ステップ 8: データ暗号化を確認する - AWS Clean Rooms

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 8: データ暗号化を確認する

データが暗号化されていることを確認するには

  1. 暗号化されたデータファイル (sales-output.csv など) を表示します。

  2. 以下の列を確認します。

    1. 1 – 暗号化済み (username_fingerprint など)。

      fingerprint 列 (HMAC) の場合、バージョンとタイプのプレフィックス (例: 01:hmac:) の後に、base64 でエンコードされたデータが 44 文字あります。

    2. 2 – 暗号化されていません (purchased など)。

    3. 3 – 暗号化済み (product_sealed など)。

      暗号化された (SELECT) 列では、バージョンとタイプのプレフィックス (01:enc: など) の後に続く、cleartextに任意のパディングを加えた長さは、暗号化されたcleartextの長さに正比例します。つまりこの長さは、入力データのサイズにエンコーディングによる約 33% のオーバーヘッドを加えたものです。

これで次の作業に進むことができます。

  1. 暗号化されたデータを S3 にアップロードする

  2. AWS Glue テーブル を作成します

  3. AWS Clean Roomsで設定済みテーブルを作成する

C3R 暗号化クライアントは、暗号化されていないデータを含まない一時ファイルを作成します (最終出力でそのデータも暗号化されない場合を除く)。ただし、暗号化された値の中には、正しくパディングされていないものもあります。allowRepeatedFingerprintValue のコラボレーション設定が false であっても、フィンガープリント列に重複する値が含まれる場合があります。この問題は、適切なパディング長と重複削除のプロパティがチェックされる前に一時ファイルが書き込まれることが原因で発生します。

暗号化中に C3R 暗号化クライアントに障害や中断が発生すると、一時ファイルを書き込んだ後、これらのプロパティを確認して一時ファイルを削除する前に、C3R 暗号化クライアントが停止することがあります。そのため、こうした一時ファイルがまだディスク上に残っている可能性があります。このような場合、こうしたファイル内のコンテンツでは、プレーンテキストデータが出力と同じレベルで保護されることはありません。特に、このような一時ファイルに対して、最終出力では効果がない統計分析が実行されることで、プレーンテキストデータが明らかになる可能性があります。こうしたファイルが権限のない人の手に渡らないように、ユーザーはこれらのファイル (特に SQLite データベース) を削除する必要があります。