使用 Amazon S3 对象 Lambda 接入点获取个人身份信息 (PII) - Amazon Comprehend
控制对包含 PII 的文档的访问权限编辑文档中的 PII

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon S3 对象 Lambda 接入点获取个人身份信息 (PII)

使用 Amazon S3 对象 Lambda 接入点来配置从您的 Amazon S3 存储桶中检索包含个人身份信息 (PII) 的文档。您可以控制对包含 PII 的文档的访问权限,并编辑文档中的 PII。有关 Amazon Comprehend 如何检测文档中的 PII 的更多信息,请参阅 检测 PII 实体。Amazon S3 对象 Lambda 接入点使用 AWS Lambda 函数自动转换标准 Amazon S3 GET 请求的输出。有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的使用 S3 对象 Lambda 转换对象

当您为 PII 创建 Amazon S3 对象 Lambda 接入点时,将使用 Amazon Comprehend Lambda 函数处理文档,以控制对包含 PII 的文档的访问权限并从文档中编辑 PII。

当您为 PII 创建 Amazon S3 对象 Lambda 接入点时,使用以下 Amazon Comprehend Lambda 函数处理文档:

  • ComprehendPiiAccessControlS3ObjectLambda:控制对 S3 存储桶中存储有 PII 的文档的访问。有关此 Lambda 函数的更多信息,请登录查看中的 ComprehendPiiAccessControlS3 ObjectLambda 函数。AWS Management Console AWS Serverless Application Repository

  • ComprehendPiiRedactionS3ObjectLambda:编辑您的 Amazon S3 存储桶中的文档中的 PII。有关此 Lambda 函数的更多信息,请登录查看中的 ComprehendPiiRedactionS3 ObjectLambda 函数。AWS Management Console AWS Serverless Application Repository

有关如何从 AWS Serverless Application Repository 部署无服务器应用程序的信息,请参阅《AWS 无服务器应用程序开发人员指南》中的部署应用程序

控制对包含个人身份信息 (PII) 的文档的访问权限

您可以使用 Amazon S3 对象 Lambda 接入点来控制对包含个人身份信息 (PII) 的文档的访问权限。

为确保只有经过授权的用户才能访问存储在您的 Amazon S3 存储桶中的包含 PII 的文档,您可以使用 ComprehendPiiAccessControlS3ObjectLambda 函数。此 Lambda 函数在处理针对文档对象的标准 Amazon S3 GET 请求时使用该ContainsPiiEntities操作。

例如,如果您的 S3 存储桶中的文档包含 PII(如信用卡号或银行账户信息),则您可以配置 ComprehendPiiAccessControlS3ObjectLambda 函数检测这些 PII 实体类型并限制未授权用户进行访问。有关支持的 PII 实体类型的更多信息,请参阅 PII 通用实体类型

有关此 Lambda 函数的更多信息,请登录查看中的 ComprehendPiiAccessControlS3 ObjectLambda 函数。AWS Management Console AWS Serverless Application Repository

创建 Amazon S3 对象 Lambda 接入点以控制对文档的访问权限

以下示例创建 Amazon S3 对象 Lambda 接入点以控制对包含社会保险号码的文档的访问权限。

使用 AWS Command Line Interface 创建 Amazon S3 对象 Lambda 接入点

创建 Amazon S3 对象 Lambda 接入点配置并将该配置保存在名为 config.json 的文件中。

{
    "SupportingAccessPoint": "s3-default-access-point-name-arn",
    "TransformationConfigurations": [
        {
            "Actions": [
                "s3:GetObject"
            ],
            "ContentTransformation": {
                "AwsLambda": {
                    "FunctionArn": "comprehend-pii-access-control-s3-object-lambda-arn",
                    "FunctionPayload": "{\"pii_entities_types\": \"SSN\"}"
                }
            }
        }
    ]
}

以下示例根据 config.json 文件中定义的配置创建 Amazon S3 对象 Lambda 接入点。

此示例的格式适用于 Unix、Linux 和 macOS。对于 Windows,请将每行末尾的反斜杠 (\) Unix 行继续符替换为脱字号 (^)。

aws s3control create-banner-access-point \     
    --region region \
    --account-id account-id \
    --name s3-object-lambda-access-point \
    --configuration file://config.json

调用 Amazon S3 对象 Lambda 接入点来控制对文档的访问权限

以下示例调用 Amazon S3 对象 Lambda 接入点来控制对文档的访问权限

使用 AWS Command Line Interface 调用 Amazon S3 对象 Lambda 接入点

以下示例使用 AWS CLI 调用 Amazon S3 对象 Lambda 接入点。

此示例的格式适用于 Unix、Linux 和 macOS。对于 Windows,请将每行末尾的反斜杠 (\) Unix 行继续符替换为脱字号 (^)。

aws s3api get-object \
    --region region \
    --bucket s3-object-lambda-access-point-name-arn \
    --key object-prefix-key output-file-name

编辑文档中的个人身份信息 (PII)

您可以使用 Amazon S3 对象 Lambda 接入点来编辑文档中的个人身份信息 (PII)。

要编辑存储在 S3 存储桶中的文档中的 PII 实体类型,请使用函数 ComprehendPiiRedactionS3ObjectLambda。此 Lambda 函数在处理针对文档对象的标准 Amazon S3 GET 请求时使用ContainsPiiEntitiesDetectPiiEntities操作。

例如,如果您的 S3 存储桶中的文档包含 PII(如信用卡号或银行账户信息),则您可以配置 ComprehendPiiRedactionS3ObjectLambda 函数来检测 PII,然后返回这些文档的副本,其中的 PII 实体类型已被编辑。有关支持的 PII 实体类型的更多信息,请参阅 PII 通用实体类型

有关此 Lambda 函数的更多信息,请登录查看中的 ComprehendPiiRedactionS3 ObjectLambda 函数。AWS Management Console AWS Serverless Application Repository

创建 Amazon S3 对象 Lambda 接入点以编辑文档中的 PII

以下示例创建 Amazon S3 对象 Lambda 接入点,用于编辑文档中的信用卡号。

使用 AWS Command Line Interface 创建 Amazon S3 对象 Lambda 接入点

创建 Amazon S3 对象 Lambda 接入点配置,并将配置保存到名为 config.json 的文件中。

{
    "SupportingAccessPoint": "s3-default-access-point-name-arn",
    "TransformationConfigurations": [
        {
            "Actions": [
                "s3:GetObject"
            ],
            "ContentTransformation": {
                "AwsLambda": {
                    "FunctionArn": "comprehend-pii-redaction-s3-object-lambda-arn",
                    "FunctionPayload": "{\"pii_entities_types\": \"CREDIT_DEBIT_NUMBER\"}"
                }
            }
        }
    ]
}

以下示例根据 config.json 中定义的配置创建 Amazon S3 对象 Lambda 接入点。

此示例的格式适用于 Unix、Linux 和 macOS。对于 Windows,请将每行末尾的反斜杠 (\) Unix 行继续符替换为脱字号 (^)。

aws s3control create-access-point-for-object-lambda \     
    --region region \
    --account-id account-id \
    --name s3-object-lambda-access-point \
    --configuration file://config.json

调用 Amazon S3 对象 Lambda 接入点来编辑文档中的 PII

以下示例调用了 Amazon S3 对象 Lambda 接入点来编辑文档中的 PII

使用 AWS Command Line Interface 调用 Amazon S3 对象 Lambda 接入点

以下示例使用 AWS CLI 调用 Amazon S3 对象 Lambda 接入点。

此示例的格式适用于 Unix、Linux 和 macOS。对于 Windows,请将每行末尾的反斜杠 (\) Unix 行继续符替换为脱字号 (^)。

aws s3api get-object \
    --region region \
    --bucket s3-object-lambda-access-point-name-arn \
    --key object-prefix-key output-file-name