什麼是 AWS Clean Rooms？

AWS Clean Rooms 協助您和您的合作夥伴分析您的集體資料集並共同作業，以獲得新的見解，而不會彼此透露基礎資料。您可以使用 AWS Clean Rooms一個安全的協作工作區，在幾分鐘內建立自己的潔淨室，只需幾個步驟即可開始分析您的集體資料集。您可以選擇要與之共同作業的合作夥伴、選取他們的資料集，以及為參與者設定限制。

使用 AWS Clean Rooms，您可以與已經在使用的數千家公司進行協作 AWS。共同作業不需要將資料移出 AWS 或載入其他平台。當您執行查詢時，會從其原始位置 AWS Clean Rooms 讀取資料，並套用內建的分析規則，協助您維持對其資料的控制權。

AWS Clean Rooms 提供您可以設定的內建資料存取控制和稽核支援控制。這些控制項包括：

• 用於限制 SQL 查詢並提供輸出限制的分析規則

• 加密計算，即Clean Rooms使在處理查詢時也能保持數據加密，以遵守嚴格的數據處理政策

• 查詢記錄以檢閱查詢並協助支援稽核

• 微分隱私，以防止用戶識別嘗試。 AWS Clean Rooms 差分隱私是一項完全管理的功能，透過數學支援的技術和直覺式控制項，只要按幾下滑鼠即可套用，保護使用者隱私。

• AWS Clean Rooms ML 允許雙方在他們的數據中識別相似的用戶，而無需彼此共享他們的數據。第一方從訓練資料建立並設定相似模型。第二方將其種子資料帶入共同作業，並建立類似於訓練資料的相似區段。

下面的視頻解釋了更多關於 AWS Clean Rooms.

您是第一次 AWS Clean Rooms 使用嗎？

如果您是第一次使用的使用者 AWS Clean Rooms，建議您先閱讀下列章節：

• 如何 AWS Clean Rooms 工作

• 存取 AWS Clean Rooms

• 設定 AWS Clean Rooms

• AWS Clean Rooms 詞彙表

如何 AWS Clean Rooms 工作

下列工作流程假設：

• 協作成員已將其資料表上傳到 Amazon S3，並建立了一個資料 AWS Glue 表。

• (選擇性) 僅針對加密資料表，協同作業成員已使用 C3R 加密用戶端準備加密資料表。

總而言之，的工作 AWS Clean Rooms 流程如下：

1. 協同合作建立者會執行下列任務：

   • 建立協同合作。

   • 邀請一個或多個成員加入協同合作。

   • 指定能力給成員，例如可以查詢的成員以及可以接收結果的成員。

     如果協同合作建立者也是可以接收結果的成員，則他們會指定查詢結果目的地和格式。他們還提供服務角色 Amazon 資源名稱 (ARN)，將結果寫入查詢結果目的地。

   • 設定負責在協同作業中支付查詢運算成本的成員。

2. 受邀的成員透過建立成員資源來加入協同合作。

   如果受邀的成員是可以接收結果的成員，則他們會指定查詢結果目的地和格式。它們也提供服務角色 ARN，以寫入查詢結果目的地。

   如果受邀成員是負責支付查詢運算費用的成員，則他們在加入協同合作之前接受其付款責任。

3. 成員會設定現有的 AWS Glue 表格，以便在中使用。 AWS Clean Rooms(除非使用密碼編譯運算，否則您可以在加入協同作業之前或之後完成此步驟Clean Rooms。)

   注意

   AWS Clean Rooms 支持 AWS Glue 表。如需取得資料的詳細資訊 AWS Glue，請參閱步驟 3：將您的資料表上傳到 Amazon S3。

   1. 成員會命名已配置的表格，並選擇要在協同合作中使用哪些欄。

   2. 成員將下列其中一個分析規則配置為已配置的表格：

      • 彙總分析規則或清單分析規則 — 控制可在表格上執行的分析類型。

      • 自訂分析規則 — 允許一組特定的預先核准查詢或可提供使用您資料之查詢的特定帳戶集。允許成員開啟差異隱私，以防止使用者識別嘗試。

      注意

      成員可以在將其已配置的表格與協同合作產生關聯之前，隨時配置分析規則。

4. 成員會將其已配置的表格與協同合作產生關聯，並 AWS Clean Rooms 提供服務角色以存取其 AWS Glue 表格。

   注意

   此服務角色具有資料表的權限。只有代表可以查詢的成員執行 AWS Clean Rooms 允許的查詢，才能確定服務角色。任何協同作業成員 (資料擁有者除外) 都無法存取協同合作中的基礎資料表。資料擁有者可以開啟差異隱私權，使其資料表可供其他成員查詢。

5. 可以查詢的成員會在已設定的資料表上執行 SQL 查詢。

   只有在負責支付查詢計算成本的成員已加入協同作業為作用中成員時，才能執行查詢。

   系統會自動強制執行分析規則和輸出限制。 AWS Clean Rooms 僅傳回符合步驟 3.b 中定義的分析規則的結果。

   對於有關加密數據的查詢，可以接收結果的成員必須從中接收加密 AWS Clean Rooms 的輸出進行解密（請參閱步驟 8）。

6. 可以收到結果的成員會在他們指定的 AWS Clean Rooms 主控台或 Amazon S3 儲存貯體中檢閱結果。

7. 支付查詢運算費用的成員會針對在協同合作中執行的查詢收費。

8. (選擇性) 僅針對加密資料表，可接收結果的成員會以解密模式執行 C3R 加密用戶端來解密查詢結果。

相關服務

以下 AWS 服務 是與之相關的 AWS Clean Rooms：

• Amazon Simple Storage Service (Amazon S3)

  協同合作成員可以存放他們 AWS Clean Rooms 在 Amazon S3 中引入的資料。

  如需詳細資訊，請參閱下列主題：

  準備查詢的資料表 AWS Clean Rooms

  什麼是 Amazon S3？ 在 Amazon 簡單存儲服務用戶指南

• AWS Glue

  協同合作成員可以從 Amazon S3 中的資料建立 AWS Glue 表格，以便在中使用 AWS Clean Rooms。

  如需詳細資訊，請參閱下列主題：

  準備查詢的資料表 AWS Clean Rooms

  《AWS Glue 開發人員指南》中的什麼是 AWS Glue？

• AWS CloudFormation

  在中建立下列資源 AWS CloudFormation：協同作業、已設定的表格、已設定的表格關聯以及成員資格

  如需詳細資訊，請參閱 建立 AWS Clean Rooms 資源 AWS CloudFormation。

• AWS CloudTrail

  AWS Clean Rooms 搭配 CloudTrail 記錄使用可增強您對 AWS 服務 活動的分析。

  如需詳細資訊，請參閱 使用 AWS CloudTrail 記錄 AWS Clean Rooms API 呼叫。

存取 AWS Clean Rooms

您可以通 AWS Clean Rooms 過以下選項訪問：

• 直接通過 AWS Clean Rooms 控制台 https://console.aws.amazon.com/cleanrooms/.

• 以編程方式通過 AWS Clean Rooms API。如需詳細資訊，請參閱 AWS Clean Rooms API 參考。

定價 AWS Clean Rooms

如需定價資訊，請參閱 AWS Clean Rooms 定價。

帳單 AWS Clean Rooms

AWS Clean Rooms 讓共同作業建立者能夠設定要支付共同作業中查詢運算成本的成員。

在大多數情況下，可以查詢的成員和支付查詢計算費用的成員是相同的。但是，如果可以查詢的成員和支付查詢運算成本的成員不同，則當可以查詢的成員針對自己的成員資格資源執行查詢時，會向支付查詢計算費用的成員資格資源計費。

支付查詢計算費用的成員不會在其事件歷史記錄中看到執行查詢的任何 CloudTrail 事件，因為付款人既不是執行查詢的人，也不是執行查詢的資源擁有者。不過，付款人確實會看見其成員資格資源上所產生的帳單，以查看可在協同作業中執行查詢的成員所執行的所有查詢。

如需如何建立協同作業及設定支付查詢計算成本的成員的詳細資訊，請參閱建立協同合作。