密碼編譯運算 Clean Rooms - AWS Clean Rooms

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

密碼編譯運算 Clean Rooms

Clean Rooms(C3R) 的密碼編譯運算是除了分析規則之外還可以使用的功能。 AWS Clean Rooms透過 C3R,組織可以將敏感資料整合在一起,從資料分析中獲得新的見解,同時以密碼編譯方式限制流程中任何一方可以學到的內容。希望與敏感數據進行協作,但只需在雲中使用加密數據的兩個或多方可以使用 C3R。

C3R 加密用戶端是一種用戶端加密工具,可用來加資料以供搭配使用。 AWS Clean Rooms當您使用 C3R 加密用戶端時,資料會在共同作業中使用時保持密碼編譯保護。 AWS Clean Rooms 如同一般 AWS Clean Rooms 協同合作,輸入資料是關聯式資料庫資料表,而計算則以 SQL 查詢表示。不過,C3R 僅支援加密資料的有限 SQL 查詢子集。

具體而言,C3R 支援加密保護資料的 SELECT SQL JOIN 和陳述式。輸入資料表中的每個資料行都可以在下列其中一個 SQL 陳述式類型中使用:

  • 受密碼編譯保護以便在JOIN陳述式中使用的資料行稱為fingerprint資料行。

  • 受密碼編譯保護以便在SELECT陳述式中使用的資料行稱為sealed資料行。

  • 未加密保護以用於JOIN或SELECT陳述式的資料行稱為cleartext資料行。

在某些情況下,fingerprint資料行支援GROUP BY陳述式。如需詳細資訊,請參閱 Fingerprint專欄。目前,C3R 不支援在加密資料上使用其他 SQL 建構,例如WHERE子句或彙總函式 (如 SUM AND)AVERAGE,即使相關分析規則會允許這些建構。

C3R 旨在保護表格中個別儲存格中的資料。使用 C3R 的預設組態時,客戶透過協同合作提供給第三方的基礎資料會保持加密狀態,而內容正在使用中。 AWS Clean Rooms C3R 針對所有sealed資料行使用業界標準 AES-GCM 加密,並使用業界標準的偽隨機函數 (稱為雜湊型訊息驗證碼 (HMAC),以保護資料行。fingerprint

雖然 C3R 會加密資料表中的資料,但仍然可以推斷下列資訊:

  • 表格本身的相關資訊,包括資料欄數、欄名稱以及表格中的列數。

  • 與大多數標準加密形式一樣,C3R 不會嘗試隱藏加密值的長度。C3R 確實提供了填充加密值的功能,以隱藏明文的確切長度。但是,每列中明文長度的上限仍然可以向另一方顯示。

  • 記錄層級資訊,例如將特定資料列新增至加密的 C3R 表格時。

如需 C3R 的相關資訊,請參閱下列主題。