Datos personales: OU: cuenta de aplicación PDF - AWS Guía prescriptiva
Amazon AthenaAmazon CloudWatch Logs CodeGuru Revisor de AmazonAmazon ComprehendAmazon Data FirehoseAWS GlueAWS Key Management ServiceAWS Zonas LocalesAWS Nitro EnclavesAWS PrivateLinkAWS Resource Access ManagerAmazon SageMaker AIAWS funciones que ayudan a gestionar el ciclo de vida de los datosServicios y características de AWS que ayudan a segmentar los datos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Datos personales: OU: cuenta de aplicación PDF

Nos encantaría saber de ti. Envíe sus comentarios sobre la AWS PRA mediante una breve encuesta.

La cuenta de la solicitud de datos personales (PD) es el lugar donde su organización aloja los servicios que recopilan y procesan datos personales. En concreto, puede almacenar lo que define como datos personales en esta cuenta. La AWS PRA muestra varios ejemplos de configuraciones de privacidad a través de una arquitectura web sin servidor de varios niveles. Cuando se trata de operar cargas de trabajo en una AWS landing zone, las configuraciones de privacidad no deben considerarse one-size-fits-all soluciones. Por ejemplo, su objetivo podría ser comprender los conceptos subyacentes, cómo pueden mejorar la privacidad y cómo su organización puede aplicar las soluciones a sus arquitecturas y casos de uso particulares.

Cuentas de AWS En su organización que recopila, almacena o procesa datos personales, puede utilizar AWS Organizations e AWS Control Tower implementar barreras fundamentales y repetibles. Es fundamental establecer una unidad organizativa (OU) dedicada a estas cuentas. Por ejemplo, es posible que desee aplicar barreras de residencia de datos solo a un subconjunto de cuentas en las que la residencia de los datos sea una consideración de diseño fundamental. Para muchas organizaciones, estas son las cuentas que almacenan y procesan los datos personales.

Su organización puede admitir una cuenta de datos dedicada, que es donde almacena la fuente autorizada de sus conjuntos de datos personales. Una fuente de datos autorizada es una ubicación en la que se almacena la versión principal de los datos, que podría considerarse la versión más fiable y precisa de los datos. Por ejemplo, puede copiar los datos de la fuente de datos autorizada a otras ubicaciones, como los depósitos de Amazon Simple Storage Service (Amazon S3) en la cuenta de la aplicación PD que se utilizan para almacenar datos de entrenamiento, un subconjunto de datos de clientes y datos redactados. Al adoptar este enfoque multicuenta para separar los conjuntos de datos personales completos y definitivos de la cuenta de datos de las cargas de trabajo de los consumidores intermedios de la cuenta de la aplicación PD, puede reducir el alcance del impacto en caso de acceso no autorizado a sus cuentas.

El siguiente diagrama ilustra los servicios de AWS seguridad y privacidad que están configurados en las cuentas de datos y aplicaciones de PD.

Servicios de AWS desplegados en la aplicación de datos personales y en las cuentas de datos de la OU de datos personales.

En esta sección se proporciona información más detallada sobre lo siguiente Servicios de AWS que se utiliza en estas cuentas:

Amazon Athena

También puedes considerar los controles de limitación de las consultas de datos para cumplir tus objetivos de privacidad. Amazon Athena es un servicio de consultas interactivo que facilita el análisis de datos en Amazon S3 con SQL estándar. No es necesario cargar los datos en Athena; funciona directamente con los datos almacenados en los cubos S3.

Un caso de uso común de Athena es proporcionar a los equipos de análisis de datos conjuntos de datos personalizados y saneados. Si los conjuntos de datos contienen datos personales, puede desinfectarlos ocultando columnas enteras de datos personales que proporcionan poco valor a los equipos de análisis de datos. Para obtener más información, consulte Anonimizar y administrar los datos de su lago de datos con Amazon Athena y AWS Lake Formation (entrada del blog).AWS

Si su enfoque de transformación de datos requiere flexibilidad adicional fuera de las funciones compatibles con Athena, puede definir funciones personalizadas, denominadas funciones definidas por el usuario (UDF). Puede invocar UDFs una consulta SQL enviada a Athena y se ejecutará. AWS Lambda Puede utilizar FILTER SQL consultas UDFs de entrada SELECT y, además, puede invocar varias UDFs en la misma consulta. Por motivos de privacidad, puede crear UDFs dispositivos que utilicen tipos específicos de enmascaramiento de datos, como mostrar solo los últimos cuatro caracteres de cada valor de una columna.

Amazon CloudWatch Logs

Amazon CloudWatch Logs le ayuda a centralizar los registros de todos sus sistemas y aplicaciones Servicios de AWS para que pueda supervisarlos y archivarlos de forma segura. En CloudWatch Logs, puede utilizar una política de protección de datos para los grupos de registros nuevos o existentes a fin de minimizar el riesgo de divulgación de datos personales. Las políticas de protección de datos pueden detectar datos confidenciales, como datos personales, en sus registros. La política de protección de datos puede enmascarar esos datos cuando los usuarios acceden a los registros a través del AWS Management Console. Cuando los usuarios necesiten acceder directamente a los datos personales, de acuerdo con la especificación de propósito general de su carga de trabajo, puede asignar logs:Unmask permisos a esos usuarios. También puede crear una política de protección de datos para toda la cuenta y aplicarla de forma coherente en todas las cuentas de su organización. Esto configura el enmascaramiento de forma predeterminada para todos los grupos de registros actuales y futuros en CloudWatch Logs. También le recomendamos que habilite los informes de auditoría y los envíe a otro grupo de registros, a un bucket de Amazon S3 o a Amazon Data Firehose. Estos informes contienen un registro detallado de los resultados de protección de datos en cada grupo de registros.

CodeGuru Revisor de Amazon

Tanto para la privacidad como para la seguridad, es vital para muchas organizaciones que respalden el cumplimiento continuo durante las fases de implementación y posteriores a la implementación. La AWS PRA incluye controles proactivos en los procesos de implementación de las aplicaciones que procesan datos personales. Amazon CodeGuru Reviewer puede detectar posibles defectos que podrían exponer datos personales en código Java y Python. JavaScript Ofrece sugerencias a los desarrolladores para mejorar el código. CodeGuru El revisor puede identificar los defectos en una amplia gama de prácticas recomendadas generales, de seguridad y de privacidad. Para obtener más información, consulta la biblioteca de Amazon CodeGuru Detector. Está diseñado para funcionar con varios proveedores de fuentes AWS CodeCommit, incluidos Bitbucket y Amazon S3. GitHub Algunos de los defectos relacionados con la privacidad que CodeGuru Reviewer puede detectar incluyen:

  • Inyección de SQL

  • Cookies no seguras

  • Falta la autorización

  • Recrificación del lado del cliente AWS KMS

Amazon Comprehend

Amazon Comprehend es un servicio de procesamiento del lenguaje natural (PNL) que utiliza el aprendizaje automático para descubrir información y conexiones valiosas en documentos de texto en inglés. Amazon Comprehend puede detectar y redactar datos personales en documentos de texto estructurados, semiestructurados o no estructurados. Para obtener más información, consulte Información de identificación personal (PII) en la documentación de Amazon Comprehend.

Puede utilizar la API de AWS SDKs y Amazon Comprehend para integrar Amazon Comprehend con muchas aplicaciones. Un ejemplo es el uso de Amazon Comprehend para detectar y redactar datos personales con Amazon S3 Object Lambda. Las organizaciones pueden usar S3 Object Lambda para añadir código personalizado a las solicitudes GET de Amazon S3 para modificar y procesar los datos a medida que se devuelven a una aplicación. S3 Object Lambda puede filtrar filas, cambiar el tamaño de las imágenes de forma dinámica, redactar datos personales y mucho más. Gracias a AWS Lambda sus funciones, el código se ejecuta en una infraestructura totalmente gestionada AWS, lo que elimina la necesidad de crear y almacenar copias derivadas de los datos o de ejecutar proxies. No necesita cambiar sus aplicaciones para transformar objetos con S3 Object Lambda. Puede utilizar la función ComprehendPiiRedactionS3Object Lambda AWS Serverless Application Repository para redactar datos personales. Esta función utiliza Amazon Comprehend para detectar entidades de datos personales y las redacta sustituyéndolas por asteriscos. Para obtener más información, consulte Detección y redacción de datos de PII con S3 Object Lambda y Amazon Comprehend en la documentación de Amazon S3.

Como Amazon Comprehend tiene muchas opciones para la integración de aplicaciones a través de AWS SDKs, puede usar Amazon Comprehend para identificar datos personales en muchos lugares diferentes donde recopila, almacena y procesa datos. Puede utilizar las capacidades de Amazon Comprehend ML para detectar y redactar datos personales en los registros de aplicaciones (entrada de AWS blog), los correos electrónicos de los clientes, los tickets de soporte y mucho más. El diagrama de arquitectura de la cuenta PD Application muestra cómo puedes realizar esta función para los registros de aplicaciones en Amazon EC2. Amazon Comprehend ofrece dos modos de redacción:

  • REPLACE_WITH_PII_ENTITY_TYPEreemplaza cada entidad de PII por sus tipos. Por ejemplo, Jane Doe se sustituiría por NAME.

  • MASKreemplaza los caracteres de las entidades PII por un carácter de su elección (! , #, $,%, &, o @). Por ejemplo, Jane Doe podría sustituirse por **** ***.

Amazon Data Firehose

Amazon Data Firehose se puede utilizar para capturar, transformar y cargar datos de streaming en servicios descendentes, como Amazon Managed Service para Apache Flink o Amazon S3. Firehose se suele utilizar para transportar grandes cantidades de datos de streaming, como registros de aplicaciones, sin tener que construir canalizaciones de procesamiento desde cero.

Puede utilizar las funciones de Lambda para realizar un procesamiento personalizado o integrado antes de que los datos se envíen aguas abajo. En aras de la privacidad, esta capacidad admite los requisitos de minimización de datos y transferencia de datos transfronteriza. Por ejemplo, puede usar Lambda y Firehose para transformar los datos de registro de varias regiones antes de que se centralicen en la cuenta de Log Archive. Para obtener más información, consulte Biogen: solución de registro centralizada para cuentas múltiples (vídeo). YouTube En la cuenta de PD Application, configuras Amazon CloudWatch AWS CloudTrail para enviar los registros a una transmisión de entrega de Firehose. Una función Lambda transforma los registros y los envía a un bucket S3 central de la cuenta de Log Archive. Puede configurar la función Lambda para enmascarar campos específicos que contienen datos personales. Esto ayuda a evitar la transferencia de datos personales de un lado a otro Regiones de AWS. Al utilizar este enfoque, los datos personales se ocultan antes de la transferencia y la centralización, y no después. En el caso de las solicitudes presentadas en jurisdicciones que no están sujetas a los requisitos de transferencia transfronteriza, suele ser más eficiente desde el punto de vista operativo y rentable agregar los registros a lo largo del proceso organizativo. CloudTrail Para obtener más información, consulte la sección AWS CloudTrail de esta guía dedicada a la unidad organizativa sobre seguridad (Security Tooling).

AWS Glue

El mantenimiento de conjuntos de datos que contienen datos personales es un componente clave de Privacy by Design. Los datos de una organización pueden estar estructurados, semiestructurados o no estructurados. Los conjuntos de datos personales sin estructura pueden dificultar la realización de una serie de operaciones que mejoran la privacidad, como la minimización de los datos, el rastreo de los datos atribuidos a un solo sujeto de datos como parte de una solicitud del interesado, la garantía de una calidad de datos uniforme y la segmentación general de los conjuntos de datos. AWS Gluees un servicio de extracción, transformación y carga (ETL) totalmente gestionado. Puede ayudarle a clasificar, limpiar, enriquecer y mover datos entre almacenes de datos y flujos de datos. AWS Glue las funciones están diseñadas para ayudarlo a descubrir, preparar, estructurar y combinar conjuntos de datos para el análisis, el aprendizaje automático y el desarrollo de aplicaciones. Puede utilizarlas AWS Glue para crear una estructura común y predecible sobre sus conjuntos de datos existentes. AWS Glue Data Catalog AWS Glue DataBrew, y la calidad de AWS Glue los datos son AWS Glue funciones que pueden ayudar a cumplir los requisitos de privacidad de su organización.

AWS Glue Data Catalog

AWS Glue Data Catalogle ayuda a establecer conjuntos de datos fáciles de mantener. El catálogo de datos contiene referencias a los datos que se utilizan como fuentes y destinos para las tareas de extracción, transformación y carga (ETL). AWS Glue La información del catálogo de datos se almacena como tablas de metadatos y cada tabla especifica un único banco de datos. Se ejecuta un AWS Glue rastreador para hacer un inventario de los datos de diversos tipos de almacenes de datos. Agrega clasificadores integrados y personalizados al rastreador, y estos clasificadores deducen el formato y el esquema de los datos personales. A continuación, el rastreador escribe los metadatos en el catálogo de datos. Una tabla de metadatos centralizada puede facilitar la respuesta a las solicitudes de los interesados (como el derecho a la supresión), ya que añade estructura y previsibilidad a las distintas fuentes de datos personales de su entorno. AWS Para ver un ejemplo completo de cómo utilizar Data Catalog para responder automáticamente a estas solicitudes, consulte Gestión de las solicitudes de borrado de datos en su lago de datos con Amazon S3 Find and Forget (entrada del AWS blog). Por último, si su organización utiliza bases de datos, tablas, filas y celdas AWS Lake Formationpara administrar y proporcionar un acceso detallado a ellas, el catálogo de datos es un componente clave. Data Catalog permite compartir datos entre cuentas y le ayuda a utilizar el control de acceso basado en etiquetas para gestionar su lago de datos a escala (entrada del blog).AWS

AWS Glue DataBrew

AWS Glue DataBrewle ayuda a limpiar y normalizar los datos, y puede realizar transformaciones en los datos, como eliminar o enmascarar la información de identificación personal y cifrar los campos de datos confidenciales de las canalizaciones de datos. También puede mapear visualmente el linaje de sus datos para comprender las distintas fuentes de datos y los pasos de transformación por los que han pasado los datos. Esta función adquiere cada vez más importancia a medida que su organización trabaja para comprender y rastrear mejor la procedencia de los datos personales. DataBrew le ayuda a ocultar los datos personales durante la preparación de los datos. Puede detectar datos personales como parte de una labor de elaboración de perfiles de datos y recopilar estadísticas, como el número de columnas que pueden contener datos personales y las posibles categorías. A continuación, puede utilizar técnicas integradas de transformación de datos reversibles o irreversibles, como la sustitución, el cifrado y el descifrado, todo ello sin necesidad de escribir ningún código. A continuación, puede utilizar los conjuntos de datos limpios y enmascarados en un momento posterior para realizar tareas de análisis, elaboración de informes y aprendizaje automático. Algunas de las técnicas de enmascaramiento de datos disponibles en incluyen: DataBrew

  • Procesamiento de hash: aplique funciones de hash a los valores de las columnas.

  • Sustitución: sustituye los datos personales por otros valores que parezcan auténticos.

  • Anulación o eliminación: sustituye un campo concreto por un valor nulo o elimina la columna.

  • Enmascaramiento: utilice la codificación de caracteres o oculte determinadas partes de las columnas.

Las siguientes son las técnicas de cifrado disponibles:

  • Cifrado determinista: aplique algoritmos de cifrado determinista a los valores de las columnas. El cifrado determinista siempre produce el mismo texto cifrado para un valor.

  • Cifrado probabilístico: aplique algoritmos de cifrado probabilístico a los valores de las columnas. El cifrado probabilístico produce un texto cifrado diferente cada vez que se aplica.

Para obtener una lista completa de las recetas de transformación de datos personales proporcionadas en DataBrew, consulte los pasos básicos de la información de identificación personal (PII).

AWS Glue Calidad de los datos

AWS Glue La calidad de los datos le ayuda a automatizar y poner en funcionamiento la entrega de datos de alta calidad en todas las canalizaciones de datos, de forma proactiva, antes de entregarlos a sus consumidores de datos. AWS Glue Data Quality proporciona un análisis estadístico de los problemas de calidad de los datos en todos sus flujos de datos, puede activar alertas en Amazon EventBridge y puede hacer recomendaciones de normas de calidad para su corrección. AWS Glue Data Quality también admite la creación de reglas con un lenguaje específico del dominio para que pueda crear reglas de calidad de datos personalizadas.

AWS Key Management Service

AWS Key Management Service (AWS KMS) le ayuda a crear y controlar claves criptográficas para proteger sus datos. AWS KMS utiliza módulos de seguridad de hardware para proteger y validar AWS KMS keys en el marco del programa de validación de módulos criptográficos FIPS 140-2. Para obtener más información sobre cómo se utiliza este servicio en un contexto de seguridad, consulte la arquitectura de referencia de AWS seguridad.

AWS KMS se integra con la mayoría de los sistemas Servicios de AWS que ofrecen cifrado, y puede utilizar claves KMS en las aplicaciones que procesan y almacenan datos personales. Puede utilizarlas AWS KMS para cumplir diversos requisitos de privacidad y proteger los datos personales, como:

  • Uso de claves gestionadas por el cliente para tener un mayor control sobre la resistencia, la rotación, la caducidad y otras opciones.

  • Uso de claves exclusivas administradas por el cliente para proteger los datos personales y los secretos que permiten el acceso a los datos personales.

  • Definir los niveles de clasificación de datos y designar al menos una clave dedicada gestionada por el cliente por nivel. Por ejemplo, puede tener una clave para cifrar los datos operativos y otra para cifrar los datos personales.

  • Impedir el acceso involuntario entre cuentas a las claves de KMS.

  • Almacenar las claves de KMS en el mismo lugar Cuenta de AWS que el recurso que se va a cifrar.

  • Implementar la separación de tareas para la administración y el uso de las claves de KMS. Para obtener más información, consulte Cómo usar KMS e IAM para habilitar controles de seguridad independientes para los datos cifrados en S3 (entrada del AWS blog).

  • Impulsar la rotación automática de las llaves mediante barandillas preventivas y reactivas.

De forma predeterminada, las claves KMS se almacenan y solo se pueden usar en la región en la que se crearon. Si su organización tiene requisitos específicos de residencia y soberanía de los datos, considere si las claves KMS multirregionales son adecuadas para su caso de uso. Las claves multirregionales son claves KMS de uso especial en diferentes formatos Regiones de AWS que se pueden usar indistintamente. El proceso de creación de una clave multirregional traslada el material clave más allá de las Región de AWS fronteras internas AWS KMS, por lo que esta falta de aislamiento regional podría no ser compatible con los objetivos de cumplimiento de la organización. Una forma de solucionar este problema consiste en utilizar un tipo diferente de clave de KMS, como una clave gestionada por el cliente para una región específica.

AWS Zonas Locales

Si necesita cumplir con los requisitos de residencia de los datos, puede implementar recursos que almacenen y procesen datos personales de forma específica Regiones de AWS para cumplir con estos requisitos. También puede usar Zonas AWS Locales, que le ayudan a ubicar recursos informáticos, de almacenamiento, de bases de datos y otros AWS recursos selectos cerca de grandes centros industriales y de población. Una zona local es una extensión de una Región de AWS que se encuentra cerca geográficamente de una gran área metropolitana. Puede colocar tipos específicos de recursos dentro de una zona local, cerca de la región a la que corresponde la zona local. Las Zonas Locales pueden ayudarlo a cumplir con los requisitos de residencia de datos cuando una región no esté disponible dentro de la misma jurisdicción legal. Cuando utilice Zonas Locales, tenga en cuenta los controles de residencia de datos que se implementan en su organización. Por ejemplo, es posible que necesite un control para evitar la transferencia de datos de una zona local específica a otra región. Para obtener más información sobre cómo SCPs mantener las barreras de transferencia de datos transfronterizas, consulte Mejores prácticas para gestionar la residencia de datos en Zonas AWS Locales mediante controles de zona de aterrizaje (entrada del AWS blog).

AWS Nitro Enclaves

Considere su estrategia de segmentación de datos desde una perspectiva de procesamiento, como el procesamiento de datos personales con un servicio informático como Amazon Elastic Compute Cloud (Amazon EC2). La computación confidencial, como parte de una estrategia de arquitectura más amplia, puede ayudarlo a aislar el procesamiento de datos personales en un enclave de CPU aislado, protegido y confiable. Los enclaves son máquinas virtuales independientes, reforzadas y muy restringidas. AWS Nitro Enclaves es una EC2 función de Amazon que puede ayudarte a crear estos entornos informáticos aislados. Para obtener más información, consulte El diseño de seguridad del sistema AWS Nitro (AWS documento técnico).

Nitro Enclaves despliega un núcleo que está separado del núcleo de la instancia principal. El núcleo de la instancia principal no tiene acceso al enclave. Los usuarios no pueden acceder mediante SSH ni de forma remota a los datos y las aplicaciones del enclave. Las aplicaciones que procesan datos personales pueden integrarse en el enclave y configurarse para usar el Vsock del enclave, el socket que facilita la comunicación entre el enclave y la instancia principal.

Un caso de uso en el que Nitro Enclaves puede resultar útil es el procesamiento conjunto entre dos procesadores de datos que están separados Regiones de AWS y que podrían no confiar entre sí. La siguiente imagen muestra cómo se puede utilizar un enclave para el procesamiento centralizado, una clave KMS para cifrar los datos personales antes de enviarlos al enclave y una AWS KMS key política que compruebe que el enclave que solicita el descifrado tiene las medidas únicas en su documento de certificación. Para obtener más información e instrucciones, consulte Uso de la atestación criptográfica con. AWS KMS Para ver un ejemplo de política de claves, consulta Exija una certificación para usar una clave AWS KMS esta guía.

Uso de AWS Nitro Enclave para procesar datos cifrados en depósitos S3 en diferentes cuentas

Con esta implementación, solo los procesadores de datos respectivos y el enclave subyacente tienen acceso a los datos personales en texto plano. El único lugar donde están expuestos los datos, fuera del entorno de los respectivos procesadores de datos, es en el propio enclave, que está diseñado para evitar el acceso y la manipulación.

Muchas organizaciones desean limitar la exposición de los datos personales a redes que no son de confianza. Por ejemplo, si desea mejorar la privacidad del diseño general de la arquitectura de la aplicación, puede segmentar las redes en función de la confidencialidad de los datos (de forma similar a la separación lógica y física de los conjuntos de datos que se analiza en la Servicios y características de AWS que ayudan a segmentar los datos sección). AWS PrivateLinkle ayuda a crear conexiones unidireccionales y privadas desde sus nubes privadas virtuales (VPCs) a servicios externos a la VPC. Con AWS PrivateLinkél, puede configurar conexiones privadas dedicadas a los servicios que almacenan o procesan datos personales en su entorno; no es necesario conectarse a puntos finales públicos ni transferir estos datos a través de redes públicas que no sean de confianza. Al habilitar los puntos finales de AWS PrivateLink servicio para los servicios incluidos, no se necesita una pasarela de Internet, un dispositivo NAT, una dirección IP pública, una AWS Direct Connect conexión o una conexión para AWS Site-to-Site VPN comunicarse. Cuando te conectas AWS PrivateLink a un servicio que proporciona acceso a datos personales, puedes usar políticas de puntos finales de VPC y grupos de seguridad para controlar el acceso, de acuerdo con la definición del perímetro de datos de tu organización. Para ver un ejemplo de política de puntos finales de VPC que permite que solo los principios y AWS recursos de IAM de una organización de confianza accedan a un punto final de servicio, consulte Exija ser miembro de una organización para acceder a los recursos de VPC esta guía.

AWS Resource Access Manager

AWS Resource Access Manager (AWS RAM) le ayuda a compartir sus recursos de forma segura Cuentas de AWS para reducir la sobrecarga operativa y ofrecer visibilidad y auditabilidad. Cuando planifique su estrategia de segmentación de varias cuentas, considere la posibilidad de AWS RAM compartir los almacenes de datos personales que almacene en una cuenta separada y aislada. Puedes compartir esos datos personales con otras cuentas de confianza con el fin de procesarlos. En AWS RAM, puedes administrar los permisos que definen qué acciones se pueden realizar en los recursos compartidos. AWS RAM Se ha iniciado sesión en todas las llamadas a la API CloudTrail. Además, puede configurar Amazon CloudWatch Events para que le notifique automáticamente eventos específicos en AWS RAM, por ejemplo, cuando se realicen cambios en un recurso compartido.

Si bien puede compartir muchos tipos de AWS recursos con otros Cuentas de AWS mediante políticas basadas en recursos en IAM o políticas de bucket en Amazon S3, AWS RAM ofrece varios beneficios adicionales en materia de privacidad. AWS proporciona a los propietarios de los datos una visibilidad adicional sobre cómo y con quién se comparten los datos en su Cuentas de AWS empresa, lo que incluye:

  • Poder compartir un recurso con una unidad organizativa completa en lugar de actualizar manualmente las listas de cuentas IDs

  • Hacer cumplir el proceso de invitación para iniciar acciones si la cuenta de consumidor no forma parte de su organización

  • Visibilidad de los directores de IAM específicos que tienen acceso a cada recurso individual

Si ha utilizado anteriormente una política basada en recursos para gestionar un recurso compartido y desea utilizarla en AWS RAM su lugar, utilice la operación de API. PromoteResourceShareCreatedFromPolicy

Amazon SageMaker AI

Amazon SageMaker AI es un servicio de aprendizaje automático (ML) gestionado que le ayuda a crear y entrenar modelos de aprendizaje automático y, a continuación, a implementarlos en un entorno hospedado listo para la producción. SageMaker La IA está diseñada para facilitar la preparación de los datos de entrenamiento y la creación de características de los modelos.

Monitor de modelos Amazon SageMaker AI

Muchas organizaciones consideran la desviación de datos a la hora de entrenar modelos de aprendizaje automático. La desviación de datos es una variación significativa entre los datos de producción y los datos que se utilizaron para entrenar un modelo de aprendizaje automático, o un cambio significativo en los datos de entrada a lo largo del tiempo. La desviación de los datos puede reducir la calidad, la precisión y la imparcialidad generales de las predicciones de los modelos de machine learning. Si la naturaleza estadística de los datos que recibe un modelo de aprendizaje automático durante la producción se aleja de la naturaleza de los datos de referencia en los que se entrenó, la precisión de las predicciones podría disminuir. Amazon SageMaker AI Model Monitor puede monitorear continuamente la calidad de los modelos de aprendizaje automático de Amazon SageMaker AI en producción y monitorear la calidad de los datos. La detección temprana y proactiva de la desviación de datos puede ayudarle a implementar acciones correctivas, como volver a capacitar los modelos, auditar los sistemas iniciales o solucionar problemas de calidad de los datos. Model Monitor puede reducir la necesidad de monitorizar manualmente los modelos o crear herramientas adicionales.

Amazon SageMaker AI Clarify

Amazon SageMaker AI Clarify proporciona información sobre el sesgo y la explicabilidad del modelo. SageMaker AI Clarify se suele utilizar durante la preparación de los datos del modelo de aprendizaje automático y durante la fase general de desarrollo. Los desarrolladores pueden especificar los atributos de interés, como el sexo o la edad, y SageMaker AI Clarify ejecuta un conjunto de algoritmos para detectar cualquier presencia de sesgo en esos atributos. Una vez ejecutado el algoritmo, SageMaker AI Clarify proporciona un informe visual con una descripción de las fuentes y las medidas del posible sesgo para que puedas identificar las medidas necesarias para subsanarlo. Por ejemplo, en un conjunto de datos financieros que contenga solo unos pocos ejemplos de préstamos empresariales concedidos a un grupo de edad en comparación con otros, SageMaker podría detectar desequilibrios para evitar un modelo que desfavorezca a ese grupo de edad. También puede comprobar si los modelos ya entrenados están sesgados revisando sus predicciones y supervisando continuamente esos modelos de aprendizaje automático para detectar sesgos. Por último, SageMaker AI Clarify está integrado con Amazon SageMaker AI Experiments para proporcionar un gráfico que explica qué características contribuyeron más al proceso general de elaboración de predicciones de un modelo. Esta información podría ser útil para obtener resultados de explicabilidad y podría ayudarle a determinar si una entrada determinada del modelo tiene más influencia de la que debería en el comportamiento general del modelo.

Tarjeta SageMaker modelo Amazon

Amazon SageMaker Model Card puede ayudarle a documentar detalles importantes sobre sus modelos de aprendizaje automático con fines de gobernanza y elaboración de informes. Estos detalles pueden incluir el propietario del modelo, el propósito general, los casos de uso previstos, las suposiciones asumidas, la calificación de riesgo de un modelo, los detalles y métricas de la capacitación y los resultados de la evaluación. Para obtener más información, consulte Model Explainability with AWS Artificial Intelligence and Machine Learning Solutions (documentoAWS técnico).

AWS funciones que ayudan a gestionar el ciclo de vida de los datos

Cuando los datos personales ya no sean necesarios, puede utilizar el ciclo de vida y time-to-live las políticas para los datos de muchos almacenes de datos diferentes. Al configurar las políticas de retención de datos, tenga en cuenta las siguientes ubicaciones que podrían contener datos personales:

  • Bases de datos, como Amazon DynamoDB y Amazon Relational Database Service (Amazon RDS)

  • Buckets de Amazon S3

  • Inicia sesión desde y CloudWatch CloudTrail

  • Datos en caché de migraciones en AWS Database Migration Service (AWS DMS) y proyectos AWS Glue DataBrew

  • Copias de seguridad e instantáneas

Las siguientes funciones Servicios de AWS y las siguientes pueden ayudarle a configurar las políticas de retención de datos en sus AWS entornos:

  • Amazon S3 Lifecycle: conjunto de reglas que definen las acciones que Amazon S3 aplica a un grupo de objetos. En la configuración del ciclo de vida de Amazon S3, puede crear acciones de caducidad, que definen cuándo Amazon S3 elimina los objetos caducados en su nombre. Para obtener más información, consulte Administración del ciclo de vida del almacenamiento.

  • Amazon Data Lifecycle Manager: en Amazon EC2, cree una política que automatice la creación, retención y eliminación de las instantáneas de Amazon Elastic Block Store (Amazon EBS) y de las Amazon Machine Images respaldadas por EBS (). AMIs

  • DynamoDB Time to Live (TTL): defina una marca de tiempo por elemento que determine cuándo un elemento ya no es necesario. Poco después de la fecha y hora de la marca de tiempo especificada, DynamoDB elimina el elemento de la tabla.

  • Configuración de retención de CloudWatch registros en los registros: puede ajustar la política de retención de cada grupo de registros a un valor comprendido entre 1 día y 10 años.

  • AWS Backup— Implemente políticas de protección de datos de forma centralizada para configurar, administrar y gobernar su actividad de respaldo en una variedad de AWS recursos, incluidos los buckets S3, las instancias de bases de datos de RDS, las tablas de DynamoDB, los volúmenes de EBS y muchos más. Aplique políticas de respaldo a sus AWS recursos especificando los tipos de recursos o proporcionando una granularidad adicional al aplicarlas en función de las etiquetas de recursos existentes. Audite e informe sobre la actividad de respaldo desde una consola centralizada para cumplir con los requisitos de cumplimiento de las normas de respaldo.

Servicios y características de AWS que ayudan a segmentar los datos

La segmentación de datos es el proceso mediante el cual se almacenan los datos en contenedores separados. Esto puede ayudarle a proporcionar medidas de seguridad y autenticación diferenciadas para cada conjunto de datos y a reducir el alcance del impacto de la exposición en todo el conjunto de datos. Por ejemplo, en lugar de almacenar todos los datos de los clientes en una base de datos grande, puede segmentar estos datos en grupos más pequeños y fáciles de administrar.

Puede utilizar la separación física y lógica para segmentar los datos personales:

  • Separación física: el acto de almacenar los datos en almacenes de datos separados o de distribuirlos en AWS recursos separados. Si bien los datos están separados físicamente, es posible que los mismos directores puedan acceder a ambos recursos. Por eso recomendamos combinar la separación física con la separación lógica.

  • Separación lógica: acto de aislar los datos mediante controles de acceso. Las diferentes funciones laborales requieren diferentes niveles de acceso a subconjuntos de datos personales. Para ver un ejemplo de política que implementa la separación lógica, consulte Otorgue acceso a atributos específicos de Amazon DynamoDB esta guía.

La combinación de una separación lógica y física proporciona flexibilidad, simplicidad y granularidad a la hora de redactar políticas basadas en la identidad y en los recursos para respaldar el acceso diferenciado entre las distintas funciones laborales. Por ejemplo, puede resultar complejo desde el punto de vista operativo crear políticas que separen de forma lógica las diferentes clasificaciones de datos en un único depósito de S3. El uso de depósitos de S3 dedicados para cada clasificación de datos simplifica la configuración y la administración de las políticas.