中的資料協作最佳實務 AWS Clean Rooms

本主題描述在 中進行資料協作的最佳實務 AWS Clean Rooms。

AWS Clean Rooms 會遵循 AWS Shared Responsibility Model . AWS Clean Rooms offers 分析規則，您可以設定這些規則來增強您在協同作業中保護敏感資料的能力。您在 中設定的分析規則 AWS Clean Rooms 將強制執行您已設定的限制 （查詢控制項和查詢輸出控制項）。您需負責判斷限制並相應地設定分析規則。

資料協作可能不僅涉及您使用 AWS Clean Rooms。為了協助您最大限度地發揮資料協作的優勢，我們建議您使用 執行下列最佳實務 AWS Clean Rooms ，特別是分析規則。

最佳實務搭配 AWS Clean Rooms

您有責任評估每個資料協作的風險，並將其與您的隱私權要求進行比較，例如外部和內部合規計畫和政策。建議您使用 採取其他動作 AWS Clean Rooms。這些動作可能有助於進一步管理風險，並協助防止第三方嘗試重新識別您的資料 （例如差異化攻擊或側通道攻擊）。

例如，考慮對您的其他協作方進行盡職調查，並在參與協作之前與他們簽訂法律協議。若要監控資料的使用，也請考慮使用 來採用其他稽核機制 AWS Clean Rooms。

在 中使用分析規則的最佳實務 AWS Clean Rooms

中的分析規則 AWS Clean Rooms 可讓您透過在已設定的資料表上設定查詢控制項來限制可執行的查詢。例如，您可以設定查詢控制項，以了解如何加入設定的資料表，以及可以選擇哪些資料欄。您也可以透過設定查詢結果控制項來限制查詢輸出，例如輸出資料列上的彙總閾值。服務會拒絕任何查詢，並移除不符合查詢中成員所設定資料表之分析規則的列。

我們建議您在已設定的資料表上使用下列 10 個最佳實務：

• 為個別查詢使用案例建立個別設定的資料表 （例如，受眾規劃或屬性）。您可以使用相同的基礎資料表建立多個已設定 AWS Glue 資料表。

• 指定分析規則中的資料欄 （例如維度資料欄、列出資料欄、聯結資料欄），這些資料欄對於協同作業中的查詢是必要的。這可能有助於降低差異化攻擊的風險，或讓其他成員還原工程您的資料。使用允許清單資料欄功能，記下您可能希望在未來查詢的其他資料欄。若要自訂可用於特定協同作業的資料欄，請使用相同的基礎資料表建立其他設定的 AWS Glue 資料表。

• 在分析規則中指定在協同作業中分析所需的函數。這有助於緩解罕見函數錯誤的風險，這些錯誤可能會呈現個別資料點的資訊。若要自訂可用於特定協同作業的函數，請使用相同的基礎 AWS Glue 資料表建立其他設定的資料表。

• 在資料列層級值敏感的任何資料欄上新增彙總限制。這包括您設定資料表中的資料欄，這些資料欄也存在於其他協同合作成員的資料表和分析規則中，作為彙總限制條件。這也包括您設定資料表中不可查詢的資料欄，也就是說，在您設定資料表中但不在分析規則中的資料欄。彙總限制有助於緩解將查詢結果與協同作業外的資料建立關聯的風險。

• 建立測試協作和分析規則，以測試使用指定分析規則建立的限制。

• 在設定的資料表上檢閱協作者設定的資料表和成員的分析規則，檢查它們是否符合協作商定的內容。這有助於降低其他成員自行設計資料以執行未同意的查詢的風險。

• 在您設定分析規則之後，檢閱在已設定資料表上啟用的範例查詢 （僅限主控台）。

  注意

  除了提供的範例查詢之外，也可以根據分析規則和其他協同合作成員資料表和分析規則進行其他查詢。

• 您可以為協同合作中設定的資料表新增或更新分析規則。執行此操作時，請檢閱已設定資料表相關聯的所有協同作業及其產生的影響。這有助於確保沒有任何協同作業使用過時的分析規則。

• 檢閱協同作業中執行的查詢，檢查查詢是否符合協同作業商定的使用案例或查詢。（開啟查詢記錄功能時，查詢可在查詢日誌中使用。） 這有助於緩解執行未達成共識之分析的成員風險，以及潛在攻擊，例如側頻道攻擊。

• 檢閱協同作業成員分析規則和查詢中使用的已設定資料表資料欄，以檢查它們是否符合協同作業中商定的內容。（開啟此功能時，查詢可在查詢日誌中使用。） 這有助於降低其他成員自行設計資料以執行未同意之查詢的風險。