Cette page a été traduite par l'API Cloud Translation.

Présentation du service d'agrégation

Déployez et gérez ce service afin de produire des rapports récapitulatifs pour l'API Attribution Reporting ou Private Aggregation.

Déployez et gérez un service d'agrégation pour traiter les rapports agrégables de l'API Attribution Reporting ou de l'API Private Aggregation pour créer un rapport récapitulatif.

État de l'implémentation

Le service d'agrégation est désormais en disponibilité générale.
Le service d'agrégation peut être testé avec l'API Attribution Reporting et l'API Private Aggration pour l'API Protected Audience et le stockage partagé.

Il présente les termes clés utiles pour comprendre le service d'agrégation.

Garantie de disponibilité

Proposition	État
Compatibilité du service d'agrégation pour Amazon Web Services (AWS) via l'API Attribution Reporting et l'API Private Aggregation Explication	Disponible
Compatibilité du service d'agrégation pour Google Cloud via l'API Attribution Reporting et l'API Private Aggregation Explication	Disponible en version bêta
Enregistrement et mappage d'un site via un service d'agrégation avec des comptes cloud (AWS ou GCP) Questions fréquentes sur GitHub	Disponible
La valeur epsilon du service d'agrégation sera conservée sous la forme d'une plage allant jusqu'à 64, afin de faciliter l'expérimentation et l'envoi de commentaires sur différents paramètres. Envoyez vos commentaires sur l'ARA epsilon. Envoyez vos commentaires sur PAA epsilon.	Disponible. Nous informerons l'écosystème avant la mise à jour des valeurs de la plage epsilon.
Filtrage des contributions plus flexible pour les requêtes du service d'agrégation Explication	Prévision 2e trimestre 2024
Processus de récupération budgétaire post-catastrophes (erreurs, erreurs de configuration, etc.) Problème GitHub	Prévision 2e trimestre 2024
Accenture faisant partie des coordinateurs sur AWS Blog des développeurs	Disponible
Organisme indépendant agissant en tant que coordinateur sur Google Cloud Blog des développeurs	Prévision 3e trimestre 2024

Traitement sécurisé des données

Le service d'agrégation déchiffre et combine les données collectées à partir des rapports agrégables, ajoute du bruit et renvoie le rapport récapitulatif final. Ce service s'exécute dans un environnement d'exécution sécurisé (TEE), déployé sur un service cloud qui prend en charge les mesures de sécurité nécessaires pour protéger ces données.

Le code du TEE est le seul emplacement du service d'agrégation à accéder aux rapports bruts. Ce code pourra être audité par des chercheurs en sécurité, des défenseurs de la confidentialité et des technologies publicitaires. Pour confirmer que le TEE exécute le logiciel approuvé exact et que les données restent sécurisées, un coordinateur effectue une attestation.

Les rapports agrégables sont collectés, regroupés et envoyés au TEE pour être transformés en un rapport récapitulatif final. — Les rapports agrégables sont collectés, regroupés et envoyés au service d'agrégation, exécuté sur un TEE. L'environnement du service d'agrégation est détenu et géré par la même partie qui collecte les données.

Attestation du coordinateur du TEE

Le coordinateur est une entité responsable de la gestion des clés et de la comptabilisation des rapports agrégables.

Un coordinateur a plusieurs responsabilités:

gérer une liste d'images binaires autorisées ; Ces images sont des hachages cryptographiques des versions du logiciel du service d'agrégation que Google publiera régulièrement. Ce problème sera reproductible afin que n'importe quelle partie puisse vérifier que les images sont identiques aux compilations du service d'agrégation.
Exploiter un système de gestion des clés Des clés de chiffrement sont nécessaires pour que Chrome puisse chiffrer des rapports agrégables sur l'appareil d'un utilisateur. Des clés de déchiffrement sont nécessaires pour prouver que le code du service d'agrégation correspond aux images binaires.
Suivez les rapports agrégables pour empêcher leur réutilisation dans les rapports récapitulatifs, car leur réutilisation peut révéler des informations permettant d'identifier personnellement l'utilisateur.

Règle "Aucun doublon"

Pour mieux comprendre le contenu d'un rapport agrégable spécifique, un pirate informatique peut effectuer plusieurs copies du rapport et les inclure dans un ou plusieurs lots. Pour cette raison, le service d'agrégation applique une règle "Aucun doublon" :

Par lot: un rapport agrégable ne peut apparaître qu'une seule fois dans un lot.
Plusieurs lots: les rapports agrégables ne peuvent pas apparaître dans plusieurs lots ni contribuer à plusieurs rapports récapitulatifs.

Pour ce faire, le navigateur attribue un ID partagé à chaque rapport agrégable. Le navigateur génère l'ID partagé à partir de plusieurs points de données, y compris la version de l'API, l'origine du rapport, le site de destination, l'heure d'enregistrement de la source et l'heure du rapport planifié. Ces données proviennent du champ shared_info du rapport.

Le service d'agrégation confirme que tous les rapports agrégables ayant le même ID partagé se trouvent dans le même lot et signale au coordinateur que l'ID partagé a été traité. Si plusieurs lots sont créés avec le même ID, un seul lot peut être accepté pour l'agrégation et les autres sont refusés.

Lorsque vous effectuez une exécution de débogage, la règle "aucun doublon" n'est appliquée aux lots. En d'autres termes, les rapports des lots précédents peuvent apparaître dans une exécution de débogage. Cependant, la règle est toujours appliquée au sein d'un lot. Cela vous permet de tester le service et différentes stratégies de traitement par lot, sans limiter les futurs traitements dans un environnement de production.

Bruit et scaling

Pour protéger la confidentialité des utilisateurs, le service d'agrégation applique un mécanisme de bruit supplémentaire aux données brutes des rapports agrégables. Cela signifie qu'une certaine quantité de bruit statistique est ajoutée à chaque valeur agrégée avant sa publication dans un rapport récapitulatif.

Bien que vous ne puissiez pas contrôler directement la manière dont le bruit est ajouté, vous pouvez influer sur son impact sur ses données de mesure.

Le bruit est constant, quelle que soit la valeur agrégée.

La valeur du bruit est tirée de manière aléatoire d'une distribution de probabilité de Laplace, et la distribution est la même quelle que soit la quantité de données collectées dans les rapports agrégables. Plus vous collectez de données, moins le bruit aura d'impact sur les résultats du rapport récapitulatif. Vous pouvez multiplier les données du rapport agrégable par un facteur de scaling pour réduire l'impact du bruit.

Pour comprendre comment le bruit est ajouté, vos commandes et l'impact sur vos rapports, consultez les sections Budget de contribution et Augmenter le budget de contribution dans Utiliser le bruit.

Générer des rapports de synthèse

La génération de rapports de synthèse dépend de votre utilisation de l'API. Découvrez comment générer des rapports récapitulatifs pour l'API Private Aggregation et l'API Attribution Reporting.

Tester le service d'agrégation

Nous vous recommandons de lire le guide correspondant à chaque API que vous testez:

Pour tester le service d'agrégation sur AWS, consultez ces instructions.

Un outil de test local est également disponible afin de traiter les rapports agrégables pour Attribution Reporting et l'API Private Aggregation.

Le framework de test de charge du service d'agrégation suggère un framework de test.

Interagir et donner votre avis

Le service d'agrégation est un élément clé des API de mesure de la Privacy Sandbox. Comme pour d'autres API Privacy Sandbox, cette approche est documentée et discutée publiquement sur GitHub.

GitHub: consultez l'explication, soulevez des questions et participez à la discussion. Consultez également l'implémentation du service d'agrégation et envoyez des commentaires sur l'implémentation.
Assistance aux développeurs: posez des questions et participez à des discussions sur le dépôt de l'assistance aux développeurs Privacy Sandbox.