Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Protección de los datos en Amazon Location Service
El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) de AWS se aplica a la protección de datos en Amazon Location Service. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta toda la Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulta las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulta la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS*.
Con fines de protección de datos, recomendamos proteger las credenciales de la Cuenta de AWS y configurar cuentas de usuario individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Utiliza SSL/TLS para comunicarse con los recursos de AWS. Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.
+ Configure los registros de API y de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre cómo utilizar registros de seguimiento de CloudTrail para capturar actividades de AWS, consulta [Working with CloudTrail trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del usuario de AWS CloudTrail*.
+ Utiliza las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados dentro de los servicios de Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.
+ Si necesita módulos criptográficos validados FIPS 140-3 al acceder a AWS a través de una interfaz de línea de comandos o una API, utiliza un punto de conexión de FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulta [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja con Amazon Location u otros Servicios de AWS mediante la consola, la API, la AWS CLI o los SDK de AWS. Cualquier dato que ingrese en etiquetas o campos de texto de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
# Privacidad de datos
Con Amazon Location Service, mantiene el control de los datos de su organización. Amazon Location anonimiza todas las consultas enviadas a los proveedores de datos al eliminar los metadatos de los clientes y la información de la cuenta.
Amazon Location no utiliza proveedores de datos para el seguimiento y la geolocalización. Esto significa que sus datos confidenciales permanecen en su cuenta de AWS. Esto ayuda a proteger la información de ubicación confidencial, como la ubicación de las instalaciones, los activos y el personal, de terceros, a proteger la privacidad de los usuarios y a reducir el riesgo de seguridad de la aplicación.
Para obtener información adicional, consulte las [preguntas frecuentes sobre la privacidad de los datos de AWS](https://aws.amazon.com/compliance/data-privacy-faq/).
# Retención de datos en la ubicación de Amazon
Las siguientes características se refieren a la forma en que Amazon Location recopila y almacena los datos para el servicio:
+ **Rastreadores de Amazon Location Service**: cuando utiliza las API de Rastreadores para rastrear la ubicación de las entidades, se pueden almacenar sus coordenadas. Las ubicaciones de los dispositivos se almacenan durante 30 días antes de que el servicio las elimine.
+ **Geocercas de Amazon Location Service**: cuando utiliza las API de geocercas para definir áreas de interés, el servicio almacena las geometrías que ha proporcionado. Deben eliminarse de forma explícita.
**nota**
Al eliminar su cuenta de AWS, elimina todos los recursos que contiene. Para obtener información adicional, consulte las [preguntas frecuentes sobre la privacidad de los datos de AWS](https://aws.amazon.com/compliance/data-privacy-faq/).
# Cifrado de datos en reposo para Amazon Location Service
Amazon Location Service proporciona cifrado de forma predeterminada para proteger los datos confidenciales de los clientes en reposo mediante claves de cifrado AWS propias.
+ **AWS claves propias**: Amazon Location utiliza estas claves de forma predeterminada para cifrar automáticamente los datos de identificación personal. No puedes ver, administrar ni usar las claves AWS propias, ni auditar su uso. Sin embargo, no tiene que realizar ninguna acción ni cambiar ningún programa para proteger las claves que cifran sus datos. Para obtener más información, consulte las [claves propiedad de AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) en la *Guía para desarrolladores de AWS Key Management Service *.
El cifrado de los datos en reposo de forma predeterminada ayuda a reducir la sobrecarga operativa y la complejidad que implica la protección de los datos confidenciales. Al mismo tiempo, le permite crear aplicaciones seguras que cumplen con los estrictos requisitos normativos y de conformidad con el cifrado.
Si bien no puedes deshabilitar esta capa de cifrado ni seleccionar un tipo de cifrado alternativo, puedes añadir una segunda capa de cifrado sobre las claves de cifrado que ya poseas AWS si eliges una clave gestionada por el cliente al crear tus recursos de recopilación de rastreadores y cercas geográficas:
+ **Claves administradas por el cliente**: Amazon Location admite el uso de una clave simétrica administrada por el cliente que usted crea, posee y administra para agregar una segunda capa de cifrado sobre el cifrado propio existente AWS . Como usted tiene el control total de este cifrado, puede realizar dichas tareas como:
+ Establecer y mantener políticas de claves
+ Establecer y mantener concesiones y políticas de IAM
+ Habilitar y deshabilitar políticas de claves
+ Rotar el material criptográfico
+ Adición de etiquetas de
+ Crear alias de clave
+ Programar la eliminación de claves
Para obtener más información, consulte las [claves administradas por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) en la * Guía para desarrolladores de AWS Key Management Service *.
En la siguiente tabla se resume cómo Amazon Location cifra los datos de identificación personal.
| Tipo de datos: | AWS cifrado de clave propia | Cifrado de claves administradas por el cliente (opcional) |
| --- | --- | --- |
| PositionUna geometría de puntos que contiene [los detalles de la posición del dispositivo](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePosition.html). | Habilitado | Habilitado |
| PositionPropertiesUn conjunto de pares clave-valor [asociados con la actualización de posición](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePosition.html). | Habilitado | Habilitado |
| GeofenceGeometry[Geometría de una geocerca](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_GeofenceGeometry.html) poligonal que representa el área geocercada. | Habilitado | Habilitado |
| DeviceIdEl identificador del dispositivo especificado al [cargar una actualización de la posición del dispositivo en un recurso](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePositionUpdate.html) de rastreo. | Habilitado | No compatible |
| GeofenceIdUn identificador que se especifica al [almacenar una geometría de geocerca o](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_PutGeofence.html) un [lote de geocercas en una colección de geocercas determinada](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_BatchPutGeofence.html). | Habilitado | No compatible |
**nota**
Amazon Location permite automáticamente el cifrado en reposo mediante claves AWS propias para proteger los datos de identificación personal sin coste alguno.
Sin embargo, se aplican AWS KMS cargos por el uso de una clave administrada por el cliente. Para obtener más información acerca de los precios, consulte [Precios de AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
Para obtener más información AWS KMS, consulte [¿Qué es AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
## Cómo utiliza Amazon Location Service las subvenciones en AWS KMS
Amazon Location requiere una [concesión](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) para utilizar su clave administrada por el cliente.
Cuando creas un [recurso de rastreo](https://docs.aws.amazon.com/location/latest/developerguide/trackers.html) o una [colección de geovallas](https://docs.aws.amazon.com/location/latest/developerguide/geofences.html) cifrada con una clave gestionada por el cliente, Amazon Location crea una subvención en tu nombre enviando una [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)solicitud a. AWS KMS Las concesiones in se AWS KMS utilizan para dar acceso a Amazon Location a una clave de KMS en la cuenta de un cliente.
Amazon Location necesita la concesión para utilizar la clave administrada por el cliente para las siguientes operaciones internas:
+ Envíe [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)solicitudes AWS KMS a para comprobar que el identificador de clave de KMS simétrico gestionado por el cliente introducido al crear un rastreador o una colección de geovallas es válido.
+ Envíe [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)solicitudes AWS KMS para generar claves de datos cifradas por su clave administrada por el cliente.
+ Envíe solicitudes de [descifrado](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) AWS KMS a para descifrar las claves de datos cifrados para que puedan usarse para cifrar sus datos.
Puede revocar el acceso a la concesión o eliminar el acceso del servicio a la clave administrada por el cliente en cualquier momento. Si lo hace, Amazon Location no podrá acceder a ninguno de los datos cifrados por la clave administrada por el cliente, lo que afectará a las operaciones que dependen de esos datos. Por ejemplo, si intentas [obtener las posiciones de los dispositivos](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_GetDevicePosition.html) a partir de un rastreador cifrado al que Amazon Location no puede acceder, la operación mostrará un `AccessDeniedException` error.
## Creación de una clave administrada por el cliente
Puede crear una clave simétrica gestionada por el cliente mediante el, o el Consola de administración de AWS. AWS KMS APIs
**Para crear una clave simétrica administrada por el cliente**
Siga los pasos para [crear una clave simétrica gestionada por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) que se indican en la *Guía para desarrolladores de AWS Key Management Service *.
**Política de claves**
Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener más información, consulte [Administración del acceso a las claves administradas por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) en la *Guía para desarrolladores de AWS Key Management Service *.
Para utilizar la clave administrada por el cliente con sus recursos de Amazon Location, se deben permitir las siguientes operaciones de API en la política de claves:
+ `[kms:CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)`: añade una concesión a una clave administrada por el cliente. Otorga el acceso de control a una clave KMS específica, que permite acceder a las [operaciones de concesión](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) que requieren acceso verificado. Para obtener más información sobre el [uso de concesiones](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html), consulte la *Guía para desarrolladores de AWS Key Management Service *.
Esto permite a Amazon Location realizar las siguientes tareas:
+ Llamar a `GenerateDataKeyWithoutPlainText` para generar una clave de datos cifrada y almacenarla, ya que la clave de datos no se utiliza inmediatamente para cifrar.
+ Llamar a `Decrypt` para usar la clave de datos cifrados almacenada para acceder a los datos cifrados.
+ Configurar una entidad principal que se retire para permitir que el servicio `RetireGrant`.
+ `[kms:DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)`: proporciona los detalles de la clave administrada por el cliente para permitir que Amazon Location valide la clave.
Los siguientes son ejemplos de declaraciones de política que puede agregar para Amazon Location:
```
"Statement" : [
{
"Sid" : "Allow access to principals authorized to use Amazon Location",
"Effect" : "Allow",
"Principal" : {
"AWS" : "*"
},
"Action" : [
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"kms:ViaService" : "geo.region.amazonaws.com",
"kms:CallerAccount" : "111122223333"
}
},
{
"Sid": "Allow access for key administrators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action" : [
"kms:*"
],
"Resource": "arn:aws:kms:region:111122223333:key/key_ID"
},
{
"Sid" : "Allow read-only access to key metadata to the account",
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::111122223333:root"
},
"Action" : [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource" : "*"
}
]
```
Para obtener más información sobre [cómo especificar permisos en una política](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html), consulte la *Guía para desarrolladores de AWS Key Management Service *.
Para obtener información sobre la [solución de problemas de acceso a las claves](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam), consulte la *Guía para desarrolladores de AWS Key Management Service *.
## Especificar una clave administrada por el cliente para Amazon Location
Puede especificar una clave administrada por el cliente como cifrado de segunda capa para los siguientes recursos:
+ [Crear un rastreador](start-create-tracker.md)
+ [Introducción a geocercas de Amazon Location Service](geofence-gs.md)
Al crear un recurso, puede especificar la clave de datos introduciendo un **ID de KMS**, que Amazon Location utiliza para cifrar los datos personales identificables almacenados en el recurso.
+ **ID de KMS**: un [identificador clave](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id) para una clave administrada por el AWS KMS cliente. Introduzca el ID de la clave, el ARN de la clave, el nombre de alias o el ARN del alias.
## Contexto de cifrado de Amazon Location Service
Un [contexto de cifrado](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) es un conjunto opcional de pares clave-valor que pueden contener información contextual adicional sobre los datos.
AWS KMS utiliza el contexto de cifrado como [datos autenticados adicionales](https://docs.aws.amazon.com/kms/latest/cryptographic-details/crypto-primitives.html) para respaldar el cifrado [autenticado.](https://docs.aws.amazon.com/kms/latest/cryptographic-details/crypto-primitives.html) Al incluir un contexto de cifrado en una solicitud de cifrado de datos, AWS KMS vincula el contexto de cifrado a los datos cifrados. Para descifrar los datos, debe incluir el mismo contexto de cifrado en la solicitud.
**Contexto de cifrado de Amazon Location Service**
Amazon Location utiliza el mismo contexto de cifrado en todas las operaciones AWS KMS criptográficas, donde la clave es `aws:geo:arn` y el valor es el [nombre de recurso de Amazon (ARN) del recurso](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html).
**Example**
```
"encryptionContext": {
"aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
}
```
**Uso del contexto de cifrado para la supervisión**
Si utiliza una clave simétrica gestionada por el cliente para cifrar su rastreador o su colección de geocercas, también puede utilizar el contexto de cifrado en los registros y registros de auditoría para identificar cómo se utiliza la clave gestionada por el cliente. El contexto de cifrado también aparece en [los registros generados por AWS CloudTrail Amazon CloudWatch Logs](#example-custom-encryption).
**Utilizar el contexto de cifrado para controlar el acceso a la clave administrada por el cliente**
Puede utilizar el contexto de cifrado en las políticas de claves y las políticas de IAM como `conditions` para controlar el acceso a la clave simétrica administrada por el cliente. Puede usar también una restricción de contexto de cifrado en una concesión.
Amazon Location utiliza el contexto de cifrado para restringir las concesiones que permiten el acceso a la clave administrada por el cliente o a su cuenta y región. La restricción de concesión requiere que las operaciones que permite la concesión utilicen el contexto de cifrado especificado.
**Example**
Los siguientes son ejemplos de declaraciones de política de claves para conceder acceso a una clave administrada por el cliente para un contexto de cifrado específico. La condición de esta declaración de política exige que las concesiones tengan una restricción de contexto de cifrado que especifique el contexto de cifrado.
```
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:tracker/SAMPLE-Tracker"
}
}
}
```
## Supervisión de las claves de cifrado para Amazon Location Service
Cuando utilizas una clave gestionada por el AWS KMS cliente con tus recursos de Amazon Location Service, puedes utilizar [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)[Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) para realizar un seguimiento de las solicitudes a las que Amazon Location envía AWS KMS.
Los siguientes ejemplos son AWS CloudTrail eventos para `CreateGrant` `GenerateDataKeyWithoutPlainText``Decrypt`, y `DescribeKey` para monitorear las operaciones de KMS llamadas por Amazon Location para acceder a los datos cifrados por la clave administrada por el cliente:
------
#### [ CreateGrant ]
Cuando utilizas una clave gestionada por el AWS KMS cliente para cifrar tu rastreador o los recursos de recolección de geovallas, Amazon Location envía una `CreateGrant` solicitud en tu nombre para acceder a la clave KMS de tu cuenta. AWS La concesión que Amazon Location crea es específica para el recurso asociado a la clave administrada por el cliente de AWS KMS . Además, Amazon Location utiliza la operación `RetireGrant` para eliminar una concesión cuando se elimina un recurso.
El siguiente evento de ejemplo registra la operación de `CreateGrant`:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "geo.region.amazonaws.com",
"operations": [
"GenerateDataKeyWithoutPlaintext",
"Decrypt",
"DescribeKey"
],
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"granteePrincipal": "geo.region.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
------
#### [ GenerateDataKeyWithoutPlainText ]
Cuando habilitas una clave gestionada por el AWS KMS cliente para tu rastreador o recurso de recolección de geovallas, Amazon Location crea una clave de tabla única. Envía una `GenerateDataKeyWithoutPlainText` solicitud a la AWS KMS que se especifica la clave gestionada por el AWS KMS cliente para el recurso.
El siguiente evento de ejemplo registra la operación de `GenerateDataKeyWithoutPlainText`:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
},
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e"
}
```
------
#### [ Decrypt ]
Cuando accedes a un rastreador cifrado o a una colección de geocercas, Amazon Location solicita a la operación de `Decrypt` que utilice la clave de datos cifrados almacenada para acceder a los datos cifrados.
El siguiente evento de ejemplo registra la operación de `Decrypt`:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:10:51Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "dc129381-1d94-49bd-b522-f56a3482d088"
}
```
------
#### [ DescribeKey ]
Amazon Location utiliza la operación de `DescribeKey` para verificar si la clave gestionada por el cliente de AWS KMS asociada a su rastreador o colección de geocercas existe en la cuenta y la región.
El siguiente evento de ejemplo registra la operación de `DescribeKey`:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
------
## Más información
Los siguientes recursos proporcionan más información sobre cifrado de datos en reposo.
+ Para obtener más información acerca de los [conceptos básicos de AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html), consulte la *Guía para desarrolladores de AWS Key Management Service *.
+ Para obtener más información sobre [las prácticas recomendadas de seguridad AWS Key Management Service, consulte la Guía para AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/kms-security.html) *desarrolladores*.
# Cifrado de datos en tránsito para Amazon Location Service
Amazon Location protege los datos en tránsito, a medida que viajan hacia y desde el servicio, cifrando automáticamente todos los datos entre redes mediante el protocolo de cifrado seguridad de la capa de transporte (TLS) 1.2. Las solicitudes HTTPS directas enviadas a Amazon Location Service APIs se firman mediante el [algoritmo AWS Signature Version 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv-create-signed-request.html) para establecer una conexión segura.