Amazon Location Service의 모범 사례
이 항목에서는 Amazon Location Service를 사용하는 데 도움이 되는 모범 사례를 제공합니다. 이러한 모범 사례는 Amazon Location Service를 최대한 활용하는 데 도움이 될 수 있지만 완전한 솔루션은 아닙니다. 환경에 해당하는 권장 사항만 따라야 합니다.
보안
보안 위험을 관리하거나 방지하려면 다음 모범 사례를 고려하세요.
-
ID 페더레이션 및 IAM 역할을 사용하여 Amazon Location 리소스에 대한 액세스를 관리, 제어 또는 제한할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 IAM 모범 사례 섹션을 참조하세요.
-
최소 권한 원칙에 따라 Amazon Location Service 리소스에 필요한 최소 액세스 권한만 부여하세요. 자세한 내용은 정책을 사용하여 액세스 관리 섹션을 참조하세요.
-
웹 애플리케이션에 사용되는 Amazon Location Service 리소스의 경우
aws:refererIAM 조건을 사용하여 액세스를 제한하여 허용 목록에 포함된 사이트 이외의 사이트에서의 사용을 제한하세요. -
모니터링 및 로깅 도구를 사용하여 리소스 액세스 및 사용을 추적하세요. 자세한 내용은 Amazon Location Service의 로깅 및 모니터링 및 AWS CloudTrail 사용 설명서의 추적을 위한 데이터 이벤트 로깅을 참조하세요.
-
보안 연결(예:
https://로 시작)을 사용하여 보안을 강화하고 서버와 브라우저 간에 데이터가 전송되는 동안 공격으로부터 사용자를 보호하세요.
Amazon Location Service의 탐지 보안 모범 사례
다음과 같은 Amazon Location Service 모범 사례는 보안 사고를 탐지하는 데 도움이 됩니다.
- AWS 모니터링 도구 구현
-
모니터링은 사고 대응에 매우 중요하며 Amazon Location Service 리소스 및 솔루션의 안정성과 보안을 유지합니다. AWS를 통해 제공되는 여러 도구와 서비스 중 모니터링 도구를 구현하여 리소스와 기타 AWS 서비스를 모니터링할 수 있습니다.
예를 들어, Amazon CloudWatch를 사용하면 Amazon Location Service의 지표를 모니터링하고 지표가 사용자가 설정한 특정 조건을 충족하고 정의한 임계값에 도달하면 알림을 받도록 경보를 설정할 수 있습니다. 경보를 생성할 때 CloudWatch가 Amazon Simple Notification Service를 사용하여 경고 알림을 보내도록 설정할 수 있습니다. 자세한 내용은 Amazon Location Service의 로깅 및 모니터링 섹션을 참조하세요.
- AWS 로깅 도구 활성화
-
로깅은 Amazon Location Service에서 사용자, 역할 또는 AWS 서비스가 수행한 작업에 대한 기록을 제공합니다. AWS CloudTrail 등의 로깅 도구를 구현하여 비정상적인 API 활동을 감지하는 작업에 대한 데이터를 수집할 수 있습니다.
추적을 생성할 때 이벤트를 기록하도록 CloudTrail을 구성할 수 있습니다. 이벤트는 리소스에서 또는 리소스 내에서 수행되는 리소스 작업의 기록으로서 Amazon Location에 대한 요청, 요청이 이루어진 IP 주소, 요청한 사람, 요청이 이루어진 시간 및 추가 데이터가 포함됩니다. 자세한 내용은 AWS CloudTrail 사용 설명서의 추적을 위한 데이터 이벤트 로깅을 참조하세요.
Amazon Location Service의 예방적 보안 모범 사례
다음과 같은 Amazon Location Service 모범 사례를 통해 보안 사고를 예방할 수 있습니다.
- 보안 연결 사용
-
전송 중에 민감한 정보를 안전하게 유지하기 위해 항상 암호화된 연결(예:
https://(으)로 시작하는 연결)을 사용하세요. - 리소스에 대한 최소 권한 액세스 구현
-
Amazon Location 리소스에 대한 사용자 지정 정책을 생성하는 경우 작업을 수행하는 데 필요한 권한만 부여하세요. 최소한의 권한으로 시작하고 필요에 따라 추가 권한을 부여하는 것이 좋습니다. 오류나 악의적인 공격으로 인해 발생할 수 있는 위험과 영향을 줄이려면 최소 권한 액세스를 구현하는 것이 필수적입니다. 자세한 내용은 Amazon Location Service를 위한 ID 및 액세스 관리 섹션을 참조하세요.
- 전역적으로 고유한 ID를 디바이스 ID로 사용
-
디바이스 ID에는 다음 규칙을 사용하세요.
-
디바이스 ID는 고유해야 합니다.
-
디바이스 ID는 다른 시스템의 외부 키로 사용될 수 있으므로 비밀로 설정해서는 안 됩니다.
-
디바이스 ID에는 전화 디바이스 ID 또는 이메일 주소와 같은 개인 식별 정보(PII) 가 포함되어서는 안 됩니다.
-
디바이스 ID는 예측할 수 없어야 합니다. UUID와 같은 불투명 식별자를 사용하는 것이 좋습니다.
-
- 디바이스 위치 속성에 PII를 포함하지 않음
-
디바이스 업데이트를 보낼 때(예: DevicePositionUpdate 사용) 전화번호나 이메일 주소와 같은 개인 식별 정보(PII)를
PositionProperties에 포함하지 마세요.
리소스 관리
Amazon Location Service에서 위치 리소스를 효과적으로 관리하려면 다음 모범 사례를 고려하세요.
-
예상 사용자 기반에서 중심이 되는 리전별 엔드포인트를 사용하여 사용자 경험을 개선하세요. 리전 엔드포인트에 대한 자세한 내용은 Amazon Location 리전 및 엔드포인트 섹션을 참조하세요.
-
맵 리소스 및 장소 색인 리소스와 같이 데이터 공급자를 사용하는 리소스의 경우 특정 데이터 공급자의 사용 약관을 준수해야 합니다. 자세한 정보는 데이터 공급자를 참조하세요.
-
맵, 장소 색인 또는 경로의 각 구성마다 하나의 리소스를 보유하여 리소스 생성을 최소화합니다. 리전 내에서는 일반적으로 데이터 공급자 또는 맵 스타일당 하나의 리소스만 필요합니다. 대부분의 애플리케이션은 기존 리소스를 사용하며 런타임 시 리소스를 생성하지 않습니다.
-
맵 리소스 및 경로 계산기와 같은 단일 애플리케이션에서 서로 다른 리소스를 사용하는 경우 각 리소스에서 동일한 데이터 공급자를 사용하여 데이터가 일치하는지 확인하세요. 예를 들어, 경로 계산기로 생성한 경로 지오메트리는 맵 리소스를 사용하여 그린 맵의 거리와 일치합니다.
비용 및 청구 관리
비용 및 청구 관리에 도움이 되도록 다음 모범 사례를 고려하세요.
-
Amazon CloudWatch와 같은 모니터링 도구를 사용하여 리소스 사용량을 추적할 수 있습니다. 사용량이 지정된 한도를 초과하려 할 때 알려주는 알림을 설정할 수 있습니다. 자세한 정보는 Amazon CloudWatch 사용 설명서의 예상 AWS 요금을 모니터링하기 위한 청구 알림 생성을 참조하세요.
할당량 및 사용량
AWS 계정에는 기본적으로 사용량 한도를 설정하는 할당량이 포함되어 있습니다. 사용량이 한도에 가까워지면 알림을 받도록 알람을 설정하고 필요할 때 할당량 상향을 요청할 수 있습니다. 할당량 사용 방법에 대한 자세한 내용은 다음 항목을 참조하세요.
-
Amazon CloudWatch 사용 설명서에서 Service Quotas 를을 시각화하고 경보 설정을 참조하세요.
한도 초과에 가까워지면 미리 경고를 표시하는 알람을 생성할 수 있습니다. Amazon Location을 사용하는 각 AWS 리전에서 할당량별로 알람을 설정하는 것이 좋습니다. 예를 들어 SearchPlaceIndexForText 작업 사용을 모니터링하여 현재 할당량의 80%를 초과할 경우 알람을 생성할 수 있습니다.
할당량에 대한 알람이 표시되면 수행할 작업을 결정해야 합니다. 고객 기반이 늘어났기 때문에 추가 리소스를 사용하고 있을 수 있습니다. 이 경우 해당 리전의 API 호출에 대한 할당량을 50% 늘리는 등 할당량 증가를 요청할 수 있습니다. 또는 Amazon Location에 불필요한 추가 호출을 발생시키는 서비스 오류가 있을 수도 있습니다. 이 경우에는 서비스에서 문제를 해결해 보는 것이 좋습니다.
