Implante e gerencie esse serviço para produzir relatórios de resumo para a API Attribution Reporting ou a API Private Aggregate.
Implante e gerencie um serviço de agregação para processar relatórios agregáveis da API Attribution Reporting ou da API Private Aggregate e criar um relatório de resumo.
Status da implementação
- O Serviço de agregação agora está em disponibilidade geral.
- O serviço de agregação pode ser testado com a API Attribution Reporting e a API Private Aggegration para as APIs Protected Audience e Armazenamento compartilhado.
Na explicação, descrevemos os termos-chave úteis para entender o serviço de agregação.
Disponibilidade
建议 | 状态 |
---|---|
Attribution Reporting API 和 Private Aggregation API 为 Amazon Web Services (AWS) 提供的汇总服务支持
说明 |
可用 |
Attribution Reporting API 和 Private Aggregation API 为 Google Cloud 提供的汇总服务支持 说明 |
推出 Beta 版 |
注册汇总服务网站以及将网站映射到云账号(AWS 或 GCP) GitHub 上的常见问题解答 |
可用 |
汇总服务的 epsilon 值将保持在 64 这一范围内,以便于针对不同参数进行实验和提供反馈。
提交 ARA epsilon 反馈。 提交 PAA epsilon 反馈。 |
可用。在 epsilon 范围值更新之前,我们会提前向生态系统发出通知。 |
针对汇总服务查询更灵活的贡献过滤
说明 |
预计 2024 年第 2 季度 |
灾难恢复后的预算恢复流程(错误、配置错误等)
GitHub 问题 |
预计 2024 年第 2 季度 |
Accenture 是 AWS 的协调员之一
开发者博客 |
可用 |
担任 Google Cloud 协调员之一的独立方
开发者博客 |
预计 2024 年第 3 季度 |
Processamento de dados seguro
O serviço de agregação descriptografa e combina os dados coletados dos relatórios agregáveis, adiciona ruído e retorna o relatório de resumo final. Esse serviço é executado em um ambiente de execução confiável (TEE), implantado em um serviço de nuvem compatível com as medidas de segurança necessárias para proteger esses dados.
O código do TEE é o único local no serviço de agregação que tem acesso a relatórios brutos. Esse código vai poder ser auditado por pesquisadores de segurança, defensores de privacidade e adtechs. Para confirmar que o TEE está executando o software exato aprovado e que os dados permanecem seguros, um coordenador realiza o atestado.
Atestado de coordenador do TEE
O coordenador é uma entidade responsável pelo gerenciamento de chaves e pela contabilização de relatórios agregáveis.
Um coordenador tem várias responsabilidades:
- Manter uma lista de imagens binárias autorizadas. Essas imagens são hashes criptográficos dos builds de software do serviço de agregação, que o Google lançará periodicamente. Isso será reproduzível para que qualquer parte possa verificar se as imagens são idênticas aos builds do serviço de agregação.
- Opera um sistema de gerenciamento de chaves. As chaves de criptografia são necessárias para que o Chrome no dispositivo de um usuário criptografe relatórios agregáveis. As chaves de descriptografia são necessárias para provar que o código do serviço de agregação corresponde às imagens binárias.
- Rastreie os relatórios agregáveis para evitar a reutilização em relatórios de resumo, já que a reutilização pode revelar informações de identificação pessoal (PII).
Regra "Nenhuma cópia"
Para conseguir insights sobre o conteúdo de um relatório agregável específico, um invasor pode fazer várias cópias do relatório e incluí-las em um único ou em vários lotes. Por isso, o serviço de agregação aplica uma regra "sem duplicatas":
- Em lote: um relatório agregável só pode aparecer uma vez no lote.
- Em lotes: os relatórios agregáveis não podem aparecer em mais de um lote nem contribuir com mais de um relatório de resumo.
Para isso, o navegador atribui um ID compartilhado a cada relatório agregável.
O navegador gera o ID compartilhado de vários pontos de dados, incluindo: versão da
API, origem do relatório, site de destino, hora de registro da fonte e
horário do relatório programado. Esses dados são provenientes do campo
shared_info
no relatório.
O serviço de agregação confirma que todos os relatórios agregáveis com o mesmo ID compartilhado estão no mesmo lote e informa ao coordenador que o ID compartilhado foi processado. Quando vários lotes são criados com o mesmo código, somente um pode ser aceito para agregação, e os outros são rejeitados.
Quando você executa uma execução de depuração, a regra "sem duplicatas" não é aplicada em lotes. Em outras palavras, relatórios de lotes anteriores podem aparecer em uma execução de depuração. No entanto, a regra ainda é aplicada em um lote. Isso permite testar o serviço e várias estratégias de lotes, sem limitar o processamento futuro em um ambiente de produção.
Ruído e escalonamento
Para proteger a privacidade do usuário, o serviço de agregação aplica um mecanismo de ruído aditivo aos dados brutos dos relatórios agregáveis. Isso significa que uma determinada quantidade de ruído estatístico é adicionada a cada valor agregado antes do lançamento em um relatório de resumo.
Você não está no controle direto das maneiras como o ruído é adicionado, mas pode influenciar o impacto dele nos dados de medição.
O valor de ruído é extraído aleatoriamente de uma distribuição de probabilidade de Laplace, e essa distribuição é a mesma, independente da quantidade de dados coletados nos relatórios agregáveis. Quanto mais dados você coletar, menor será o impacto do ruído nos resultados do relatório de resumo. É possível multiplicar os dados do relatório agregável por um fator de escalonamento para reduzir o impacto do ruído.
Para entender como o ruído é adicionado, seus controles e o impacto nos seus relatórios, consulte o Orçamento de contribuição e Escalonar para o orçamento de contribuição em Como trabalhar com ruído.
Gerar relatórios de resumo
A geração do relatório de resumo depende do seu uso da API. Saiba mais sobre como gerar relatórios de resumo para a API Private Aggregate e a API Attribution Reporting.
Testar o serviço de agregação
Recomendamos a leitura do guia correspondente para cada API que você está testando:
Para testar o serviço de agregação na AWS, consulte estas instruções.
Uma ferramenta de teste local também está disponível para processar relatórios agregáveis da API Attribution Reporting e da API Private Aggregate.
O framework de teste de carga do serviço de agregação fornece uma sugestão de framework de teste.
Interaja e compartilhe feedback
O serviço de agregação é uma parte fundamental das APIs de medição do Sandbox de privacidade. Assim como outras APIs do Sandbox de privacidade, ela é documentada e discutida publicamente no GitHub.
- GitHub: leia a explicação, faça perguntas e participe da discussão. Consulte também a implementação do serviço de agregação e envie feedback sobre a implementação.
- Suporte ao desenvolvedor: faça perguntas e participe de discussões no repositório de suporte para desenvolvedores do Sandbox de privacidade.