Amazon S3). Ini adalah data yang sangat sensitif. Bucket S3 terpisah ini harus digunakan untuk setiap lapisan data dan “sensitif” harus disertakan dalam nama bucket. Kami menyarankan Anda mengenkripsi bucket sensitif dengan AWS Key Management Service(AWS KMS) menggunakan Enkripsi Sisi Klien. Anda juga harus menggunakan enkripsi sisi klien untuk mengenkripsiAWS Glue pekerjaan yang mengubah data Anda.

Menggunakan landing zone untuk menutupi data sensitif

Anda dapat menggunakan lapisan landing zone untuk kumpulan data yang sebagian sensitif (misalnya, jika enkripsi hanya diperlukan pada tingkat baris atau kolom). Data ini dicerna ke dalam bucket S3 zona pendaratan dan kemudian ditutup. Setelah data data di-mask, data dicerna ke bucket bucket bucket bucket data yang dienkripsi dengan Enkripsi Sisi Server dengan Amazon S3-Managed Keys (SSE-S3). Jika diperlukan, Anda dapat menandai data di tingkat objek.

Setiap data yang sudah bertopeng dapat melewati landing zone dan langsung dicerna ke dalam bucket S3 layer mentah. Ada dua tingkat akses di panggung dan lapisan analitik untuk kumpulan data yang sensitif sebagian; satu tingkat memiliki akses penuh ke semua data dan tingkat lainnya hanya memiliki akses ke baris dan kolom yang tidak sensitif.

Diagram berikut menunjukkan data lake di mana dataset yang sebagian sensitif menggunakan landing zone untuk menutupi data sensitif tetapi dataset yang sangat sensitif menggunakan bucket S3 yang terpisah dan terenkripsi. Zona pendaratan diisolasi menggunakan kebijakan bucket IAM dan S3 yang membatasi, dan bucket terenkripsi menggunakan enkripsi sisi klien denganAWS KMS.

Alur proses menunjukkan data lake di mana dataset yang sebagian sensitif menggunakan landing zone untuk menutupi data sensitif tetapi dataset yang sangat sensitif menggunakan bucket S3 yang terpisah dan terenkripsi. Zona pendaratan diisolasi menggunakan kebijakan bucket IAM dan S3 yang membatasi, dan bucket terenkripsi menggunakan enkripsi sisi klien denganAWS KMS.

Diagram alur kerja:

  1. Data yang sangat sensitif dikirim ke bucket S3 terenkripsi di lapisan data mentah.

  2. AWS GluePekerjaan memvalidasi dan mengubah data menjadi format siap konsumsi dan kemudian menempatkan file ke dalam bucket S3 terenkripsi di lapisan panggung.

  3. AWS GluePekerjaan mengumpulkan data sesuai dengan persyaratan bisnis dan menempatkan data ke dalam bucket S3 terenkripsi di lapisan analitik.

  4. Data yang sensitif sebagian dikirim ke bucket landing zone.

  5. Baris dan kolom sensitif ditutupi dan data kemudian dikirim ke bucket S3 di lapisan mentah.

  6. Data non-sensitif langsung dikirim ke bucket S3 di lapisan mentah.

  7. AWS GluePekerjaan memvalidasi dan mengubah data menjadi format siap konsumsi dan menempatkan file ke dalam bucket S3 untuk layer stage.

  8. AWS GluePekerjaan mengumpulkan data sesuai dengan persyaratan organisasi Anda dan menempatkan data ke dalam bucket S3 di lapisan analitik.