本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon 定 Location Service 的安全最佳實踐
Amazon 定 Location Service 提供許多安全功能,可在您開發和實作自己的安全政策時考慮。以下最佳實務為一般準則,並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求,因此請將其視為實用建議就好,而不要當作是指示。
Amazon 定 Location Service 的 Detective 安全最佳實踐
Amazon 定位服務的下列最佳實務可協助偵測安全事件:
- 實作 AWS 監控工具
-
監控對於事件回應至關重要,並維持 Amazon 定 Location Service 資源和您的解決方案的可靠性和安全性。您可以從 AWS 提供的多種工具和服務實作監控工具,以監控您的資源和其他 AWS 服務。
例如,Amazon 可 CloudWatch 讓您監控 Amazon Location Service 的指標,並讓您設定警示,以便在指標符合您設定的特定條件且達到您定義的閾值時通知您。建立警示時,您可以設定 CloudWatch 為使用 Amazon 簡單通知服務傳送通知以提醒。如需詳細資訊,請參閱 Amazon Location Service 中的記錄和監控。
- 啟用 AWS 日誌記錄工具
-
記錄可提供使用者、角色或 AWS 服務在 Amazon 定 Location Service 服務中採取的動作記錄。您可以實作記錄工具,例 AWS CloudTrail 如收集動作的資料,以偵測異常的 API 活動。
建立追蹤時,您可以設定 CloudTrail 為記錄事件。事件是在資源上或在資源內執行的資源操作記錄,例如向 Amazon Location 發出的請求、發出請求的 IP 地址、發出請求的人員、提出請求的時間以及其他資料。如需詳細資訊,請參閱 AWS CloudTrail 使用指南中的記錄追蹤的資料事件。
Amazon 定位服務的預防性安全最佳實 Location Service
Amazon 定位服務的下列最佳實務可協助預防安全事件:
- 使用安全連線
-
始終使用加密的連接,例如開頭的連接,以確
https://保敏感信息在傳輸過程中的安全。 - 實作資源的最低權限存取
-
當您向 Amazon 位置資源建立自訂政策時,只授與執行任務所需的許可。建議您從最低限度的一組權限開始,並視需要授予其他權限。實施最低權限存取對於降低錯誤或惡意攻擊可能導致的風險和影響至關重要。如需詳細資訊,請參閱 Amazon 定 Location Service 務的 Identity and Access Management。
- 使用全域唯一的 ID 作為裝置 ID
-
對裝置 ID 使用下列慣例。
-
裝置 ID 必須是唯一的。
-
設備 ID 不應該是秘密的,因為它們可以用作其他系統的外鍵。
-
裝置 ID 不應包含個人識別資訊 (PII),例如電話裝置 ID 或電子郵件地址。
-
裝置 ID 不應該是可預測的。建議使用不透明的識別碼,例如 UUID。
-
- 不要在裝置位置屬性中包含 PII
-
傳送裝置更新 (例如,使用 DevicePositionUpdate) 時,請勿在中包含個人識別資訊 (PII),例如電話號碼或電子郵件地址。
PositionProperties
