本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Location Service 的最佳实践
本主题提供了可帮助您使用 Amazon Location Service 的最佳实践。虽然这些最佳实践可以帮助您充分利用 Amazon Location Service,但它们并不代表完整的解决方案。您应该只遵循适用于您的环境的建议。
主题
安全性
为了帮助管理甚至避免安全风险,请考虑以下最佳实践:
-
使用联合身份和 IAM 角色来管理、控制或限制对您的Amazon Location资源的访问。有关更多信息,请参阅《IAM 用户指南》中的 IAM 最佳实操。
-
遵循最低权限原则,仅授予对您的 Amazon Location Service 资源所需的最低访问权限。
-
对于网络应用程序中使用的 Amazon Location Service 资源,请使用
aws:refererIAM 条件限制访问权限,限制除允许名单中包含的网站以外的网站使用。 -
使用监控和日志工具来跟踪器资源的访问和使用情况。有关更多信息,请参阅 AWS CloudTrail 用户指南中的 Amazon Location Service 中的日志记录和监控 和记录数据事件以便跟踪。
-
使用安全连接,例如以
https://开头的连接,以增加安全性并在服务器与浏览器之间传输数据时保护用户免受攻击。
Amazon Location Service 的检测性安全最佳实践
Amazon Location Service 的以下最佳实践可以帮助检测安全事故:
- 实施 AWS 监控工具
-
监控对于事件响应至关重要,可以维护 Amazon Location Service 资源和解决方案的可靠性和安全性。您可以从 AWS 提供的多种工具和服务中实施监控工具,以监控您的资源和其他 AWS 服务。
例如,Amazon CloudWatch 允许您监控 Amazon Location Service 的指标,并允许您设置警报,以便在指标满足您设定的特定条件并达到您定义的阈值时通知您。创建警报时,您可以将 CloudWatch 设置为使用 Amazon Simple Notification Service 发送提醒通知。有关更多信息,请参阅 Amazon Location Service 中的日志记录和监控。
- 启用 AWS 日志记录工具
-
日志记录提供了用户、角色或 AWS 服务在 Amazon Location Service 中所执行操作的记录。您可以实现日志工具,例如 AWS CloudTrail,以收集操作数据以检测异常 API 活动。
创建跟踪时,可以配置 CloudTrail 以记录事件。事件是对资源或资源内部执行的资源操作的记录,如向 Amazon Location 发出的请求、发出请求的 IP 地址、请求的发出请求的 IP 地址、时间、时间,以及其他数据。有关更多信息,请参阅 AWS CloudTrail 用户指南中的记录数据事件以便跟踪。
Amazon Location Service 的预防性安全最佳实践
Amazon Location Service 的以下最佳实践可以帮助预防安全事故:
- 使用安全连接
-
请务必使用加密连接,例如以
https://开头的连接,以确保敏感信息在传输过程中的安全。 - 实施最低权限访问资源
-
当您为 Amazon Location 资源创建自定义策略时,只授予执行任务所需的权限。建议最开始只授予最低权限,然后根据需要授予其他权限,则样会更加安全。实施最低权限访问对于减小风险以及可能由错误或恶意攻击造成的影响至关重要。有关更多信息,请参阅 使用 AWS Identity and Access Management 进行身份验证。
- 使用全球唯一的 ID 作为设备 ID
-
对设备 ID 使用以下约定。
-
设备 ID 必须唯一。
-
设备 ID 不应该是秘密,因为它们可以用作其他系统的外键。
-
设备 ID 不应包含个人身份信息 (PII),例如电话设备 ID 或电子邮件地址。
-
设备 ID 不应是可预测的。建议使用像 UUID 这样的不透明标识符。
-
- 不要在设备位置属性中包含 PII
-
发送设备更新时(例如,使用 DevicePositionUpdate),请勿在中包含个人身份信息 (PII),例如电话号码或
PositionProperties中的电子邮件地址。
