Tutorial: Erkennen und Redigieren von PII-Daten mit S3 Object Lambda und Amazon Comprehend

Erstellen einer IAM-Richtlinie und Anfügen der Richtlinie an Ihren IAM-Benutzer

1. Melden Sie sich bei der AWS-Managementkonsole an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Wählen Sie im linken Navigationsbereich Richtlinien aus.

3. Wählen Sie Richtlinie erstellen aus.

4. Wählen Sie im Tab Visual editor (Visueller Editor) für Service Choose a service (Wählen Sie einen Service) aus. Wählen Sie dann Serverless Application Repository.

5. Wählen Sie für Aktionen unter Manuelle Aktionen Alle Aktionen des Serverless Application Repository (serverlessrepo: *) für dieses Tutorial.

   Als bewährte Methode für die Sicherheit sollten Sie basierend auf Ihrem Anwendungsfall nur für jene Aktionen und Ressourcen Berechtigungen zulassen, für die ein Benutzer Zugriff benötigt. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

6. Wählen Sie für Ressourcen Alle Ressourcen für dieses Tutorial.

   Als bewährte Methode sollten Sie Berechtigungen nur für bestimmte Ressourcen in bestimmten Konten definieren. Alternativ können Sie die geringste Berechtigung mit Bedingungsschlüsseln erteilen. Weitere Informationen finden Sie unter Gewähren von geringsten Rechten im IAM-Benutzerhandbuch.

7. Wählen Sie Next: Tags (Weiter: Tags) aus.

8. Klicken Sie auf Weiter: Prüfen.

9. Geben Sie auf der Seite Richtlinie überprüfen einen Name (z. B. tutorial-serverless-application-repository) und eine Beschreibung (optional) für die zu erstellende Richtlinie ein. Überprüfen Sie die Richtlinienzusammenfassung, um sicherzustellen, dass Sie die beabsichtigten Berechtigungen erteilt haben, und wählen Sie dann Richtlinie erstellen aus, um Ihre neue Richtlinie zu speichern.

10. Wählen Sie im linken Navigationsbereich Benutzer aus. Wählen Sie dann den IAM-Benutzer für dieses Tutorial aus.

11. Wählen Sie auf der Seite Übersicht des ausgewählten Benutzers den Tab Berechtigungen und danach Hinzufügen von Berechtigungen.

12. Wählen Sie unter Berechtigungen gewähren die Option Vorhandene Richtlinien direkt anfügen aus.

13. Aktivieren Sie das Kontrollkästchen neben der gerade erstellten Richtlinie (z. B. tutorial-serverless-application-repository) und wählen Sie dann Nächstes: Überprüfung.

14. Prüfen Sie unter Richtlinienübersicht die Zusammenfassung, um sicherzustellen, dass Sie die beabsichtigte Richtlinie angefügt haben. Wählen Sie dann Add permissions (Berechtigungen hinzufügen) aus.

So erstellen Sie einen Bucket

1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

2. Wählen Sie im linken Navigationsbereich Buckets aus.

3. Wählen Sie Create Bucket (Bucket erstellen) aus.

   Die Seite Bucket erstellen wird geöffnet.

4. Geben Sie für Bucket-Name einen Namen für Ihren Bucket ein (z. B. tutorial-bucket).

   Weitere Informationen zur Benennung von Buckets in Amazon S3 finden Sie unter Benennungsregeln für Allzweck-Buckets.

5. Unter Region wählen Sie die AWS-Region aus, in der sich der Bucket befinden soll.

   Weitere Informationen zur Bucket-Region finden Sie unter Übersicht über Allzweck-Buckets.

6. Belassen Sie die Einstellungen für den öffentlichen Zugriff für diesen Bucket blockieren bei den Standardeinstellungen (Alle öffentlichen Zugriffe blockieren ist aktiviert).

   Es wird empfohlen, alle Einstellungen für öffentlichen Zugriff blockieren aktiviert zu belassen, es sei denn, Sie müssen eine oder mehrere dieser Einstellungen für Ihren Anwendungsfall deaktivieren. Weitere Informationen zum Blockieren des öffentlichen Zugriffs finden Sie unter Blockieren des öffentlichen Zugriffs auf Ihren Amazon-S3-Speicher.

7. Lassen Sie die restlichen Einstellungen auf die Standardwerte eingestellt.

   (Optional) Informationen zum Konfigurieren zusätzlicher Bucket-Einstellungen für Ihren spezifischen Anwendungsfall finden Sie unter Erstellen eines Allzweck-Buckets.

8. Wählen Sie Create Bucket (Bucket erstellen) aus.

Hochladen einer Datei in einen Bucket

1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

2. Wählen Sie im linken Navigationsbereich Buckets aus.

3. Wählen Sie in der Liste Buckets den Namen des Buckets aus, den Sie in Schritt 1 (z. B. tutorial-bucket) erstellt haben, in den Sie die Datei hochladen möchten.

4. Wählen Sie im Tab Objekte für Ihren Bucket die Option Hochladen aus.

5. Wählen Sie auf der Seite Upload unter Dateien und Ordner die Option Dateien hinzufügen aus.

6. Wählen Sie eine hochzuladende Datei und dann Öffnen aus. Sie können z. B. das oben erwähnte tutorial.txt-Dateibeispiel hochladen.

7. Klicken Sie auf Upload.

So erstellen Sie einen Zugangspunkt

1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

2. Wählen Sie im linken Navigationsbereich Zugriffspunkte aus.

3. Wählen Sie auf der Seite Zugriffspunkte die Option Zugriffspunkt erstellen aus.

4. Geben Sie im Feld Name des Zugriffspunkts den gewünschten Namen für den Zugriffspunkt ein (z. B. tutorial-pii-access-point).

   Weitere Hinweise zur Benennung von Zugangspunkten finden Sie unter Regeln für die Benennung von Zugangspunkten.

5. Wählen Sie im Feld Datenquelle den Namen des Buckets aus, den Sie in Schritt 1 (z. B. tutorial-bucket) erstellt haben. S3 hängt den Zugriffspunkt an diesen Bucket an.

   (Optional) Sie können S3 durchsuchen auswählen, um die Buckets in Ihrem Konto zu browsen und zu durchsuchen. Wenn Sie Browse S3 (S3 durchsuchen) wählen, wählen Sie den gewünschten Bucket aus und dann Choose path (Pfad wählen), um das Feld Bucket name (Bucket-Name) mit dem Namen dieses Buckets zu füllen.

6. Wählen Sie für Netzwerkursprung Internet aus.

   Weitere Informationen zu Netzwerkursprüngen für Zugangspunkte finden Sie unter Erstellen von Zugriffspunkten, die auf eine Virtual Private Cloud beschränkt sind.

7. Alle Block-Public-Access-Einstellungen sind standardmäßig für Zugriffspunkte aktiviert. Sie sollten alle Einstellungen für das Blockieren aller öffentlichen Zugriffe aktiviert lassen. Weitere Informationen finden Sie unter Verwalten des öffentlichen Zugriffs auf Zugangspunkte für Allzweck-Buckets.

8. Behalten Sie für alle anderen Zugriffspunktseinstellungen die Standardeinstellungen bei.

   (Optional) Sie können die Zugriffspunktseinstellungen ändern, um Ihren Anwendungsfall zu unterstützen. Für dieses Tutorial empfehlen wir, dass die Standardeinstellungen beibehalten werden.

   (Optional) Wenn Sie den Zugriff auf Ihren Zugriffspunkt verwalten müssen, können Sie eine Zugriffspunkt-Richtlinie angeben. Weitere Informationen finden Sie unter Richtlinienbeispiele für Zugangspunkte.

9. Wählen Sie Create access point (Zugriffspunkt erstellen) aus.

Konfigurieren und Bereitstellen der Lambda-Funktion

1. Melden Sie sich bei AWS-Managementkonsole an und zeigen Sie die ComprehendPiiRedactionS3ObjectLambda-Funktion in AWS Serverless Application Repository an.

2. Behalten Sie für Anwendungseinstellungen unter Anwendungsname den Standardwert (ComprehendPiiRedactionS3ObjectLambda) für dieses Tutorial bei.

   (Optional) Sie können den Namen eingeben, den Sie dieser Anwendung geben möchten. Sie können dies tun, wenn Sie planen, mehrere Lambda-Funktionen für unterschiedliche Zugriffsanforderungen für denselben freigegebenen Datensatz zu konfigurieren.

3. Behalten Sie für MaskCharacter den Standardwert (*) bei. Das Maskenzeichen ersetzt jedes Zeichen in der geschärften PII-Entität.

4. Behalten Sie für MaskMode den Standardwert (MASK) bei. Der Wert MaskMode gibt an, ob die PII-Entität mit demMASK-Zeichen oder dem PII_ENTITY_TYPE-Wert redigiert wird.

5. Um die angegebenen Datentypen zu verkleinern, behalten Sie für PiiEntityTypes den Standardwert ALLE bei. Der Wert PiiEntityTypes gibt die PII-Entitätstypen an, die für das Redigieren berücksichtigt werden sollen.

   Weitere Informationen zur Liste der unterstützten PII-Entitäts-Typen finden Sie unter Persönliche identifizierbare Informationen (PII) erkennen im Entwicklerhandbuch für Amazon Comprehend.

6. Lassen Sie die restlichen Einstellungen bei den Standardwerten.

   (Optional) Informationen zum Konfigurieren von zusätzlichen Einstellungen für Ihren speziellen Anwendungsfall finden Sie im Abschnitt Readme-Datei auf der linken Seite der Seite.

7. Aktivieren Sie das Kontrollkästchen neben Ich bestätige, dass diese App benutzerdefinierte IAM-Rollen erstellt.

8. Wählen Sie Bereitstellen.

9. Wählen Sie auf der Seite der neuen Anwendung unter Ressourcen dieLogische ID der Lambda-Funktion, die Sie bereitgestellt haben, um die Funktion auf der Lambda-Funktionsseite zu überprüfen.

So erstellen Sie einen S3 Object Lambda Access Point

1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

2. Wählen Sie im linken Navigationsbereich Objekt-Lambda-Zugriffspunkte aus.

3. Wählen Sie auf der Seite Object Lambda access points (Objekt-Lambda-Zugriffspunkte) die Option Create Object Lambda access point (Objekt-Lambda-Zugriffspunkt erstellen).

4. Geben Sie unter Name des Objekt-Lambda-Access Point den Namen ein, den Sie für den Object Lambda Access Point verwenden möchten (z. B. tutorial-pii-object-lambda-accesspoint).

5. Geben Sie für Unterstützenden Zugangspunkt den Standardzugangspunkt ein, den Sie in Schritt 3 erstellt haben (z. B. tutorial-pii-access-point), oder navigieren Sie zu diesem Zugangspunkt und wählen dann Unterstützenden Zugangspunkt auswählen aus.

6. Wählen Sie für S3 APIs (S3-APIs) GetObject aus, um Objekte aus dem S3-Bucket abzurufen, damit die Lambda-Funktion sie verarbeiten kann.

7. Für die Funktion Lambda aufrufen können Sie eine der beiden folgenden Optionen für dieses Tutorial auswählen.

   • Wählen Sie Wählen Sie aus Funktionen in Ihrem Konto und wählen Sie die Lambda-Funktion, die Sie in Schritt 4 bereitgestellt haben (z. B. serverlessrepo-ComprehendPiiRedactionS3ObjectLambda) aus der Dropdown-Liste Lambda-Funktion.

   • Wählen Sie ARN eingeben und geben Sie dann den Amazon-Ressourcennamen (ARN) der Lambda-Funktion ein, die Sie in Schritt 4 erstellt haben.

8. Wählen Sie für Versioning der Lambda-Funktion, $LATEST (die neueste Version der Lambda-Funktion, die Sie in Schritt 4 erstellt haben).

9. (Optional) Wenn Sie Ihre Lambda-Funktion benötigen, um GET-Anforderungen mit Bereichs- und Teilenummern-Headern zu erkennen und zu bearbeiten, wählen Sie Lambda-Funktion unterstützt Anforderungen mit Bereich und Lambda-Funktion unterstützt Anforderungen mit Teilenummern aus. Deaktivieren Sie andernfalls diese beiden Kontrollkästchen.

   Weitere Informationen zur Verwendung von Bereichs- oder Teilenummern mit S3 Object Lambda finden Sie unter Arbeiten mit Range- und partNumber-Headern.

10. (Optional) Fügen Sie unter Nutzlast – optional JSON-Text hinzu, um Ihrer Lambda-Funktion zusätzliche Informationen bereitzustellen.

    Eine Nutzlast ist ein optionaler JSON-Text, den Sie Ihrer Lambda-Funktion als Eingabe für alle Aufrufe bereitstellen können, die von einem spezifischen S3 Object Lambda Access Point stammen. Um das Verhalten für mehrere Object Lambda Access Points anzupassen, die dieselbe Lambda-Funktion aufrufen, können Sie Nutzlasten mit unterschiedlichen Parametern konfigurieren und so die Flexibilität Ihrer Lambda-Funktion erweitern.

    Weitere Informationen zur Nutzlast finden Sie unter Format und Verwendung des Ereigniskontexts.

11. (Optional) Wählen Sie für Anforderungsmetriken – optional die Option Deaktivieren oder Aktivieren aus, um die Amazon-S3-Überwachung zu Ihrem Object-Lambda-Zugangspunkt hinzuzufügen. Anforderungsmetriken werden zum Standardtarif von Amazon CloudWatch abgerechnet. Weitere Informationen hierzu finden Sie unter Amazon CloudWatch – Preise.

12. Behalten Sie unter Objekt-Lambda-Zugriffspunkt-Richtlinie - optional die Standardeinstellung bei.

    (Optional) Sie können eine Ressourcenrichtlinie festlegen. Diese Ressourcenrichtlinie erteilt der GetObject-API die Berechtigung zur Verwendung des angegebenen Object Lambda Access Point.

13. Lassen Sie die restlichen Einstellungen auf die Standardwerte eingestellt und klicken Sie auf Erstellen eines Objekt-Lambda-Zugriffspunkts.

So verwenden Sie den S3 Object Lambda Access Point zum Abrufen der redigierten Daten

Wenn Sie eine Datei über Ihren S3 Object Lambda Access Point abrufen möchten, führen Sie einen GetObject-API-Aufruf für S3 Object Lambda aus. S3 Object Lambda ruft die Lambda-Funktion auf, um Ihre PII-Daten zu redigieren und gibt die transformierten Daten als Antwort auf die Standard-S3-GetObject API-Aufrufe.

1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

2. Wählen Sie im linken Navigationsbereich Objekt-Lambda-Zugriffspunkte aus.

3. Wählen Sie auf der Seite Objekt-Lambda-Zugriffspunkte den S3 Object Lambda Access Point aus, den Sie in Schritt 5 erstellt haben (z. B. tutorial-pii-object-lambda-accesspoint).

4. Wählen Sie auf der Registerkarte Objekte Ihres S3 Object Lambda Access Point die Datei mit dem gleichen Namen (z. B. tutorial.txt) wie diejenige aus, die Sie in Schritt 2 in den S3-Bucket hochgeladen haben.

   Diese Datei sollte alle transformierten Daten enthalten.

5. Um die transformierten Daten anzuzeigen, wählen Sie Öffnen oder Herunterladen aus.

   Sie sollten in der Lage sein, die redigierte Datei zu sehen, wie im folgenden Beispiel gezeigt.

   Hello *********. Your AnyCompany Financial Services, 
   LLC credit card account ******************* has a minimum payment 
   of $24.53 that is due by *********. Based on your autopay settings, 
   we will withdraw your payment on the due date from your 
   bank account ********** with the routing number *********. 
   
   Your latest statement was mailed to **********************************. 
   After your payment is received, you will receive a confirmation 
   text message at ************. 
   If you have questions about your bill, AnyCompany Customer Service 
   is available by phone at ************ or 
   email at **********************.                                                        

1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

2. Wählen Sie im linken Navigationsbereich Objekt-Lambda-Zugriffspunkte aus.

3. Wählen Sie auf der Seite Objekt-Lambda-Zugriffspunkte die Optionsschaltfläche links neben dem S3 Object Lambda Access Point aus, den Sie in Schritt 5 erstellt haben (z. B. tutorial-pii-object-lambda-accesspoint).

4. Wählen Sie Löschen aus.

5. Bestätigen Sie, dass Sie Ihren Object Lambda Access Point löschen möchten, indem Sie den Namen in das angezeigte Textfeld eingeben und dann Löschen wählen.

1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

2. Wählen Sie im linken Navigationsbereich Zugriffspunkte aus.

3. Navigieren Sie zu dem Zugriffspunkt, den Sie in Schritt 3 (z. B. tutorial-pii-access-point) erstellt haben, und wählen Sie die Optionsschaltfläche neben dem Namen des Zugriffspunkts aus.

4. Wählen Sie Löschen aus.

5. Bestätigen Sie, dass Sie Ihren Zugriffspunkt löschen möchten, indem Sie den Namen in das angezeigte Textfeld eingeben und dann Delete (Löschen) wählen.

1. Wählen Sie in der AWS Lambda-Konsole unter https://console.aws.amazon.com/lambda/ Funktionen im linken Navigationsbereich.

2. Wählen Sie die Funktion aus, die Sie in Schritt 4 erstellt haben (z. B. serverlessrepo-ComprehendPiiRedactionS3ObjectLambda).

3. Wählen Sie Actions (Aktionen) und anschließend Delete (Löschen).

4. Wählen Sie im Bestätigungsdialogfeld Delete (Löschen) die Option Delete (Löschen) aus.

1. Öffnen Sie die CloudWatch-Konsole unter https://console.aws.amazon.com/cloudwatch/.

2. Wählen Sie im linken Navigationsbereich Log groups (Protokollgruppen) aus.

3. Suchen Sie die Protokollgruppe, deren Name mit der Lambda-Funktion endet, die Sie in Schritt 4 (z. B. serverlessrepo-ComprehendPiiRedactionS3ObjectLambda) erstellt haben.

4. Wählen Sie Actions (Aktionen) und dann Delete log group(s) (Protokollgruppe(n) löschen) aus.

5. Wählen Sie im Dialogfeld Delete log group(s) (Protokollgruppe(n) löschen) die Option Delete (Löschen) aus.

1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

2. Wählen Sie im linken Navigationsbereich Buckets aus.

3. Wählen Sie in der Liste Bucket-Name den Namen des Buckets aus, in den Sie die Originaldatei in Schritt 2 (z. B. tutorial-bucket) hochgeladen haben.

4. Markieren Sie das Kontrollkästchen links neben dem Namen des Objekts, das Sie löschen möchten (z. B. )., tutorial.txt).

5. Wählen Sie Löschen aus.

6. Bestätigen Sie auf der Seite Löschen von Objekten im Abschnitt Objekte endgültig löschen?, dass Sie dieses Objekt löschen möchten, indem Sie permanently delete im Textfeld eingeben.

7. Wählen Sie Objekte löschen aus.

1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

2. Wählen Sie im linken Navigationsbereich Buckets aus.

3. Wählen Sie in der Liste Buckets das Optionsfeld neben dem Namen des Buckets aus, den Sie in Schritt 1 (z. B. tutorial-bucket) erstellt haben.

4. Wählen Sie Löschen aus.

5. Bestätigen Sie auf der Seite Delete bucket (Bucket löschen), dass Sie den Bucket löschen möchten. Geben Sie dazu den Bucket-Namen in das Textfeld ein und wählen Sie Delete bucket (Bucket löschen).

1. Melden Sie sich bei der AWS-Managementkonsole an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Wählen Sie im linken Navigationsbereich Roles (Rollen), und aktivieren Sie dann das Kontrollkästchen neben der Rolle, die Sie löschen möchten. Der Rollenname beginnt mit dem Namen der Lambda-Funktion, die Sie in Schritt 4 (z. B. serverlessrepo-ComprehendPiiRedactionS3ObjectLambda) erstellt haben.

3. Wählen Sie Löschen aus.

4. Geben Sie im Dialogfeld Löschen den Rollennamen in das Texteingabefeld ein, um das Löschen zu bestätigen. Wählen Sie dann Löschen aus.

1. Melden Sie sich bei der AWS-Managementkonsole an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Wählen Sie im linken Navigationsbereich Richtlinien aus.

3. Geben Sie auf der Seite Richtlinien den Namen der vom Kunden verwalteten Richtlinie ein, die Sie in Voraussetzungen (z. B. tutorial-serverless-application-repository) erstellt haben, in das Suchfeld ein, um die Richtlinienliste zu filtern. Aktivieren Sie die Optionsschaltfläche neben dem Namen der Richtlinie, die Sie löschen möchten.

4. Wählen Sie Actions (Aktionen) und anschließend Delete (Löschen).

5. Bestätigen Sie, dass Sie diese Richtlinie löschen möchten, indem Sie den Namen in das angezeigte Textfeld eingeben und dann Delete (Löschen) wählen.

1. Melden Sie sich bei der AWS-Managementkonsole an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Wählen Sie im linken Navigationsbereich Benutzer, und aktivieren Sie dann das Kontrollkästchen neben dem Benutzer, den Sie löschen möchten.

3. Wählen Sie oben auf der Seite Delete (Löschen) aus.

4. Geben Sie im Dialogfeld Benutzernamen löschen? den Benutzernamen in das Texteingabefeld ein, um das Löschen des Benutzers zu bestätigen. Wählen Sie Löschen aus.