本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 Amazon S3 对象 Lambda 接入点获取个人身份信息 (PII)
使用 Amazon S3 对象 Lambda 接入点来配置从您的 Amazon S3 存储桶中检索包含个人身份信息 (PII) 的文档。您可以控制对包含 PII 的文档的访问权限,并编辑文档中的 PII。有关 Amazon Comprehend 如何检测文档中的 PII 的更多信息,请参阅 [检测 PII 实体](how-pii.md)。Amazon S3 对象 Lambda 接入点使用 AWS Lambda 函数自动转换标准 Amazon S3 GET 请求的输出。有关更多信息,请参阅《*Amazon Simple Storage Service 用户指南*》中的[使用 S3 对象 Lambda 转换对象](https://docs.aws.amazon.com/AmazonS3/latest/userguide/transforming-objects.html)。
当您为 PII 创建 Amazon S3 对象 Lambda 接入点时,将使用 Amazon Comprehend Lambda 函数处理文档,以控制对包含 PII 的文档的访问权限并从文档中编辑 PII。
当您为 PII 创建 Amazon S3 对象 Lambda 接入点时,使用以下 Amazon Comprehend Lambda 函数处理文档:
+ `ComprehendPiiAccessControlS3ObjectLambda`:控制对 S3 存储桶中存储有 PII 的文档的访问。有关此 Lambda 函数的更多信息,请登录查看中的 [ComprehendPiiAccessControlS3 ObjectLambda](https://console.aws.amazon.com/lambda/home#/create/app?applicationId=arn:aws:serverlessrepo:us-east-1:839782855223:applications/ComprehendPiiAccessControlS3ObjectLambda) 函数。 AWS 管理控制台 AWS Serverless Application Repository
+ `ComprehendPiiRedactionS3ObjectLambda`:编辑您的 Amazon S3 存储桶中的文档中的 PII。有关此 Lambda 函数的更多信息,请登录查看中的 [ComprehendPiiRedactionS3 ObjectLambda](https://console.aws.amazon.com/lambda/home#/create/app?applicationId=arn:aws:serverlessrepo:us-east-1:839782855223:applications/ComprehendPiiRedactionS3ObjectLambda) 函数。 AWS 管理控制台 AWS Serverless Application Repository
有关如何从中部署无服务器应用程序的信息,请参阅《Serverless A AWS Serverless Application Repository pplication Repository 开发者*AWS 指南》中的[部署应用程序](https://docs.aws.amazon.com/serverlessrepo/latest/devguide/serverlessrepo-consuming-applications.html)。*
**Topics**
+ [控制对包含个人身份信息 (PII) 的文档的访问权限](#access-point-pii-control)
+ [编辑文档中的个人身份信息 (PII)](#access-point-pii-redact)
## 控制对包含个人身份信息 (PII) 的文档的访问权限
您可以使用 Amazon S3 对象 Lambda 接入点来控制对包含个人身份信息 (PII) 的文档的访问权限。
为确保只有经过授权的用户才能访问存储在您的 Amazon S3 存储桶中的包含 PII 的文档,您可以使用 `ComprehendPiiAccessControlS3ObjectLambda` 函数。此 Lambda 函数在处理针对文档对象的标准 Amazon S3 GET 请求时使用该[ContainsPiiEntities](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ContainsPiiEntities.html)操作。
例如,如果您的 S3 存储桶中的文档包含 PII(如信用卡号或银行账户信息),则您可以配置 `ComprehendPiiAccessControlS3ObjectLambda` 函数检测这些 PII 实体类型并限制未授权用户进行访问。有关支持的 PII 实体类型的更多信息,请参阅 [PII 通用实体类型](how-pii.md#how-pii-types)。
有关此 Lambda 函数的更多信息,请登录查看中的 [ComprehendPiiAccessControlS3 ObjectLambda](https://console.aws.amazon.com/lambda/home#/create/app?applicationId=arn:aws:serverlessrepo:us-east-1:839782855223:applications/ComprehendPiiAccessControlS3ObjectLambda) 函数。 AWS 管理控制台 AWS Serverless Application Repository
### 创建 Amazon S3 对象 Lambda 接入点以控制对文档的访问权限
以下示例创建 Amazon S3 对象 Lambda 接入点以控制对包含社会保险号码的文档的访问权限。
#### 使用创建 Amazon S3 对象 Lambda 接入点 AWS Command Line Interface
创建 Amazon S3 对象 Lambda 接入点配置并将该配置保存在名为 **config.json** 的文件中。
```
{
"SupportingAccessPoint": "s3-default-access-point-name-arn",
"TransformationConfigurations": [
{
"Actions": [
"s3:GetObject"
],
"ContentTransformation": {
"AwsLambda": {
"FunctionArn": "comprehend-pii-access-control-s3-object-lambda-arn",
"FunctionPayload": "{\"pii_entities_types\": \"SSN\"}"
}
}
}
]
}
```
以下示例根据 `config.json` 文件中定义的配置创建 Amazon S3 对象 Lambda 接入点。
此示例的格式适用于 Unix、Linux 和 macOS。对于 Windows,请将每行末尾的反斜杠 (\$1) Unix 行继续符替换为脱字号 (^)。
```
aws s3control create-banner-access-point \
--region region \
--account-id account-id \
--name s3-object-lambda-access-point \
--configuration file://config.json
```
### 调用 Amazon S3 对象 Lambda 接入点来控制对文档的访问权限
以下示例调用 Amazon S3 对象 Lambda 接入点来控制对文档的访问权限
#### 使用调用 Amazon S3 对象 Lambda 接入点 AWS Command Line Interface
以下示例使用 AWS CLI调用 Amazon S3 对象 Lambda 接入点。
此示例的格式适用于 Unix、Linux 和 macOS。对于 Windows,请将每行末尾的反斜杠 (\$1) Unix 行继续符替换为脱字号 (^)。
```
aws s3api get-object \
--region region \
--bucket s3-object-lambda-access-point-name-arn \
--key object-prefix-key output-file-name
```
## 编辑文档中的个人身份信息 (PII)
您可以使用 Amazon S3 对象 Lambda 接入点来编辑文档中的个人身份信息 (PII)。
要编辑存储在 S3 存储桶中的文档中的 PII 实体类型,请使用函数 `ComprehendPiiRedactionS3ObjectLambda`。此 Lambda 函数在处理针对文档对象的标准 Amazon S3 GET 请求时使用[ContainsPiiEntities](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_ContainsPiiEntities.html)和[DetectPiiEntities](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_DetectPiiEntities.html)操作。
例如,如果您的 S3 存储桶中的文档包含 PII(如信用卡号或银行账户信息),则您可以配置 `ComprehendPiiRedactionS3ObjectLambda` 函数来检测 PII,然后返回这些文档的副本,其中的 PII 实体类型已被编辑。有关支持的 PII 实体类型的更多信息,请参阅 [PII 通用实体类型](how-pii.md#how-pii-types)。
有关此 Lambda 函数的更多信息,请登录查看中的 [ComprehendPiiRedactionS3 ObjectLambda](https://console.aws.amazon.com/lambda/home#/create/app?applicationId=arn:aws:serverlessrepo:us-east-1:839782855223:applications/ComprehendPiiRedactionS3ObjectLambda) 函数。 AWS 管理控制台 AWS Serverless Application Repository
### 创建 Amazon S3 对象 Lambda 接入点以编辑文档中的 PII
以下示例创建 Amazon S3 对象 Lambda 接入点,用于编辑文档中的信用卡号。
#### 使用创建 Amazon S3 对象 Lambda 接入点 AWS Command Line Interface
创建 Amazon S3 对象 Lambda 接入点配置,并将配置保存到名为 `config.json` 的文件中。
```
{
"SupportingAccessPoint": "s3-default-access-point-name-arn",
"TransformationConfigurations": [
{
"Actions": [
"s3:GetObject"
],
"ContentTransformation": {
"AwsLambda": {
"FunctionArn": "comprehend-pii-redaction-s3-object-lambda-arn",
"FunctionPayload": "{\"pii_entities_types\": \"CREDIT_DEBIT_NUMBER\"}"
}
}
}
]
}
```
以下示例根据 `config.json` 中定义的配置创建 Amazon S3 对象 Lambda 接入点。
此示例的格式适用于 Unix、Linux 和 macOS。对于 Windows,请将每行末尾的反斜杠 (\$1) Unix 行继续符替换为脱字号 (^)。
```
aws s3control create-access-point-for-object-lambda \
--region region \
--account-id account-id \
--name s3-object-lambda-access-point \
--configuration file://config.json
```
### 调用 Amazon S3 对象 Lambda 接入点来编辑文档中的 PII
以下示例调用了 Amazon S3 对象 Lambda 接入点来编辑文档中的 PII
#### 使用调用 Amazon S3 对象 Lambda 接入点 AWS Command Line Interface
以下示例使用 AWS CLI调用 Amazon S3 对象 Lambda 接入点。
此示例的格式适用于 Unix、Linux 和 macOS。对于 Windows,请将每行末尾的反斜杠 (\$1) Unix 行继续符替换为脱字号 (^)。
```
aws s3api get-object \
--region region \
--bucket s3-object-lambda-access-point-name-arn \
--key object-prefix-key output-file-name
```