Cette page a été traduite par l'API Cloud Translation.

Présentation du service d'agrégation

Déployez et gérez ce service afin de produire des rapports récapitulatifs pour l'API Attribution Reporting ou Private Aggregation.

Déployez et gérez un service d'agrégation pour traiter les rapports agrégables de l'API Attribution Reporting ou de l'API Private Aggregation pour créer un rapport récapitulatif.

État de l'implémentation

Le service d'agrégation est désormais en disponibilité générale.
Le service d'agrégation peut être testé avec l'API Attribution Reporting et l'API Private Aggration pour l'API Protected Audience et le stockage partagé.

Il présente les termes clés utiles pour comprendre le service d'agrégation.

Garantie de disponibilité

Proposal	Status
Aggregation Service support for Amazon Web Services (AWS) across Attribution Reporting API, Private Aggregation API Explainer	Available
Aggregation Service support for Google Cloud across Attribution Reporting API, Private Aggregation API Explainer	Available in beta
Aggregation Service site enrollment and mapping of a site to cloud accounts (AWS, or GCP) FAQs on GitHub	Available
The Aggregation Service's epsilon value will be kept as a range of up to 64, to facilitate experimentation and feedback on different parameters. Submit ARA epsilon feedback. Submit PAA epsilon feedback.	Available. We will provide advanced notice to the ecosystem before the epsilon range values are updated.
More flexible contribution filtering for Aggregation Service queries Explainer	Expected Q2 2024
Process for budget recovery post-disasters (errors, misconfigurations, and so on) GitHub issue	Expected Q2 2024
Accenture operating as one of the Coordinators on AWS Developer Blog	Available
Independent party operating as one of the Coordinators on Google Cloud Developer Blog	Expected Q3 2024

Traitement sécurisé des données

Le service d'agrégation déchiffre et combine les données collectées à partir des rapports agrégables, ajoute du bruit et renvoie le rapport récapitulatif final. Ce service s'exécute dans un environnement d'exécution sécurisé (TEE), déployé sur un service cloud qui prend en charge les mesures de sécurité nécessaires pour protéger ces données.

Le code du TEE est le seul emplacement du service d'agrégation à accéder aux rapports bruts. Ce code pourra être audité par des chercheurs en sécurité, des défenseurs de la confidentialité et des technologies publicitaires. Pour confirmer que le TEE exécute le logiciel approuvé exact et que les données restent sécurisées, un coordinateur effectue une attestation.

Les rapports agrégables sont collectés, regroupés et envoyés au TEE pour être transformés en un rapport récapitulatif final. — Les rapports agrégables sont collectés, regroupés et envoyés au service d'agrégation, exécuté sur un TEE. L'environnement du service d'agrégation est détenu et géré par la même partie qui collecte les données.

Attestation du coordinateur du TEE

Le coordinateur est une entité responsable de la gestion des clés et de la comptabilisation des rapports agrégables.

Un coordinateur a plusieurs responsabilités:

gérer une liste d'images binaires autorisées ; Ces images sont des hachages cryptographiques des versions du logiciel du service d'agrégation que Google publiera régulièrement. Ce problème sera reproductible afin que n'importe quelle partie puisse vérifier que les images sont identiques aux compilations du service d'agrégation.
Exploiter un système de gestion des clés Des clés de chiffrement sont nécessaires pour que Chrome puisse chiffrer des rapports agrégables sur l'appareil d'un utilisateur. Des clés de déchiffrement sont nécessaires pour prouver que le code du service d'agrégation correspond aux images binaires.
Suivez les rapports agrégables pour empêcher leur réutilisation dans les rapports récapitulatifs, car leur réutilisation peut révéler des informations permettant d'identifier personnellement l'utilisateur.

Règle "Aucun doublon"

Pour mieux comprendre le contenu d'un rapport agrégable spécifique, un pirate informatique peut effectuer plusieurs copies du rapport et les inclure dans un ou plusieurs lots. Pour cette raison, le service d'agrégation applique une règle "Aucun doublon" :

Par lot: un rapport agrégable ne peut apparaître qu'une seule fois dans un lot.
Plusieurs lots: les rapports agrégables ne peuvent pas apparaître dans plusieurs lots ni contribuer à plusieurs rapports récapitulatifs.

Pour ce faire, le navigateur attribue un ID partagé à chaque rapport agrégable. Le navigateur génère l'ID partagé à partir de plusieurs points de données, y compris la version de l'API, l'origine du rapport, le site de destination, l'heure d'enregistrement de la source et l'heure du rapport planifié. Ces données proviennent du champ shared_info du rapport.

Le service d'agrégation confirme que tous les rapports agrégables ayant le même ID partagé se trouvent dans le même lot et signale au coordinateur que l'ID partagé a été traité. Si plusieurs lots sont créés avec le même ID, un seul lot peut être accepté pour l'agrégation et les autres sont refusés.

Lorsque vous effectuez une exécution de débogage, la règle "aucun doublon" n'est appliquée aux lots. En d'autres termes, les rapports des lots précédents peuvent apparaître dans une exécution de débogage. Cependant, la règle est toujours appliquée au sein d'un lot. Cela vous permet de tester le service et différentes stratégies de traitement par lot, sans limiter les futurs traitements dans un environnement de production.

Bruit et scaling

Pour protéger la confidentialité des utilisateurs, le service d'agrégation applique un mécanisme de bruit supplémentaire aux données brutes des rapports agrégables. Cela signifie qu'une certaine quantité de bruit statistique est ajoutée à chaque valeur agrégée avant sa publication dans un rapport récapitulatif.

Bien que vous ne puissiez pas contrôler directement la manière dont le bruit est ajouté, vous pouvez influer sur son impact sur ses données de mesure.

Le bruit est constant, quelle que soit la valeur agrégée.

La valeur du bruit est tirée de manière aléatoire d'une distribution de probabilité de Laplace, et la distribution est la même quelle que soit la quantité de données collectées dans les rapports agrégables. Plus vous collectez de données, moins le bruit aura d'impact sur les résultats du rapport récapitulatif. Vous pouvez multiplier les données du rapport agrégable par un facteur de scaling pour réduire l'impact du bruit.

Pour comprendre comment le bruit est ajouté, vos commandes et l'impact sur vos rapports, consultez les sections Budget de contribution et Augmenter le budget de contribution dans Utiliser le bruit.

Générer des rapports de synthèse

La génération de rapports de synthèse dépend de votre utilisation de l'API. Découvrez comment générer des rapports récapitulatifs pour l'API Private Aggregation et l'API Attribution Reporting.

Tester le service d'agrégation

Nous vous recommandons de lire le guide correspondant à chaque API que vous testez:

Pour tester le service d'agrégation sur AWS, consultez ces instructions.

Un outil de test local est également disponible afin de traiter les rapports agrégables pour Attribution Reporting et l'API Private Aggregation.

Le framework de test de charge du service d'agrégation suggère un framework de test.

Interagir et donner votre avis

Le service d'agrégation est un élément clé des API de mesure de la Privacy Sandbox. Comme pour d'autres API Privacy Sandbox, cette approche est documentée et discutée publiquement sur GitHub.

GitHub: consultez l'explication, soulevez des questions et participez à la discussion. Consultez également l'implémentation du service d'agrégation et envoyez des commentaires sur l'implémentation.
Assistance aux développeurs: posez des questions et participez à des discussions sur le dépôt de l'assistance aux développeurs Privacy Sandbox.