[SEO 副标题]
本指南演示了如何使用 AWS 服务在可信执行环境(TEE)中部署 Google 隐私沙盒“聚合服务”。聚合服务可用于通过隐私沙盒归因报告 API(ARA)或私有聚合 API 生成事件或汇总活动测量数据。本指南包含多项功能,可帮助简化 AWS 客户的部署,包括:
- 有关该服务对聚合任务的端到端收集、批处理和编排的概述
- 关于在该服务处理记录之前如何对记录执行 Avro 转换的实施示例
- 在该服务进行处理之前编制批量报告和进行数据扩充的实施示例(在未来的版本中)
- 支持端点收集事件级报告和总结报告的收集服务的实施示例
请注意:[免责声明]
架构图
[架构图描述]
第 1 步
启用了隐私沙盒功能的 Chrome 浏览器用户浏览发布者的网站。如果用户执行了操作,归因报告 API 或私有聚合 API 会向收集器服务发送事件级报告或汇总报告。
第 2 步
收集器服务提供一系列大众熟知的 URL,用于从 Chrome 浏览器收集总结报告和事件级报告。AWS WAF 可保护 URL。
弹性负载均衡将流量分配到 Amazon Elastic Container Service(Amazon ECS),并托管用于验证请求是否正确生成的服务。正确生成的请求会发送到 Amazon Kinesis Data Streams。
第 3 步
批处理服务负责编制汇总报告,供 Google 隐私沙盒聚合服务进行处理。AWS Glue 读取来自 Kinesis Data Streams 的记录,并将记录以 JSON 和 Avro 格式保存在 Amazon Simple Storage Service(Amazon S3)中。Amazon EventBridge 按设定的时间间隔调用 AWS Step Functions,以处理批量报告。
第 4 步
可以汇总的报告和事件级数据存储在 Amazon S3 中。
第 5 步
Google 隐私沙盒聚合服务使用的是 Terraform(隐私沙盒计划的一部分)社区版来进行部署。聚合服务使用 Amazon API Gateway 接收由 Step Functions 工作流程发出的请求。
AWS Lambda 函数编排处理任务以生成汇总报告。Amazon DynamoDB 跟踪处理任务的进度。AWS Nitro Enclaves 提供可信执行环境(TEE)用于处理可汇总的报告。
第 1 步
启用了隐私沙盒功能的 Chrome 浏览器用户浏览发布者的网站。如果用户执行了操作,归因报告 API 或私有聚合 API 会向收集器服务发送事件级报告或汇总报告。
第 2 步
收集器服务提供一系列大众熟知的 URL,用于从 Chrome 浏览器收集总结报告和事件级报告。AWS WAF 可保护 URL。
弹性负载均衡将流量分配到 Amazon Elastic Container Service(Amazon ECS),并托管用于验证请求是否正确生成的服务。正确生成的请求会发送到 Amazon Kinesis Data Streams。
第 3 步
批处理服务负责编制汇总报告,供 Google 隐私沙盒聚合服务进行处理。AWS Glue 读取来自 Kinesis Data Streams 的记录,并将记录以 JSON 和 Avro 格式保存在 Amazon Simple Storage Service(Amazon S3)中。Amazon EventBridge 按设定的时间间隔调用 AWS Step Functions,以处理批量报告。
第 4 步
可以汇总的报告和事件级数据存储在 Amazon S3 中。
第 5 步
Google 隐私沙盒聚合服务使用的是 Terraform(隐私沙盒计划的一部分)社区版来进行部署。聚合服务使用 Amazon API Gateway 接收由 Step Functions 工作流程发出的请求。
AWS Lambda 函数编排处理任务以生成汇总报告。Amazon DynamoDB 跟踪处理任务的进度。AWS Nitro Enclaves 提供可信执行环境(TEE)用于处理可汇总的报告。
Well-Architected 支柱
当您在云中构建系统时,AWS Well-Architected Framework 可以帮助您了解所做决策的利弊。框架的六大支柱使您能够学习设计和操作可靠、安全、高效、经济高效且可持续的系统的架构最佳实践。使用 AWS 管理控制台中免费提供的 AWS Well-Architected Tool,您可以通过回答每个支柱的一组问题,根据这些最佳实践来检查您的工作负载。
上面的架构图是按照 Well-Architected 最佳实践创建的解决方案示例。要做到完全的良好架构,您应该遵循尽可能多的 Well-Architected 最佳实践。
-
卓越运营阅读《卓越运营》白皮书
通过利用 Amazon CloudWatch 和 Amazon ECS 的功能,用户可优化其操作流程,减少人工干预,并维护高性能、具有弹性的基础设施。具体而言,CloudWatch 提供全面的日志记录和见解,因此用户可以监控在 Amazon ECS 上运行的服务的性能和运行状况。用户还可以使用 Amazon ECS 轻松扩展工作负载,并根据他们不断变化的需求灵活调整本指南。
-
安全性阅读《安全性》白皮书
AWS Identity and Access Management(IAM)、AWS WAF 和 AWS Key Management Service(AWS KMS)等全面的安全服务共同为工作负载保驾护航。具体而言,IAM 策略遵循最低权限原则,授予所需的最低访问权限。AWS KMS 服务让用户轻松管理加密密钥,保护用户静态数据。AWS WAF 可保护面向公众的端点,防止工作负载遭受恶意攻击和分布式拒绝服务(DDoS)威胁。
-
可靠性阅读《可靠性》白皮书
AWS 的多项服务有助于从故障或中断中恢复工作负载。 Amazon S3 提供具有版本控制和复制功能的持久数据存储,可防止数据被意外删除或受到应用程序故障的影响。Amazon ECS 和 Amazon Elastic Compute Cloud(Amazon EC2)将工作负载分配到多个可用区,以实现高可用性。Kinesis Data Streams 的功能可在指定的时间段内持久存储和保留数据,因而在发生故障或中断时不会丢失数据。弹性负载均衡可在资源间有效分配流量,确保工作负载能够在中断或峰值期间处理增长的需求。
-
性能效率阅读《性能效率》白皮书
使用 Amazon ECS 和 AWS Graviton 处理器优化本指南的性能。Amazon ECS 简化了容器化工作负载的扩展,可动态调整计算资源以满足不断变化的需求。AWS Graviton 处理器包括具有更高性价比的定制硅芯片,从而提高吞吐量,降低请求延迟。
-
成本优化阅读《成本优化》白皮书
Amazon S3、Amazon ECS 和 AWS Glue 协同工作,用尽可能低的成本实现商业价值,同时避免不必要的开支。Amazon S3 可大规模存储和检索数据,只需为使用的存储付费,而无需预置和管理物理基础设施。Amazon ECS 可动态扩展计算资源,有助于确保用户只需为消耗的资源付费。而且,AWS Glue 可简化提取、传输和加载(ETL)工作负载,自动预置必要资源并减少维护开销。
-
可持续性阅读《可持续性》白皮书
通过在本指南中使用基于 AWS Graviton 的实例,用户可以优化其工作负载,以提高环境效率并减少碳足迹。与传统的 Amazon EC2 实例相比,AWS Graviton 处理器的能耗最多可降低 60%,因此用户可以实现更可持续的云基础设施。
免责声明
示例代码;软件库;命令行工具;概念验证;模板;或其他相关技术(包括由我方人员提供的任何前述项)作为 AWS 内容按照《AWS 客户协议》或您与 AWS 之间的相关书面协议(以适用者为准)向您提供。您不应将这些 AWS 内容用在您的生产账户中,或用于生产或其他关键数据。您负责根据特定质量控制规程和标准测试、保护和优化 AWS 内容,例如示例代码,以使其适合生产级应用。部署 AWS 内容可能会因创建或使用 AWS 可收费资源(例如,运行 Amazon EC2 实例或使用 Amazon S3 存储)而产生 AWS 费用。
本指南中提及第三方服务或组织并不意味着 Amazon 或 AWS 与第三方之间存在认可、赞助或从属关系。AWS 的指导是一个技术起点,您可以在部署架构时自定义与第三方服务的集成。