Limitazioni della privacy differenziale AWS Clean Rooms - AWS Clean Rooms

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Limitazioni della privacy differenziale AWS Clean Rooms

AWS Clean Rooms La privacy differenziale non risolve le seguenti situazioni:

  1. AWS Clean Rooms Differential Privacy supporta solo tabelle supportate da Amazon S3. AWS Glue Non supporta le query con tabelle Snowflake o Amazon Athena.

  2. AWS Clean Rooms Differential Privacy non affronta gli attacchi temporali. Ad esempio, questi attacchi sono possibili in scenari in cui un singolo utente inserisce un numero elevato di righe e l'aggiunta o la rimozione di tale utente modifica in modo significativo il tempo di calcolo della query.

  3. AWS Clean Rooms Differential Privacy non garantisce la privacy differenziale quando una query SQL può causare overflow o errori di cast non validi in fase di esecuzione a causa dell'uso di determinati costrutti SQL. La tabella seguente è un elenco di alcuni, ma non di tutti, i costrutti SQL che possono produrre errori di runtime e devono essere verificati nei modelli di analisi. Si consiglia di approvare modelli di analisi che riducano al minimo le possibilità di tali errori di run-time e di esaminare periodicamente i log delle query per determinare se le query sono conformi all'accordo di collaborazione.

    I seguenti costrutti SQL sono vulnerabili agli errori di overflow:

    • Funzioni aggregate: AVG, LISTAVG, PERCENTILE_COUNT, PERCENTILE_DISC, SUM/SUM_DISTINCT

    • Funzioni di formattazione dei tipi di dati: TO_TIMESTAMP, TO_DATE

    • Funzioni di data e ora: ADD_MONTHS, DATEADD, DATEDIFF

    • Funzioni matematiche - +, -, *,/, POWER

    • Funzioni di stringa - ||, CONCAT, REPEAT, REPLICATE

    • Funzioni della finestra: AVG, LISTAGG, PERCENTILE_COUNT, PERCENTILE_DISC, RATIO_TO_REPORT, SUM

    La funzione di formattazione del tipo di dati CAST è vulnerabile agli errori di cast non validi.

    È possibile CloudWatch configurare la creazione di un filtro metrico per un gruppo di log e quindi creare un CloudWatch allarme su tale filtro metrico per ricevere avvisi in caso di potenziale overflow o errore di cast. In particolare, è necessario monitorare i codici di errore,. CastError OverflowError ConversionError La presenza di questi codici di errore indica un potenziale attacco side-channel, ma potrebbe indicare una query SQL errata.

    Per ulteriori informazioni, consulta Registrazione delle interrogazioni AWS Clean Rooms.