Limitazioni della privacy differenziale AWS Clean Rooms

AWS Clean RoomsDifferential Privacy supporta solo le query con tabelle supportate da Amazon AWS Glue S3. Non supporta le query con tabelle Snowflake o Amazon Athena.

AWS Clean RoomsDifferential Privacy non affronta gli attacchi temporali. Ad esempio, questi attacchi sono possibili in scenari in cui un singolo utente inserisce un numero elevato di righe e l'aggiunta o la rimozione di tale utente modifica in modo significativo il tempo di calcolo della query.

AWS Clean RoomsDifferential Privacy non garantisce la privacy differenziale quando una query SQL può causare errori di overflow o di cast non validi in fase di esecuzione a causa dell'uso di determinati costrutti SQL.

La tabella seguente contiene un elenco di alcuni, ma non tutti, i costrutti SQL che possono produrre errori di runtime e devono essere verificati nei modelli di analisi. Si consiglia di approvare modelli di analisi che riducano al minimo le possibilità di tali errori di run-time e di esaminare periodicamente i log delle query per determinare se le query sono conformi all'accordo di collaborazione.

I seguenti costrutti SQL sono vulnerabili agli errori di overflow:

La funzione di formattazione del tipo di dati CAST è vulnerabile agli errori di cast non validi.

È possibile CloudWatch configurare la creazione di un filtro metrico per un gruppo di log e quindi creare un CloudWatch allarme su tale filtro metrico per ricevere avvisi in caso di potenziale overflow o errore di cast.

In particolare, è necessario monitorare i codici di errore,. CastError OverflowError ConversionError La presenza di questi codici di errore indica un potenziale attacco side-channel, ma potrebbe indicare una query SQL errata.

Per ulteriori informazioni, consulta Registrazione dell'analisi AWS Clean Rooms.