本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Location Service 的安全最佳实践
Amazon Location Service 提供了在您开发和实施自己的安全策略时需要考虑的大量安全特征。以下最佳实践是一般指导原则,并不代表完整安全解决方案。这些最佳实践可能不适合环境或不满足环境要求,请将其视为有用的考虑因素而不是惯例。
Amazon Location Service 的检测性安全最佳实践
Amazon Location Service 的以下最佳实践可以帮助检测安全事故:
- 实施 AWS 监控工具
-
监控对于事件响应至关重要,可以维护 Amazon Location Service 资源和解决方案的可靠性和安全性。您可以从 AWS 提供的多种工具和服务中实施监控工具,以监控您的资源和其他 AWS 服务。
例如,亚马逊 CloudWatch 允许您监控亚马逊定位服务(Amazon Location Service)的指标,并允许您设置警报,以便在指标满足您设定的特定条件并达到您定义的阈值时通知您。创建警报时,您可以设置 CloudWatch 为使用 Amazon 简单通知服务发送提醒通知。有关更多信息,请参阅Amazon Location Service 中的日志记录和监控。
- 启用 AWS 日志工具
-
日志记录提供了用户、角色或 AWS 服务在 Amazon Location Service 中所执行操作的记录。您可以实现日志工具,例如 AWS CloudTrail 收集操作数据以检测异常 API 活动。
创建跟踪时,可以配置 CloudTrail 为记录事件。事件是对资源或资源内部执行的资源操作的记录,如向 Amazon Location 发出的请求、发出请求的 IP 地址、请求的发出请求的 IP 地址、时间、时间,以及其他数据。有关更多信息,请参阅 AWS CloudTrail 用户指南中的记录跟踪的数据事件。
Amazon Location Service 的预防性安全最佳实践
Amazon Location Service 的以下最佳实践可以帮助预防安全事故:
- 使用安全连接
-
请务必使用加密连接,例如以
https://开头的连接,以确保敏感信息在传输过程中的安全。 - 实施最低权限访问资源
-
当您为 Amazon Location 资源创建自定义策略时,只授予执行任务所需的权限。建议最开始只授予最低权限,然后根据需要授予其他权限,则样会更加安全。实施最低权限访问对于减小风险以及可能由错误或恶意攻击造成的影响至关重要。有关更多信息,请参阅适用于 Amazon Location Service 的身份和访问管理。
- 使用全球唯一的 ID 作为设备 ID
-
对设备 ID 使用以下约定。
-
设备 ID 必须唯一。
-
设备 ID 不应该是秘密,因为它们可以用作其他系统的外键。
-
设备 ID 不应包含个人身份信息 (PII),例如电话设备 ID 或电子邮件地址。
-
设备 ID 不应是可预测的。建议使用像 UUID 这样的不透明标识符。
-
- 不要在设备位置属性中包含 PII
-
发送设备更新(例如,使用 DevicePositionUpdate)时,请勿在中包含个人身份信息 (PII),例如电话号码或电子邮件地址。
PositionProperties
