数据令牌化 - Amazon Redshift
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

数据令牌化

令牌化是为了数据安全目的将实际值替换为不透明值的过程。安全敏感型应用程序使用令牌化来替换敏感数据,如个人身份信息 (PII) 或受保护健康信息 (PHI),以降低安全风险。取消令牌化使用适当的安全策略为授权用户使用实际值来反转令牌。

为了与第三方令牌化服务集成,您可以使用 Amazon Redshift 用户定义的函数 (UDF),这些函数使用 Amazon Lambda 创建。有关更多信息,请参阅《Amazon Redshift 数据库开发人员指南》中的 Lambda 用户定义的函数。例如,请参阅 Protegrity

Amazon Redshift 将令牌化请求发送到通过 REST API 或预定义端点访问的令牌化服务器。两个或多个互补的 Lambda 函数处理令牌化和取消令牌化请求。对于此处理,您可以使用第三方令牌化提供程序提供的 Lambda 函数。您还可以使用在 Amazon Redshift 中注册为 Lambda UDF 的 Lambda 函数。

例如,假设提交的查询在列上调用令牌化或取消令牌化 UDF。Amazon Redshift 集群可以后台处理适用的参数行,并将这些行分批并行发送到 Lambda 函数。Amazon Redshift 计算节点和 Lambda 之间的数据传输是在客户端无法访问的独立隔离网络连接中进行的。Lambda 函数将数据传递到令牌化服务器端点。令牌化服务器根据需要对数据进行令牌化或取消令牌化,并返回数据。然后,Lambda 函数将结果传输到 Amazon Redshift 集群进行进一步处理(如有必要),然后返回查询结果。