Esercitazione: Rilevare e redigere i dati PII con S3 Object Lambda e Amazon Comprehend

Per creare e allegare una policy IAM a un utente IAM

1. Accedi a AWS Management Console e apri la console IAM su https://console.aws.amazon.com/iam/.

2. Nel riquadro di navigazione sinistro, scegli Policy.

3. Scegli Crea policy.

4. Nella scheda Visual editor (Editor visivo), in Service (Servizio), seleziona Choose a Service (Scegli un servizio). Poi, scegli Serverless Application Repository.

5. In Actions (Operazioni), sotto Manual actions (Operazioni manuali), seleziona All Serverless Application Repository actions (serverlessrepo:*) (Tutte le operazioni Serverless Application Repository (serverlessrepo:*)) per questo tutorial.

   Come best practice di sicurezza, dovresti concedere le autorizzazioni solo alle operazioni e alle risorse necessarie all'utente, in base al tuo caso d'uso. Per ulteriori informazioni, consulta Best Practice di sicurezza in IAM nella Guida per l'utente di IAM.

6. In Resources (Risorse), scegli All resources (Tutte le risorse) per questo tutorial.

   Come best practice, è consigliabile definire le autorizzazioni solo per risorse specifiche in account specifici. In alternativa, puoi concedere un privilegio minimo utilizzando le chiavi di condizione. Per ulteriori informazioni, consulta Assegnare il privilegio minimo nella Guida per l'utente di IAM.

7. Scegli Avanti: Tag.

8. Scegli Avanti: Revisione.

9. Nella pagina Review policy (Rivedi policy) digita i valori per Name (Nome) (per esempio, tutorial-serverless-application-repository) e Description (Descrizione) (facoltativa) per la policy che stai creando. Rivedi il riepilogo dei criteri per assicurarti di aver concesso le autorizzazioni previste, quindi scegli Crea criterio per salvare il nuovo criterio.

10. Nel riquadro di navigazione sinistro, scegli Utenti. Quindi, scegli l'utente IAM per questo tutorial.

11. Nella pagina Summary (Riepilogo) dell'utente scelto, scegli la scheda Permissions (Autorizzazioni), quindi scegli Add permissions (Aggiungi autorizzazioni).

12. In Concessione di autorizzazioni, scegli Allega direttamente i criteri esistenti.

13. Seleziona la casella di controllo accanto alla policy creata (ad esempio, tutorial-serverless-application-repository) e quindi scegli Next: Review (Successivo: Rivedi).

14. In Permissions summary (Riepilogo delle autorizzazioni) esaminare il riepilogo per accertarti di aver allegato la policy desiderata. Quindi seleziona Add permissions (Aggiungi autorizzazioni).

Per creare un bucket

1. Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

2. Nel riquadro di navigazione sinistro, scegli Bucket.

3. Scegli Crea bucket.

   Si apre la pagina Crea bucket.

4. Per il Nome del bucket, inserisci un nome (ad esempio, tutorial-bucket) per il bucket.

   Per ulteriori informazioni sulle regole di denominazione del bucket in Amazon S3, consulta Regole di denominazione dei bucket per uso generico.

5. Per Regione, scegli la Regione AWS dove desideri che il bucket risieda.

   Per ulteriori informazioni sulla Regione del bucket, consulta Panoramica dei bucket.

6. Per le Impostazioni di Blocco dell'accesso pubblico per questo bucket, mantieni le impostazioni predefinite (Blocco di tutti gli accessi pubblici è abilitato).

   È consigliabile di lasciare abilitate tutte le impostazioni di blocco dell'accesso pubblico, a meno che non abbia bisogno di disattivarne una o più per il caso d'uso. Per ulteriori informazioni sul blocco dell'accesso pubblico, consulta Blocco dell'accesso pubblico all'archivio Amazon S3.

7. Mantieni le impostazioni rimanenti impostate sui valori di default.

   (Facoltativo) Se desideri configurare ulteriori impostazioni del bucket per il tuo caso d'uso specifico, consulta Creazione di un bucket.

8. Scegli Crea bucket.

Per caricare un file in un bucket

1. Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

2. Nel riquadro di navigazione sinistro, scegli Bucket.

3. Nell'elenco dei Bucket, scegli il nome del bucket creato nel passaggio 1 (ad esempio, tutorial-bucket) in cui caricare il file.

4. Nella scheda Oggetti del bucket, scegli Carica.

5. Nella pagina di caricamento, in File e cartelle, scegli Aggiungi file.

6. Scegli un file da caricare e poi scegli Apri. Ad esempio, puoi caricare il file di esempio tutorial.txt menzionato in precedenza.

7. Scegli Carica.

Per creare un punto di accesso

1. Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

2. Nel riquadro di navigazione sinistro, scegli Punti di accesso.

3. Nella pagina Punto di accesso, scegli Crea punto di accesso.

4. Nel campo Nome del punto di accesso, inserisci il nome (ad esempio, tutorial-pii-access-point) del punto di accesso.

   Per ulteriori informazioni sulla denominazione dei punti di accesso, consulta Regole per la denominazione degli Punti di accesso Amazon S3.

5. Nel campo Nome bucket, inserisci il nome del bucket creato nel passaggio 1 (ad esempio, tutorial-bucket). S3 allega quindi il punto di accesso a questo bucket.

   (Facoltativo) È possibile scegliere Sfoglia S3 per sfogliare e cercare i bucket nel proprio account. Se scegli Sfoglia S3, seleziona il bucket desiderato e poi scegli Scegli percorso per popolare il campo Nome bucket con il nome del bucket.

6. Per Origine rete, scegli Internet.

   Per ulteriori informazioni sulle origini della rete per i punti di accesso, consulta Creazione di access point limitati a un cloud privato virtuale.

7. Tutte le impostazioni di blocco dell'accesso pubblico sono abilitate per impostazione predefinita per il punto di accesso. Si consiglia di mantenere abilitato il Blocco di tutti gli accessi pubblici. Per ulteriori informazioni, consulta Gestione dell'accesso pubblico agli access point.

8. Per tutte le altre impostazioni del punto di accesso, mantieni i valori di default.

   (Facoltativo) Puoi modificare le impostazioni del punto di accesso per supportare il caso d'uso. Per questo tutorial, ti consigliamo di mantenere le impostazioni di default.

   (Facoltativo) Se è necessario gestire l'accesso al punto di accesso, puoi specificare una policy per il punto di accesso. Per ulteriori informazioni, consulta Esempi di criteri per gli access point.

9. Scegli Crea punto di accesso.

Per configurare e implementare la funzione Lambda

1. Accedi alla AWS Management Console e visualizza la funzione ComprehendPiiRedactionS3ObjectLambda in AWS Serverless Application Repository.

2. In Application settings (Impostazioni applicazioni), sotto Application name (Nome applicazione), mantieni il valore di default (ComprehendPiiRedactionS3ObjectLambda) per questo tutorial.

   (Facoltativo) Puoi inserire il nome che desideri assegnare a questa applicazione. Puoi eseguire questa operazione se prevedi di configurare più funzioni Lambda per esigenze di accesso diverse per lo stesso set di dati condiviso.

3. Per MaskCharacter (Carattere maschera), mantieni il valore predefinito (*). Il carattere maschera sostituisce ogni carattere nell'entità PII oscurata.

4. In MaskMode (Modalità maschera), mantieni il valore predefinito (MASK (MASCHERA)). Il valore MaskMode (Modalità maschera) specifica se l'entità PII viene oscurata con il carattere MASK o il valore PII_ENTITY_TYPE.

5. Per oscurare i tipi di dati specificati, per PiiEntityTypes (Tipi entità PII), mantieni il valore predefinito ALL (TUTTI). Il valore PiiEntityTypes specifica i tipi di entità PII da considerare per la redazione.

   Per ulteriori informazioni sull'elenco dei tipi di entità PII supportati, vedi Detect Personally Identifiable Information (PII) nella Guida per Developer di Amazon Comprehend.

6. Mantieni le altre impostazioni predefinite.

   (Facoltativo) Se desideri configurare impostazioni aggiuntive per il caso d'uso specifico, consulta la sezione File readme sul lato sinistro della pagina.

7. Seleziona la casella di controllo accanto a Riconosco che questa applicazione crea ruoli IAM personalizzati.

8. Scegli Implementa.

9. Nella pagina della nuova applicazione, sotto Resources (Risorse), scegli il Logical ID (ID logico) della funzione Lambda implementata per rivedere la funzione nella pagina della funzione Lambda.

Per creare un punto di accesso Lambda per oggetti S3

1. Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

2. Nel riquadro di navigazione sinistro, scegli Punti di accesso Lambda dell'oggetto.

3. Nella pagina Punti di accesso Lambda dell'oggetto, scegli Crea punto di accesso per le espressioni Lambda dell'oggetto.

4. In Nome del punto di accesso per le espressioni Lambda dell'oggetto immetti il nome che desideri utilizzare per il punto di accesso Lambda per oggetti (per esempio, tutorial-pii-object-lambda-accesspoint).

5. Per Punto di accesso di supporto, immetti o cerca il punto di accesso standard creato al punto 3 (ad esempio, tutorial-pii-access-point), quindi seleziona Scegli punto di accesso di supporto.

6. Per le API S3, per recuperare oggetti dal bucket S3 per l'elaborazione della funzione Lambda, seleziona getObject.

7. Per l'invocazione della funzione Lambda, si può scegliere una delle due opzioni seguenti per questa esercitazione.

   • Scegli Choose from functions in your account (Scegli tra le funzioni nell'account) e scegli la funzione Lambda implementata nella Fase 4 (ad esempio, serverlessrepo-ComprehendPiiRedactionS3ObjectLambda) dall'elenco a discesa Lambda function (Funzione Lambda).

   • Scegli Inserisci ARN, quindi inserisci il nome della risorsa Amazon (ARN) della funzione Lambda creata nella Fase 4.

8. In Lambda function version (Versione delle funzioni Lambda), scegli $LATEST (l'ultima versione della funzione Lambda implementata nella Fase 4).

9. (Facoltativo) Se hai bisogno che la tua funzione Lambda riconosca ed elabori le richieste GET con intestazioni con intervalli e numeri di parte, seleziona Lambda function supports requests using range (La funzione Lambda supporta le richieste che utilizzano l'intervallo) e Lambda function supports requests using part numbers (La funzione Lambda supporta le richieste che utilizzano numeri di parte). Altrimenti, deseleziona queste due caselle di controllo.

   Per ulteriori informazioni sull'utilizzo di intervalli o numeri di parte con Lambda per oggetti S3, consulta Utilizzo delle intestazioni Range e partNumber.

10. (Facoltativo) In Payload - optional (Payload - facoltativo), aggiungi il testo JSON per fornire alla tua funzione Lambda ulteriori informazioni.

    Un payload è un testo JSON opzionale che puoi fornire alla tua funzione Lambda come input per tutte le chiamate provenienti da uno specifico punto di accesso Lambda per oggetti S3. Per personalizzare il comportamento di più punti di accesso Lambda per oggetti che invocano la stessa funzione Lambda, puoi configurare i payload con parametri diversi, estendendo così la flessibilità della funzione stessa.

    Per ulteriori informazioni sul payload, consulta Formato e utilizzo del contesto dell'evento.

11. (Facoltativo) In Parametri di richiesta - facoltativo, scegli Disabilita o Abilita per aggiungere il monitoraggio Amazon S3 al punto di accesso Lambda per oggetti. Le metriche delle richieste sono fatturate alla tariffa standard di Amazon CloudWatch. Per ulteriori informazioni, consulta Prezzi di CloudWatch.

12. In Policy del punto di accesso per le espressioni Lambda dell'oggetto - opzionale mantieni l'impostazione predefinita.

    (Facoltativo) Puoi impostare una policy delle risorse. Questa policy delle risorse fornisce all'API GetObject l'autorizzazione per utilizzare il punto di accesso Lambda per oggetti specificato.

13. Mantieni le impostazioni rimanenti sui valori predefiniti, quindi scegli Crea punto di accesso per le espressioni Lambda dell'oggetto.

Per utilizzare il punto di accesso Lambda per oggetti S3 per recuperare il file oscurato

Quando si richiede di recuperare un file attraverso il proprio punto di accesso Lambda per oggetti S3, si effettua una chiamata API GetObject a Lambda per oggetti S3. S3 Object Lambda richiama la funzione Lambda per oscurare i dati PII e restituisce i dati trasformati come risposta alla chiamata API GetObject S3 standard.

1. Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

2. Nel riquadro di navigazione sinistro, scegli Punti di accesso Lambda dell'oggetto.

3. Nella pagina Punti di accesso Lambda dell'oggetto scegli il punto di accesso Lambda per oggetti S3 creato nella Fase 5 (ad esempio, tutorial-pii-object-lambda-accesspoint).

4. Nella scheda Oggetti del punto di accesso Lambda per oggetti S3, seleziona il file con lo stesso nome (ad esempio, tutorial.txt) di quello che hai caricato nel bucket S3 nella Fase 2.

   Questo file deve contenere tutti i dati trasformati.

5. Per visualizzare i dati trasformati, scegli Open (Apri) o Download (Scarica).

   Dovresti visualizzare il file oscurato, come mostrato nell'esempio seguente.

   Hello *********. Your AnyCompany Financial Services, 
   LLC credit card account ******************* has a minimum payment 
   of $24.53 that is due by *********. Based on your autopay settings, 
   we will withdraw your payment on the due date from your 
   bank account ********** with the routing number *********. 
   
   Your latest statement was mailed to **********************************. 
   After your payment is received, you will receive a confirmation 
   text message at ************. 
   If you have questions about your bill, AnyCompany Customer Service 
   is available by phone at ************ or 
   email at **********************.                                                        

1. Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

2. Nel riquadro di navigazione sinistro, scegli Punti di accesso Lambda dell'oggetto.

3. Nella pagina Punti di accesso Lambda dell'oggetto scegli il pulsante di opzione a sinistra del punto di accesso Lambda per oggetti S3 creato nella Fase 5 (ad esempio, tutorial-pii-object-lambda-accesspoint).

4. Scegli Elimina.

5. Conferma di voler eliminare il punto di accesso Lambda per oggetti inserendone il nome nel campo di testo che viene visualizzato, quindi scegli Elimina.

1. Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

2. Nel riquadro di navigazione sinistro, scegli Punti di accesso.

3. Passa al punto di accesso creato nella Fase 3 (ad esempio, tutorial-pii-access-point), quindi scegli il pulsante di opzione accanto al nome del punto di accesso.

4. Scegli Elimina.

5. Conferma di voler eliminare il punto di accesso inserendone il nome nel campo di testo che viene visualizzato, quindi scegli Delete (Elimina).

1. Nella console AWS Lambda su https://console.aws.amazon.com/lambda/, scegli Funzioni nel riquadro di navigazione sinistro.

2. Scegli la funzione creata nella Fase 4 (ad esempio, serverlessrepo-ComprehendPiiRedactionS3ObjectLambda).

3. Scegli Azioni, quindi scegli Elimina.

4. Nella finestra di dialogo della Funzione Delete, scegli Elimina.

1. Apri la console di CloudWatch su https://console.aws.amazon.com/cloudwatch/.

2. Nel pannello di navigazione a sinistra, scegli Log groups (Gruppi di log).

3. Individua il gruppo di log il cui nome termina con la funzione Lambda creata nella Fase 4( ad esempio, serverlessrepo-ComprehendPiiRedactionS3ObjectLambda).

4. Scegli Actions (Operazioni), quindi scegli Delete log group(s) (Elimina gruppi di log).

5. Nella finestra di dialogo Elimina gruppo/i di log, scegli Elimina.

1. Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

2. Nel riquadro di navigazione sinistro, scegli Bucket.

3. Nell'elenco Bucket name (Nome bucket) scegli il nome del bucket su cui hai caricato il file originale nella Fase 2 (ad esempio, tutorial-bucket).

4. Seleziona la casella di controllo a sinistra del nome dell'oggetto da eliminare (ad esempio, tutorial.txt).

5. Scegli Elimina.

6. Nella pagina Delete objects (Elimina oggetti), nella sezione Permanently delete objects? (Eliminare definitivamente gli oggetti?) conferma che desideri eliminare questo oggetto inserendo permanently delete nella casella di testo.

7. Scegli Elimina oggetti.

1. Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

2. Nel riquadro di navigazione sinistro, scegli Bucket.

3. Nell'elenco Buckets (Bucket) scegli il pulsante di opzione accanto al nome del bucket creato nella Fase 1(ad esempio,tutorial-bucket).

4. Scegli Elimina.

5. Nella pagina Delete bucket (Elimina bucket) conferma che desideri eliminare il bucket inserendone il nome nel campo di testo e quindi scegli Delete bucket (Elimina bucket).

1. Accedi a AWS Management Console e apri la console IAM su https://console.aws.amazon.com/iam/.

2. Nel riquadro di navigazione a sinistra, scegli Roles (Ruoli), quindi seleziona la casella di controllo accanto al nome del ruolo che desideri eliminare. Il nome del ruolo inizia con il nome della funzione Lambda implementata nella Fase 4 (ad esempio, serverlessrepo-ComprehendPiiRedactionS3ObjectLambda).

3. Scegli Elimina.

4. Nella casella di dialogo Delete (Elimina), inserisci il nome del ruolo nel campo di inserimento del testo per confermare l'eliminazione. Quindi, scegli Elimina.

1. Accedi a AWS Management Console e apri la console IAM su https://console.aws.amazon.com/iam/.

2. Nel riquadro di navigazione sinistro, scegli Policy.

3. Nella pagina Policies (Policy) inserisci il nome della policy gestita dal cliente creata nei Prerequisiti (ad esempio, tutorial-serverless-application-repository) nella casella di ricerca per filtrare l'elenco di policy. Seleziona il pulsante di opzione accanto al nome della policy che desideri eliminare.

4. Scegli Azioni, quindi scegli Elimina.

5. Conferma di voler eliminare questa policy inserendone il nome nel campo di testo che viene visualizzato, quindi scegli Delete (Elimina).

1. Accedi a AWS Management Console e apri la console IAM su https://console.aws.amazon.com/iam/.

2. Nel pannello di navigazione a sinistra, scegli Users (Utenti), quindi seleziona la casella di controllo accanto al nome utente che desideri eliminare.

3. Nella parte superiore della pagina, scegli Delete (Elimina).

4. Nella casella di dialogo Delete user name? (Eliminare nome utente?) inserisci il nome utente nel campo di inserimento del testo per confermare l'eliminazione dell'utente. Scegli Elimina.