本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
中数据协作的最佳实践 AWS Clean Rooms
本主题介绍在 AWS Clean Rooms中开展数据协作的最佳实践。
AWS Clean Rooms 遵循AWS 分担责任模型
数据协作可能涉及的不仅仅是您的使用。 AWS Clean Rooms为了帮助您最大限度地发挥数据协作的优势,我们建议您在使用分析规则时执行以下最佳实践。 AWS Clean Rooms
最佳实践 AWS Clean Rooms
您负责评估每个数据协作的风险,并将其与您的隐私要求(例如外部和内部合规性计划和策略)进行比较。我们建议您在使用时采取其他措施 AWS Clean Rooms。这些操作可能有助于进一步管理风险,并有助于防范第三方试图重新识别您的数据(例如,差异攻击或侧信道攻击)。
例如,考虑对您的其他协作者进行尽职调查,并在进行协作之前 与他们签订法律协议。要监控数据的使用情况,还要考虑在使用 AWS Clean Rooms时采用其他审计机制。
在 AWS Clean Rooms中使用分析规则的最佳实践
中的分析规则 AWS Clean Rooms 允许您通过在已配置的表上设置查询控件来限制可以运行的查询。例如,您可以设置查询控制,以确定如何联接配置表以及可以选择哪些列。您还可以通过设置查询结果控制(例如输出行的聚合阈值)来限制查询输出。该服务拒绝任何查询,并删除不符合成员在查询中配置表上设置的分析规则的行。
对于在配置表上使用分析规则,我们推荐以下 10 种最佳实践:
-
为不同的查询使用案例(例如受众规划或归因)创建单独的配置表。您可以使用同一底层 AWS Glue 表创建多个配置表。
-
在分析规则中指定协作中查询所必需的列(例如维度列、列表列、联接列)。这可能有助于降低差异攻击的风险或使其他成员能够对您的数据进行逆向工程。使用允许列表列功能记下将来可能要设置为可查询的其他列。要自定义可用于特定协作的列,请使用相同的基础表创建其他已配置 AWS Glue 表。
-
在分析规则中指定协作中分析所必需的函数。这有助于降低因罕见的函数错误而带来的风险,这些错误可能会显示单个数据点的信息。要自定义可用于特定协作的函数,请使用同一底层 AWS Glue 表创建其他配置表。
-
对行级值敏感的任何列添加聚合约束。这包括您的配置表中的列,这些列也存在于其他协作成员的表中,并且有分析规则作为聚合约束。这也包括您的配置表中不可查询的列,即配置表中有但不在分析规则中的列。聚合约束可以帮助降低将查询结果与协作之外的数据关联起来的风险。
-
创建测试协作和分析规则,以测试使用指定分析规则创建的限制。
-
查看协作者配置表和成员对配置表的分析规则,以检查它们是否符合协作商定的内容。这可以帮助降低其他成员设计自己的数据以运行未商定的查询所带来的风险。
-
查看提供的示例查询(仅限控制台),该查询在设置分析规则后在配置表上启用。
注意
除了提供的示例查询外,还可以根据分析规则和其他协作成员表和分析规则进行其他查询。
-
您可以为协作中的配置表添加或更新分析规则。完成后,请查看与配置表关联的所有协作及其产生的影响。这有助于确保任何协作都不会使用过时的分析规则。
-
审核协作中运行的查询,检查查询是否与协作中商定的使用案例或查询相匹配。(打开查询日志记录功能后,可在查询日志中查看查询)。这可以帮助降低成员运行未商定的分析和潜在攻击(例如侧信道攻击)带来的风险。
-
审核协作成员分析规则和查询中使用的配置表列,检查它们是否与协作中商定的内容相匹配。(打开该功能后,可在查询日志中查看查询。) 这可以帮助降低其他成员设计自己的数据以进行未商定的查询所带来的风险。
