Limites de la confidentialité AWS Clean Rooms différentielle - AWS Clean Rooms

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Limites de la confidentialité AWS Clean Rooms différentielle

AWS Clean Rooms La confidentialité différentielle ne permet pas de résoudre les situations suivantes :

  1. AWS Clean Rooms La confidentialité différentielle prend uniquement en charge les requêtes utilisant des tables basées sur Amazon S3. AWS Glue Il ne prend pas en charge les requêtes avec les tables Snowflake ou Amazon Athena.

  2. AWS Clean Rooms La confidentialité différentielle ne permet pas de lutter contre les attaques temporelles. Par exemple, ces attaques sont possibles dans les scénarios où un utilisateur individuel fournit un grand nombre de lignes et où l'ajout ou la suppression de cet utilisateur modifie de manière significative le temps de calcul de la requête.

  3. AWS Clean Rooms La confidentialité différentielle ne garantit pas une confidentialité différentielle lorsqu'une requête SQL peut entraîner un débordement ou des erreurs de diffusion non valides au moment de l'exécution en raison de l'utilisation de certaines constructions SQL.

    Le tableau suivant répertorie certaines constructions SQL, mais pas toutes, susceptibles de générer des erreurs d'exécution et qui doivent être vérifiées dans les modèles d'analyse. Nous vous recommandons d'approuver les modèles d'analyse qui minimisent les risques de telles erreurs d'exécution et de consulter régulièrement les journaux de requêtes pour déterminer si les requêtes sont conformes à l'accord de collaboration.

    Les constructions SQL suivantes sont vulnérables aux erreurs de débordement :

    Catégorie Constructions SQL vulnérables aux erreurs de débordement dans le moteur d'analyse Spark SQL Constructions SQL vulnérables aux erreurs de débordement dans le moteur d'analyse AWS Clean Rooms SQL
    Fonctions d’agrégation

    • AVG

    • SUM/SUM_DISTINCT

    • AVG

    • LISTAVG

    • PERCENTILE_COUNT

    • PERCENTILE_DISC

    • SUM/SUM_DISTINCT
    Fonctions de formatage des types de données

    • TO_TIMESTAMP

    • TO_DATE

    • TO_TIMESTAMP

    • TO_DATE
    Fonctions de date et d’heure

    • ADD_MONTHS

    • DATEADD

    • DATEDIFF

    • ADD_MONTHS

    • DATEADD

    • DATEDIFF
    Fonctions mathématiques

    • +, -, *, /

    • POWER

    • +, -, *, /

    • POWER
    Fonctions de chaîne

    • ||

    • CONCAT

    • RÉPÉTITION

    • ||

    • CONCAT

    • RÉPÉTITION

    • REPLICATE
    Fonctions de fenêtrage

    • AVG

    • SUM

    • AVG

    • LISTAVG

    • PERCENTILE_COUNT

    • PERCENTILE_DISC

    • RATIO_TO_REPORT

    • SUM

  4. La fonction de formatage du type de données CAST est vulnérable aux erreurs de conversion non valides.

    Vous pouvez configurer CloudWatch pour créer un filtre métrique pour un groupe de journaux, puis créer une CloudWatch alarme sur ce filtre métrique afin de recevoir des alertes en cas de dépassement potentiel ou d'erreur de casting.

    Plus précisément, vous devez surveiller les codes d'erreurCastError,OverflowError,ConversionError. La présence de ces codes d'erreur indique une attaque potentielle par canal secondaire, mais peut également indiquer une requête SQL erronée.

    Pour de plus amples informations, veuillez consulter Connexion à une analyse AWS Clean Rooms.