本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
處理敏感資料
一般而言,敏感資料包含 PII 或機密資訊,基於法規遵循或法律原因而必須加以保護。如果僅在列或欄層級需要加密,建議您使用 landing zone 域圖層。這是部分敏感的數據。
不過,如果整個資料集都是敏感資料,建議使用 Amazon Storage Service (Amazon S3) 儲存貯體中的資料。這是高度敏感的資料。每個資料層都必須使用這些單獨的 S3 儲存貯體,而且儲存貯體的名稱中應包含「敏感」。建議您使用 AWS Key Management Service(AWS KMS) 使用用戶端加密來加密敏感值區。您也必須使用用戶端加密來加密轉換資料的AWS Glue工作。
使用 landing zone 域遮罩敏感資料
您可以將 landing zone 域圖層用於部分敏感的資料集 (例如,如果僅在列或欄層級需要加密)。此資料會擷取到著陸區域的 S3 儲存貯體,然後被遮罩。資料被遮罩後,資料會使用 Amazon S3 受管金鑰 (SSE-S3) 的伺服器端加密。如果需要,您可以在物件層級標記資料。
任何已被遮罩的資料都可以略過 landing zone 域,並直接導入原始層的 S3 儲存貯體。階段中有兩個存取層級,對於部分敏感資料集而言,分析層級有兩個層級;一個層級擁有所有資料的完整存取權,而另一個層級則只能存取非機密資料列和資料行。
下圖顯示了一個資料湖,其中部分敏感的資料集使用 landing zone 來遮罩敏感資料,但高度敏感的資料集則使用個別的加密 S3 儲存貯體。使用限制性 IAM 和 S3 儲存貯體政策隔離 landing zone,而加密儲存貯體則使用用戶端加密與AWS KMS.
圖表:
-
高度敏感的資料會傳送到原始資料層中的加密 S3 儲存貯體。
-
AWS Glue工作會驗證資料並將其轉換為使用就緒格式,然後將檔案放入階段層的加密 S3 儲存貯體中。
-
任務會AWS Glue根據業務需求彙總資料,並將資料放入分析層中的加密 S3 儲存貯體。
-
部分敏感資料會傳送至 landing zone 值區。
-
機密資料列和欄會遭到遮罩,然後將資料傳送至原始層中的 S3 儲存貯體。
-
非敏感資料會直接傳送至原始層中的 S3 儲存貯體。
-
AWS Glue工作會驗證資料並將其轉換為耗用就緒格式,並將檔案放入階段層的 S3 儲存貯體中。
-
AWS Glue任務會根據組織的需求彙總資料,並將資料放入分析層中的 S3 儲存貯體。
