Conceptos clave de la API de Private Aggregation
¿Para quién está destinado este documento?
La API de agregación privada permite la recopilación de datos agregados de los worklets con acceso a datos entre sitios. Los conceptos que se comparten aquí son importantes para los desarrolladores que compilan funciones de informes dentro de la API de Shared Storage y Protected Audience.
- Si eres un desarrollador que crea un sistema de informes para la medición entre sitios
- Si eres especialista en marketing, científico de datos o cualquier otro usuario de informes de resumen, comprender estos mecanismos te ayudará a tomar decisiones de diseño para recuperar un informe de resumen optimizado.
Términos clave
Antes de leer este documento, te recomendamos que te familiarices con los términos y conceptos clave. Cada uno de estos términos se describirá en detalle aquí.
- Una clave de agregación (también conocida como bucket) es una recopilación predeterminada de datos. Por ejemplo, es posible que desees recopilar un bucket de datos de ubicación en el que el navegador informe el nombre del país. Una clave de agregación puede contener más de una dimensión (por ejemplo, el país y el ID de tu widget de contenido).
- Un valor agregable es un dato individual que se recopila en una clave de agregación. Si deseas medir cuántos usuarios de Francia vieron tu contenido,
France
es una dimensión en la clave de agregación y elviewCount
de1
es el valor agregable. - Los informes agregables se generan y encriptan en un navegador. En el caso de la API de Private Aggregation, contiene datos sobre un solo evento.
- El servicio de agregación procesa los datos de los informes agregables para crear un informe de resumen.
- Un informe de resumen es el resultado final del servicio de agregación y contiene datos de usuarios agregados con ruido y datos de conversiones detallados.
- Un worklet es un elemento de infraestructura que te permite ejecutar funciones específicas de JavaScript y devolver información al solicitante. Dentro de una worklet, puedes ejecutar JavaScript, pero no puedes interactuar ni comunicarte con la página externa.
Flujo de trabajo de Private Aggregation
Cuando llamas a la API de agregación privada con una clave de agregación y un valor que se puede agregar, el navegador genera un informe que se puede agregar. Los informes se envían a tu servidor, que los agrupa. El servicio de agregación procesará los informes por lotes más adelante y se generará un informe de resumen.
- Cuando llamas a la API de agregación privada, el cliente (navegador) genera y envía el informe agregable a tu servidor para que se recopile.
- Tu servidor recopila los informes de los clientes y los agrupa para enviarlos al servicio de agregación.
- Una vez que hayas recopilado suficientes informes, los agruparás y enviarás al servicio de agregación, que se ejecuta en un entorno de ejecución de confianza, para generar un informe de resumen.
El flujo de trabajo que se describe en esta sección es similar al de la API de Attribution Reporting. Sin embargo, los Informes de atribución asocian los datos recopilados de un evento de impresión y un evento de conversión, que ocurren en diferentes momentos. La agregación privada mide un solo evento entre sitios.
Clave de agregación
Una clave de agregación ("clave" para abreviar) representa el bucket en el que se acumularán los valores agregables. Se pueden codificar una o más dimensiones en la clave. Una dimensión representa un aspecto sobre el que deseas obtener más información, como el grupo etario de los usuarios o el recuento de impresiones de una campaña publicitaria.
Por ejemplo, puedes tener un widget incorporado en varios sitios y querer analizar el país de los usuarios que lo vieron. Quieres responder preguntas como “¿Cuántos de los usuarios que vieron mi widget son de País X?”. Para generar informes sobre esta pregunta, puedes configurar una clave de agregación que codifique dos dimensiones: el ID del widget y el ID del país.
La clave que se proporciona a la API de Private Aggregation es un BigInt, que consta de varias dimensiones. En este ejemplo, las dimensiones son el ID del widget y el ID del país. Supongamos que el ID del widget puede tener hasta 4 dígitos, como 1234
, y que cada país se asigna a un número en orden alfabético, por ejemplo, Afganistán es 1
, Francia es 61
y Zimbabue es 195
.
Por lo tanto, la clave agregable tendría 7 dígitos, en los que los primeros 4 caracteres están reservados para WidgetID
y los últimos 3 caracteres están reservados para CountryID
.
Supongamos que la clave representa el recuento de usuarios de Francia (ID de país 061
) que vieron el ID del widget 3276
. La clave de agregación es 3276061
.
Clave de agregación | |
ID del widget | ID del país |
3276 | 061 |
La clave de agregación también se puede generar con un mecanismo de hash, como SHA-256. Por ejemplo, la cadena {"WidgetId":3276,"CountryID":67}
se puede generar un hash y, luego, convertirse en un valor BigInt
de 42943797454801331377966796057547478208888578253058197330928948081739249096287n
.
Si el valor de hash tiene más de 128 bits, puedes truncarlo para asegurarte de que no
supere el valor máximo permitido del bucket de 2^128−1
.
Dentro de una tarea de trabajo de almacenamiento compartido, puedes acceder a los módulos crypto
y TextEncoder
que pueden ayudarte a generar un hash. Para obtener más información sobre cómo generar un hash, consulta SubtleCrypto.digest()
en MDN.
En el siguiente ejemplo, se describe cómo puedes generar una clave de bucket a partir de un valor con codificación hash:
async function convertToBucket(data) {
// Encode as UTF-8 Uint8Array
const encodedData = new TextEncoder().encode(data);
// Generate SHA-256 hash
const hashBuffer = await crypto.subtle.digest('SHA-256', encodedData);
// Truncate the hash
const truncatedHash = Array.from(new Uint8Array(hashBuffer, 0, 16));
// Convert the byte sequence to a decimal
return truncatedHash.reduce((acc, curr) => acc * 256n + BigInt(curr), 0n);
}
const data = {
WidgetId: 3276,
CountryID: 67
};
const dataString = JSON.stringify(data);
const bucket = await convertToBucket(dataString);
console.log(bucket); // 126200478277438733997751102134640640264n
Valor agregable
Los valores agregables se suman por clave en muchos usuarios para generar estadísticas agregadas en forma de valores de resumen en los informes de resumen.
Ahora, vuelve a la pregunta de ejemplo que se planteó anteriormente: "¿Cuántos de los usuarios que vieron mi widget son de Francia?". La respuesta a esta pregunta se verá aproximadamente así: "Aproximadamente 4,881 usuarios que vieron mi widget con el ID 3276 son de Francia". El valor agregable es 1 para cada usuario, y "4881 usuarios" es el valor agregado que es la suma de todos los valores agregables para esa clave de agregación.
Clave de agregación | Valor agregable | |
ID del widget | ID del país | Recuento de vistas |
3276 | 061 | 1 |
En este ejemplo, incrementamos el valor en 1 para cada usuario que ve el widget. En la práctica, el valor agregable se puede escalar para mejorar la relación señal-ruido.
Presupuesto de contribución
Cada llamada a la API de Private Aggregation se denomina contribución. Para proteger la privacidad del usuario, la cantidad de contribuciones que se pueden recopilar de una persona es limitada.
Cuando sumas todos los valores agregables en todas las claves de agregación, la suma debe ser inferior al presupuesto de contribución. El presupuesto se define por origen y por día de las worklets, y es independiente para las worklets de la API de Protected Audience y Shared Storage. Se usa un período continuo de aproximadamente las últimas 24 horas para el día. Si un informe nuevo que se puede agregar provocaría que se supere el presupuesto, no se creará.
El presupuesto de contribución está representado por el parámetro L1 y se establece en 216 (65,536) por diez minutos por día con un resguardo de 220 (1,048,576). Consulta la explicación para obtener más información sobre estos parámetros.
El valor del presupuesto de contribución es arbitrario, pero el ruido se ajusta a él. Puedes usar este presupuesto para maximizar la relación señal-ruido en los valores de resumen (que se explica con más detalle en la sección Ruido y escalamiento).
Para obtener más información sobre los presupuestos de contribuciones, consulta la explicación. Además, consulta el presupuesto de contribuciones para obtener más orientación.
Límite de contribuciones por informe
Según el llamador, el límite de contribución puede variar. Por el momento, los informes generados para los llamadores de la API de Shared Storage tienen un límite de 20 contribuciones por informe. Por otro lado, los llamadores a la API de Protected Audience tienen un límite de 100 contribuciones por informe. Se eligieron estos límites para equilibrar la cantidad de contribuciones que se pueden incorporar con el tamaño de la carga útil.
En el caso del almacenamiento compartido, las contribuciones realizadas en una sola operación run()
o selectURL()
se agrupan en un solo informe. En el caso de Protected Audience, las contribuciones que realiza un solo origen dentro de una subasta se agrupan en lotes.
Contribuciones con padding
Las contribuciones se modifican aún más con una función de padding. El acto de rellenar la carga útil protege la información sobre la cantidad real de contribuciones incorporadas en el informe agregable. El padding aumenta la carga útil con contribuciones de null
(es decir, con un valor de 0) para alcanzar una longitud fija.
Informes agregables
Una vez que el usuario invoca la API de Private Aggregation, el navegador genera informes agregables que el servicio de agregación procesará más adelante para generar informes de resumen. Un informe agregable tiene formato JSON y contiene una lista encriptada de contribuciones, cada una de las cuales es un par {aggregation key, aggregatable value}
.
Los informes agregables se envían con un retraso aleatorio de hasta una hora.
Las contribuciones están encriptadas y no se pueden leer fuera del servicio de agregación. El servicio de agregación desencripta los informes y genera un informe de resumen. El coordinador, que actúa como servicio de administración de claves, emite la clave de encriptación para el navegador y la clave de desencriptación para el servicio de agregación. El coordinador mantiene una lista de valores hash binarios de la imagen del servicio para verificar que el llamador pueda recibir la clave de desencriptación.
Ejemplo de un informe agregable con el modo de depuración habilitado:
"aggregation_service_payloads": [
{
"debug_cleartext_payload": "omRkYXRhgaJldmFsdWVEAAAAgGZidWNrZXRQAAAAAAAAAAAAAAAAAAAE0mlvcGVyYXRpb25paGlzdG9ncmFt",
"key_id": "2cc72b6a-b92f-4b78-b929-e3048294f4d6",
"payload": "a9Mk3XxvnfX70FsKrzcLNZPy+00kWYnoXF23ZpNXPz/Htv1KCzl/exzplqVlM/wvXdKUXCCtiGrDEL7BQ6MCbQp1NxbWzdXfdsZHGkZaLS2eF+vXw2UmLFH+BUg/zYMu13CxHtlNSFcZQQTwnCHb"
}
],
"debug_key": "777",
"shared_info": "{\"api\":\"shared-storage\",\"debug_mode\":\"enabled\",\"report_id\":\"5bc74ea5-7656-43da-9d76-5ea3ebb5fca5\",\"reporting_origin\":\"https://localhost:4437\",\"scheduled_report_time\":\"1664907229\",\"version\":\"0.1\"}"
Los informes agregables se pueden inspeccionar desde la página chrome://private-aggregation-internals
:
Para fines de prueba, se puede usar el botón "Enviar informes seleccionados" para enviar el informe al servidor de inmediato.
Recopila informes agregables por lotes
El navegador envía los informes agregables al origen del worklet que contiene la llamada a la API de Private Aggregation mediante la ruta conocida que se indica a continuación:
- Para Shared Storage:
/.well-known/private-aggregation/report-shared-storage
- Para Protected Audience:
/.well-known/private-aggregation/report-protected-audience
En estos extremos, deberás operar un servidor que actúe como recopilador y que reciba los informes agregables que envían los clientes.
Luego, el servidor debe agrupar los informes y enviar el lote al servicio de agregación. Crea lotes según la información disponible en la carga útil no encriptada del informe agregable, como el campo shared_info
. Lo ideal sería que los lotes contengan 100 o más informes por lote.
Puedes decidir realizar lotes a diario o semanalmente. Esta estrategia es flexible y puedes cambiar tu estrategia de lotes para eventos específicos en los que esperas más volumen, por ejemplo, los días del año en los que se esperan más impresiones. Los lotes deben incluir informes de la misma versión de la API, el mismo origen de informes y el mismo horario de informes programado.
Cómo filtrar IDs
La API de agregación privada y el servicio de agregación permiten usar IDs de filtrado para procesar mediciones a un nivel más detallado, como por campaña publicitaria, en lugar de procesar los resultados en consultas más grandes.
Para comenzar a usar esta función hoy mismo, estos son algunos pasos generales que puedes aplicar a tu implementación actual.
Pasos del almacenamiento compartido
Si usas la API de Shared Storage en tu flujo, haz lo siguiente:
Define dónde declararías y ejecutarías tu nuevo módulo de almacenamiento compartido. En el siguiente ejemplo, llamamos al archivo del módulo
filtering-worklet.js
, registrado enfiltering-example
.(async function runFilteringIdsExample () { await window.sharedStorage.worklet.addModule('filtering-worklet.js'); await window.sharedStorage.run('filtering-example', { keepAlive: true, privateAggregationConfig: { contextId: 'example-id', filteringIdMaxBytes: 8 // optional } }}); })();
Ten en cuenta que
filteringIdMaxBytes
se puede configurar por informe y, si no se establece, se establece de forma predeterminada en 1. Este valor predeterminado evita aumentar innecesariamente el tamaño de la carga útil y, por lo tanto, los costos de almacenamiento y procesamiento. Obtén más información en la explicación de las contribuciones flexibles.En el archivo que usaste anteriormente, en este caso
filtering-worklet.js
, cuando pasas una contribución aprivateAggregation.contributeToHistogram(...)
dentro de la worklet de almacenamiento compartido, puedes especificar un ID de filtrado.// Within filtering-worklet.js class FilterOperation { async run() { let contributions = [{ bucket: 1234n, value: 56, filteringId: 3n // defaults to 0n if not assigned, type bigint }]; for (const c of contributions) { privateAggregation.contributeToHistogram(c); } … } }); register('filtering-example', FilterOperation);
Los informes agregables se enviarán a la ubicación donde definiste el extremo
/.well-known/private-aggregation/report-shared-storage
. Continúa con la guía de filtrado de IDs para obtener información sobre los cambios necesarios en los parámetros de trabajo del servicio de agregación.
Una vez que se complete el procesamiento por lotes y se envíe a tu servicio de agregación implementado, los resultados filtrados deberían reflejarse en tu informe de resumen final.
Pasos de Protected Audience
Si usas la API de Protected Audience en tu flujo, haz lo siguiente:
En tu implementación actual de Protected Audience, puedes configurar lo siguiente para conectarte a la agregación privada. A diferencia del almacenamiento compartido, aún no es posible configurar el tamaño máximo del ID de filtrado. De forma predeterminada, el tamaño máximo del ID de filtrado es de 1 byte y se establecerá en
0n
. Ten en cuenta que se establecerán en tus funciones de informes de Protected Audience (p. ej.,reportResult()
ogenerateBid()
).const contribution = { ... filteringId: 0n }; privateAggregation.contributeToHistogram(contribution);
Los informes agregables se enviarán a la ubicación donde definiste el extremo
/.well-known/private-aggregation/report-protected-audience
. Una vez que se complete el procesamiento por lotes y se envíe a tu servicio de agregación implementado, los resultados filtrados deberían reflejarse en tu informe de resumen final. Están disponibles las siguientes explicaciones de la API de Attribution Reporting y la API de Private Aggregation, así como la propuesta inicial.
Continúa con nuestra guía de filtrado de IDs en el servicio de agregación o ve a las secciones de la API de Attribution Reporting para obtener una explicación más detallada.
Servicio de agregación
El servicio de agregación recibe informes agregables encriptados del recopilador y genera informes de resumen. Si deseas obtener más estrategias sobre cómo agrupar informes en tu recopilador, consulta nuestra guía de lotes.
El servicio se ejecuta en un entorno de ejecución confiable (TEE), que proporciona un nivel de garantía para la integridad de los datos, la confidencialidad de los datos y la integridad del código. Si deseas obtener más información sobre cómo se usan los coordinadores junto con los TEE, obtén más información sobre su rol y propósito.
Informes de resumen
Los informes de resumen te permiten ver los datos que recopilaste con ruido agregado. Puedes solicitar informes de resumen para un conjunto determinado de claves.
Un informe de resumen contiene un conjunto de pares clave-valor de estilo diccionario JSON. Cada par contiene lo siguiente:
bucket
: Es la clave de agregación como una cadena de números binarios. Si la clave de agregación que se usa es "123", el bucket es "1111011".value
: Es el valor de resumen de un objetivo de medición determinado, que se suma de todos los informes agregables disponibles con ruido agregado.
Por ejemplo:
[
{"bucket":` `"111001001",` `"value":` `"2558500"},
{"bucket":` `"111101001",` `"value":` `"3256211"},
{"bucket":` `"111101001",` `"value":` `"6536542"},
]
Ruido y escalamiento
Para preservar la privacidad del usuario, el servicio de agregación agrega ruido una vez a cada valor de resumen cada vez que se solicita un informe de resumen. Los valores de ruido se extraen de forma aleatoria de una distribución de probabilidad de Laplace. Si bien no tienes control directo sobre las formas en que se agrega el ruido, puedes influir en el impacto del ruido en los datos de medición.
La distribución del ruido es la misma independientemente de la suma de todos los valores que se pueden agrupar. Por lo tanto, cuanto más altos sean los valores agregables, menor será el impacto que pueda tener el ruido.
Por ejemplo, supongamos que la distribución del ruido tiene una desviación estándar de 100 y se centra en cero. Si el valor del informe agregable recopilado (o "valor agregable") es solo 200, la desviación estándar del ruido sería el 50% del valor agregado. Sin embargo, si el valor agregable es de 20,000, la desviación estándar del ruido solo sería del 0.5% del valor agregado. Por lo tanto, el valor agregable de 20,000 tendría una relación señal/ruido mucho más alta.
Por lo tanto, multiplicar tu valor agregable por un factor de escalamiento puede ayudar a reducir el ruido. El factor de escalamiento representa cuánto deseas escalar un valor agregado determinado.
El escalamiento de los valores mediante la elección de un factor de escalamiento más alto reduce el ruido relativo. Sin embargo, esto también hace que la suma de todas las contribuciones de todos los buckets alcance el límite de presupuesto de contribución más rápido. Si reduces los valores eligiendo una constante de factor de escalamiento más pequeña, se aumenta el ruido relativo, pero se reduce el riesgo de alcanzar el límite de presupuesto.
Para calcular un factor de escalamiento adecuado, divide el presupuesto de contribución por la suma máxima de valores agregables en todas las claves.
Consulta la documentación del presupuesto de la contribución para obtener más información.
Interactúa y comparte comentarios
La API de Private Aggregation está en discusión activa y está sujeta a cambios en el futuro. Si pruebas esta API y tienes comentarios, nos encantaría conocerlos.
- GitHub: Lee la explicación, haz preguntas y participa en el debate.
- Asistencia para desarrolladores: Haz preguntas y únete al debate del repositorio de asistencia para desarrolladores de Privacy Sandbox.
- Únete al grupo de la API de Shared Storage y al grupo de la API de Protected Audience para conocer los anuncios más recientes relacionados con Private Aggregation.