一般性问题
问:什么是 AWS Clean Rooms?
AWS Clean Rooms 是一项新服务,可以让您和您的合作伙伴更轻松地分析和协作处理集体数据集,从而获得见解,而不泄露基础数据。您可以使用 AWS Clean Rooms 在几分钟内创建自己的净室,然后只需几个步骤即可开始分析您的集体数据集。在 AWS 管理控制台中,您可以选择要与之协作的合作伙伴、选择数据集并为参与者配置限制。借助 AWS Clean Rooms,您可以轻松地与已经在使用 AWS 的数十万家公司协作,而无需将数据移出 AWS 或将其加载到另一个平台。当您运行查询时,AWS Clean Rooms 会在数据所在的位置读取数据并应用可配置的灵活分析规则来帮助您保持对数据的控制。AWS Clean Rooms 提供了一套适用于洁净室的广泛隐私增强控制措施,包括数据访问控制、查询控制、查询输出限制和查询日志记录,允许您自定义对每个洁净室参与者运行的查询的限制。AWS Clean Rooms 还包括高级加密计算工具,即使在处理查询时也能保持数据加密,以符合严格的数据处理策略。
问:什么是 AWS Clean Rooms 中的协作?
协作是一个安全的逻辑边界,成员可以在其中对已配置的表执行 SQL 查询。只有受邀加入协作的公司才能加入协作。多个参与者可以向协作提供数据,一个成员可以查询数据并接收结果。
问:如何开始使用 AWS Clean Rooms?
使用 AWS 管理控制台或 API 操作,您将创建洁净室协作,邀请要与之协作的公司,并选择一位可以在协作中运行分析的协作参与者。然后,每个参与者都可以将数据从 AWS Glue Data Catalog 关联到协作,并配置数据与分析规则一起使用的方式。所有协作参与者将数据关联到协作后,指定运行分析的协作者就可以开始查询受表上配置的约束约束的数据。
问:单一协作中可以有多少个成员?
每次协作 AWS Clean Rooms 最多支持五名参与者。
问:谁决定谁有权访问 AWS Clean Rooms 协作?
您可以控制谁可以参与您的 AWS Clean Rooms 协作,并可以创建协作或加入协作邀请。参与对协作中的每一方都是透明的,并且在创建协作后无法添加新帐户。但是,如果需要,您可以与不同的客户或合作伙伴建立新的协作。您可以建立和管理对内容的访问权限,还可以通过自己控制的用户、组、权限和凭证设置对 AWS 服务和资源的访问权限。
问:谁可以从 AWS Clean Rooms 协作中获得见解?
多个协作者可以提供数据,但只有一个协作者可以运行查询并接收结果。加入协作时,协作者同意由哪一方运行查询并接收结果,并且只有您邀请加入该协作的人员才能根据您建立的分析规则获得见解。
问:AWS Clean Rooms 是否提供身份解析功能,以便我可以将我的数据与合作伙伴的数据进行匹配?
AWS Clean Rooms 与身份无关,允许您使用您选择使用的任何通用密钥(例如假名标识符)将您的用户数据与合作伙伴的数据进行匹配。
问:AWS Clean Rooms 在哪些区域提供?
AWS Clean Rooms 现已在以下区域推出:美国东部(俄亥俄州)、美国东部(弗吉尼亚州北部)、美国西部(俄勒冈州)、亚太地区(首尔)、亚太地区(新加坡)、亚太地区(悉尼)、亚太地区(东京)、欧洲地区(法兰克福)、欧洲地区(爱尔兰)、欧洲地区(伦敦)和欧洲地区(斯德哥尔摩)。
安全性和数据保护
问:AWS Clean Rooms 如何帮助保护数据?
借助 AWS Clean Rooms,您不再需要在 AWS 环境之外存储或维护数据副本并发送给另一方,以便开展消费者见解分析、营销衡量、预测或风险评测。AWS Clean Rooms 允许您通过分析规则配置限制可在数据表上运行的查询类型或特定查询,从而帮助您保护数据。AWS Clean Rooms 支持三种类型的分析规则:聚合、列表和自定义。借助聚合分析规则,您可以配置表,以便仅允许生成汇总统计信息的查询(例如活动衡量或归因)。借助列表分析规则,您可以配置控制,以便查询只能分析数据集与可查询成员的数据集的交集。使用自定义分析规则,您可以配置查询级别的控制,以允许在您的数据集中运行特定的账户或查询。AWS Clean Rooms 还将提供 Clean Rooms 加密计算(C3R),该工具可帮助您在协作期间对敏感数据进行加密。
问:如何配置分析规则?
在聚合和列表分析规则中,您可以配置查询控制,以帮助您定义如何在查询中使用每一列。您可以指定哪些列可用于筛选,例如使用 WHERE 子句,以及哪些列可用于将表与其他协作成员联接。在聚合分析规则中,您还可以定义每个输出行必须满足的最小聚合阈值。未达到最低阈值的行将由 AWS Clean Rooms 自动筛选出。使用自定义分析规则,您可以配置查询控制以定义可以在数据集中运行哪些查询。您可以选择仅允许存储在分析模板中且已查看的特定查询。或者,可以选择指定协作者,允许其进行查询而无需审核。
问:什么是加密计算?
加密计算是一种在使用敏感数据时对其进行保护和加密的方法。数据可以在存储时、传输时和使用时进行静态加密。加密意味着将纯文本数据转换为编码数据,如果没有特定的 “密钥” 就无法破译。 私有集交集(PSI)是一种加密计算类型,它允许持有数据集的两方或多方比较加密版本以执行计算。加密在本地使用共享协作者的密钥进行。
问:什么是 Clean Rooms 加密计算?
AWS Clean Rooms 包括 Clean Rooms 加密计算(C3R),它提供了使用客户端加密工具(开发工具包或命令行界面(CLI))预加密数据的选项,该工具使用与 AWS Clean Rooms 协作中的其他参与者共享的密钥。这会在运行查询时加密数据。
问:我是否必须将数据存储在 AWS Clean Rooms 中才能在协作中使用它?
不。AWS Clean Rooms 会直接从您指定的 Amazon Simple Storage Service (S3) 位置临时读取数据,以代表相应的协作成员运行查询。分析的输出将传送到可查询的成员指定的 Amazon S3 位置。
问:是否可以查看协作成员正在对我的数据运行哪些查询?
是的。您将能够配置 AWS Clean Rooms 以在 Amazon CloudWatch Logs 中发布查询日志。使用自定义分析规则,您还可以在协作运行查询(存储在分析模板中)之前对其进行审查。
问:在使用 AWS Clean Rooms 与他人协作时,如何遵守适用的数据隐私法律?
借助 AWS Clean Rooms 加密和分析规则,您可以精细控制要共享的信息类型。作为数据协作者,您有责任评测每次协作的风险,包括重新识别的风险,并进行额外的尽职调查,以确保遵守任何数据隐私法律。如果您共享的数据是敏感的或受监管的,我们建议您仍然使用适当的法律协议和审计机制,以进一步降低隐私风险。
问:AWS Clean Rooms 中的协作有任何使用限制吗?
有。AWS 服务条款禁止在某些使用场景下在 AWS Clean Rooms 中进行协作。
问:AWS Clean Rooms 是否符合 HIPAA 要求?
是,AWS HIPAA 合规性计划将 AWS Clean Rooms 作为一项符合 HIPAA 要求的服务包含在内。如果您与 AWS 签订了商业伙伴协议 (BAA),现在可以使用 AWS Clean Rooms 建立符合 HIPAA 要求的合作。如果您未签订商业伙伴协议或者在将 AWS 用于 HIPAA 合规应用程序方面有其他问题,请联系我们,以获取详细信息。
要了解更多信息,请参阅以下资源:
