本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Location Service 的安全最佳实践
Amazon Location Service 提供了在您开发和实施自己的安全策略时需要考虑的大量安全特征。以下最佳实践是一般指导原则,并不代表完整安全解决方案。这些最佳实践可能不适合环境或不满足环境要求,请将其视为有用的考虑因素而不是惯例。
Amazon Location Service 的检测性安全最佳实践
Amazon Location Service 的以下最佳实践可以帮助检测安全事故:
- 实施AWS监控工具
-
监控对于事件响应至关重要,可以维护 Amazon Location Service 资源和解决方案的可靠性和安全性。您可以从多种可用工具和服务中实施监控工具AWS,以监控您的资源和其他AWS服务。
例如,亚马逊 CloudWatch 允许您监控亚马逊定位服务(Amazon Location Service)的指标,并允许您设置警报,以便在指标满足您设定的特定条件并达到您定义的阈值时通知您。创建警报时,您可以设置 CloudWatch 为使用 Amazon 简单通知服务发送提醒通知。有关更多信息,请参阅 Amazon Location Service 中的日志记录和监控。
- 启用AWS日志工具
-
日志记录记录用户、角色或AWS服务在 Amazon Location Service 中采取的操作。您可以实现日志记录工具, AWS CloudTrail 例如收集有关操作的数据以检测异常API活动。
创建跟踪时,可以配置 CloudTrail 为记录事件。事件是对资源或资源内部执行的资源操作的记录,如向 Amazon Location 发出的请求、发出请求的 IP 地址、请求的发出请求的 IP 地址、时间、时间,以及其他数据。有关更多信息,请参阅 AWS CloudTrail 用户指南中的记录跟踪的数据事件。
Amazon Location Service 的预防性安全最佳实践
Amazon Location Service 的以下最佳实践可以帮助预防安全事故:
- 使用安全连接
-
请务必使用加密连接,例如以
https://
开头的连接,以确保敏感信息在传输过程中的安全。 - 实施最低权限访问资源
-
当您为 Amazon Location 资源创建自定义策略时,只授予执行任务所需的权限。建议最开始只授予最低权限,然后根据需要授予其他权限,则样会更加安全。实施最低权限访问对于减小风险以及可能由错误或恶意攻击造成的影响至关重要。有关更多信息,请参阅 适用于 Amazon Location Service 的身份和访问管理。
- 使用全球唯一的设备作为设备 IDs IDs
-
对设备使用以下约定IDs。
-
设备IDs必须是唯一的。
-
设备IDs不应是秘密的,因为它们可以用作其他系统的外键。
-
设备IDs不应包含个人身份信息 (PII),例如电话设备IDs或电子邮件地址。
-
设备IDs不应是可预测的。建议使用不透明的标识符UUIDs,例如。
-
- 不要包含PII在设备位置属性中
-
发送设备更新(例如,使用 DevicePositionUpdate)时,请勿在中包含个人身份信息 (PII),例如电话号码或电子邮件地址。
PositionProperties