Tutorial: Detectar e editar dados PII com o S3 Object Lambda e o Amazon Comprehend - Amazon Simple Storage Service
Pré-requisitos: criar um usuário do IAM com permissõesEtapa 1: criar um bucket do S3Etapa 2: fazer upload do arquivo para seu bucket do S3Etapa 3: criar um ponto de acesso do S3Etapa 4: configurar e implantar uma função Lambda pré-construídaEtapa 5: criar um ponto de acesso do S3 Object LambdaEtapa 6: usar o ponto de acesso do S3 Object Lambda para recuperar o arquivo editadoEtapa 7: limparPróximas etapas

Tutorial: Detectar e editar dados PII com o S3 Object Lambda e o Amazon Comprehend

Quando você estiver usando o Amazon S3 para conjuntos de dados compartilhados para várias aplicações e os usuários acessarem, é importante restringir informações privilegiadas, como informações de identificação pessoal (PII) apenas para entidades autorizadas. Por exemplo, quando uma aplicação de marketing usa alguns dados contendo PII, ela pode precisar primeiro mascarar dados PII para atender aos requisitos de privacidade de dados. Além disso, quando um aplicação de análise usa um conjunto de dados de inventário de ordem de produção, talvez seja necessário primeiro editar as informações do cartão de crédito do cliente para evitar perdas não intencionais de dados.

Com o S3 Object Lambda e uma função do AWS Lambda pré-construída, habilitada pelo Amazon Comprehend, você pode proteger dados de PII recuperados do S3 antes de retorná-los para uma aplicação. Especificamente, é possível usar a função do Lambda pré-criada como função de edição e anexá-la a um ponto de acesso do S3 Object Lambda. Quando uma aplicação (por exemplo, uma aplicação de análise) envia solicitações GET do S3 padrão, essas solicitações feitas por meio do ponto de acesso do S3 Object Lambda chamam a função do Lambda de redação pré-criada para detectar e editar dados de PII recuperados de um bucket do S3, por meio de um ponto de acesso do S3 de suporte. Depois, o ponto de acesso do S3 Object Lambda retorna o resultado editado de volta à aplicação.

Este é um diagrama de fluxo de trabalho do S3 Object Lambda.

No processo, a função do Lambda pré-criada usa o Amazon Comprehend, um serviço de processamento de linguagem natural (PNL) para registrar variações em como as PII são representadas, independentemente de como as PII existem no texto (por exemplo, numericamente ou uma combinação de palavras e números). O Amazon Comprehend pode até usar o contexto no texto para entender se um número de quatro dígitos é um PIN, os últimos quatro números de um número de Seguridade Social (SSN) ou um ano. O Amazon Comprehend processa qualquer arquivo de texto no formato UTF-8 e pode proteger as PII em escala sem afetar a precisão. Para obter mais informações, consulte O que é Amazon Comprehend? no Guia do desenvolvedor do Amazon Comprehend.

Objetivo

Neste tutorial, você aprenderá a usar o S3 Object Lambda com a função Lambda pré-criadaComprehendPiiRedactionS3ObjectLambda. Essa função usa o Amazon Comprehend para detectar entidades de PII. Em seguida, ele edita essas entidades substituindo-as por asteriscos. Ao editar as PII, você oculta dados sigilosos, o que pode ajudar com segurança e conformidade.

Você também aprende a usar e configurar uma função AWS Lambda pré-criada no AWS Serverless Application Repository para trabalhar em conjunto com o S3 Object Lambda para facilitar a implantação.

Pré-requisitos: criar um usuário do IAM com permissões

Antes de iniciar este tutorial, você deve ter uma conta da AWS na qual possa fazer login como um usuário do AWS Identity and Access Management (usuário do IAM) com permissões corretas.

Você pode criar um usuário do IAM para o tutorial. Para concluir este tutorial, o usuário do IAM deve anexar as seguintes políticas do IAM para acessar recursos da AWS e executar ações específicas.

nota

Para simplificar, este tutorial cria e usa um usuário do IAM. Depois de concluir este tutorial, lembre-se de Excluir o usuário do IAM. Para uso em produção, recomendamos que você siga as Práticas recomendadas de segurança no IAM no Guia do usuário do IAM. Uma das práticas recomendadas exige que os usuários humanos usem a federação com um provedor de identidades para acessar a AWS usando credenciais temporárias. Outra prática recomendada é exigir que as workloads usem credenciais temporárias com perfis do IAM para acessar a AWS. Para saber como usar o AWS IAM Identity Center para criar usuários com credenciais temporárias, consulte Getting started (Conceitos básicos) no Guia do usuário do AWS IAM Identity Center.

Este tutorial usa políticas de acesso total. Para uso em produção, recomendamos que você conceda apenas as permissões mínimas necessárias para seu caso de uso, de acordo com as práticas recomendadas de segurança.

Seu usuário do IAM requer as seguintes políticas gerenciadas pela AWS:

Você pode anexar diretamente essas políticas existentes ao criar um usuário do IAM. Para obter mais informações sobre como criar um usuário do IAM, consulte Criar usuários do IAM (console) no Guia do usuário do IAM.

Além disso, seu usuário do IAM requer uma política gerenciada pelo cliente. Para conceder permissões de usuário do IAM a todos os recursos e ações do AWS Serverless Application Repository, você deve criar uma política do IAM e anexá-la ao usuário do IAM.

Para criar e anexar uma política do IAM para um usuário do IAM

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação à esquerda, escolha Políticas.

  3. Escolha Create policy (Criar política).

  4. Na guia Visual editor (Editor visual) de Service (Serviço), selecione Choose a service (Escolher um serviço). Em seguida, escolha Serverless Application Repository (Repositório de aplicações sem servidor).

  5. Para Actions (Ações), em Manual actions (Ações manuais), selecione All Serverless Application Repository actions (serverlessrepo:*) (Todas as ações do Serverless Application Repository (serverlessrepo: *)) para este tutorial.

    Como uma prática recomendada de segurança, você deve conceder permissões somente para as ações e os recursos dos quais um usuário precisa, com base no seu caso de uso. Para obter mais informações, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.

  6. Para Resources (Recursos), escolha All resources (Todos os recursos) para este tutorial.

    Como prática recomendada, você deve definir permissões somente para recursos específicos em contas específicas. Como alternativa, você pode conceder menos privilégios usando chaves de condição. Para obter mais informações, consulte Grant least privilege (Conceder privilégio mínimo) no Guia do usuário do IAM.

  7. Escolha Próximo: etiquetas.

  8. Selecione Next: Review (Próximo: revisar).

  9. Na página Review policy (Revisar política), insira um Name (Nome) (por exemplo, tutorial-serverless-application-repository) e uma Description (Descrição) (opcional) para a política que você está criando. Revise o resumo da política para assegurar-se de ter concedido as permissões que pretendia e, em seguida, escolha Create policy (Criar política) para salvar sua nova política.

  10. No painel de navegação à esquerda, escolha Usuários. Em seguida, escolha o usuário do IAM para este tutorial.

  11. Na página Summary (Resumo) do usuário escolhido, escolha a guia Permissions (Permissões) e escolha Add permissions (Adicionar permissões).

  12. Em Grant permissions (Conceder permissões), escolha Attach existing policies directly (Anexar políticas existentes diretamente).

  13. Marque a caixa de seleção ao lado da política que você acabou de criar (por exemplo, tutorial-serverless-application-repository) e, depois, escolha Next: Review (Próximo: Revisar).

  14. Em Permissions summary (Resumo de permissões), revise o resumo para se certificar de que anexou a política que pretendia. Em seguida, selecione Add permissions (Adicionar permissões).

Etapa 1: criar um bucket do S3

Crie um bucket para armazenar os dados originais que você planeja transformar.

Para criar um bucket

  1. Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação à esquerda, escolha Buckets.

  3. Selecione Create bucket (Criar bucket).

    A página Create bucket (Criar bucket) é aberta.

  4. Para Bucket name (Nome do bucket), insira um nome para o seu bucket (por exemplo, tutorial-bucket).

    Para obter mais informações sobre como nomear buckets no Amazon S3, consulte Regras de nomeação de bucket.

  5. Em Region (Região), escolha a Região da AWS onde deseja que o bucket resida.

    Para obter mais informações sobre a região do bucket, consulte Visão geral dos buckets.

  6. Para Block Public Access settings for this bucket (Configurações de acesso de bloqueio público para este bucket), mantenha as configurações padrão (Block allpublic access (Bloquear todo acesso público) está habilitado).

    Recomendamos que você mantenha todas as configurações de acesso de bloqueio público ativadas, a menos que precise desativar uma ou mais delas para seu caso de uso. Para obter mais informações sobre como bloquear o acesso público, consulte Bloquear o acesso público ao armazenamento do Amazon S3.

  7. Mantenha as configurações restantes definidas conforme os padrões.

    (Opcional) Se quiser definir configurações de bucket adicionais para o caso de uso específico, consulte Criação de um bucket.

  8. Selecione Criar bucket.

Etapa 2: fazer upload do arquivo para seu bucket do S3

Carregue um arquivo de texto contendo dados de PII conhecidos de vários tipos, como nomes, informações bancárias, números de telefone e SSNs, para o bucket do S3 como os dados originais dos quais você editará as PII posteriormente neste tutorial.

Por exemplo, você pode carregar seguindo o arquivo tutorial.txt. Este é um exemplo de arquivo de entrada do Amazon Comprehend.

Hello Zhang Wei, I am John. Your AnyCompany Financial Services, 
LLC credit card account 1111-0000-1111-0008 has a minimum payment 
of $24.53 that is due by July 31st. Based on your autopay settings, 
we will withdraw your payment on the due date from your 
bank account number XXXXXX1111 with the routing number XXXXX0000. 

Your latest statement was mailed to 100 Main Street, Any City, 
WA 98121. 
After your payment is received, you will receive a confirmation 
text message at 206-555-0100. 
If you have questions about your bill, AnyCompany Customer Service 
is available by phone at 206-555-0199 or 
email at support@anycompany.com.
Fazer upload de um arquivo para um bucket

  1. Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação à esquerda, escolha Buckets.

  3. Na lista de Buckets, escolha o nome do bucket que você criou na Etapa 1 (por exemplo, tutorial-bucket) para carregar seu arquivo.

  4. Na guia Objects (Objetos) do bucket, escolha Upload (Fazer upload).

  5. Na página Upload (Carregar), em Files and folders (Arquivos e pastas), escolha Add files (Adicionar arquivos).

  6. Escolha um arquivo para carregar e, em seguida, escolha Open (Abrir). Por exemplo, você pode carregar o exemplo de arquivo tutorial.txtmencionado anteriormente.

  7. Escolha Upload (Carregar).

Etapa 3: criar um ponto de acesso do S3

Para usar um ponto de acesso do S3 Object Lambda para acessar e transformar os dados originais, você deve criar um ponto de acesso do S3 e associá-lo ao bucket do S3 criado na Etapa 1. O ponto de acesso deve estar na mesma Região da AWS que os objetos que você deseja transformar.

Mais adiante neste tutorial, você usará esse ponto de acesso como um ponto de acesso de suporte para o ponto de acesso do Object Lambda.

Como criar um ponto de acesso

  1. Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação, escolha Access Points (Pontos de acesso).

  3. Na página Access Points (Pontos de acesso), escolha Create access point (Criar ponto de acesso).

  4. No campo Access point name (Nome do ponto de acesso), insira o nome (por exemplo, tutorial-pii-access-point) para o ponto de acesso.

    Para obter mais informações sobre nomenclatura de pontos de acesso, consulte Regras para nomear pontos de acesso do Amazon S3.

  5. No campo Bucket name (Nome do bucket), insira o nome do bucket criado na Etapa 1 (por exemplo, tutorial-bucket). O S3 anexa o ponto de acesso a este bucket.

    (Opcional) Você pode escolher Browse S3 (Procurar S3) para navegar e pesquisar buckets na sua conta. Se você escolher Browse S3 (Procurar S3), selecione o bucket desejado e escolha Choose path (Escolher caminho) para preencher o campo Bucket name (Nome do bucket) com o nome do bucket.

  6. Para Network origin (Origem de rede), escolha Internet.

    Para obter mais informações sobre origens de rede para pontos de acesso, consulte Criar pontos de acesso restritos a uma nuvem privada virtual.

  7. Por padrão, todas as configurações de bloqueio de acesso público são habilitadas para seu ponto de acesso. Recomendamos manter a opção Block all public access (Bloquear todo o acesso público) ativada. Para obter mais informações, consulte Gerenciar o acesso público a pontos de acesso.

  8. Para todas as outras configurações de ponto de acesso, mantenha as configurações padrão.

    (Opcional) Você pode modificar as configurações do ponto de acesso para dar suporte ao caso de uso. Para este tutorial, recomendamos manter as configurações padrão.

    (Opcional) Se você precisar gerenciar o acesso ao seu ponto de acesso, você pode especificar uma política de ponto de acesso. Para obter mais informações, consulte Exemplos de política de ponto de acesso.

  9. Selecione Create access point (Criar ponto de acesso).

Etapa 4: configurar e implantar uma função Lambda pré-construída

Para editar dados de PII, configure e implante a função ComprehendPiiRedactionS3ObjectLambda do AWS Lambda pré-criada para uso com o ponto de acesso do S3 Object Lambda.

Para configurar e implantar a função Lambda

  1. Faça login no AWS Management Console e visualize a função ComprehendPiiRedactionS3ObjectLambda no AWS Serverless Application Repository.

  2. Para Application settings (Configurações da aplicação), em Application name (Nome da aplicação), mantenha o valor padrão (ComprehendPiiRedactionS3ObjectLambda) para este tutorial.

    (Opcional) Você pode inserir o nome que deseja dar a esta aplicação. Talvez você queira fazer isso se pretende configurar várias funções Lambda para diferentes necessidades de acesso para o mesmo conjunto de dados compartilhado.

  3. Para MaskCharacter, mantenha o valor padrão (*). O caractere de máscara substitui cada caractere na entidade PII editada.

  4. Para MaskMode, mantenha o valor padrão (MASK). O valor MaskMode especifica se a entidade de PII é editada com o caractere MASK ou com o valor PII_ENTITY_TYPE.

  5. Para editar os tipos de dados especificados, paraPiiEntityTypes, mantenha o valor padrão ALL. O valor PiiEntityTypes especifica os tipos de entidade de PII a serem considerados para edição.

    Para obter mais informações sobre a lista de tipos de entidade PII compatíveis, consulte Detectar informações de identificação pessoal (PII) no Guia do desenvolvedor do Amazon Comprehend.

  6. Mantenha as configurações restantes definidas conforme os padrões.

    (Opcional) Se quiser definir configurações adicionais para o caso de uso específico, consulte a seção Readme file (Arquivo Leiame) no lado esquerdo da página.

  7. Marque a caixa de seleção próxima a I acknowledge that this app creates custom IAM roles (Reconheço que esta aplicação cria funções personalizadas do IAM).

  8. Escolha Implantar.

  9. Na página da nova aplicação, em Resources (Recursos), escolha o Logical ID (ID lógico) da função Lambda que você implantou para revisar a função na página da função Lambda.

Etapa 5: criar um ponto de acesso do S3 Object Lambda

Um ponto de acesso do S3 Object Lambda fornece a flexibilidade de invocar uma função do Lambda diretamente de uma solicitação do S3 GET para que a função possa editar dados PII recuperados de um ponto de acesso do S3. Ao criar e configurar um ponto de acesso do S3 Object Lambda, você deve especificar a função do Lambda de redação para invocar e fornecer o contexto de evento no formato JSON como parâmetros personalizados para o Lambda usar.

O contexto do evento fornece informações sobre a solicitação que está sendo feita no evento passado do S3 Object Lambda para o Lambda. Para obter mais informações sobre todos os campos no contexto do evento, consulte Formato e uso de contexto de evento.

Para criar um ponto de acesso do S3 Object Lambda

  1. Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação à esquerda, escolha Object Lambda access points (Pontos de acesso do Object Lambda).

  3. Na página Object Lambda Access Points (Pontos de acesso do Object Lambda), escolha Create Object Lambda Access Point (Criar ponto de acesso do Object Lambda).

  4. Para Nome do Ponto de acesso Lambda do objeto, informe o nome que você deseja usar para o ponto de acesso Lambda do objeto (por exemplo, tutorial-pii-object-lambda-accesspoint).

  5. Para Supporting Access Point (Ponto de acesso de suporte), informe ou procure o ponto de acesso padrão criado na Etapa 3 (por exemplo, tutorial-pii-access-point) e, em seguida, escolha Choose supporting Access Point (Escolher ponto de acesso de suporte).

  6. Para recuperar objetos do bucket do S3 para que a função do Lambda processe, selecione GetObject em S3 APIs (APIs do S3).

  7. Para Invoke Lambda function (Chamar função Lambda), você pode escolher qualquer uma das duas opções a seguir para este tutorial.

    • Escolha Choose from functions in your account (Escolher das funções de sua conta) e escolha a função Lambda que você implantou na Etapa 4 (por exemplo, serverlessrepo-ComprehendPiiRedactionS3ObjectLambda) da lista suspensa Lambda function (Função Lambda).

    • Escolha Enter ARN (Inserir ARN) e depois informe o Nome do recurso da Amazon (ARN) da função Lambda que você criou na Etapa 4.

  8. Para Lambda function version (Versão da função Lambda), escolha $LATEST (a versão mais recente da função Lambda que você implantou na Etapa 4).

  9. (Opcional) Se precisar da função Lambda para reconhecer e processar solicitações GET com cabeçalhos de intervalo e número de peça, selecione Lambda function supports requests using range (A função Lambda suporta solicitações usando intervalo) e Lambda function supports requests using part numbers (A função Lambda suporta solicitações usando números de parte). Caso contrário, desmarque essas duas caixas de seleção.

    Para obter mais informações sobre como usar números de intervalo ou de parte com o S3 Object Lambda, consulte Trabalhar com cabeçalhos Range e partNumber.

  10. (Opcional) Em Payload - optional (Carga útil - opcional), adicione um texto JSON para fornecer informações adicionais à sua função Lambda.

    Uma carga útil é um texto JSON opcional que você pode fornecer à sua função do Lambda como entrada para todas as chamadas provenientes de um ponto de acesso do S3 Object Lambda específico. Para personalizar os comportamentos de vários pontos de acesso Lambda do objeto que chamam a mesma função do Lambda, você pode configurar cargas úteis com diferentes parâmetros, estendendo, assim, a flexibilidade da função do Lambda.

    Para obter mais informações sobre carga útil, consulte Formato e uso de contexto de evento.

  11. (Opcional) Para Métricas de solicitação – opcional, escolha Desativar ou Ativar para adicionar o monitoramento do Amazon S3 ao ponto de acesso Lambda do objeto. As métricas de solicitação são cobradas na taxa padrão do Amazon CloudWatch. Para obter mais informações, consulte Preço do CloudWatch.

  12. Em Object Lambda Access Point policy - optional (Política do ponto de acesso do Object Lambda - opcional), mantenha a configuração padrão.

    (Opcional) Você pode definir uma política de recursos. Essa política de recursos concede permissão da API GetObject para usar o ponto de acesso do Object Lambda especificado.

  13. Mantenha as configurações restantes definidas conforme os padrões e escolha Create Object Lambda Access Point (Criar ponto de acesso do Object Lambda).

Etapa 6: usar o ponto de acesso do S3 Object Lambda para recuperar o arquivo editado

Agora, o S3 Object Lambda está pronto para editar dados de PII do seu arquivo original.

Para usar o ponto de acesso do S3 Object Lambda para recuperar o arquivo editado

Quando você solicita para recuperar um arquivo por meio do ponto de acesso do S3 Object Lambda, você faz uma chamada de API GetObject para o S3 Object Lambda. O S3 Object Lambda chama a função Lambda para editar seus dados de PII e retorna os dados transformados como a resposta à chamada de API GetObject do S3 padrão.

  1. Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação à esquerda, escolha Object Lambda access points (Pontos de acesso do Object Lambda).

  3. Na página Pontos de acesso do Object Lambda, escolha o ponto de acesso do S3 Object Lambda que você criou na Etapa 5 (por exemplo, tutorial-pii-object-lambda-accesspoint).

  4. Na guia Objetos do ponto de acesso do S3 Object Lambda, selecione o arquivo que tem o mesmo nome (por exemplo, tutorial.txt) daquele que você carregou no bucket do S3 na Etapa 2.

    Esse arquivo deve conter todos os dados transformados.

  5. Para exibir os dados transformados, escolha Open (Abrir) ou Download (Baixar).

    Você deve ser capaz de ver o arquivo editado, conforme mostrado no exemplo a seguir. 

    Hello *********. Your AnyCompany Financial Services, 
LLC credit card account ******************* has a minimum payment 
of $24.53 that is due by *********. Based on your autopay settings, 
we will withdraw your payment on the due date from your 
bank account ********** with the routing number *********. 

Your latest statement was mailed to **********************************. 
After your payment is received, you will receive a confirmation 
text message at ************. 
If you have questions about your bill, AnyCompany Customer Service 
is available by phone at ************ or 
email at **********************.

Etapa 7: limpar

Se você editou seus dados por meio do S3 Object Lambda apenas como um exercício de aprendizado, exclua os recursos da AWS que você alocou para que não haja mais encargos.

Excluir o ponto de acesso do Object Lambda

  1. Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação à esquerda, escolha Object Lambda access points (Pontos de acesso do Object Lambda).

  3. Na página Pontos de acesso do Object Lambda, escolha o botão de opção à esquerda do ponto de acesso do S3 Object Lambda que você criou na Etapa 5 (por exemplo, tutorial-pii-object-lambda-accesspoint).

  4. Escolha Excluir.

  5. Confirme se deseja excluir o ponto de acesso do Lambda, inserindo o nome no campo de texto exibido e escolha Excluir.

Exclua o ponto de acesso do S3

  1. Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação, escolha Access Points (Pontos de acesso).

  3. Navegue até o ponto de acesso que você criou na Etapa 3 (por exemplo, tutorial-pii-access-point) e escolha o botão de opção ao lado do nome do ponto de acesso.

  4. Escolha Excluir.

  5. Confirme se deseja excluir o ponto de acesso inserindo o nome no campo de texto exibido e escolha Delete (Excluir).

Excluir a função Lambda

  1. No console do AWS Lambda em https://console.aws.amazon.com/lambda/, escolha Functions (Funções) no painel de navegação à esquerda.

  2. Escolha a função que você criou na Etapa 4 (por exemplo, serverlessrepo-ComprehendPiiRedactionS3ObjectLambda).

  3. Escolha Ações e, em seguida, escolha Excluir.

  4. Na caixa de diálogo Delete function (Excluir função), escolha Delete (Excluir).

Excluir o grupo de logs do CloudWatch

  1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação esquerdo, escolha Log groups (Grupos de log).

  3. Localize o grupo de logs cujo nome termina com a função Lambda que você criou na Etapa 4 (por exemplo, serverlessrepo-ComprehendPiiRedactionS3ObjectLambda).

  4. Escolha Actions (Ações) e Delete log group(s) (Excluir grupo(s) de log).

  5. Na caixa de diálogo Delete log group(s) (Excluir grupo(s) de logs), escolha Delete (Excluir).

Exclua o arquivo original no bucket de origem do S3

  1. Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação à esquerda, escolha Buckets.

  3. Na lista Bucket name (Nome do bucket), escolha o nome do bucket para o qual você carregou o arquivo original na Etapa 2 (por exemplo, tutorial-bucket).

  4. Marque a caixa de seleção à esquerda do nome do objeto que você deseja excluir (por exemplo, tutorial.txt).

  5. Escolha Excluir.

  6. Na página Delete objects (Excluir objetos) na seção Permanently delete objects? (Excluir objetos permanentemente?), confirme se deseja excluir este objeto informando permanently delete na caixa de texto.

  7. Escolha Delete objects (Excluir objetos).

Exclua o bucket de origem do S3

  1. Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação à esquerda, escolha Buckets.

  3. Na lista de Buckets, escolha o botão de opção ao lado do nome do bucket que você criou na Etapa 1 (por exemplo, tutorial-bucket).

  4. Escolha Excluir.

  5. Na página Delete bucket (Excluir bucket), confirme se deseja excluir o bucket inserindo o nome do bucket no campo de texto e escolha Delete bucket (Excluir bucket).

Exclua a função do IAM para a função Lambda

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação esquerdo, escolha Roles (Funções) e marque a caixa de seleção ao lado do nome da função que você deseja excluir. O nome da função começa com o nome da função Lambda que você implantou na Etapa 4 (por exemplo, serverlessrepo-ComprehendPiiRedactionS3ObjectLambda).

  3. Escolha Excluir.

  4. Na caixa de diálogo Delete (Excluir), informe o nome da função no campo de entrada de texto para confirmar a exclusão. Em seguida, selecione Excluir.

Exclua a política gerenciada pelo cliente para o usuário do IAM

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação à esquerda, escolha Políticas.

  3. Na página Policies (Políticas), insira o nome da política gerenciada pelo cliente que você criou em Prerequisites (Pré-requisitos) (por exemplo, tutorial-serverless-application-repository) na caixa de pesquisa para filtrar a lista de políticas. Selecione o botão de opção ao lado do nome da política que você deseja excluir.

  4. Escolha Ações e, em seguida, escolha Excluir.

  5. Confirme se deseja excluir esta política, inserindo seu nome no campo de texto exibido e escolha Delete (Excluir).

Excluir o usuário do IAM

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação esquerdo, escolha Users (Usuários) e marque a caixa de seleção ao lado do nome do usuário que você deseja excluir.

  3. Na parte superior da página, escolha Delete (Excluir).

  4. Na caixa de diálogo Delete user name? (Excluir nome de usuário?), insira o nome de usuário no campo de entrada de texto para confirmar a exclusão do usuário. Escolha Excluir.

Próximas etapas

Depois de concluir este tutorial, você pode explorar ainda mais os seguintes casos de uso relacionados:

  • Você pode criar vários pontos de acesso do S3 Object Lambda e habilitá-los com funções do Lambda pré-criadas que são configuradas de forma diferente para editar tipos específicos de PII, dependendo das necessidades de negócios dos assessores de dados.

    Cada tipo de usuário assume um perfil do IAM e só tem acesso a um ponto de acesso do S3 Object Lambda (gerenciado por meio de políticas do IAM). Depois, anexe cada função do Lambda ComprehendPiiRedactionS3ObjectLambda configurada para um caso de uso de edição diferente para um ponto de acesso do S3 Object Lambda diferente. Para cada ponto de acesso do S3 Object Lambda, você pode ter um ponto de acesso do S3 de suporte para ler dados de um bucket do S3 que armazena o conjunto de dados compartilhado.

    Para obter mais informações sobre como criar uma política de bucket do S3 que conceda aos usuários a leitura do bucket somente por meio dos pontos de acesso do S3, consulte Configurar políticas do IAM para uso de pontos de acesso.

    Para obter mais informações sobre como conceder permissão de usuário para acessar a função do Lambda, o ponto de acesso S3 e o ponto de acesso do S3 Object Lambda, consulte Configurar políticas do IAM para pontos de acesso do Object Lambda.

  • Você pode criar sua própria função Lambda e usar o S3 Object Lambda com sua função Lambda personalizada para atender às suas necessidades de dados específicas.

    Por exemplo, para explorar vários valores de dados, você pode usar o S3 Object Lambda e sua própria função Lambda que usa Recursos do Amazon Comprehend, como reconhecimento de entidade, reconhecimento de frase-chave, análise de sentimento e classificação de documentos, para processar dados. Você também pode usar o S3 Object Lambda junto com oAmazon Comprehend Medical, um serviço de PNL qualificado para HIPAA, para analisar e extrair dados com reconhecimento de contexto.

    Para obter mais informações sobre como transformar dados com o S3 Object Lambda e sua própria função Lambda, consulte Tutorial: Como transformar dados para sua aplicação com o S3 Object Lambda.