本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
加密计算 Clean Rooms (C3R) 是一种除了分析 AWS Clean Rooms规则之外还可以使用的功能。借助 C3R,组织可以将敏感数据整合在一起,从数据分析中获得新的见解,同时以加密方式限制任何一方在流程中可以了解到的信息。C3R 可供想要协作处理其敏感数据但只需要在云中使用加密数据的两方或多方使用。
C3R 加密客户端是一种客户端加密工具,您可以使用它来加密数据以供使用。 AWS Clean Rooms使用 C3R 加密客户端时,数据在协作中使用时仍会受到加密保护。 AWS Clean Rooms 与常规 AWS Clean Rooms 协作一样,输入数据是关系数据库表,计算以 SQL 查询表示。但是,C3R 仅支持对加密数据的有限 SQL 查询子集。
具体而言,C3R 支持 SQL JOIN 以及 SELECT 关于受加密保护的数据的声明。输入表中的每列只能用于以下 SQL 语句类型之一:
-
受加密保护的列,可用于 JOIN 语句被称为 fingerprint 列。
-
受加密保护的列,可用于 SELECT 语句被称为 sealed 列。
-
未受加密保护的列,无法用于 JOIN 或 SELECT 语句被称为 cleartext 列。
在某些情况下,GROUP BY 支持语句 fingerprint 列。有关更多信息,请参阅 Fingerprint 列。目前,C3R 不支持在加密数据上使用其他 SQL 结构,例如 WHERE 子句或聚合函数,比如 SUM 以及 AVERAGE, 即使相关分析规则允许这样做.
C3R 旨在保护表中各个单元格中的数据。使用 C3R 的默认配置,当内容在 AWS Clean Rooms中使用时,客户通过协作向第三方提供的底层数据将保持加密。C3R 对所有人使用行业标准 AES-GCM 加密 sealed 列和行业标准的伪随机函数,称为基于哈希的消息身份验证码 (HMAC),用于保护 fingerprint 列。
尽管 C3R 会对表中的数据进行加密,但仍可以推断出以下信息:
-
有关表本身的信息,包括表中的列数、列名和行数。
-
与大多数标准加密形式一样,C3R 不会尝试隐藏加密值的长度。C3R 确实提供了填充加密值以隐藏明文确切长度的功能。但是,仍然可以向另一方揭示每列明文长度的上限。
-
日志级别的信息,例如何时将特定行添加到加密的 C3R 表中。
有关 C3R 的更多信息,请参阅以下主题。
主题
