本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# SageMaker 地理空間功能的最佳安全實務
<a name="geospatial-sec-best-practices"></a>

在您開發和實作自己的安全政策時，可考慮使用 Amazon SageMaker 地理空間功能提供的多種安全功能。以下最佳實務為一般準則，並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求，因此請將其視為實用建議就好，而不要當作是指示。
<a name="geospatial-least-privilege"></a>
**套用最低權限準則**  
Amazon SageMaker 地理空間功能為使用 IAM 角色的應用程式提供精細的存取政策。我們建議僅向角色授予工作所需的最低許可。我們還建議定期以及在應用程式發生變更時審核作業許可。
<a name="geospatial-role-access"></a>
**角色型存取控制 (RBAC) 許可**  
管理員應嚴格控制 Amazon SageMaker 地理空間功能的角色型存取控制 (RBAC) 許可。
<a name="geospatial-temp-creditentials"></a>
**盡可能使用暫時憑證**  
盡可能使用暫時憑證，而非諸如存取金鑰等長期憑證。對於需要具有程式化存取和長期憑證的 IAM 使用者的情況，我們建議您輪換存取金鑰。定期輪換長期憑證有助於您熟悉該程序。如果您遇到必須輪換憑證的情況，例如員工離職時，此功能非常有用。我們建議您使用 IAM 存取上次使用的資訊，以便安全地輪換和移除存取金鑰。如需更多資訊，請參閱[輪換存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey)和[在 IAM 中的最佳安全實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
<a name="geospatial-cloudtrail-log"></a>
**使用 AWS CloudTrail 來檢視和記錄 API 呼叫**  
AWS CloudTrail 會追蹤在您 AWS 帳戶中進行 API 呼叫的任何人。只要任何人使用 Amazon SageMaker 地理空間功能 API、Amazon SageMaker 地理空間功能主控台或 Amazon SageMaker 地理空間功能 AWS CLI 命令，就會記錄 API 呼叫。啟用記錄，然後指定 Amazon S3 儲存貯體來存放日誌。

我們將您的信任、您內容的隱私和安全性放在第一優先。而且實作可靠且複雜的技術和實體控制，旨在避免未授權人員存取或公開您的內容，同時確保對內容的使用絕對遵守我們對您所做的承諾。如需更多資訊，請參閱 [AWS 資料隱私權常見問答集](https://aws.amazon.com/compliance/data-privacy-faq/)。