教學課程：使用 S3 Object Lambda 和 Amazon Comprehend 來偵測和編輯 PII 資料

建立 IAM 政策並將其連接至您的 IAM 使用者

1. 登入 AWS Management Console 並開啟身分與存取權管理主控台，網址為 https://console.aws.amazon.com/iam/。

2. 在左側導覽窗格中選擇 Policies (政策)。

3. 選擇建立政策。

4. 在 Visual editor (視覺化編輯器) 索引標籤上，針對 Service (服務)，選擇 Choose a service (選擇服務)。然後，選擇 Serverless Application Repository。

5. 針對 Actions (動作)，在 Manual actions (手動動作) 下，為本教學課程選取 All Serverless Application Repository actions (serverlessrepo:*) (所有 Serverless Application Repository 動作 (serverlessrepo:*)。

   作為安全最佳實務，您應該根據您的使用案例，僅允許使用者需要的那些動作和資源的許可。如需詳細資訊，請參閱《IAM 使用者指南》中的 IAM 中的安全最佳實務。

6. 針對 Resources (資源)，為本教學課程選擇 All resources (所有資源)。

   作為最佳實務，您應該僅為特定帳戶中的特定資源定義許可。或者，您也可以使用條件金鑰授予最低權限。如需詳細資訊，請參閱《IAM 使用者指南》中的授予最低權限。

7. 選擇下一步：標籤。

8. 選擇下一步：檢閱。

9. 在 Review policy (檢閱政策) 頁面上，為您正在建立的政策輸入 Name (名稱) (例如，tutorial-serverless-application-repository) 與 Description (描述) (選用)。檢閱政策摘要以確認您已授予所需的許可，然後選擇 Create policy (建立政策) 來儲存您的新政策。

10. 在左側導覽窗格中，選擇 Users (使用者)。然後，選擇本教學課程的 IAM 使用者。

11. 在所選使用者的 Summary (摘要) 頁面上，選擇 Permissions (許可) 標籤，然後選擇 Add permissions (新增許可)。

12. 在 Grant permissions (授予許可) 下，選擇 Attach existing policies directly (直接連接現有政策)。

13. 選取您剛建立之政策旁的核取方塊 (例如，tutorial-serverless-application-repository)，然後選擇 Next: Review (下一步：檢閱)。

14. 在 Permissions summary (許可摘要) 下，檢閱摘要以確認您已連接想要的政策。然後，選擇 Add permissions (新增許可)。

建立儲存貯體

1. 登入 AWS Management Console 並開啟 Amazon S3 主控台，網址為 https://console.aws.amazon.com/s3/。

2. 在左側導覽窗格中，選擇 Buckets (儲存貯體)。

3. 選擇 Create bucket (建立儲存貯體)。

   Create bucket (建立儲存貯體) 頁面隨即開啟。

4. 針對 Bucket name (儲存貯體名稱)，輸入儲存貯體的名稱 (例如 tutorial-bucket)。

   如需有關在 Amazon S3 中的命名儲存貯體的詳細資訊，請參閱 儲存貯體命名規則。

5. 針對 Region (區域)，選擇希望存放儲存貯體的 AWS 區域 。

   如需有關儲存貯體區域的詳細資訊，請參閱 儲存貯體概觀 。

6. 針對 Block Public Access settings for this bucket (此儲存貯體的封鎖公開存取設定)，將保留預設設定 (已啟用封鎖所有公開存取)。

   除非您需要針對使用案例關閉一或多個設定，否則建議您將所有封鎖公開存取設定保持啟用狀態。如需封鎖公開存取的詳細資訊，請參閱 封鎖對 Amazon S3 儲存體的公開存取權。

7. 對於其他設定，請保留預設值。

   (選用) 如果您想要為您的特定使用案例設定其他儲存貯體設定，請參閱 建立儲存貯體。

8. 選擇建立儲存貯體。

上傳檔案至儲存貯體

1. 登入 AWS Management Console 並開啟 Amazon S3 主控台，網址為 https://console.aws.amazon.com/s3/。

2. 在左側導覽窗格中，選擇 Buckets (儲存貯體)。

3. 在 Buckets (儲存貯體) 清單中，選擇您在步驟 1 中建立的且要將檔案上傳至的儲存貯體的名稱 (例如，tutorial-bucket)。

4. 在儲存貯體的物件索引標籤上，選擇上傳。

5. 在 Upload (上傳) 頁面上的 Files and folders (檔案和資料夾) 下，選擇 Add files (新增檔案)。

6. 選擇要上傳的檔案，然後選擇 Open (開啟)。舉例而言，您可以上傳之前提及的 tutorial.txt 檔案範例。

7. 選擇上傳。

建立存取點

1. 登入 AWS Management Console 並開啟 Amazon S3 主控台，網址為 https://console.aws.amazon.com/s3/。

2. 在左側導覽窗格中，選擇 Access Points (存取點)。

3. 在 Access Points (存取點) 頁面上，選擇 Create access point (建立存取點)。

4. 在 Access point name (存取點名稱) 欄位中，輸入存取點的名稱 (例如，tutorial-pii-access-point)。

   如需存取點命名的詳細資訊，請參閱「命名 Amazon S3 存取點的規則」。

5. 在 Bucket name (儲存貯體名稱) 欄位，輸入您在步驟 1 中建立的儲存貯體的名稱 (例如，tutorial-bucket)。S3 將存取點連接至此儲存貯體。

   (選用) 您可以選擇 Browse S3 (瀏覽 S3) 來瀏覽並搜尋您帳戶中的儲存貯體。如果您選擇 Browse S3 (瀏覽 S3)，請先選擇所需的儲存貯體，然後選擇 Choose path (選擇路徑)，系統即會在 Bucket name (儲存貯體名稱) 欄位中填入該儲存貯體的名稱。

6. 針對 Network origin (網路來源)，選擇 Internet (網際網路)。

   如需存取點網路來源的詳細資訊，請參閱「建立受限於 Virtual Private Cloud 的存取點」。

7. 依預設，存取點的所有封鎖公開存取設定都會開啟。我們建議您將封鎖所有公開存取保持啟用的狀態。如需詳細資訊，請參閱 管理存取點的公開存取。

8. 對於所有其他存取點設定，保留預設設定。

   (選用) 您可以修改存取點設定，以支援您的使用案例。在本教學課程中，我們建議您保留預設設定。

   (選用) 如果您需要管理存取點的存取，您可以指定存取點政策。如需詳細資訊，請參閱 存取點政策範例。

9. 選擇 Create access point (建立新的存取點)。

設定和部署 Lambda 函數

1. 登入 AWS Management Console 並檢視中的ComprehendPiiRedactionS3ObjectLambda函數 AWS Serverless Application Repository。

2. 針對 Application settings (應用程式設定)，在 Application name (應用程式名稱) 下，為本教學課程保留預設值 (ComprehendPiiRedactionS3ObjectLambda)。

   (選用) 您可以輸入您要給予此應用程式的名稱。如果您計劃針對相同共用資料集的不同存取需求，設定多個 Lambda 函數，您可能會想要這麼做。

3. 對於 MaskCharacter，請保留預設值 (*)。遮罩字元會取代已修訂 PII 實體中的每個字元。

4. 對於 MaskMode，保留預設值 (遮罩)。此MaskMode值指定 PII 實體是使用MASK字元還是值來編輯。PII_ENTITY_TYPE

5. 若要編輯指定類型的資料 PiiEntityTypes，請保留預設值 ALL。該PiiEntityTypes值指定要考慮進行密文的 PII 實體類型。

   如需支援的 PII 實體類型清單的詳細資訊，請參閱《Amazon Comprehend 開發人員指南》中的偵測個人身分識別資訊 (PII)。

6. 將其餘設定保持為預設值。

   (選用) 如果您想要為您的特定使用案例設定其他設定，請參閱位於頁面左側的 Readme 檔案。

7. 選取 I acknowledge that this app creates custom IAM roles (我認可此應用程式建立自訂的 IAM 角色) 旁的核取方塊。

8. 選擇部署。

9. 在新應用程式的頁面，在 Resources (資源) 下，選擇您部署的 Lambda 函數的 Logical ID (邏輯 ID)，以檢閱 Lambda function (Lambda 函數) 頁面上的函數。

建立 S3 Object Lambda 存取點

1. 登入 AWS Management Console 並開啟 Amazon S3 主控台，網址為 https://console.aws.amazon.com/s3/。

2. 在左側的導覽窗格中，選擇 Object Lambda Access Points (Object Lambda 存取點)。

3. 在 Object Lambda Access Points (Object Lambda 存取點) 頁面上，選擇 Create Object Lambda access point (建立 Object Lambda 存取點)。

4. 對於 Object Lambda 存取點名稱，請輸入您要用於 Object Lambda 存取點的名稱 (例如，tutorial-pii-object-lambda-accesspoint)。

5. 針對 Supporting Access Point (支援存取點)，輸入或瀏覽您在步驟 3 中建立的標準存取點 (例如，tutorial-pii-access-point)，然後選擇 Choose supporting Access Point (選擇支援存取點)。

6. 對於 S3 API，若要從 S3 儲存貯體擷取物件以供 Lambda 函數處理，請選取GetObject。

7. 針對 Invoke Lambda function (叫用 Lambda 函數)，您可以為本教學課程選擇以下兩個選項中的任意一個。

   • 從 Lambda function (Lambda 函數) 下拉式清單，選擇 Choose from functions in your account (從您帳戶中的函數選擇)，並選擇您在步驟 4 中部署的 Lambda 函數 (例如，serverlessrepo-ComprehendPiiRedactionS3ObjectLambda)。

   • 選擇 Enter ARN (輸入 ARN)，然後輸入您在步驟 4 中建立的 Lambda 函數的 Amazon 資源名稱 (ARN)。

8. 針對 Lambda function version (Lambda 函數版本)，選擇 $LATEST (您在步驟 4 中部署的 Lambda 函數的最新版本)。

9. (選用) 如果您需要 Lambda 函數來識別和處理具有範圍和組件編號標頭的 GET 請求，請選取 Lambda function supports requests using range (Lambda 函數支援使用範圍的請求) 和 Lambda function supports requests using part numbers (Lambda 函數支援使用組件編號的請求)。否則，請清除這兩個核取方塊。

   如需如何藉助 S3 Object Lambda 使用範圍或組件編號的詳細資訊，請參閱「使用 Range 和 partNumber 標頭」。

10. (選用) 在 Payload - optional (酬載 - 選用) 下，新增 JSON 文字，以提供 Lambda 函數的其他資訊。

    承載是可選的 JSON 文本，您可以將其做為來自特定 S3 Object Lambda 存取點的所有叫用的輸入來提供給您的 Lambda 函數。若要針對叫用相同 Lambda 函數的不同 Object Lambda 存取點自訂行為，您可以使用不同參數設定承載，藉此擴充 Lambda 函數的靈活性。

    如需承載的詳細資訊，請參閱「事件內容格式和用量」。

11. (選用) 對於 請求指標 - 選用，請選擇停用或啟用，將 Amazon S3 監控新增至您的 Object Lambda 存取點。請求指標以標準 Amazon 費 CloudWatch 率計費。如需詳細資訊，請參閱 CloudWatch 定價。

12. 在 Object Lambda Access Point policy - optional (Object Lambda 存取點政策 - 選用) 下，請保留預設設定。

    (選用) 您可以設定資源政策。此資源政策會授予 GetObject API 許可，以使用指定的 Object Lambda 存取點。

13. 將其餘設定保持為預設值，並選擇 Create Object Lambda Access Point (建立 Object Lambda 存取點)。

若要使用 S3 Object Lambda 存取點擷取修訂的檔案

當您請求透過 S3 Object Lambda 存取點擷取檔案時，您要對 S3 Object Lambda 進行 GetObject API 呼叫。S3 Object Lambda 會叫用 Lambda 函數來修改您的 PII 資料，並傳回轉換後的資料，作為對標準 S3 GetObject API 呼叫的回應。

1. 登入 AWS Management Console 並開啟 Amazon S3 主控台，網址為 https://console.aws.amazon.com/s3/。

2. 在左側的導覽窗格中，選擇 Object Lambda Access Points (Object Lambda 存取點)。

3. 在 Object Lambda 存取點頁面上，選擇您在步驟 5 中建立的 S3 Object Lambda 存取點 (例如，tutorial-pii-object-lambda-accesspoint)。

4. 在您的 S3 Object Lambda 存取點的物件標籤上，選取與您在 步驟 2. 中上傳至 S3 儲存貯體的檔案同名的檔案 (例如，tutorial.txt)。

   此檔案應包含所有轉換的資料。

5. 若要檢視轉換的資料，選擇 Open (開啟) 或 Download (下載)。

   您應能夠看到已修訂的檔案，如下方範例所示。

   Hello *********. Your AnyCompany Financial Services, 
   LLC credit card account ******************* has a minimum payment 
   of $24.53 that is due by *********. Based on your autopay settings, 
   we will withdraw your payment on the due date from your 
   bank account ********** with the routing number *********. 
   
   Your latest statement was mailed to **********************************. 
   After your payment is received, you will receive a confirmation 
   text message at ************. 
   If you have questions about your bill, AnyCompany Customer Service 
   is available by phone at ************ or 
   email at **********************.                                                        

1. 登入 AWS Management Console 並開啟 Amazon S3 主控台，網址為 https://console.aws.amazon.com/s3/。

2. 在左側的導覽窗格中，選擇 Object Lambda Access Points (Object Lambda 存取點)。

3. 在 Object Lambda 存取點頁面上，選擇您在步驟 5 中建立的 S3 Object Lambda 存取點左側的選項按鈕 (例如，tutorial-pii-object-lambda-accesspoint)。

4. 選擇刪除。

5. 在出現的文字欄位中，輸入存取點名稱，以確認您要刪除 Object Lambda 存取點，然後選擇刪除。

1. 登入 AWS Management Console 並開啟 Amazon S3 主控台，網址為 https://console.aws.amazon.com/s3/。

2. 在左側導覽窗格中，選擇 Access Points (存取點)。

3. 導覽至您在步驟 3 中建立的存取點 (例如，tutorial-pii-access-point)，然後選擇存取點名稱旁的選項按鈕。

4. 選擇刪除。

5. 在出現的文字欄位中，輸入存取點名稱，以確認您要刪除此存取點，然後選擇 Delete (刪除)。

1. 在 https://console.aws.amazon.com/lambda/ 的 AWS Lambda 主控台中，選擇左側導覽窗格中的「函數」。

2. 選擇您在步驟 4 中建立的函數 (例如，serverlessrepo-ComprehendPiiRedactionS3ObjectLambda)。

3. 選擇動作，然後選擇刪除。

4. 在 Delete function (刪除函數) 對話方塊中，選擇 Delete (刪除)。

1. 請在以下位置開啟 CloudWatch 主控台。 https://console.aws.amazon.com/cloudwatch/

2. 在左側導覽窗格中，選擇 Log groups (日誌群組)。

3. 尋找您在步驟 4 中建立的且名稱以 Lambda 函數結尾的日誌群組 (例如，serverlessrepo-ComprehendPiiRedactionS3ObjectLambda)。

4. 選擇 Actions (動作)，然後選擇 Delete log group(s) (刪除日誌群組)。

5. 在 刪除日誌群組 對話方塊中，選擇 刪除 。

1. 登入 AWS Management Console 並開啟 Amazon S3 主控台，網址為 https://console.aws.amazon.com/s3/。

2. 在左側導覽窗格中，選擇 Buckets (儲存貯體)。

3. 在 Bucket name (儲存貯體名稱) 清單中，選擇您在步驟 2 中將原始檔案上傳到的儲存貯體的名稱 (例如，tutorial-bucket)。

4. 選取要刪除之物件名稱左側的核取方塊 (例如，tutorial.txt)。

5. 選擇刪除。

6. 在 Delete objects (刪除物件) 頁面上的 Permanently delete objects? (永久刪除物件？) 區段中，在文字方塊中輸入 permanently delete，以確認您要刪除此物件。

7. 選擇 Delete objects (刪除物件)。

1. 登入 AWS Management Console 並開啟 Amazon S3 主控台，網址為 https://console.aws.amazon.com/s3/。

2. 在左側導覽窗格中，選擇 Buckets (儲存貯體)。

3. 在 Buckets (儲存貯體) 清單中，選擇您在步驟 1 中建立的儲存貯體名稱旁的選項按鈕 (例如，tutorial-bucket)。

4. 選擇刪除。

5. 在 Delete bucket (刪除儲存貯體) 頁面上，在文字欄位中輸入儲存貯體名稱以確認您要刪除該儲存貯體，然後選擇 Delete bucket (刪除儲存貯體)。

1. 登入 AWS Management Console 並開啟身分與存取權管理主控台，網址為 https://console.aws.amazon.com/iam/。

2. 在左側導覽窗格中，選擇 Roles (角色)，然後選取您要刪除之角色名稱旁的核取方塊。角色名稱以您在步驟 4 中部署的 Lambda 函數的名稱為開頭 (例如，serverlessrepo-ComprehendPiiRedactionS3ObjectLambda)。

3. 選擇刪除。

4. 在 Delete (刪除) 對話方塊中，在文字輸入欄位中輸入角色名稱以確認刪除。再選擇 Delete (刪除)。

1. 登入 AWS Management Console 並開啟身分與存取權管理主控台，網址為 https://console.aws.amazon.com/iam/。

2. 在左側導覽窗格中選擇 Policies (政策)。

3. 在 Policies (政策) 頁面上，在搜尋方塊中輸入您在 Prerequisites (先決條件) 中建立的客戶受管政策的名稱 (例如，tutorial-serverless-application-repository)，以篩選政策清單。選取您要刪除的政策名稱旁的選項按鈕。

4. 選擇動作，然後選擇刪除。

5. 在顯示的文字欄位中，輸入本政策的名稱，以確認您要刪除此政策，然後選擇 Delete (刪除)。

1. 登入 AWS Management Console 並開啟身分與存取權管理主控台，網址為 https://console.aws.amazon.com/iam/。

2. 在左側導覽窗格中，選擇 Users (使用者)，然後選取您要刪除之使用者名稱旁的核取方塊。

3. 在頁面頂端，選擇 Delete (刪除)。

4. 在 Delete user name? (刪除使用者名稱？) 對話方塊中，在文字輸入欄位中輸入使用者名稱以確認刪除使用者。選擇刪除。