使用 Amazon S3 Object Lambda 访问点获取个人身份信息 (PII) - Amazon Comprehend

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon S3 Object Lambda 访问点获取个人身份信息 (PII)

使用 Amazon S3 对象 Lambda 访问点获取个人身份信息 (PII),以配置如何从您的 Amazon S3 存储桶中检索文档。您可以控制对包含 PII 的文档的访问权限,并编辑文档中的 PII。有关 Amazon Comprehend 如何检测您文档中的 PII 的更多信息,请参阅PII. Amazon S3 Object Lambda 访问AWS Lambda函数自动转换标准 Amazon S3 GET 请求的输出。有关更多信息,请参阅使用 S3 Object Lambda 转换对象中的Amazon Simple Service.

当您为 PII 创建 Amazon S3 对象 Lambda 接入点时,将使用 Amazon Comprehend Lambda 函数来处理文档,以控制对包含 PII 的文档的访问并编辑文档中的 PII。

当您为 PII 创建 Amazon S3 对象 Lambda 接入点时,将使用以下Amazon Comprehend Lambda 函数处理文档:

  • ComprehendPiiAccessControlS3ObjectLambda-控制对存储在 S3 存储桶中的 PII,控制对文档的访问。有关此 Lambda 函数的信息,请登录AWS Management Console查看ComprehendPiiAccessControlS3ObjectLambda中的函数AWS Serverless Application Repository.

  • ComprehendPiiRedactionS3ObjectLambda-从 Amazon S3 存储桶中的文档编辑个人身份信息。有关此 Lambda 函数的信息,请登录AWS Management Console查看ComprehendPiiRedactionS3ObjectLambda中的函数AWS Serverless Application Repository.

有关如何从部署Serverless Application RepositoryAWS Serverless Application Repository请参阅部署应用程序中的AWS Serverless Application Repository licat.

控制对具有个人身份信息(PII)的文档的访问

您可以使用 Amazon S3 对象 Lambda 访问点来控制对包含个人身份信息 (PII) 的文档的访问。

要确保只有获得授权的用户才能访问包含存储在您的 Amazon S3 存储桶中的 PII 的文档,您可以使用ComprehendPiiAccessControlS3ObjectLambdafunction. 此 Lambda 函数使用ContainsPiiEntities在处理针对文档对象的标准 Amazon S3 GET 请求时执行的操作。

例如,如果您的 S3 存储桶中具有包含 PII(如信用卡号或银行账户信息)的 S3 存储桶中具有包含 PII,则可以将ComprehendPiiAccessControlS3ObjectLambda函数来检测这些 PII 实体类型并限制未经授权的用户访问。有关支持的 PII 实体类型的更多信息,请参阅PII 通用实体类型.

有关此 Lambda 函数的信息,请登录AWS Management Console查看ComprehendPiiAccessControlS3ObjectLambda中的函数AWS Serverless Application Repository.

创建 Amazon S3 对象 Lambda 访问点以控制对文档的访问

以下示例创建了一个Amazon S3 Object Lambda 访问点,用于控制对包含社会安全号码的文档的访问。

使用创建 Amazon S3 Object Lambda 访问点AWS Command Line Interface

创建 Amazon S3 对象 Lambda 接入点配置并将该配置保存在名为的文件中config.json.

{ "SupportingAccessPoint": "s3-default-access-point-name-arn", "TransformationConfigurations": [ { "Actions": [ "s3:GetObject" ], "ContentTransformation": { "AwsLambda": { "FunctionArn": "comprehend-pii-access-control-s3-object-lambda-arn", "FunctionPayload": "{\"pii_entities_types\": \"SSN\"}" } } } ] }

以下示例根据中定义的配置创建 Amazon S3 Object Lambda 访问点config.json文件。

此示例的格式适用于 Unix、Linux 和 macOS。对于 Windows,请将每行末尾的反斜杠 (\) Unix 行继续符替换为脱字号 (^)。

aws s3control create-banner-access-point \ --region region \ --account-id account-id \ --name s3-object-lambda-access-point \ --configuration file://config.json

调用 Amazon S3 对象 Lambda 访问点来控制对文档的访问

以下示例调用 Amazon S3 对象 Lambda 访问点来控制对文档的访问。

使用调用 Amazon S3 Object Lambda 访问点AWS Command Line Interface

以下示例使用调用 Amazon S3 Object Lambda 访问点AWS CLI.

此示例的格式适用于 Unix、Linux 和 macOS。对于 Windows,请将每行末尾的反斜杠 (\) Unix 行继续符替换为脱字号 (^)。

aws s3api get-object \ --region region \ --bucket s3-object-lambda-access-point-name-arn \ --key object-prefix-key output-file-name

从文档中删除个人身份信息 (PII)

您可以使用 Amazon S3 对象 Lambda 访问点从文档中编辑个人身份信息 (PII)。

从 S3 存储桶中存储在 S3 存储桶中的文档中对 PII 实体类型进行了编辑,请使用ComprehendPiiRedactionS3ObjectLambdafunction. 此 Lambda 函数使用ContainsPiiEntitiesDetectPiiEntities在处理针对文档对象的标准 Amazon S3 GET 请求时执行的操作。

例如,如果 S3 存储桶中的文档包含 PII(例如信用卡号或银行账户信息),则可以配置ComprehendPiiRedactionS3ObjectLambda函数来检测 PII,然后返回这些文档的副本,其中 PII 实体类型已编辑。有关支持的 PII 实体类型的更多信息,请参阅PII 通用实体类型.

有关此 Lambda 函数的信息,请登录AWS Management Console查看ComprehendPiiRedactionS3ObjectLambda中的函数AWS Serverless Application Repository.

创建 Amazon S3 对象 Lambda 访问点以编辑文档中的个人身份信息

以下示例创建了一个Amazon S3 Object Lambda 访问点,用于从文档中撤消信用卡号。

使用创建 Amazon S3 Object Lambda 访问点AWS Command Line Interface

创建 Amazon S3 对象 Lambda 接入点配置并将该配置保存在名为的文件中config.json.

{ "SupportingAccessPoint": "s3-default-access-point-name-arn", "TransformationConfigurations": [ { "Actions": [ "s3:GetObject" ], "ContentTransformation": { "AwsLambda": { "FunctionArn": "comprehend-pii-redaction-s3-object-lambda-arn", "FunctionPayload": "{\"pii_entities_types\": \"CREDIT_DEBIT_NUMBER\"}" } } } ] }

以下示例演示如何根据中定义的配置创建 Amazon S3 对象 Lambda 接入点config.json

此示例的格式适用于 Unix、Linux 和 macOS。对于 Windows,请将每行末尾的反斜杠 (\) Unix 行继续符替换为脱字号 (^)。

aws s3control create-access-point-for-object-lambda \ --region region \ --account-id account-id \ --name s3-object-lambda-access-point \ --configuration file://config.json

调用 Amazon S3 对象 Lambda 访问点从文档中编辑个人身份信息

以下示例调用 Amazon S3 对象 Lambda 访问点来编辑文档中的个人身份信息。

使用调用 Amazon S3 Object Lambda 访问点AWS Command Line Interface

以下示例使用调用 Amazon S3 Object Lambda 访问点AWS CLI.

此示例的格式适用于 Unix、Linux 和 macOS。对于 Windows,请将每行末尾的反斜杠 (\) Unix 行继续符替换为脱字号 (^)。

aws s3api get-object \ --region region \ --bucket s3-object-lambda-access-point-name-arn \ --key object-prefix-key output-file-name