Implante e gerencie esse serviço para produzir relatórios de resumo para a API Attribution Reporting ou a API Private Aggregate.
Implante e gerencie um serviço de agregação para processar relatórios agregáveis da API Attribution Reporting ou da API Private Aggregate e criar um relatório de resumo.
Status da implementação
- O Serviço de agregação agora está em disponibilidade geral.
- O serviço de agregação pode ser testado com a API Attribution Reporting e a API Private Aggegration para as APIs Protected Audience e Armazenamento compartilhado.
Na explicação, descrevemos os termos-chave úteis para entender o serviço de agregação.
Disponibilidade
Proposal | Status |
---|---|
Aggregation Service support for Amazon Web Services (AWS) across Attribution Reporting API, Private Aggregation API
Explainer |
Available |
Aggregation Service support for Google Cloud across Attribution Reporting API, Private Aggregation API Explainer |
Available in beta |
Aggregation Service site enrollment and mapping of a site to cloud accounts (AWS, or GCP) FAQs on GitHub |
Available |
The Aggregation Service's epsilon value will be kept as a range of up to 64, to facilitate experimentation and feedback on different parameters.
Submit ARA epsilon feedback. Submit PAA epsilon feedback. |
Available. We will provide advanced notice to the ecosystem before the epsilon range values are updated. |
More flexible contribution filtering for Aggregation Service queries
Explainer |
Expected Q2 2024 |
Process for budget recovery post-disasters (errors, misconfigurations, and so on)
GitHub issue |
Expected Q2 2024 |
Accenture operating as one of the Coordinators on AWS
Developer Blog |
Available |
Independent party operating as one of the Coordinators on Google Cloud
Developer Blog |
Expected Q3 2024 |
Processamento de dados seguro
O serviço de agregação descriptografa e combina os dados coletados dos relatórios agregáveis, adiciona ruído e retorna o relatório de resumo final. Esse serviço é executado em um ambiente de execução confiável (TEE), implantado em um serviço de nuvem compatível com as medidas de segurança necessárias para proteger esses dados.
O código do TEE é o único local no serviço de agregação que tem acesso a relatórios brutos. Esse código vai poder ser auditado por pesquisadores de segurança, defensores de privacidade e adtechs. Para confirmar que o TEE está executando o software exato aprovado e que os dados permanecem seguros, um coordenador realiza o atestado.
Atestado de coordenador do TEE
O coordenador é uma entidade responsável pelo gerenciamento de chaves e pela contabilização de relatórios agregáveis.
Um coordenador tem várias responsabilidades:
- Manter uma lista de imagens binárias autorizadas. Essas imagens são hashes criptográficos dos builds de software do serviço de agregação, que o Google lançará periodicamente. Isso será reproduzível para que qualquer parte possa verificar se as imagens são idênticas aos builds do serviço de agregação.
- Opera um sistema de gerenciamento de chaves. As chaves de criptografia são necessárias para que o Chrome no dispositivo de um usuário criptografe relatórios agregáveis. As chaves de descriptografia são necessárias para provar que o código do serviço de agregação corresponde às imagens binárias.
- Rastreie os relatórios agregáveis para evitar a reutilização em relatórios de resumo, já que a reutilização pode revelar informações de identificação pessoal (PII).
Regra "Nenhuma cópia"
Para conseguir insights sobre o conteúdo de um relatório agregável específico, um invasor pode fazer várias cópias do relatório e incluí-las em um único ou em vários lotes. Por isso, o serviço de agregação aplica uma regra "sem duplicatas":
- Em lote: um relatório agregável só pode aparecer uma vez no lote.
- Em lotes: os relatórios agregáveis não podem aparecer em mais de um lote nem contribuir com mais de um relatório de resumo.
Para isso, o navegador atribui um ID compartilhado a cada relatório agregável.
O navegador gera o ID compartilhado de vários pontos de dados, incluindo: versão da
API, origem do relatório, site de destino, hora de registro da fonte e
horário do relatório programado. Esses dados são provenientes do campo
shared_info
no relatório.
O serviço de agregação confirma que todos os relatórios agregáveis com o mesmo ID compartilhado estão no mesmo lote e informa ao coordenador que o ID compartilhado foi processado. Quando vários lotes são criados com o mesmo código, somente um pode ser aceito para agregação, e os outros são rejeitados.
Quando você executa uma execução de depuração, a regra "sem duplicatas" não é aplicada em lotes. Em outras palavras, relatórios de lotes anteriores podem aparecer em uma execução de depuração. No entanto, a regra ainda é aplicada em um lote. Isso permite testar o serviço e várias estratégias de lotes, sem limitar o processamento futuro em um ambiente de produção.
Ruído e escalonamento
Para proteger a privacidade do usuário, o serviço de agregação aplica um mecanismo de ruído aditivo aos dados brutos dos relatórios agregáveis. Isso significa que uma determinada quantidade de ruído estatístico é adicionada a cada valor agregado antes do lançamento em um relatório de resumo.
Você não está no controle direto das maneiras como o ruído é adicionado, mas pode influenciar o impacto dele nos dados de medição.
O valor de ruído é extraído aleatoriamente de uma distribuição de probabilidade de Laplace, e essa distribuição é a mesma, independente da quantidade de dados coletados nos relatórios agregáveis. Quanto mais dados você coletar, menor será o impacto do ruído nos resultados do relatório de resumo. É possível multiplicar os dados do relatório agregável por um fator de escalonamento para reduzir o impacto do ruído.
Para entender como o ruído é adicionado, seus controles e o impacto nos seus relatórios, consulte o Orçamento de contribuição e Escalonar para o orçamento de contribuição em Como trabalhar com ruído.
Gerar relatórios de resumo
A geração do relatório de resumo depende do seu uso da API. Saiba mais sobre como gerar relatórios de resumo para a API Private Aggregate e a API Attribution Reporting.
Testar o serviço de agregação
Recomendamos a leitura do guia correspondente para cada API que você está testando:
Para testar o serviço de agregação na AWS, consulte estas instruções.
Uma ferramenta de teste local também está disponível para processar relatórios agregáveis da API Attribution Reporting e da API Private Aggregate.
O framework de teste de carga do serviço de agregação fornece uma sugestão de framework de teste.
Interaja e compartilhe feedback
O serviço de agregação é uma parte fundamental das APIs de medição do Sandbox de privacidade. Assim como outras APIs do Sandbox de privacidade, ela é documentada e discutida publicamente no GitHub.
- GitHub: leia a explicação, faça perguntas e participe da discussão. Consulte também a implementação do serviço de agregação e envie feedback sobre a implementação.
- Suporte ao desenvolvedor: faça perguntas e participe de discussões no repositório de suporte para desenvolvedores do Sandbox de privacidade.