Tutorial: Erkennen und Redigieren von PII-Daten mit S3 Object Lambda und Amazon Comprehend

Wenn Sie Amazon S3 für gemeinsam genutzte Datensätze für mehrere Anwendungen und Benutzer verwenden, die darauf zugreifen können, ist es wichtig, privilegierte Informationen wie persönlich identifizierbare Informationen (PII) nur auf autorisierte Entitäten zu beschränken. Wenn beispielsweise eine Marketing-Anwendung einige Daten verwendet, die PII enthalten, müssen möglicherweise zuerst PII-Daten maskiert werden, um die Datenschutzanforderungen zu erfüllen. Wenn eine Analytikanwendung ein Bestandsdatensatz für Produktionsaufträge verwendet, muss sie möglicherweise zuerst die Kreditkarteninformationen des Kunden überarbeiten, um unbeabsichtigte Datenverluste zu verhindern.

Mit S3 Object Lambda und eine vorgefertigte AWS Lambda -Funktion, die von Amazon Comprehend unterstützt wird, können Sie PII-Daten schützen, die von S3 abgerufen wurden, bevor Sie sie an eine Anwendung zurückgeben. Insbesondere können Sie die vorgefertigte Lambda-Funktion als Redigierungsfunktion nutzen und sie an einen S3 Object Lambda Access Point anfügen. Wenn eine Anwendung (z. B. eine Analytik-Anwendung) S3-GET-Standardanforderungen sendet, rufen diese Anforderungen über den S3 Object Lambda Access Point die vordefinierte redigierende Lambda-Funktion auf, um PII-Daten, die von einem S3-Bucket über einen unterstützenden S3-Zugriffspunkt abgerufen wurden, zu erkennen und zu redigieren. Dann gibt der S3 Object Lambda Access Point das redigierte Ergebnis zurück an die Anwendung aus.

In diesem Prozess verwendet die vorgefertigte Lambda-Funktion Amazon Comprehend, eine natürliche Sprachverarbeitung (NLP), um Variationen in der Darstellung von PII zu erfassen, unabhängig davon, wie PII im Text vorhanden sind (z. B. numerisch oder als Kombination aus Wörtern und Zahlen). Amazon Comprehend kann sogar Kontext im Text verwenden, um zu verstehen, ob eine vierstellige Zahl eine PIN, die letzten vier Zahlen einer Sozialversicherungsnummer (SSN) oder ein Jahr ist. Amazon Comprehend verarbeitet jede Textdatei im UTF-8-Format und kann PII skaliert schützen, ohne die Genauigkeit zu beeinträchtigen. Weitere Informationen finden Sie unter Was ist Amazon Comprehend? im Entwicklerhandbuch für Amazon Comprehend.

Ziel

In diesem Tutorial erfahren Sie, wie Sie S3 Object Lambda mit der vordefinierten Lambda-Funktion ComprehendPiiRedactionS3ObjectLambda verwenden. Diese Funktion verwendet Amazon Comprehend, um PII-Entitäten zu erkennen. Diese Entitäten werden dann durch Sternchen ersetzt. Durch das Redigieren von PII verbergen Sie sensible Daten, die bei Sicherheit und Compliance helfen können.

Sie lernen auch, wie Sie eine vorgefertigte AWS Lambda Funktion verwenden und konfigurieren, AWS Serverless Application Repositoryum mit S3 Object Lambda für eine einfache Bereitstellung zusammenzuarbeiten.

Voraussetzungen: Erstellen Sie einen IAM-Benutzer mit Berechtigungen

Bevor Sie mit diesem Tutorial beginnen, benötigen Sie ein AWS Konto, mit dem Sie sich als AWS Identity and Access Management Benutzer (IAM-Benutzer) mit den richtigen Berechtigungen anmelden können.

Sie können für das Tutorial die Anmeldeinformationen eines IAM-Benutzers nutzen. Um dieses Tutorial abzuschließen, muss Ihr IAM-Benutzer die folgenden IAM-Richtlinien anhängen, um auf relevante AWS Ressourcen zuzugreifen und bestimmte Aktionen auszuführen.

Anmerkung

Der Einfachheit halber wird in diesem Tutorial einen IAM-Benutzer erstellt und verwendet. Denken Sie nach Abschluss dieses Tutorials an Löschen des IAM-Benutzers. Für den Einsatz in der Produktion empfehlen wir, dass Sie die bewährten Sicherheitsmethoden in IAM im IAM-Benutzerhandbuch befolgen. Eine bewährte Methode ist, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden, um mit temporären Anmeldeinformationen auf AWS zuzugreifen. Eine weitere bewährte Methode besteht darin, dass Workloads temporäre Anmeldeinformationen mit IAM-Rollen verwenden müssen, um auf AWS zuzugreifen. Weitere Informationen AWS IAM Identity Center zur Erstellung von Benutzern mit temporären Anmeldeinformationen finden Sie unter Erste Schritte im AWS IAM Identity Center Benutzerhandbuch.

In diesem Tutorial werden auch Richtlinien mit vollem Zugriff verwendet. Für die Verwendung in der Produktion empfehlen wir, dass Sie stattdessen nur die für Ihren Anwendungsfall erforderlichen Mindestberechtigungen gemäß Bewährte Methoden in Bezug auf die Sicherheit erteilen.

Ihr IAM-Benutzer benötigt die folgenden AWS verwalteten Richtlinien:

• AmazonS3 FullAccess — Erteilt Berechtigungen für alle Amazon S3-Aktionen, einschließlich der Berechtigungen zum Erstellen und Verwenden eines Object Lambda Access Points.

• AWSLambda_FullAccess— Erteilt Berechtigungen für alle Lambda-Aktionen.

• AWSCloudFormationFullAccess— Erteilt Berechtigungen für alle AWS CloudFormation Aktionen.

• IAM FullAccess — Erteilt Berechtigungen für alle IAM-Aktionen.

• IAM AccessAnalyzerReadOnlyAccess — Erteilt Berechtigungen zum Lesen aller von IAM Access Analyzer bereitgestellten Zugriffsinformationen.

Sie können diese vorhandenen Richtlinien direkt anhängen, wenn Sie einen IAM-Benutzer erstellen. Weitere Informationen zum Erstellen eines IAM-Benutzers finden Sie unter Erstellen von IAM-Benutzern (Konsole) im IAM-Benutzerhandbuch.

Darüber hinaus erfordert Ihr IAM-Benutzer eine vom Kunden verwaltete Richtlinie. Um dem IAM-Benutzer Berechtigungen für alle AWS Serverless Application Repository Ressourcen und Aktionen zu gewähren, müssen Sie eine IAM-Richtlinie erstellen und die Richtlinie an den IAM-Benutzer anhängen.

Erstellen einer IAM-Richtlinie und Anfügen der Richtlinie an Ihren IAM-Benutzer

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Wählen Sie im linken Navigationsbereich die Option Policies (Richtlinien) aus.

3. Wählen Sie Richtlinie erstellen aus.

4. Wählen Sie im Tab Visual editor (Visueller Editor) für Service Choose a service (Wählen Sie einen Service) aus. Wählen Sie dann Serverless Application Repository.

5. Wählen Sie für Aktionen unter Manuelle Aktionen Alle Aktionen des Serverless Application Repository (serverlessrepo: *) für dieses Tutorial.

   Als bewährte Methode für die Sicherheit sollten Sie basierend auf Ihrem Anwendungsfall nur für jene Aktionen und Ressourcen Berechtigungen zulassen, für die ein Benutzer Zugriff benötigt. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

6. Wählen Sie für Ressourcen Alle Ressourcen für dieses Tutorial.

   Als bewährte Methode sollten Sie Berechtigungen nur für bestimmte Ressourcen in bestimmten Konten definieren. Alternativ können Sie die geringste Berechtigung mit Bedingungsschlüsseln erteilen. Weitere Informationen finden Sie unter Gewähren von geringsten Rechten im IAM-Benutzerhandbuch.

7. Wählen Sie Next: Tags (Weiter: Tags) aus.

8. Klicken Sie auf Weiter: Prüfen.

9. Geben Sie auf der Seite Review policy (Richtlinie überprüfen) einen Namen (z. B. tutorial-serverless-application-repository) und eine Beschreibung (optional) für die Richtlinie ein, die Sie erstellen. Überprüfen Sie die Richtlinienzusammenfassung, um sicherzustellen, dass Sie die beabsichtigten Berechtigungen erteilt haben, und wählen Sie dann Richtlinie erstellen aus, um Ihre neue Richtlinie zu speichern.

10. Wählen Sie im linken Navigationsbereich Benutzer aus. Wählen Sie dann den IAM-Benutzer für dieses Tutorial aus.

11. Wählen Sie auf der Seite Übersicht des ausgewählten Benutzers den Tab Berechtigungen und danach Hinzufügen von Berechtigungen.

12. Wählen Sie unter Berechtigungen gewähren die Option Vorhandene Richtlinien direkt anfügen aus.

13. Aktivieren Sie das Kontrollkästchen neben der gerade erstellten Richtlinie (z. B. tutorial-serverless-application-repository) und wählen Sie dann Nächstes: Überprüfung.

14. Prüfen Sie unter Richtlinienübersicht die Zusammenfassung, um sicherzustellen, dass Sie die beabsichtigte Richtlinie angefügt haben. Wählen Sie dann Add permissions (Berechtigungen hinzufügen) aus.

Schritt 1: Einen S3-Bucket erstellen

Erstellen Sie einen Bucket zum Speichern der ursprünglichen Daten, die Sie transformieren möchten.

So erstellen Sie einen Bucket

1. Melden Sie sich bei der Amazon S3 S3-Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/s3/.

2. Wählen Sie im linken Navigationsbereich die Option Buckets aus.

3. Wählen Sie Create Bucket (Bucket erstellen) aus.

   Die Seite Create bucket (Bucket erstellen) wird geöffnet.

4. Geben Sie für Bucket-Name einen Namen für Ihren Bucket ein (z. B. tutorial-bucket).

   Weitere Informationen zur Benennung von Buckets in Amazon S3 finden Sie unter Regeln für die Benennung von Buckets.

5. Unter Region wählen Sie die AWS-Region aus, in der sich der Bucket befinden soll.

   Weitere Informationen zur Bucket-Region finden Sie unter Bucket-Übersicht.

6. Belassen Sie die Einstellungen für den öffentlichen Zugriff für diesen Bucket blockieren bei den Standardeinstellungen (Alle öffentlichen Zugriffe blockieren ist aktiviert).

   Es wird empfohlen, alle Einstellungen für öffentlichen Zugriff blockieren aktiviert zu belassen, es sei denn, Sie müssen eine oder mehrere dieser Einstellungen für Ihren Anwendungsfall deaktivieren. Weitere Informationen zum Blockieren des öffentlichen Zugriffs finden Sie unter Blockieren des öffentlichen Zugriffs auf Ihren Amazon-S3-Speicher.

7. Lassen Sie die restlichen Einstellungen auf die Standardwerte eingestellt.

   (Optional) Informationen zum Konfigurieren zusätzlicher Bucket-Einstellungen für Ihren spezifischen Anwendungsfall finden Sie unter Erstellen eines Buckets.

8. Wählen Sie Bucket erstellen aus.

Schritt 2: Hochladen einer Datei zu einem S3-Bucket

Laden Sie eine Textdatei mit bekannten PII-Daten verschiedener Typen, wie Namen, Bankinformationen, Telefonnummern und SSNs, in den S3-Bucket als Originaldaten hoch, von denen Sie PII später in diesem Tutorial bearbeiten werden.

Sie können beispielsweise nach der tutorial.txt-Datei hochladen. Dies ist ein Beispiel für eine Eingabedatei von Amazon Comprehend.

Hello Zhang Wei, I am John. Your AnyCompany Financial Services, 
LLC credit card account 1111-0000-1111-0008 has a minimum payment 
of $24.53 that is due by July 31st. Based on your autopay settings, 
we will withdraw your payment on the due date from your 
bank account number XXXXXX1111 with the routing number XXXXX0000. 

Your latest statement was mailed to 100 Main Street, Any City, 
WA 98121. 
After your payment is received, you will receive a confirmation 
text message at 206-555-0100. 
If you have questions about your bill, AnyCompany Customer Service 
is available by phone at 206-555-0199 or 
email at support@anycompany.com.                                

Hochladen einer Datei in einen Bucket

1. Melden Sie sich bei der Amazon S3 S3-Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/s3/.

2. Wählen Sie im linken Navigationsbereich die Option Buckets aus.

3. Wählen Sie in der Liste Buckets den Namen des Buckets aus, den Sie in Schritt 1 (z. B. tutorial-bucket) erstellt haben, in den Sie die Datei hochladen möchten.

4. Wählen Sie im Tab Objects (Objekte) für Ihren Bucket die Option Upload (Hochladen) aus.

5. Wählen Sie auf der Seite Upload unter Dateien und Ordner die Option Dateien hinzufügen aus.

6. Wählen Sie eine hochzuladende Datei und dann Open (Öffnen) aus. Sie können z. B. das oben erwähnte tutorial.txt-Dateibeispiel hochladen.

7. Klicken Sie auf Hochladen.

Schritt 3: Erstellen eines S3-Zugriffspunkts

Um einen S3 Object Lambda Access Point für den Zugriff und die Umwandlung der ursprünglichen Daten zu verwenden, müssen Sie einen S3-Zugriffspunkt erstellen und dem S3-Bucket zuordnen, den Sie in Schritt 1 erstellt haben. Der Access Point muss sich in demselben Zustand befinden AWS-Region wie die Objekte, die Sie transformieren möchten.

Später in diesem Tutorial verwenden Sie diesen Zugriffspunkt als unterstützenden Zugriffspunkt für Ihren Object Lambda Access Point.

So erstellen Sie einen Zugangspunkt

1. Melden Sie sich bei der Amazon S3 S3-Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/s3/.

2. Wählen Sie im linken Navigationsbereich Zugriffspunkte aus.

3. Wählen Sie auf der Seite Zugriffspunkte die Option Zugriffspunkt erstellen aus.

4. Geben Sie im Feld Name des Zugriffspunkts den gewünschten Namen für den Zugriffspunkt ein (z. B. tutorial-pii-access-point).

   Weitere Hinweise zur Benennung von Zugangspunkten finden Sie unter Regeln zur Benennung von Amazon S3-Zugriffspunkten.

5. Wählen Sie im Feld Bucket-Name den Namen des Buckets aus, den Sie in Schritt 1 (z. B. tutorial-bucket) erstellt haben. S3 hängt den Zugriffspunkt an diesen Bucket an.

   (Optional) Sie können S3 durchsuchen auswählen, um die Buckets in Ihrem Konto zu browsen und zu durchsuchen. Wenn Sie Browse S3 (S3 durchsuchen) wählen, wählen Sie den gewünschten Bucket aus und dann Choose path (Pfad wählen), um das Feld Bucket name (Bucket-Name) mit dem Namen dieses Buckets zu füllen.

6. Wählen Sie für Netzwerkursprung Internetaus.

   Weitere Informationen zu Netzwerkursprüngen für Zugangspunkte finden Sie unter Erstellen von Zugriffspunkten, die auf eine Virtual Private Cloud beschränkt sind.

7. Alle Block-Public-Access-Einstellungen sind standardmäßig für Zugriffspunkte aktiviert. Sie sollten alle Einstellungen für das Blockieren aller öffentlichen Zugriffe aktiviert lassen. Weitere Informationen finden Sie unter Verwalten des öffentlichen Zugriffs auf Zugriffspunkte.

8. Behalten Sie für alle anderen Zugriffspunktseinstellungen die Standardeinstellungen bei.

   (Optional) Sie können die Zugriffspunktseinstellungen ändern, um Ihren Anwendungsfall zu unterstützen. Für dieses Tutorial empfehlen wir, dass die Standardeinstellungen beibehalten werden.

   (Optional) Wenn Sie den Zugriff auf Ihren Zugriffspunkt verwalten müssen, können Sie eine Zugriffspunkt-Richtlinie angeben. Weitere Informationen finden Sie unter Beispiele von -Zugriffspunktrichtlinien.

9. Wählen Sie Zugangspunkt erstellen aus.

Schritt 4: Konfigurieren und Bereitstellen einer vordefinierten Lambda-Funktion

Um PII-Daten zu überarbeiten, konfigurieren und stellen Sie die vorgefertigte AWS Lambda -Funktion ComprehendPiiRedactionS3ObjectLambda für die Verwendung mit Ihrem S3 Object Lambda Access Point bereit.

Konfigurieren und Bereitstellen der Lambda-Funktion

1. Melden Sie sich bei der an AWS Management Console und sehen Sie sich die ComprehendPiiRedactionS3ObjectLambdaFunktion in der an AWS Serverless Application Repository.

2. Behalten Sie für Anwendungseinstellungen unter Anwendungsname den Standardwert (ComprehendPiiRedactionS3ObjectLambda) für dieses Tutorial bei.

   (Optional) Sie können den Namen eingeben, den Sie dieser Anwendung geben möchten. Sie können dies tun, wenn Sie planen, mehrere Lambda-Funktionen für unterschiedliche Zugriffsanforderungen für denselben freigegebenen Datensatz zu konfigurieren.

3. Behalten Sie für MaskCharacterden Standardwert (*) bei. Das Maskenzeichen ersetzt jedes Zeichen in der geschärften PII-Entität.

4. Behalten Sie für MaskModeden Standardwert (MASK) bei. Der MaskModeWert gibt an, ob die PII-Entität mit dem MASK Zeichen oder dem PII_ENTITY_TYPE Wert geschwärzt wird.

5. Um die angegebenen Datentypen zu schwärzen PiiEntityTypes, behalten Sie für den Standardwert ALL bei. Der PiiEntityTypesWert gibt die PII-Entitätstypen an, die für die Schwärzung in Betracht gezogen werden sollen.

   Weitere Informationen zur Liste der unterstützten PII-Entitäts-Typen finden Sie unter Persönliche identifizierbare Informationen (PII) erkennen im Entwicklerhandbuch für Amazon Comprehend.

6. Lassen Sie die restlichen Einstellungen bei den Standardwerten.

   (Optional) Informationen zum Konfigurieren von zusätzlichen Einstellungen für Ihren speziellen Anwendungsfall finden Sie im Abschnitt Readme-Datei auf der linken Seite der Seite.

7. Aktivieren Sie das Kontrollkästchen neben Ich bestätige, dass diese App benutzerdefinierte IAM-Rollen erstellt.

8. Wählen Sie Bereitstellen.

9. Wählen Sie auf der Seite der neuen Anwendung unter Ressourcen dieLogische ID der Lambda-Funktion, die Sie bereitgestellt haben, um die Funktion auf der Lambda-Funktionsseite zu überprüfen.

Schritt 5: Erstellen eines S3 Object Lambda Access Point

Ein S3 Object Lambda Access Point bietet die Flexibilität, eine Lambda-Funktion direkt aus einer S3-GET-Anforderung aufzurufen, sodass die Funktion PII-Daten überarbeiten kann, die von einem S3-Zugriffspunkt abgerufen wurden. Beim Erstellen und Konfigurieren eines S3 Object Lambda Access Point müssen Sie die überarbeitende Lambda-Funktion angeben, um den Ereigniskontext im JSON-Format als benutzerdefinierte Parameter für Lambda zu verwenden.

Der Ereigniskontext stellt Informationen über die Anforderung bereit, die in dem von S3 Object Lambda an Lambda übergebenen Ereignis gestellt wird. Weitere Informationen zu allen Feldern im Ereigniskontext finden Sie unter Format und Verwendung des Ereigniskontexts.

So erstellen Sie einen S3 Object Lambda Access Point

1. Melden Sie sich bei der Amazon S3 S3-Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/s3/.

2. Wählen Sie im linken Navigationsbereich Objekt-Lambda-Zugriffspunkte aus.

3. Wählen Sie auf der Seite Object Lambda access points (Objekt-Lambda-Zugriffspunkte) die Option Create Object Lambda access point (Objekt-Lambda-Zugriffspunkt erstellen).

4. Geben Sie unter Name des Objekt-Lambda-Access Point den Namen ein, den Sie für den Object Lambda Access Point verwenden möchten (z. B. tutorial-pii-object-lambda-accesspoint).

5. Geben Sie für Unterstützenden Zugangspunkt den Standardzugangspunkt ein, den Sie in Schritt 3 erstellt haben (z. B. tutorial-pii-access-point), oder navigieren Sie zu diesem Zugangspunkt und wählen dann Unterstützenden Zugangspunkt auswählen aus.

6. Um für S3-APIs Objekte aus dem S3-Bucket abzurufen, damit die Lambda-Funktion sie verarbeiten kann, wählen Sie GetObject.

7. Für die Funktion Lambda aufrufen können Sie eine der beiden folgenden Optionen für dieses Tutorial auswählen.

   • Wählen Sie Wählen Sie aus Funktionen in Ihrem Kontound wählen Sie die Lambda-Funktion aus, die Sie in Schritt 4 (z. B. serverlessrepo-ComprehendPiiRedactionS3ObjectLambda) aus der Lambda-Funktion-Dropdown-Liste bereitgestellt haben.

   • Wählen Sie ARN eingeben und geben Sie dann den Amazon-Ressourcennamen (ARN) der Lambda-Funktion ein, die Sie in Schritt 4 erstellt haben.

8. Wählen Sie für Versioning der Lambda-Funktion, $LATEST (die neueste Version der Lambda-Funktion, die Sie in Schritt 4 erstellt haben).

9. (Optional) Wenn Sie Ihre Lambda-Funktion benötigen, um GET-Anforderungen mit Bereichs- und Teilenummern-Headern zu erkennen und zu bearbeiten, wählen Sie Lambda-Funktion unterstützt Anforderungen mit Bereich und Lambda-Funktion unterstützt Anforderungen mit Teilenummern aus. Deaktivieren Sie andernfalls diese beiden Kontrollkästchen.

   Weitere Informationen zur Verwendung von Bereichs- oder Teilenummern mit S3 Object Lambda finden Sie unter Arbeiten mit Range- und partNumber-Headern.

10. (Optional) Fügen Sie unter Nutzlast – optional JSON-Text hinzu, um Ihrer Lambda-Funktion zusätzliche Informationen bereitzustellen.

    Eine Nutzlast ist ein optionaler JSON-Text, den Sie Ihrer Lambda-Funktion als Eingabe für alle Aufrufe bereitstellen können, die von einem spezifischen S3 Object Lambda Access Point stammen. Um das Verhalten für mehrere Object Lambda Access Points anzupassen, die dieselbe Lambda-Funktion aufrufen, können Sie Nutzlasten mit unterschiedlichen Parametern konfigurieren und so die Flexibilität Ihrer Lambda-Funktion erweitern.

    Weitere Informationen zur Nutzlast finden Sie unter Format und Verwendung des Ereigniskontexts.

11. (Optional) Wählen Sie für Anforderungsmetriken – optional die Option Deaktivieren oder Aktivieren aus, um Ihrem Object Lambda Access Point Amazon-S3-Überwachung hinzuzufügen. Anforderungsmetriken werden zum CloudWatch Standardtarif von Amazon abgerechnet. Weitere Informationen finden Sie unter CloudWatch Preise.

12. Behalten Sie unter Objekt-Lambda-Zugriffspunkt-Richtlinie - optional die Standardeinstellung bei.

    (Optional) Sie können eine Ressourcenrichtlinie festlegen. Diese Ressourcenrichtlinie erteilt der GetObject-API die Berechtigung zur Verwendung des angegebenen Object Lambda Access Point.

13. Lassen Sie die restlichen Einstellungen auf die Standardwerte eingestellt und klicken Sie auf Erstellen eines Objekt-Lambda-Zugriffspunkts.

Schritt 6: Verwenden des S3 Object Lambda Access Point zum Abrufen der redigierten Daten

Jetzt ist S3 Object Lambda bereit, PII-Daten aus Ihrer Originaldatei zu redigieren.

So verwenden Sie den S3 Object Lambda Access Point zum Abrufen der redigierten Daten

Wenn Sie eine Datei über Ihren S3 Object Lambda Access Point abrufen möchten, führen Sie einen GetObject-API-Aufruf für S3 Object Lambda aus. S3 Object Lambda ruft die Lambda-Funktion auf, um Ihre PII-Daten zu redigieren und gibt die transformierten Daten als Antwort auf die Standard-S3-GetObject API-Aufrufe.

1. Melden Sie sich bei der Amazon S3 S3-Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/s3/.

2. Wählen Sie im linken Navigationsbereich Objekt-Lambda-Zugriffspunkte aus.

3. Wählen Sie auf der Seite Objekt-Lambda-Zugriffspunkte den S3 Object Lambda Access Point aus, den Sie in Schritt 5 erstellt haben (z. B. tutorial-pii-object-lambda-accesspoint).

4. Wählen Sie auf der Registerkarte Objekte Ihres S3 Object Lambda Access Point die Datei mit dem gleichen Namen (z. B. tutorial.txt) wie diejenige aus, die Sie in Schritt 2 in den S3-Bucket hochgeladen haben.

   Diese Datei sollte alle transformierten Daten enthalten.

5. Um die transformierten Daten anzuzeigen, wählen Sie Öffnen oder Herunterladen aus.

   Sie sollten in der Lage sein, die redigierte Datei zu sehen, wie im folgenden Beispiel gezeigt.

   Hello *********. Your AnyCompany Financial Services, 
   LLC credit card account ******************* has a minimum payment 
   of $24.53 that is due by *********. Based on your autopay settings, 
   we will withdraw your payment on the due date from your 
   bank account ********** with the routing number *********. 
   
   Your latest statement was mailed to **********************************. 
   After your payment is received, you will receive a confirmation 
   text message at ************. 
   If you have questions about your bill, AnyCompany Customer Service 
   is available by phone at ************ or 
   email at **********************.                                                        

Schritt 7: Bereinigen

Wenn Sie Ihre Daten nur zu Lernzwecken mit S3 Object Lambda redigiert haben, löschen Sie die AWS Ressourcen, die Sie zugewiesen haben, sodass Ihnen keine Gebühren mehr anfallen.

Teilschritte

• Löschen des Object Lambda Access Point
• Löschen des S3-Zugriffspunkts
• Löschen Sie die Lambda-Funktion
• Löschen Sie die CloudWatch Protokollgruppe
• Löschen Sie die Originaldatei im S3-Quell-Bucket
• Löschen des S3-Quell-Bucket
• Löschen der IAM-Rolle für Ihre Lambda-Funktion
• Löschen der vom Kunden verwalteten Richtlinie für Ihren IAM-Benutzer
• Löschen des IAM-Benutzers

Löschen des Object Lambda Access Point

1. Melden Sie sich bei der Amazon S3 S3-Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/s3/.

2. Wählen Sie im linken Navigationsbereich Objekt-Lambda-Zugriffspunkte aus.

3. Wählen Sie auf der Seite Objekt-Lambda-Zugriffspunkte die Optionsschaltfläche links neben dem S3 Object Lambda Access Point aus, den Sie in Schritt 5 erstellt haben (z. B. tutorial-pii-object-lambda-accesspoint).

4. Wählen Sie Delete (Löschen).

5. Bestätigen Sie, dass Sie Ihren Object Lambda Access Point löschen möchten, indem Sie den Namen in das angezeigte Textfeld eingeben und dann Löschen wählen.

Löschen des S3-Zugriffspunkts

1. Melden Sie sich bei der Amazon S3 S3-Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/s3/.

2. Wählen Sie im linken Navigationsbereich Zugriffspunkte aus.

3. Navigieren Sie zu dem Zugriffspunkt, den Sie in Schritt 3 (z. B. tutorial-pii-access-point) erstellt haben, und wählen Sie die Optionsschaltfläche neben dem Namen des Zugriffspunkts aus.

4. Wählen Sie Löschen aus.

5. Bestätigen Sie, dass Sie Ihren Zugriffspunkt löschen möchten, indem Sie den Namen in das angezeigte Textfeld eingeben und dann Delete (Löschen) wählen.

Löschen Sie die Lambda-Funktion

1. Wählen Sie in der AWS Lambda Konsole unter https://console.aws.amazon.com/lambda/ im linken Navigationsbereich Funktionen aus.

2. Wählen Sie die Funktion aus, die Sie in Schritt 4 (z. B. serverlessrepo-ComprehendPiiRedactionS3ObjectLambda) erstellt haben.

3. Wählen Sie Aktionen und anschließend Löschen aus.

4. Wählen Sie im Bestätigungsdialogfeld Delete (Löschen) die Option Delete (Löschen) aus.

Löschen Sie die CloudWatch Protokollgruppe

1. Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

2. Wählen Sie im linken Navigationsbereich Log groups (Protokollgruppen) aus.

3. Suchen Sie die Protokollgruppe, deren Name mit der Lambda-Funktion endet, die Sie in Schritt 4 (z. B. serverlessrepo-ComprehendPiiRedactionS3ObjectLambda) erstellt haben.

4. Wählen Sie Actions (Aktionen) und dann Delete log group(s) (Protokollgruppe(n) löschen) aus.

5. Wählen Sie im Dialogfeld Delete log group(s) (Protokollgruppe(n) löschen) die Option Delete (Löschen) aus.

Löschen Sie die Originaldatei im S3-Quell-Bucket

1. Melden Sie sich bei der Amazon S3 S3-Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/s3/.

2. Wählen Sie im linken Navigationsbereich die Option Buckets aus.

3. Wählen Sie in der Liste Bucket-Name den Namen des Buckets aus, in den Sie die Originaldatei in Schritt 2 (z. B. tutorial-bucket) hochgeladen haben.

4. Markieren Sie das Kontrollkästchen links neben dem Namen des Objekts, das Sie löschen möchten (z. B. tutorial.txt).

5. Wählen Sie Löschen aus.

6. Bestätigen Sie auf der Seite Löschen von Objekten im Abschnitt Objekte endgültig löschen?, dass Sie dieses Objekt löschen möchten, indem Sie permanently delete im Textfeld eingeben.

7. Wählen Sie Delete objects (Objekte löschen).

Löschen des S3-Quell-Bucket

1. Melden Sie sich bei der Amazon S3 S3-Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/s3/.

2. Wählen Sie im linken Navigationsbereich die Option Buckets aus.

3. Wählen Sie in der Liste Buckets das Optionsfeld neben dem Namen des Buckets aus, den Sie in Schritt 1 (z. B. tutorial-bucket) erstellt haben.

4. Wählen Sie Löschen aus.

5. Bestätigen Sie auf der Seite Delete bucket (Bucket löschen), dass Sie den Bucket löschen möchten. Geben Sie dazu den Bucket-Namen in das Textfeld ein und wählen Sie Delete bucket (Bucket löschen).

Löschen der IAM-Rolle für Ihre Lambda-Funktion

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Wählen Sie im linken Navigationsbereich Roles (Rollen), und aktivieren Sie dann das Kontrollkästchen neben der Rolle, die Sie löschen möchten. Der Rollenname beginnt mit dem Namen der Lambda-Funktion, die Sie in Schritt 4 (z. B. serverlessrepo-ComprehendPiiRedactionS3ObjectLambda) erstellt haben.

3. Wählen Sie Löschen aus.

4. Geben Sie im Dialogfeld Löschen den Rollennamen in das Texteingabefeld ein, um das Löschen zu bestätigen. Wählen Sie dann Löschen aus.

Löschen der vom Kunden verwalteten Richtlinie für Ihren IAM-Benutzer

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Wählen Sie im linken Navigationsbereich die Option Richtlinien aus.

3. Geben Sie auf der Seite Richtlinien den Namen der vom Kunden verwalteten Richtlinie ein, die Sie in Voraussetzungen (z. B. tutorial-serverless-application-repository) erstellt haben, in das Suchfeld ein, um die Richtlinienliste zu filtern. Aktivieren Sie die Optionsschaltfläche neben dem Namen der Richtlinie, die Sie löschen möchten.

4. Wählen Sie Aktionen und anschließend Löschen aus.

5. Bestätigen Sie, dass Sie diese Richtlinie löschen möchten, indem Sie den Namen in das angezeigte Textfeld eingeben und dann Delete (Löschen) wählen.

Löschen des IAM-Benutzers

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Wählen Sie im linken Navigationsbereich Benutzer, und aktivieren Sie dann das Kontrollkästchen neben dem Benutzer, den Sie löschen möchten.

3. Wählen Sie oben auf der Seite Delete (Löschen) aus.

4. Geben Sie im Dialogfeld Benutzernamen löschen? den Benutzernamen in das Texteingabefeld ein, um das Löschen des Benutzers zu bestätigen. Wählen Sie Delete (Löschen) aus.

Nächste Schritte

Nachdem Sie dieses Tutorial abgeschlossen haben, können Sie die folgenden verwandten Anwendungsfälle näher untersuchen:

• Sie können mehrere S3 Object Lambda Access Points erstellen und diese mit vorgefertigten Lambda-Funktionen aktivieren, die unterschiedlich konfiguriert sind, um bestimmte Typen von PII je nach den geschäftlichen Anforderungen der Datenzugreifer zu bearbeiten.

  Jeder Benutzertyp nimmt eine IAM-Rolle an und hat nur auf einen S3 Object Lambda Access Point Zugriff (verwaltet durch IAM-Richtlinien). Dann fügen Sie jede ComprehendPiiRedactionS3ObjectLambda-Lambda-Funktion, die für einen anderen Redigierungsanwendungsfall konfiguriert ist, an einen anderen S3 Object Lambda Access Point an. Für jeden S3 Object Lambda Access Point können Sie über einen unterstützenden S3-Zugriffspunkt verfügen, um Daten aus einem S3-Bucket zu lesen, der den freigegebenen Datensatz speichert.

  Weitere Informationen zum Erstellen einer S3-Bucket-Richtlinie, die es Benutzern ermöglicht, nur über S3-Zugriffspunkte aus dem Bucket zu lesen, finden Sie unter Konfigurieren von IAM-Richtlinien für die Verwendung von Zugriffspunkten.

  Weitere Informationen dazu, wie Sie einem Benutzer die Berechtigung für den Zugriff auf die Lambda-Funktion, den S3-Zugriffspunkt und den S3 Object Lambda Access Point erteilen, finden Sie unter Konfigurieren von IAM-Richtlinien für Object Lambda Access Points.

• Sie können Ihre eigene Lambda-Funktion erstellen und S3 Object Lambda mit Ihrer angepassten Lambda-Funktion verwenden, um Ihre spezifischen Datenanforderungen zu erfüllen.

  Um beispielsweise verschiedene Datenwerte zu untersuchen, können Sie S3 Object Lambda und Ihre eigene Lambda-Funktion verwenden, die zusätzliche Amazon-Comprehend-Funktionen verwenden, z. B. Entitätserkennung, Schlüsselphrasenerkennung, Stimmungsanalyse und Dokumentklassifizierung, um Daten zu verarbeiten. Sie können S3 Object Lambda auch zusammen mit Amazon Comprehend Medical, einem HIPAA-berechtigten NLP-Dienst, nutzen, um Daten kontextbewusst zu analysieren und zu extrahieren.

  Weitere Informationen zum Transformieren von Daten mit S3 Object Lambda und Ihrer eigenen Lambda-Funktion finden Sie unter Tutorial: Transformieren von Daten für Ihre Anwendung mit S3 Object Lambda.