Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit bei Amazon Location Service
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von Rechenzentren und Netzwerkarchitekturen, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame AWS Verantwortung von Ihnen und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud selbst und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, auf der AWS Dienste in der ausgeführt AWS Cloud werden. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) . Weitere Informationen zu den Compliance-Programmen, die für Amazon Location Service gelten, finden Sie unter [AWS Services im Umfang nach Compliance-Programm AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Service, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Nutzung von Amazon Location anwenden können. In den folgenden Themen erfahren Sie, wie Sie Amazon Location konfigurieren, um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, die Ihnen helfen, Ihre Amazon-Standortressourcen zu überwachen und zu sichern.
**Topics**
+ [Datenschutz bei Amazon Location Service](data-protection.md)
+ [Reaktion auf Vorfälle in Amazon Location Service](incident-response.md)
+ [Konformitätsprüfung für Amazon Location Service](compliance-validation.md)
+ [Resilienz bei Amazon Location Service](disaster-recovery-resiliency.md)
+ [Infrastruktursicherheit in Amazon Location Service](infrastructure-security.md)
+ [AWS PrivateLink für Amazon-Standort](privatelink-interface-endpoints.md)
+ [Konfiguration und Schwachstellenanalyse in Amazon Location](vulnerability-analysis-and-management.md)
+ [Serviceübergreifende Confused-Deputy-Prävention](cross-service-confused-deputy-prevention.md)
+ [Bewährte Methoden für Amazon Location Service](best-practices.md)
# Datenschutz bei Amazon Location Service
Das AWS [Modell](https://aws.amazon.com/compliance/shared-responsibility-model/) der mit gilt für den Datenschutz in Amazon Location Service. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Verwenden Sie SSL/TLS, um mit Ressourcen zu kommunizieren. AWS Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein. AWS CloudTrail Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Amazon Location oder anderen AWS-Services über die Konsole AWS CLI, API oder arbeiten AWS SDKs. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
# Datenschutz
Mit Amazon Location Service behalten Sie die Kontrolle über die Daten Ihres Unternehmens. Amazon Location anonymisiert alle Anfragen, die an Datenanbieter gesendet werden, indem Kundenmetadaten und Kontoinformationen entfernt werden.
Amazon Location verwendet keine Datenanbieter für Tracking und Geofencing. Das bedeutet, dass Ihre sensiblen Daten in Ihrem AWS Konto verbleiben. Dies trägt dazu bei, vertrauliche Standortinformationen wie Standort, Anlage und Personalstandort vor Dritten zu schützen, die Privatsphäre der Benutzer zu schützen und das Sicherheitsrisiko Ihrer Anwendung zu verringern.
Weitere Informationen finden Sie in den [häufig gestellten Fragen zum AWS Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/).
# Aufbewahrung von Daten bei Amazon Location
Die folgenden Merkmale beziehen sich darauf, wie Amazon Location Daten für den Service sammelt und speichert:
+ **Amazon Location Service Trackers** — Wenn Sie die Tracker verwenden, APIs um den Standort von Entitäten zu verfolgen, können deren Koordinaten gespeichert werden. Gerätestandorte werden 30 Tage lang gespeichert, bevor sie vom Service gelöscht werden.
+ **Amazon Location Service Geofences** — Wenn Sie die Geofences verwenden, um Interessengebiete APIs zu definieren, speichert der Service die von Ihnen angegebenen Geometrien. Sie müssen explizit gelöscht werden.
**Anmerkung**
Wenn Sie Ihr AWS Konto löschen, werden alle darin enthaltenen Ressourcen gelöscht. Weitere Informationen finden Sie in den [häufig gestellten Fragen zum AWS Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/).
# Datenverschlüsselung im Ruhezustand für Amazon Location Service
Amazon Location Service bietet standardmäßig Verschlüsselung, um vertrauliche Kundendaten im Speicher mithilfe AWS eigener Verschlüsselungsschlüssel zu schützen.
+ **AWS eigene Schlüssel** — Amazon Location verwendet diese Schlüssel standardmäßig, um persönlich identifizierbare Daten automatisch zu verschlüsseln. Sie können AWS eigene Schlüssel nicht einsehen, verwalten oder verwenden oder deren Verwendung überprüfen. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme zum Schutz der Schlüssel ändern, die zur Verschlüsselung Ihrer Daten verwendet werden. Weitere Informationen finden Sie unter [AWS -eigene Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) im *AWS Key Management Service -Entwicklerhandbuch*.
Die standardmäßige Verschlüsselung von Daten im Ruhezustand trägt dazu bei, den betrieblichen Aufwand und die Komplexität zu reduzieren, die mit dem Schutz vertraulicher Daten verbunden sind. Gleichzeitig können Sie damit sichere Anwendungen erstellen, die strenge Verschlüsselungsvorschriften und gesetzliche Auflagen erfüllen.
Sie können diese Verschlüsselungsebene zwar nicht deaktivieren oder einen anderen Verschlüsselungstyp auswählen, aber Sie können eine zweite Verschlüsselungsebene über den vorhandenen AWS eigenen Verschlüsselungsschlüsseln hinzufügen, indem Sie bei der Erstellung Ihrer Tracker- und Geofence-Collection-Ressourcen einen vom Kunden verwalteten Schlüssel auswählen:
+ **Vom Kunden verwaltete Schlüssel** — Amazon Location unterstützt die Verwendung eines symmetrischen, vom Kunden verwalteten Schlüssels, den Sie erstellen, besitzen und verwalten, um eine zweite Verschlüsselungsebene über der vorhandenen AWS eigenen Verschlüsselung hinzuzufügen. Da Sie die volle Kontrolle über diese Verschlüsselungsebene haben, können Sie beispielsweise folgende Aufgaben ausführen:
+ Festlegung und Pflege wichtiger Richtlinien
+ Festlegung und Aufrechterhaltung von IAM-Richtlinien und -Zuschüssen
+ Aktivieren und Deaktivieren wichtiger Richtlinien
+ Kryptographisches Material mit rotierendem Schlüssel
+ Hinzufügen von -Tags
+ Erstellen von Schlüsselaliasen
+ Schlüssel für das Löschen von Schlüsseln planen
Weitere Informationen finden Sie unter vom [Kunden verwalteter Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) im *AWS Key Management Service Entwicklerhandbuch*.
Die folgende Tabelle fasst zusammen, wie Amazon Location personenbezogene Daten verschlüsselt.
| Datentyp | AWS Verschlüsselung mit eigenem Schlüssel | Vom Kunden verwaltete Schlüsselverschlüsselung (optional) |
| --- | --- | --- |
| PositionEine Punktgeometrie, [die die Details zur Geräteposition](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePosition.html) enthält. | Aktiviert | Aktiviert |
| PositionPropertiesEin Satz von Schlüssel-Wert-Paaren, [die mit der Positionsaktualisierung verknüpft sind](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePosition.html). | Aktiviert | Aktiviert |
| GeofenceGeometryEine [Polygon-Geofence-Geometrie](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_GeofenceGeometry.html), die den abgegrenzten Bereich darstellt. | Aktiviert | Aktiviert |
| DeviceIdDie Gerätekennung, die beim [Hochladen einer Aktualisierung der Geräteposition in eine Tracker-Ressource](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePositionUpdate.html) angegeben wurde. | Aktiviert | Nicht unterstützt |
| GeofenceIdEine Kennung, die beim [Speichern einer Geofence-Geometrie](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_PutGeofence.html) oder eines [Stapels von Geofences in einer bestimmten Geofence-Sammlung](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_BatchPutGeofence.html) angegeben wird. | Aktiviert | Nicht unterstützt |
**Anmerkung**
Amazon Location aktiviert automatisch die Verschlüsselung im Ruhezustand mithilfe AWS eigener Schlüssel, um personenbezogene Daten kostenlos zu schützen.
Für die Verwendung eines vom Kunden verwalteten Schlüssels fallen jedoch AWS KMS Gebühren an. Weitere Informationen zur Preisgestaltung finden Sie unter [AWS Key Management Service Preisgestaltung](https://aws.amazon.com/kms/pricing/).
Weitere Informationen zu AWS KMS finden Sie unter [Was ist AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
## So verwendet Amazon Location Service Zuschüsse in AWS KMS
Für den Amazon-Standort ist eine [Genehmigung](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) erforderlich, um Ihren vom Kunden verwalteten Schlüssel verwenden zu können.
Wenn Sie eine [Tracker-Ressource](https://docs.aws.amazon.com/location/latest/developerguide/trackers.html) oder eine [Geofence-Sammlung](https://docs.aws.amazon.com/location/latest/developerguide/geofences.html) erstellen, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, erstellt Amazon Location in Ihrem Namen einen Zuschuss, indem es eine [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)Anfrage an sendet. AWS KMS Grants in AWS KMS werden verwendet, um Amazon Location Zugriff auf einen KMS-Schlüssel in einem Kundenkonto zu gewähren.
Amazon Location benötigt den Zuschuss, um Ihren vom Kunden verwalteten Schlüssel für die folgenden internen Operationen zu verwenden:
+ Senden Sie [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Anfragen an, um AWS KMS zu überprüfen, ob die symmetrische, vom Kunden verwaltete KMS-Schlüssel-ID, die Sie bei der Erstellung einer Tracker- oder Geofence-Sammlung eingegeben haben, gültig ist.
+ Senden Sie [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)Anfragen AWS KMS zur Generierung von Datenschlüsseln, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt sind.
+ Senden Sie [Entschlüsselungsanfragen](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) an AWS KMS , um die verschlüsselten Datenschlüssel zu entschlüsseln, sodass sie zur Verschlüsselung Ihrer Daten verwendet werden können.
Sie können den Zugriff auf die Genehmigung jederzeit widerrufen oder den Zugriff des Services auf den vom Kunden verwalteten Schlüssel entfernen. Wenn Sie dies tun, kann Amazon Location auf keine der mit dem vom Kunden verwalteten Schlüssel verschlüsselten Daten zugreifen, was sich auf Vorgänge auswirkt, die von diesen Daten abhängig sind. Wenn Sie beispielsweise versuchen, [Gerätepositionen](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_GetDevicePosition.html) von einem verschlüsselten Tracker abzurufen, auf den Amazon Location nicht zugreifen kann, würde der Vorgang einen `AccessDeniedException` Fehler zurückgeben.
## Erstellen eines kundenseitig verwalteten Schlüssels
Sie können einen symmetrischen, vom Kunden verwalteten Schlüssel erstellen, indem Sie den AWS-Managementkonsole, oder den AWS KMS APIs verwenden.
**Einen symmetrischen kundenverwalteten Schlüssel erstellen**
Folgen Sie den Schritten zum [Erstellen eines symmetrischen kundenverwalteten Schlüssels](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) im *Entwicklerhandbuch zum AWS Key Management Service *.
**Schlüsselrichtlinie**
Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren kundenseitig verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter [Verwalten des Zugriffs auf kundenverwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) im *Entwicklerhandbuch zum AWS Key Management Service *.
Um Ihren vom Kunden verwalteten Schlüssel mit Ihren Amazon-Standortressourcen zu verwenden, müssen die folgenden API-Operationen in der Schlüsselrichtlinie zugelassen sein:
+ `[kms:CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)`: Fügt einem kundenverwalteten Schlüssel eine Erteilung hinzu. Gewährt Kontrollzugriff auf einen bestimmten KMS-Schlüssel, der den Zugriff auf [Grant-Operationen](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) ermöglicht, die Amazon Location benötigt. Weitere Informationen zum [Verwenden von Zuweisungen](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) finden Sie im *Entwicklerhandbuch für AWS Key Management Service *.
Dadurch kann Amazon Location Folgendes tun:
+ `GenerateDataKeyWithoutPlainText` aufrufen, um einen verschlüsselten Datenschlüssel zu generieren und zu speichern, da der Datenschlüssel nicht sofort zum Verschlüsseln verwendet wird.
+ `Decrypt` aufrufen, um den gespeicherten verschlüsselten Datenschlüssel für den Zugriff auf verschlüsselte Daten zu verwenden.
+ Einen Prinzipal für die Außerbetriebnahme einrichten, damit der Service in den Status `RetireGrant` wechseln kann.
+ `[kms:DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)`: Stellt die vom Kunden verwalteten Schlüsseldetails bereit, damit Amazon Location den Schlüssel validieren kann.
Im Folgenden finden Sie Beispiele für Richtlinienerklärungen, die Sie für Amazon Location hinzufügen können:
```
"Statement" : [
{
"Sid" : "Allow access to principals authorized to use Amazon Location",
"Effect" : "Allow",
"Principal" : {
"AWS" : "*"
},
"Action" : [
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"kms:ViaService" : "geo.region.amazonaws.com",
"kms:CallerAccount" : "111122223333"
}
},
{
"Sid": "Allow access for key administrators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action" : [
"kms:*"
],
"Resource": "arn:aws:kms:region:111122223333:key/key_ID"
},
{
"Sid" : "Allow read-only access to key metadata to the account",
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::111122223333:root"
},
"Action" : [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource" : "*"
}
]
```
Weitere Informationen zum [Festlegen von Berechtigungen in einer Richtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) finden Sie im *AWS Key Management Service -Entwicklerhandbuch*.
Weitere Informationen zur [Fehlerbehebung beim Schlüsselzugriff](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam) finden Sie im *AWS Key Management Service -Entwicklerhandbuch*.
## Einen vom Kunden verwalteten Schlüssel für Amazon Location angeben
Sie können einen vom Kunden verwalteten Schlüssel als zweite Verschlüsselungsebene für die folgenden Ressourcen festlegen:
+ [Einen Tracker erstellen](start-create-tracker.md)
+ [Erste Schritte mit Amazon Location Service Geofences](geofence-gs.md)
Wenn Sie eine Ressource erstellen, können Sie den Datenschlüssel angeben, indem Sie eine **KMS-ID** eingeben, die Amazon Location verwendet, um die von der Ressource gespeicherten identifizierbaren persönlichen Daten zu verschlüsseln.
+ **KMS-ID** — Eine [Schlüssel-ID](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id) für einen vom AWS KMS Kunden verwalteten Schlüssel. Geben Sie eine Schlüssel-ID, einen Schlüssel-ARN, einen Alias-Namen oder einen Alias-ARN ein.
## Amazon Location Service Service-Verschlüsselungskontext
Ein [Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) ist ein optionaler Satz von Schlüssel-Wert-Paaren, die zusätzliche kontextbezogene Informationen zu den Daten enthalten.
AWS KMS verwendet den Verschlüsselungskontext als [zusätzliche authentifizierte Daten](https://docs.aws.amazon.com/kms/latest/cryptographic-details/crypto-primitives.html), um die [authentifizierte](https://docs.aws.amazon.com/kms/latest/cryptographic-details/crypto-primitives.html) Verschlüsselung zu unterstützen. Wenn Sie einen Verschlüsselungskontext in eine Anforderung zum Verschlüsseln von Daten einbeziehen, wird der Verschlüsselungskontext AWS KMS an die verschlüsselten Daten gebunden. Zur Entschlüsselung von Daten müssen Sie denselben Verschlüsselungskontext in der Anfrage übergeben.
**Amazon Location Service Service-Verschlüsselungskontext**
Amazon Location verwendet bei allen AWS KMS kryptografischen Vorgängen denselben Verschlüsselungskontext, wobei der Schlüssel `aws:geo:arn` und der Wert die Ressource [Amazon Resource Name](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) (ARN) ist.
**Example**
```
"encryptionContext": {
"aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
}
```
**Verwenden des Verschlüsselungskontexts für die Überwachung**
Wenn Sie einen symmetrischen, vom Kunden verwalteten Schlüssel zum Verschlüsseln Ihrer Tracker- oder Geofence-Erfassung verwenden, können Sie den Verschlüsselungskontext auch in Prüfaufzeichnungen und Protokollen verwenden, um zu ermitteln, wie der kundenverwaltete Schlüssel verwendet wird. Der Verschlüsselungskontext erscheint auch in [Protokollen, die von Amazon CloudWatch Logs generiert wurden AWS CloudTrail](#example-custom-encryption).
**Verwendung des Verschlüsselungskontextes zur Steuerung des Zugriffs auf den vom Kunden verwalteten Schlüssel**
Sie können den Verschlüsselungskontext in Schlüsselrichtlinien und IAM-Richtlinien als `conditions` verwenden, um den Zugriff auf Ihren symmetrischen, kundenverwalteten Schlüssel zu kontrollieren. Sie können Verschlüsselungskontext-Einschränkungen auch in einer Genehmigung verwenden.
Amazon Location verwendet bei Zuschüssen eine Einschränkung des Verschlüsselungskontextes, um den Zugriff auf den vom Kunden verwalteten Schlüssel in Ihrem Konto oder Ihrer Region zu kontrollieren. Eine Genehmigungseinschränkung erfordert, dass durch die Genehmigung ermöglichte Vorgänge den angegebenen Verschlüsselungskontext verwenden.
**Example**
Im Folgenden finden Sie Beispiele für Schlüsselrichtlinienanweisungen zur Gewährung des Zugriffs auf einen kundenseitig verwalteten Schlüssel für einen bestimmten Verschlüsselungskontext. Die Bedingung in dieser Richtlinienanweisung setzt voraus, dass die Genehmigungen eine Einschränkung des Verschlüsselungskontextes haben, die den Verschlüsselungskontext spezifiziert.
```
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:tracker/SAMPLE-Tracker"
}
}
}
```
## Überwachung Ihrer Verschlüsselungsschlüssel für Amazon Location Service
Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel mit Ihren Amazon Location Service Service-Ressourcen verwenden, können Sie [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)oder [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) verwenden, um Anfragen zu verfolgen, an die Amazon Location sendet AWS KMS.
Die folgenden Beispiele sind AWS CloudTrail Ereignisse für`CreateGrant`,`GenerateDataKeyWithoutPlainText`, und `DescribeKey` zur Überwachung von KMS-Vorgängen`Decrypt`, die von Amazon Location aufgerufen werden, um auf Daten zuzugreifen, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden:
------
#### [ CreateGrant ]
Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel verwenden, um Ihre Tracker- oder Geofence-Sammelressourcen zu verschlüsseln, sendet Amazon Location in Ihrem Namen eine `CreateGrant` Anfrage für den Zugriff auf den KMS-Schlüssel in Ihrem Konto. AWS Der Zuschuss, den Amazon Location gewährt, ist spezifisch für die Ressource, die dem vom AWS KMS Kunden verwalteten Schlüssel zugeordnet ist. Darüber hinaus verwendet Amazon Location den `RetireGrant` Vorgang, um einen Zuschuss zu entfernen, wenn Sie eine Ressource löschen.
Das folgende Beispielereignis zeichnet den Vorgang `CreateGrant` auf:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "geo.region.amazonaws.com",
"operations": [
"GenerateDataKeyWithoutPlaintext",
"Decrypt",
"DescribeKey"
],
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"granteePrincipal": "geo.region.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
------
#### [ GenerateDataKeyWithoutPlainText ]
Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel für Ihre Tracker- oder Geofence-Sammelressource aktivieren, erstellt Amazon Location einen eindeutigen Tabellenschlüssel. Es sendet eine `GenerateDataKeyWithoutPlainText` Anfrage an AWS KMS , die den vom AWS KMS Kunden verwalteten Schlüssel für die Ressource angibt.
Das folgende Beispielereignis zeichnet den Vorgang `GenerateDataKeyWithoutPlainText` auf:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
},
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e"
}
```
------
#### [ Decrypt ]
Wenn Sie auf eine verschlüsselte Tracker- oder Geofence-Erfassung zugreifen, ruft Amazon Location den `Decrypt` Vorgang auf, um den gespeicherten verschlüsselten Datenschlüssel für den Zugriff auf die verschlüsselten Daten zu verwenden.
Das folgende Beispielereignis zeichnet den Vorgang `Decrypt` auf:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:10:51Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "dc129381-1d94-49bd-b522-f56a3482d088"
}
```
------
#### [ DescribeKey ]
Amazon Location verwendet diesen `DescribeKey` Vorgang, um zu überprüfen, ob der vom AWS KMS Kunden verwaltete Schlüssel, der mit Ihrer Tracker- oder Geofence-Sammlung verknüpft ist, in dem Konto und in der Region vorhanden ist.
Das folgende Beispielereignis zeichnet den Vorgang `DescribeKey` auf:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
------
## Weitere Informationen
Die folgenden Ressourcen enthalten weitere Informationen zur Datenverschlüsselung im Ruhezustand:
+ Weitere Informationen zu grundlegenden [AWS Key Management Service -Konzepten](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) finden Sie im *AWS Key Management Service -Entwicklerhandbuch*.
+ Weitere Informationen zu [bewährten Sicherheitsmethoden für AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/kms-security.html) finden Sie im *AWS Key Management Service Entwicklerhandbuch*.
# Verschlüsselung von Daten bei der Übertragung für Amazon Location Service
Amazon Location schützt Daten während der Übertragung zum und vom Service, indem alle Netzwerkdaten automatisch mit dem Verschlüsselungsprotokoll Transport Layer Security (TLS) 1.2 verschlüsselt werden. Direkte HTTPS-Anfragen, die an den Amazon Location Service gesendet APIs werden, werden mithilfe des [AWS Signature Version 4-Algorithmus](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv-create-signed-request.html) signiert, um eine sichere Verbindung herzustellen.
# Reaktion auf Vorfälle in Amazon Location Service
Sicherheit hat bei AWS höchste Priorität. AWS Verwaltet im Rahmen des AWS [Cloud-Modells mit geteilter Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) ein Rechenzentrum und eine Netzwerkarchitektur, die den Anforderungen der sicherheitssensibelsten Unternehmen gerecht wird. Als AWS Kunde tragen Sie gemeinsam die Verantwortung für die Aufrechterhaltung der Sicherheit in der Cloud. Das bedeutet, dass Sie die Sicherheit, die Sie implementieren möchten, anhand der AWS Tools und Funktionen, auf die Sie Zugriff haben, kontrollieren.
Indem Sie eine Sicherheitsgrundlage schaffen, die den Anforderungen Ihrer in der Cloud betriebenen Anwendungen entspricht, können Sie Abweichungen erkennen und entsprechend darauf reagieren. Da die Reaktion auf Sicherheitsvorfälle ein komplexes Thema sein kann, empfehlen wir Ihnen, die folgenden Ressourcen zu lesen, damit Sie besser verstehen, welche Auswirkungen die Reaktion auf Vorfälle (IR) und Ihre Entscheidungen auf Ihre Unternehmensziele haben: [Leitfaden zur Reaktion auf AWS Sicherheitsvorfälle](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html), Whitepaper zu [bewährten AWS Sicherheitsmethoden](https://aws.amazon.com/architecture/security-identity-compliance/?cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc) und das [AWS Cloud Adoption Framework (AWS CAF](https://aws.amazon.com/cloud-adoption-framework/#Security_Perspective)).
# Protokollierung und Überwachung in Amazon Location Service
Protokollierung und Überwachung sind ein wichtiger Bestandteil der Reaktion auf Vorfälle. Damit können Sie eine Sicherheitsbasis festlegen, um Abweichungen zu erkennen, die Sie untersuchen und darauf reagieren können. Durch die Implementierung von Protokollierung und Überwachung für Amazon Location Service können Sie die Zuverlässigkeit, Verfügbarkeit und Leistung Ihrer Projekte und Ressourcen aufrechterhalten.
AWS bietet mehrere Tools, mit denen Sie Daten für die Reaktion auf Vorfälle protokollieren und sammeln können:
**AWS CloudTrail**
Amazon Location Service ist in einen Service integriert AWS CloudTrail, der eine Aufzeichnung der von einem Benutzer, einer Rolle oder einem AWS Service ausgeführten Aktionen bereitstellt. Dazu gehören Aktionen von der Amazon Location Service Service-Konsole aus und programmatische Aufrufe von Amazon Location API-Operationen. Diese Aufzeichnungen von Aktionen werden als Ereignisse bezeichnet. Weitere Informationen finden Sie unter [Protokollierung und Überwachung von Amazon Location Service mit AWS CloudTrail](https://docs.aws.amazon.com/location/latest/developerguide/cloudtrail.html).
**Amazon CloudWatch**
Sie können Amazon verwenden CloudWatch , um Kennzahlen zu Ihrem Amazon Location Service Service-Konto zu sammeln und zu analysieren. Sie können CloudWatch Alarme aktivieren, um Sie zu benachrichtigen, wenn eine Metrik bestimmte Bedingungen erfüllt und einen bestimmten Schwellenwert erreicht hat. Wenn Sie einen Alarm erstellen, CloudWatch sendet eine Benachrichtigung an einen von Ihnen definierten Amazon Simple Notification Service. Weitere Informationen finden Sie unter [Monitoring Amazon Location Service with Amazon CloudWatch](https://docs.aws.amazon.com/location/latest/developerguide/cloudwatch.html).
**AWS Health Dashboards**
Mithilfe von [AWS Health Dashboards](https://status.aws.amazon.com/) können Sie den Status des Amazon Location Service Service überprüfen. Sie können auch historische Daten zu Ereignissen oder Problemen, die sich auf Ihre AWS Umgebung auswirken könnten, überwachen und einsehen. Weitere Informationen finden Sie im [AWS Health -Benutzerhandbuch](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html).
# Konformitätsprüfung für Amazon Location Service
Informationen darüber, ob AWS-Service ein [AWS-Services in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
# Resilienz bei Amazon Location Service
Die AWS globale Infrastruktur basiert auf Availability AWS-Regionen Zones. AWS-Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Weitere Informationen zu Availability Zones AWS-Regionen und Availability Zones finden Sie unter [AWS Globale](https://aws.amazon.com/about-aws/global-infrastructure/) Infrastruktur.
Zusätzlich zur AWS globalen Infrastruktur bietet Amazon Location mehrere Funktionen, um Ihre Datenstabilität und Backup-Anforderungen zu erfüllen.
# Infrastruktursicherheit in Amazon Location Service
Als verwalteter Service ist Amazon Location Service durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Amazon Location zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
# AWS PrivateLink für Amazon-Standort
Mit AWS PrivateLink for Amazon Location können Sie *Amazon VPC-Schnittstellenendpunkte (Schnittstellenendpunkte) in Ihrer virtuellen privaten Cloud (Amazon VPC*) bereitstellen. Auf diese Endpunkte kann direkt von Anwendungen aus zugegriffen werden, die sich vor Ort befinden Direct Connect, über VPN und/oder auf andere Weise AWS-Region über [Amazon VPC-Peering](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html). Mithilfe von Endpunkten AWS PrivateLink und Schnittstellen können Sie die private Netzwerkkonnektivität zwischen Ihren Anwendungen und Amazon Location vereinfachen.
Anwendungen in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit VPC-Endpunkten der Amazon Location-Schnittstelle für Amazon Location-Operationen zu kommunizieren. Schnittstellenendpunkte werden durch eine oder mehrere elastische Netzwerkschnittstellen (ENIs) repräsentiert, denen private IP-Adressen aus Subnetzen in Ihrer Amazon VPC zugewiesen wurden. Anfragen an Amazon Location über Schnittstellenendpunkte verbleiben im Amazon-Netzwerk. Sie können auch von lokalen Anwendungen aus über Direct Connect oder AWS Virtual Private Network () auf Schnittstellenendpunkte in Ihrer Amazon VPC zugreifen.Site-to-Site VPN Weitere Informationen darüber, wie Sie Ihre Amazon VPC mit Ihrem On-Premises-Netzwerk verbinden, finden Sie im [Direct Connect -Benutzerhandbuch](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) und im [AWS Site-to-Site -VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)-Benutzerhandbuch.
*Allgemeine Informationen zu Schnittstellenendpunkten finden Sie unter [Interface Amazon VPC endpoints (AWS PrivateLink) im Handbuch](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html).AWS PrivateLink *
**Topics**
+ [Arten von Amazon VPC-Endpunkten für Amazon Location Service](#types-of-vpc-endpoints-for-al)
+ [Überlegungen bei der Verwendung von AWS PrivateLink Amazon Location Service](#privatelink-considerations)
+ [Erstellen Sie einen Schnittstellenendpunkt für Amazon Location Service](#al-creating-vpc)
+ [Greifen Sie über Endpunkte der Amazon Location-Schnittstelle auf Amazon Location API-Operationen zu](#accessing-apis-from-interface-endpoints)
+ [Aktualisieren Sie eine lokale DNS-Konfiguration](#updating-on-premises-dns-config)
+ [Erstellen Sie eine Amazon VPC-Endpunktrichtlinie für Amazon Location](#creating-vpc-endpoint-policy)
## Arten von Amazon VPC-Endpunkten für Amazon Location Service
Sie können einen Typ von Amazon VPC-Endpunkten für den Zugriff auf Amazon Location Service verwenden: *Schnittstellen-Endpunkte* (mithilfe AWS PrivateLink von). *Schnittstellenendpunkte* verwenden private IP-Adressen, um Anfragen von Ihrer Amazon VPC, vor Ort oder von einer Amazon VPC in einer anderen mithilfe AWS-Region von Amazon VPC Peering an einen Amazon-Standort weiterzuleiten. Weitere Informationen finden Sie unter [Was ist Amazon-VPC Peering?](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) und [Vergleich zwischen Transit-Gateway und Amazon-VPC-Peering](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/vpc-to-vpc-connectivity.html).
Schnittstellenendpunkte sind mit Gateway-Endpunkten kompatibel. Wenn Sie einen vorhandenen Gateway-Endpunkt in der Amazon VPC haben, können Sie beide Arten von Endpunkten in derselben Amazon VPC verwenden.
Schnittstellenendpunkte für Amazon Location haben die folgenden Eigenschaften:
+ Ihr Netzwerkverkehr verbleibt im AWS Netzwerk
+ Verwenden Sie private IP-Adressen aus Ihrer Amazon VPC, um auf Amazon Location Service zuzugreifen
+ Erlaubt On-Premises-Zugriff
+ Ermöglicht den Zugriff von einem Amazon VPC-Endpunkt auf einen anderen mithilfe AWS-Region von Amazon VPC-Peering oder AWS Transit Gateway
+ Schnittstellen-Endpunkte werden in Rechnung gestellt
## Überlegungen bei der Verwendung von AWS PrivateLink Amazon Location Service
Überlegungen zu Amazon VPC gelten AWS PrivateLink für Amazon Location Service. Weitere Informationen finden Sie unter [Überlegungen zu Schnittstellenendpunkten](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) und [AWS PrivateLink -Kontingente](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-limits-endpoints.html) im *Handbuch zu AWS PrivateLink *. Darüber hinaus gelten die folgenden Einschränkungen.
AWS PrivateLink für Amazon Location Service unterstützt Folgendes nicht:
+ Transport Layer Security (TLS) 1.1
+ Private und Hybrid Domain Name System (DNS)-Services
Amazon VPC-Endpunkte:
+ Unterstützt keine [API-Operationen von Amazon Location Service Maps](https://docs.aws.amazon.com/location/latest/APIReference/API_Operations_Amazon_Location_Service_Maps_V2.html), einschließlich: `GetGlyphs``GetSprites`, und `GetStyleDescriptor`
+ Unterstützt keine regionsübergreifenden Anfragen. Stellen Sie sicher, dass Sie Ihren Endpunkt in derselben Region einrichten, in der Sie Ihre API-Aufrufe an Amazon Location Service tätigen möchten.
+ Unterstützt nur von Amazon bereitgestelltes DNS über Amazon Route 53. Wenn Sie Ihr eigenes DNS verwenden möchten, verwenden Sie die bedingte DNS-Weiterleitung. Weitere Informationen finden Sie unter [DHCP Options Sets](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) im *Amazon VPC-Benutzerhandbuch*.
+ Muss eingehende Verbindungen auf Port 443 vom privaten Subnetz der VPC über die Sicherheitsgruppe zulassen, die mit dem VPC-Endpunkt verbunden ist
Sie können bis zu 50.000 Anfragen pro Sekunde für jeden PrivateLink AWS-Endpunkt, den Sie aktivieren, einreichen.
**Anmerkung**
Timeouts bei der Netzwerkkonnektivität zu AWS PrivateLink Endpunkten fallen nicht in den Rahmen der Antworten auf Amazon-Standortfehler und müssen von Ihren Anwendungen, die eine Verbindung zu den AWS PrivateLink Endpunkten herstellen, angemessen behandelt werden.
## Erstellen Sie einen Schnittstellenendpunkt für Amazon Location Service
Sie können einen Schnittstellenendpunkt für Amazon Location Service entweder mit der Amazon VPC-Konsole oder mit AWS Command Line Interface (AWS CLI) erstellen. Weitere Informationen finden Sie unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) im *AWS PrivateLink -Leitfaden*.
Es gibt sechs verschiedene VPC-Endpunkte, einen für jede von Amazon Location Service angebotene Funktion.
| Kategorie | Endpoint |
| --- | --- |
| Zuordnungen | `com.amazonaws.region.geo.maps` |
| Orte | `com.amazonaws.region.geo.places` |
| Strecken | `com.amazonaws.region.geo.routes` |
| Geozäune | `com.amazonaws.region.geo.geofencing` |
| Tracker | `com.amazonaws.region.geo.tracking` |
| Metadaten | `com.amazonaws.region.geo.metadata` |
**Zum Beispiel:**
```
com.amazonaws.us-east-2.geo.maps
```
Wenn der Endpunkt erstellt wurde, haben Sie die Möglichkeit, einen privaten DNS-Hostnamen zu aktivieren. Wählen Sie zur Aktivierung in der Amazon VPC-Konsole die Option **Privaten DNS-Namen aktivieren** aus, wenn Sie den VPC-Endpunkt erstellen.
Wenn Sie privates DNS für den Schnittstellenendpunkt aktivieren, können Sie API-Anfragen an den Amazon Location Service Service senden, indem Sie dessen standardmäßigen regionalen DNS-Namen verwenden. Die folgenden Beispiele zeigen das Standardformat für regionale DNS-Namen.
+ `maps.geo.region.amazonaws.com`
+ `places.geo.region.amazonaws.com`
+ `routes.geo.region.amazonaws.com`
+ `tracking.geo.region.amazonaws.com`
+ `geofencing.geo.region.amazonaws.com`
+ `metadata.geo.region.amazonaws.com`
Die vorherigen DNS-Namen gelten für IPv4 Domänen. Die folgenden IPV6 DNS-Namen können auch für Schnittstellenendpunkte verwendet werden.
+ `maps.geo.region.api.aws`
+ `places.geo.region.api.aws`
+ `routes.geo.region.api.aws`
+ `tracking.geo.region.api.aws`
+ `geofencing.geo.region.api.aws`
+ `metadata.geo.region.api.aws`
## Greifen Sie über Endpunkte der Amazon Location-Schnittstelle auf Amazon Location API-Operationen zu
Sie können das [AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/location/)oder verwenden [AWS SDKs](https://docs.aws.amazon.com/location/latest/developerguide/dev-sdks.html), um über die Endpunkte der Amazon Location-Schnittstelle auf Amazon Location API-Operationen zuzugreifen.
**Beispiel: Erstellen eines VPC-Endpunkts**
```
aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name location-service-name \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id
```
**Beispiel: Ändern eines VPC-Endpunkts**
```
aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-endpoint-id \
--policy-document policy-document \ #example optional parameter
--add-security-group-ids security-group-ids \ #example optional parameter
# any additional parameters needed, see PrivateLink documentation for more details
```
## Aktualisieren Sie eine lokale DNS-Konfiguration
Wenn Sie endpunktspezifische DNS-Namen für den Zugriff auf die Schnittstellenendpunkte für Amazon Location verwenden, müssen Sie Ihren lokalen DNS-Resolver nicht aktualisieren. Sie können den endpunktspezifischen DNS-Namen mit der privaten IP-Adresse des Schnittstellenendpunkts aus der öffentlichen Amazon Location-DNS-Domain auflösen.
Verwenden Sie Schnittstellen-Endpunkte, um ohne einen Gateway-Endpunkt oder ein Internet-Gateway in der Amazon VPC auf Amazon Location zuzugreifen
Schnittstellenendpunkte in Ihrer Amazon VPC können sowohl interne als auch lokale Anwendungen über das Amazon-Netzwerk an Amazon Location weiterleiten.
## Erstellen Sie eine Amazon VPC-Endpunktrichtlinie für Amazon Location
Sie können Ihrem Amazon VPC-Endpunkt eine Endpunktrichtlinie hinzufügen, die den Zugriff auf Amazon Location steuert. Die Richtlinie gibt die folgenden Informationen an:
+ Der AWS Identity and Access Management (IAM-) Principal, der Aktionen ausführen kann
+ Aktionen, die ausgeführt werden können
+ Ressourcen, für die Aktionen ausgeführt werden können
**Beispiel:** VPCe Beispielrichtlinie für den Zugriff auf Amazon Location Service Places APIs:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Allow-access-to-location-service-places-opeartions",
"Effect": "Allow",
"Action": [
"geo-places:*",
"geo:*"
],
"Resource": [
"arn:aws:geo-places:us-east-1::provider/default",
"arn:aws:geo:us-east-1:*:place-index/*"
]
}
]
}
```
# Konfiguration und Schwachstellenanalyse in Amazon Location
Konfiguration und IT-Kontrollen liegen in der gemeinsamen Verantwortung AWS von Ihnen, unserem Kunden. Weitere Informationen finden Sie im [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/).
# Serviceübergreifende Confused-Deputy-Prävention
Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. In AWS, dienstübergreifender Identitätswechsel kann zum Problem des verwirrten Stellvertreters führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der *Anruf-Dienst*) einen anderen Dienst anruft (den *aufgerufenen Dienst*). Der aufrufende Service kann manipuliert werden, um seine Berechtigungen zu verwenden, um Aktionen auf die Ressourcen eines anderen Kunden auszuführen, für die er sonst keine Zugriffsberechtigung haben sollte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben.
Amazon Location Service fungiert nicht als Anrufservice in Ihrem Namen für andere AWS Dienste, sodass Sie diese Schutzmaßnahmen in diesem Fall nicht hinzufügen müssen. Weitere Informationen über den verwirrten Stellvertreter finden Sie unter [Das Problem mit dem verwirrten Stellvertreter](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) im *AWS Identity and Access Management Benutzerhandbuch*.
# Bewährte Methoden für Amazon Location Service
In diesem Thema finden Sie bewährte Methoden, die Ihnen bei der Verwendung von Amazon Location Service helfen. Diese Best Practices können Ihnen zwar dabei helfen, den Amazon Location Service in vollem Umfang zu nutzen, stellen jedoch keine vollständige Lösung dar. Sie sollten nur die Empfehlungen befolgen, die für Ihre Umgebung gelten.
**Topics**
+ [Sicherheit](#security-best-practice)
## Sicherheit
Beachten Sie die folgenden bewährten Methoden, um Sicherheitsrisiken zu bewältigen oder sogar zu vermeiden:
+ Verwenden Sie Identity Federation und IAM-Rollen, um den Zugriff auf Ihre Amazon-Standortressourcen zu verwalten, zu kontrollieren oder einzuschränken. Weitere Informationen finden Sie unter [Bewährte Methoden für IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
+ Folgen Sie dem Prinzip der geringsten Rechte, um nur den erforderlichen Mindestzugriff auf Ihre Amazon Location Service Service-Ressourcen zu gewähren.
+ Beschränken Sie für Amazon Location Service Service-Ressourcen, die in Webanwendungen verwendet werden, den Zugriff mithilfe einer `aws:referer` IAM-Bedingung und beschränken Sie die Nutzung durch Websites, die nicht in der Zulassungsliste aufgeführt sind.
+ Verwenden Sie Überwachungs- und Protokollierungstools, um den Zugriff auf und die Nutzung von Ressourcen zu verfolgen. Weitere Informationen finden Sie unter [Protokollierung und Überwachung in Amazon Location Service](security-logging-and-monitoring.md) und [Protokollierung von Datenereignissen für Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html) im AWS CloudTrail Benutzerhandbuch.
+ Verwenden Sie sichere Verbindungen, z. B. solche, die mit beginnen, `https://` um die Sicherheit zu erhöhen und Benutzer vor Angriffen zu schützen, während Daten zwischen dem Server und dem Browser übertragen werden.
### Bewährte Methoden zur Detektivsicherheit für Amazon Location Service
Die folgenden bewährten Methoden für Amazon Location Service können dabei helfen, Sicherheitsvorfälle zu erkennen:
**Implementieren Sie AWS Überwachungstools**
Die Überwachung ist entscheidend für die Reaktion auf Vorfälle und gewährleistet die Zuverlässigkeit und Sicherheit der Ressourcen von Amazon Location Service und Ihrer Lösungen. Sie können aus den verschiedenen verfügbaren Tools und Diensten Überwachungstools implementieren AWS , um Ihre Ressourcen und Ihre anderen AWS Dienste zu überwachen.
CloudWatch Mit Amazon können Sie beispielsweise Messwerte für Amazon Location Service überwachen und Alarme einrichten, um Sie zu benachrichtigen, wenn eine Metrik bestimmte von Ihnen festgelegte Bedingungen erfüllt und einen von Ihnen definierten Schwellenwert erreicht hat. Wenn Sie einen Alarm erstellen, können Sie festlegen, CloudWatch dass über Amazon Simple Notification Service eine Benachrichtigung gesendet wird. Weitere Informationen finden Sie unter [Protokollierung und Überwachung in Amazon Location Service](security-logging-and-monitoring.md).
**Aktivieren Sie die AWS Protokollierungstools**
Die Protokollierung bietet eine Aufzeichnung der Aktionen, die von einem Benutzer, einer Rolle oder einem AWS Service in Amazon Location Service ausgeführt wurden. Sie können Protokollierungstools implementieren AWS CloudTrail , um beispielsweise Daten über Aktionen zu sammeln, um ungewöhnliche API-Aktivitäten zu erkennen.
Wenn Sie einen Trail erstellen, können Sie ihn so konfigurieren, CloudTrail dass Ereignisse protokolliert werden. Ereignisse sind Aufzeichnungen von Ressourcenoperationen, die auf oder innerhalb einer Ressource ausgeführt wurden, wie z. B. die Anfrage an Amazon Location, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann die Anfrage gestellt wurde, zusammen mit zusätzlichen Daten. Weitere Informationen finden Sie unter [Protokollierung von Datenereignissen für Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html) im AWS CloudTrail Benutzerhandbuch.
### Bewährte Methoden zur präventiven Sicherheit für Amazon Location Service
Die folgenden bewährten Methoden für Amazon Location Service können dazu beitragen, Sicherheitsvorfälle zu verhindern:
**Verwenden Sie sichere Verbindungen**
Verwenden Sie immer verschlüsselte Verbindungen, z. B. solche, die mit `https://` beginnen, um vertrauliche Informationen bei der Übertragung zu schützen.
**Implementieren Sie den Zugriff auf Ressourcen mit den geringsten Rechten**
Wenn Sie benutzerdefinierte Richtlinien für Amazon-Standortressourcen erstellen, gewähren Sie nur die Berechtigungen, die für die Ausführung einer Aufgabe erforderlich sind. Es wird empfohlen, mit einem Mindestsatz von Berechtigungen zu beginnen und bei Bedarf zusätzliche Berechtigungen zu erteilen. Die Implementierung des Zugriffs mit der geringsten Berechtigung ist eine grundlegende Voraussetzung zum Reduzieren des Sicherheitsrisikos und der Auswirkungen, die aufgrund von Fehlern oder böswilligen Absichten entstehen könnten. Weitere Informationen finden Sie unter [AWS Identity and Access Management Zur Authentifizierung verwenden](security-iam.md).
**Verwenden Sie Global-Unique IDs als Gerät IDs**
Verwenden Sie die folgenden Konventionen für das Gerät. IDs
+ Das Gerät IDs muss eindeutig sein.
+ Das Gerät IDs sollte nicht geheim sein, da es als Fremdschlüssel für andere Systeme verwendet werden kann.
+ Das Gerät IDs sollte keine persönlich identifizierbaren Informationen (PII) wie Telefongerät IDs oder E-Mail-Adressen enthalten.
+ Das Gerät IDs sollte nicht vorhersehbar sein. Undurchsichtige Kennungen wie UUIDs werden empfohlen.
**Nehmen Sie keine personenbezogenen Daten in die Eigenschaften der Geräteposition auf**
Geben Sie beim Senden von Geräteaktualisierungen (z. B. mithilfe von [DevicePositionUpdate](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePositionUpdate.html)) keine personenbezogenen Daten (PII) wie Telefonnummer oder E-Mail-Adresse in das. `PositionProperties`