本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Location Service
Amazon Location Service 提供多个安全功能,供您在开发和实施自己的安全策略时考虑。以下最佳实践是一般指导原则,并不代表完整安全解决方案。这些最佳实践可能不适合您的环境或不满足您的环境要求,请将其视为有用的考虑因素而不是惯例。
Amazon Location Service Detective 性安全最佳实践
Amazon Location Service 的以下最佳实践可以帮助检测安全事故:
- 实施 AWS 监控工具
-
监控对于事件响应至关重要,可以维护 Amazon Location Service 资源和您的解决方案的可靠性和安全性。您可以从 AWS 提供的多种工具和服务中实现监控工具,以监控您的资源和其他 AWS 服务。
例如,亚马逊 CloudWatch 允许您监控亚马逊Location Service 指标,并允许您设置警报,在指标满足您设定的特定条件并达到您定义的阈值时通知您。创建警报时,您可以设置 CloudWatch 为使用亚马逊简单通知服务发送警报通知。有关更多信息,请参阅Amazon Location Service:
- 启用 AWS 日志工具
-
记录提供了用户、角色或 AWS 服务在 Amazon Location Service 中所执行操作的记录。您可以实现日志工具,例如AWS CloudTrail收集操作数据以检测异常 API 活动。
创建跟踪时,可以配置 CloudTrail 以记录事件。事件是在资源上或资源内执行的资源操作的记录,例如向 Amazon Location 发出了请求、发出请求的 IP 地址、何人发出的请求、请求的发出时间以及其他数据。有关更多信息,请参阅AWS CloudTrail用户指南中的记录数据事件以便跟踪。
Amazon Location Service 预防性安全最佳实践
Amazon Location Service 的以下最佳实践可以帮助防止安全事故:
- 使用安全连接
-
务必使用加密连接,例如以加密连接为开头的连接,
https://以保持敏感信息在传输过程中的安全。 - 实施对资源的最低访问权限
-
当您为 Amazon Location 资源创建自定义策略时,仅授予执行任务所需的许可。建议最开始只授予最低权限,然后根据需要授予其他许可。实施最低权限访问对于减小可能由错误或恶意攻击造成的风险和影响至关重要。有关更多信息,请参阅适用Identity and Access Management ation Service:
- 使用全局唯一的 ID 作为设备 ID
-
对设备 ID 使用以下惯例。
-
设备 Idemple的。
-
设备 ID 不应保密,因为它们可以用作其他系统的外钥。
-
设备 ID 不应包含个人身份信息 (PII),例如电话设备 ID 或电子邮件地址。
-
设备 ID 不应该是可预测的。建议使用 UUID 等不透明标识符。
-
- 不要在设备位置属性中包含 PII
-
发送设备更新时(例如,使用 DevicePositionUpdate),请勿在中包含电话号码或电子邮件地址等个人身份信息 (PII)
PositionProperties。
