翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
機密データの受け渡し
通常、機密データには PII または機密情報が含まれており、コンプライアンスまたは法的な理由で保護する必要があります。暗号化が行レベルまたは列レベルでのみ必要な場合は、landing zone レイヤーを使用することをお勧めします。これは部分的に機密性の高いデータです。
ただし、データセット全体が機密データを見つける Amazon Simple Storage Service (Amazon S3) バケットを別々に使用してデータを受け渡し、Amazon Simple Storage Service (Amazon S3) バケットを別々に使用することをお勧めします。これは機密性の高いデータです。これらの個別の S3 バケットはデータレイヤーごとに使用する必要があり、バケット名には「機密」を含める必要があります。クライアント側の暗号化を使用して、機密性の高いバケットをAWS Key Management Service (AWS KMS) で暗号化することをお勧めします。また、AWS Glueデータを変換するジョブを暗号化するには、クライアント側の暗号化を使用する必要があります。
landing zone を使用して機密データをマスクする
landing zone レイヤーは、部分的に機密性の高いデータセット (たとえば、行レベルまたは列レベルでのみ暗号化が必要な場合) に使用できます。このデータはランディングゾーンの S3 バケットに取り込まれ、マスクされます。データの受け渡し、Amazon S3 マネージドキーを使用したサーバー側の暗号化 (SSE-S3) で暗号化された、Amazon S3 マネージドキーを使用したサーバー側の暗号化 (SSE-S3) で暗号化された Amazon S3 マネージドキーを使用したサーバー側の暗号化 (SSE-S3) で暗号化された Amazon S3 マネージドキーを使用したサーバー側の暗号化 必要に応じて、オブジェクトレベルでデータにタグを付けることができます。
すでにマスクされているデータはすべてlanding zone をバイパスして、未処理レイヤーのS3バケットに直接取り込むことができます。部分機密データセットのステージレイヤーと分析レイヤーには 2 つのアクセスレベルがあります。1 つのレベルではすべてのデータに完全にアクセスでき、もう 1 つのレベルでは機密性の低い行と列にのみアクセスできます。
次の図は、部分機密データセットはlanding zone を使用して機密データをマスクし、機密性の高いデータセットは別の暗号化された S3 バケットを使用するデータレイクを示しています。landing zone は制限の厳しいIAMおよびS3バケットポリシーを使用して分離され、暗号化されたバケットはによるクライアント側の暗号化を使用しますAWS KMS。
図表に示す内容は以下のワークフローです。
-
機密データの受け渡し、ローデータレイヤーの暗号化された S3 バケットに送信されます。
-
AWS Glueジョブはデータを検証してすぐに使用できる形式に変換し、ファイルをステージレイヤーの暗号化された S3 バケットに配置します。
-
AWS Glueジョブはビジネス要件に従ってデータを集約し、分析レイヤーの暗号化された S3 バケットにデータを配置します。
-
部分的に機密性の高いデータはlanding zone バケットに送信されます。
-
機密性の高い行と列はマスクされ、データは未加工レイヤーの S3 バケットに送信されます。
-
機密データの内容は以下のレイヤーのS3 バケットに直接送信されます。
-
AWS Glueジョブはデータを検証してすぐに使用できる形式に変換し、ファイルをステージレイヤーの S3 バケットに配置します。
-
AWS Glueジョブは組織の要件に従ってデータを集約し、分析レイヤーの S3 バケットにデータを配置します。
