Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurité dans Amazon Location Service
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez de centres de données et d'architectures réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit cela comme la sécurité *du* cloud et la sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS Cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le cadre des programmes de [AWS conformité Programmes](https://aws.amazon.com/compliance/programs/) de de conformité. Pour en savoir plus sur les programmes de conformité qui s'appliquent à Amazon Location Service, consultez la section [AWS Services concernés par le programme de conformitéAWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris de la sensibilité de vos données, des exigences de votre entreprise, ainsi que de la législation et de la réglementation applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de l'utilisation d'Amazon Location. Les rubriques suivantes expliquent comment configurer Amazon Location pour répondre à vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser vos ressources Amazon Location.
**Topics**
+ [Protection des données dans Amazon Location Service](data-protection.md)
+ [Réponse aux incidents dans Amazon Location Service](incident-response.md)
+ [Validation de conformité pour Amazon Location Service](compliance-validation.md)
+ [Résilience dans Amazon Location Service](disaster-recovery-resiliency.md)
+ [Sécurité de l'infrastructure dans Amazon Location Service](infrastructure-security.md)
+ [AWS PrivateLink pour Amazon Location](privatelink-interface-endpoints.md)
+ [Analyse de configuration et de vulnérabilité dans Amazon Location](vulnerability-analysis-and-management.md)
+ [Prévention du problème de l’adjoint confus entre services](cross-service-confused-deputy-prevention.md)
+ [Bonnes pratiques pour Amazon Location Service](best-practices.md)
# Protection des données dans Amazon Location Service
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) de s'applique à la protection des données dans Amazon Location Service. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée [AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ Utilisez le protocole SSL/TLS pour communiquer avec les ressources. AWS Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec Amazon Location ou une autre entreprise Services AWS à l'aide de la console AWS CLI, de l'API ou AWS SDKs. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
# Confidentialité des données
Avec Amazon Location Service, vous gardez le contrôle des données de votre entreprise. Amazon Location anonymise toutes les requêtes envoyées aux fournisseurs de données en supprimant les métadonnées des clients et les informations de compte.
Amazon Location n'utilise pas de fournisseurs de données pour le suivi et le géofencing. Cela signifie que vos données sensibles restent dans votre AWS compte. Cela permet de protéger les informations de localisation sensibles, telles que l'emplacement des installations, des actifs et du personnel, contre les tiers, de protéger la confidentialité des utilisateurs et de réduire les risques de sécurité de votre application.
Pour plus d'informations, consultez la [FAQ sur la confidentialitéAWS des données](https://aws.amazon.com/compliance/data-privacy-faq/).
# Conservation des données sur Amazon Location
Les caractéristiques suivantes concernent la manière dont Amazon Location collecte et stocke les données pour le service :
+ **Traceurs Amazon Location Service** — Lorsque vous utilisez les traceurs APIs pour suivre la position d'entités, leurs coordonnées peuvent être stockées. Les localisations des appareils sont conservées pendant 30 jours avant d'être supprimées par le service.
+ **Géofences Amazon Location Service** : lorsque vous utilisez les géofences APIs pour définir des zones d'intérêt, le service enregistre les géométries que vous avez fournies. Ils doivent être explicitement supprimés.
**Note**
La suppression de votre AWS compte entraîne la suppression de toutes les ressources qu'il contient. Pour plus d'informations, consultez la [FAQ sur la confidentialitéAWS des données](https://aws.amazon.com/compliance/data-privacy-faq/).
# Chiffrement des données au repos pour Amazon Location Service
Amazon Location Service fournit un chiffrement par défaut pour protéger les données sensibles des clients au repos à l'aide de clés de chiffrement AWS détenues par nos soins.
+ **AWS clés détenues** : Amazon Location utilise ces clés par défaut pour chiffrer automatiquement les données personnelles identifiables. Vous ne pouvez pas afficher, gérer ou utiliser les clés que vous AWS possédez, ni auditer leur utilisation. Toutefois, vous n'avez pas besoin de prendre de mesure ou de modifier les programmes pour protéger les clés qui chiffrent vos données. Pour plus d’informations, consultez [Clés détenues par AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) dans le *Guide du développeur AWS Key Management Service *.
Le chiffrement des données au repos par défaut permet de réduire les frais opérationnels et la complexité liés à la protection des données sensibles. Dans le même temps, il vous permet de créer des applications sécurisées qui répondent aux exigences réglementaires et de conformité strictes en matière de chiffrement.
Bien que vous ne puissiez pas désactiver cette couche de chiffrement ou sélectionner un autre type de chiffrement, vous pouvez ajouter une deuxième couche de chiffrement aux clés de chiffrement AWS détenues existantes en choisissant une clé gérée par le client lorsque vous créez vos ressources de suivi et de collecte de géofences :
+ **Clés gérées par le client** : Amazon Location prend en charge l'utilisation d'une clé symétrique gérée par le client que vous créez, détenez et gérez afin d'ajouter une deuxième couche de chiffrement par rapport au chiffrement AWS détenu existant. Étant donné que vous avez le contrôle total de cette couche de chiffrement, vous pouvez effectuer les tâches suivantes :
+ Établissement et gestion des stratégies de clé
+ Établissement et gestion des politiques IAM et des octrois
+ Activation et désactivation des stratégies de clé
+ Rotation des matériaux de chiffrement de clé
+ Ajout de balises
+ Création d’alias de clé
+ Planification des clés pour la suppression
Pour plus d'informations, consultez la section [clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) dans le *guide du AWS Key Management Service développeur*.
Le tableau suivant récapitule la manière dont Amazon Location chiffre les données personnelles identifiables.
| Type de données | AWS chiffrement par clé possédée | Chiffrement par clé gérée par le client (facultatif) |
| --- | --- | --- |
| PositionUne géométrie ponctuelle contenant [les détails de position de l'appareil](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePosition.html). | Activé | Activé |
| PositionPropertiesEnsemble de paires clé-valeur [associées à la mise à jour de position](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePosition.html). | Activé | Activé |
| GeofenceGeometry[Géométrie de géofence](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_GeofenceGeometry.html) polygonale représentant la zone géofencée. | Activé | Activé |
| DeviceIdL'identifiant de l'appareil spécifié lors du [téléchargement d'une mise à jour de la position de l'appareil](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePositionUpdate.html) sur une ressource de suivi. | Activé | Non pris en charge |
| GeofenceIdIdentifiant spécifié lors du [stockage d'une géométrie de géofences](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_PutGeofence.html) ou d'un [lot de géofences dans une collection de géofences](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_BatchPutGeofence.html) donnée. | Activé | Non pris en charge |
**Note**
Amazon Location active automatiquement le chiffrement au repos à l'aide de clés AWS détenues afin de protéger gratuitement les données personnelles identifiables.
Toutefois, AWS KMS des frais s'appliquent pour l'utilisation d'une clé gérée par le client. Pour plus d'informations sur les tarifs, consultez les [AWS Key Management Service tarifs](https://aws.amazon.com/kms/pricing/).
Pour plus d'informations AWS KMS, voir [Qu'est-ce que c'est AWS Key Management Service ?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
## Comment Amazon Location Service utilise les subventions dans AWS KMS
Amazon Location nécessite une [autorisation](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) pour utiliser votre clé gérée par le client.
Lorsque vous créez une [ressource de suivi](https://docs.aws.amazon.com/location/latest/developerguide/trackers.html) ou une [collection de géofences](https://docs.aws.amazon.com/location/latest/developerguide/geofences.html) chiffrée à l'aide d'une clé gérée par le client, Amazon Location crée une subvention en votre nom en envoyant une [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)demande à. AWS KMS Les subventions AWS KMS sont utilisées pour donner à Amazon Location l'accès à une clé KMS dans un compte client.
Amazon Location a besoin de l'autorisation d'utiliser votre clé gérée par le client pour les opérations internes suivantes :
+ Envoyez [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)des demandes AWS KMS à pour vérifier que l'ID de clé KMS symétrique géré par le client saisi lors de la création d'un tracker ou d'une collection de géofences est valide.
+ Envoyez [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)des demandes AWS KMS à pour générer des clés de données chiffrées par votre clé gérée par le client.
+ Envoyez des demandes de [déchiffrement](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) AWS KMS à pour déchiffrer les clés de données chiffrées afin qu'elles puissent être utilisées pour chiffrer vos données.
Vous pouvez révoquer l’accès à l’octroi ou supprimer l’accès du service à la clé gérée par le client à tout moment. Dans ce cas, Amazon Location ne pourra accéder à aucune des données chiffrées par la clé gérée par le client, ce qui affectera les opérations qui dépendent de ces données. Par exemple, si vous tentez d'[obtenir les positions des appareils](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_GetDevicePosition.html) à partir d'un outil de suivi crypté auquel Amazon Location ne peut pas accéder, l'opération renverra une `AccessDeniedException` erreur.
## Création d’une clé gérée par le client
Vous pouvez créer une clé symétrique gérée par le client en utilisant le AWS Management Console, ou le AWS KMS APIs.
**Pour créer une clé symétrique gérée par le client**
Suivez les étapes de la rubrique [Création d'une clé symétrique gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) dans le *Guide du développeur AWS Key Management Service *.
**Stratégie de clé**
Les stratégies de clé contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d'informations, consultez [Gestion de l'accès aux clés gérées par le client](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) dans le *Guide du développeur AWS Key Management Service *.
Pour utiliser votre clé gérée par le client avec vos ressources Amazon Location, les opérations d'API suivantes doivent être autorisées dans la politique relative aux clés :
+ `[kms:CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)` : ajoute une attribution à une clé gérée par le client. Accorde un accès de contrôle à une clé KMS spécifiée, ce qui permet d'accéder aux [opérations d'octroi](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) requises par Amazon Location. Pour plus d’informations à propos de l’[Utilisation des octrois](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html), consultez le *Guide du développeur AWS Key Management Service *.
Cela permet à Amazon Location d'effectuer les opérations suivantes :
+ Appelez `GenerateDataKeyWithoutPlainText` pour générer une clé de données chiffrée et la stocker, car la clé de données n’est pas immédiatement utilisée pour chiffrer.
+ Appelez `Decrypt` pour utiliser la clé de données chiffrée stockée afin d’accéder aux données chiffrées.
+ Configurer un principal sortant pour permettre au service de `RetireGrant`.
+ `[kms:DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)` : fournit les détails des clés gérées par le client pour permettre à Amazon Location de valider la clé.
Voici des exemples de déclarations de stratégie que vous pouvez ajouter pour Amazon Location :
```
"Statement" : [
{
"Sid" : "Allow access to principals authorized to use Amazon Location",
"Effect" : "Allow",
"Principal" : {
"AWS" : "*"
},
"Action" : [
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"kms:ViaService" : "geo.region.amazonaws.com",
"kms:CallerAccount" : "111122223333"
}
},
{
"Sid": "Allow access for key administrators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action" : [
"kms:*"
],
"Resource": "arn:aws:kms:region:111122223333:key/key_ID"
},
{
"Sid" : "Allow read-only access to key metadata to the account",
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::111122223333:root"
},
"Action" : [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource" : "*"
}
]
```
Pour plus d'informations sur la [spécification d'autorisations dans une politique](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html), consultez le *Guide du développeur AWS Key Management Service *.
Pour plus d'informations sur le [dépannage des clés d’accès](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam), consultez le *Guide du développeur AWS Key Management Service *.
## Spécifier une clé gérée par le client pour Amazon Location
Vous pouvez spécifier une clé gérée par le client en tant que seconde couche de chiffrement pour les ressources suivantes :
+ [Créer un dispositif de suivi](start-create-tracker.md)
+ [Commencez avec Amazon Location Service Geofences](geofence-gs.md)
Lorsque vous créez une ressource, vous pouvez spécifier la clé de données en saisissant un **identifiant KMS**, qu'Amazon Location utilise pour chiffrer les données personnelles identifiables stockées par la ressource.
+ **ID KMS** : [identifiant de clé](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id) pour une clé gérée par AWS KMS le client. Saisissez un ID de clé, un ARN de clé, un nom d’alias ou un ARN d’alias.
## Contexte de chiffrement Amazon Location Service
Un [contexte de chiffrement](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) est un ensemble facultatif de paires clé-valeur qui contient des informations contextuelles supplémentaires sur les données.
AWS KMS utilise le contexte de chiffrement comme [données authentifiées supplémentaires](https://docs.aws.amazon.com/kms/latest/cryptographic-details/crypto-primitives.html) pour prendre en charge le chiffrement [authentifié.](https://docs.aws.amazon.com/kms/latest/cryptographic-details/crypto-primitives.html) Lorsque vous incluez un contexte de chiffrement dans une demande de chiffrement de données, AWS KMS lie le contexte de chiffrement aux données chiffrées. Pour déchiffrer les données, vous devez inclure le même contexte de chiffrement dans la demande.
**Contexte de chiffrement Amazon Location Service**
Amazon Location utilise le même contexte de chiffrement dans toutes les opérations AWS KMS cryptographiques, où la clé `aws:geo:arn` et la valeur sont le [nom de ressource Amazon](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) (ARN) de la ressource.
**Example**
```
"encryptionContext": {
"aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
}
```
**Utilisation du contexte de chiffrement pour la surveillance**
Lorsque vous utilisez une clé symétrique gérée par le client pour chiffrer les données de votre suivi ou de votre collection de périmètres virtuels, vous pouvez également utiliser le contexte de chiffrement dans les enregistrements et les journaux d’audit pour identifier la manière dont la clé gérée par le client est utilisée. Le contexte de chiffrement apparaît également dans les [journaux générés par Amazon Logs AWS CloudTrail ou Amazon CloudWatch Logs](#example-custom-encryption).
**Utilisation du contexte de chiffrement pour contrôler l'accès à votre clé gérée par le client**
Vous pouvez utiliser le contexte de chiffrement dans les stratégies de clé et les politiques IAM comme `conditions` pour contrôler l'accès à votre clé symétrique gérée par le client. Vous pouvez également utiliser des contraintes de contexte de chiffrement dans un octroi.
Amazon Location utilise une contrainte de contexte de chiffrement dans les autorisations afin de contrôler l'accès à la clé gérée par le client dans votre compte ou votre région. La contrainte d’octroi exige que les opérations autorisées par l’octroi utilisent le contexte de chiffrement spécifié.
**Example**
Vous trouverez ci-dessous des exemples d’instructions de stratégie de clé permettant d’accorder l’accès à une clé gérée par le client dans un contexte de chiffrement spécifique. La condition énoncée dans cette instruction de stratégie exige que les octrois comportent une contrainte de contexte de chiffrement qui spécifie le contexte de chiffrement.
```
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:tracker/SAMPLE-Tracker"
}
}
}
```
## Surveillance de vos clés de chiffrement pour Amazon Location Service
Lorsque vous utilisez une clé gérée par le AWS KMS client avec vos ressources Amazon Location Service, vous pouvez utiliser [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)[Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) pour suivre les demandes auxquelles Amazon Location envoie AWS KMS.
Les exemples suivants sont AWS CloudTrail des événements pour`CreateGrant`, `GenerateDataKeyWithoutPlainText``Decrypt`, et `DescribeKey` pour surveiller les opérations KMS appelées par Amazon Location afin d'accéder aux données chiffrées par votre clé gérée par le client :
------
#### [ CreateGrant ]
Lorsque vous utilisez une clé gérée par le AWS KMS client pour chiffrer vos ressources de collecte de données de suivi ou de géofence, Amazon Location envoie une `CreateGrant` demande en votre nom pour accéder à la clé KMS de votre compte. AWS Les subventions créées par Amazon Location sont spécifiques à la ressource associée à la clé gérée par le AWS KMS client. En outre, Amazon Location utilise cette `RetireGrant` opération pour supprimer une subvention lorsque vous supprimez une ressource.
L’exemple d’événement suivant enregistre l’opération `CreateGrant` :
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "geo.region.amazonaws.com",
"operations": [
"GenerateDataKeyWithoutPlaintext",
"Decrypt",
"DescribeKey"
],
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"granteePrincipal": "geo.region.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
------
#### [ GenerateDataKeyWithoutPlainText ]
Lorsque vous activez une clé gérée par AWS KMS le client pour votre ressource de collecte de données de suivi ou de géofence, Amazon Location crée une clé de table unique. Il envoie une `GenerateDataKeyWithoutPlainText` demande AWS KMS qui spécifie la clé gérée par le AWS KMS client pour la ressource.
L’exemple d’événement suivant enregistre l’opération `GenerateDataKeyWithoutPlainText` :
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
},
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e"
}
```
------
#### [ Decrypt ]
Lorsque vous accédez à un tracker chiffré ou à une collection de géofences, Amazon Location appelle l'`Decrypt`opération pour utiliser la clé de données cryptée stockée afin d'accéder aux données cryptées.
L’exemple d’événement suivant enregistre l’opération `Decrypt` :
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:10:51Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "dc129381-1d94-49bd-b522-f56a3482d088"
}
```
------
#### [ DescribeKey ]
Amazon Location utilise cette `DescribeKey` opération pour vérifier si la clé gérée par le AWS KMS client associée à votre collection de traceurs ou de géofences existe dans le compte et dans la région.
L’exemple d’événement suivant enregistre l’opération `DescribeKey` :
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
------
## En savoir plus
Les ressources suivantes fournissent plus d'informations sur le chiffrement des données au repos.
+ Pour plus d'informations sur les [concepts de base AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html), consultez le *Guide du développeur AWS Key Management Service *.
+ Pour plus d'informations sur les [meilleures pratiques de sécurité pour AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/kms-security.html), consultez le *guide du AWS Key Management Service développeur*.
# Chiffrement des données en transit pour Amazon Location Service
Amazon Location protège les données en transit, lorsqu'elles sont acheminées vers et depuis le service, en chiffrant automatiquement toutes les données interréseaux à l'aide du protocole de chiffrement TLS (Transport Layer Security) 1.2. Les demandes HTTPS directes envoyées à Amazon Location Service APIs sont signées à l'aide de l'[algorithme AWS Signature Version 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv-create-signed-request.html) pour établir une connexion sécurisée.
# Réponse aux incidents dans Amazon Location Service
Chez AWS, la sécurité est la priorité numéro 1. Dans le cadre du [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) du AWS cloud, AWS gère un centre de données et une architecture réseau qui répondent aux exigences des organisations les plus sensibles en matière de sécurité. En tant que AWS client, vous partagez la responsabilité du maintien de la sécurité dans le cloud. Cela signifie que vous contrôlez la sécurité que vous choisissez de mettre en œuvre à partir AWS des outils et fonctionnalités auxquels vous avez accès.
En établissant une base de sécurité répondant aux objectifs de vos applications exécutées dans le cloud, vous êtes en mesure de détecter les écarts auxquels vous pouvez réagir. La réponse aux incidents de sécurité étant un sujet complexe, nous vous encourageons à consulter les ressources suivantes afin de mieux comprendre l'impact de la réponse aux incidents (IR) et de vos choix sur les objectifs de votre entreprise : [guide de réponse aux incidents de AWS sécurité](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html), livre blanc sur les [meilleures pratiques de AWS sécurité](https://aws.amazon.com/architecture/security-identity-compliance/?cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc) et [cadre d'adoption du AWS cloud (AWS CAF](https://aws.amazon.com/cloud-adoption-framework/#Security_Perspective)).
# Journalisation et surveillance dans Amazon Location Service
La journalisation et la surveillance jouent un rôle important dans la réponse aux incidents. Il vous permet d'établir une base de sécurité pour détecter les écarts que vous pouvez étudier et corriger. En mettant en œuvre la journalisation et la surveillance pour Amazon Location Service, vous êtes en mesure de garantir la fiabilité, la disponibilité et les performances de vos projets et de vos ressources.
AWS fournit plusieurs outils qui peuvent vous aider à enregistrer et à collecter des données pour la réponse aux incidents :
**AWS CloudTrail**
Amazon Location Service s'intègre AWS CloudTrailà un service qui fournit un enregistrement des actions effectuées par un utilisateur, un rôle ou un AWS service. Cela inclut les actions effectuées depuis la console Amazon Location Service et les appels programmatiques aux opérations de l'API Amazon Location. Ces comptes rendus d'actions sont appelés événements. Pour plus d'informations, consultez la section [Enregistrement et surveillance d'Amazon Location Service avec AWS CloudTrail](https://docs.aws.amazon.com/location/latest/developerguide/cloudtrail.html).
**Amazon CloudWatch**
Vous pouvez utiliser Amazon CloudWatch pour collecter et analyser les statistiques relatives à votre compte Amazon Location Service. Vous pouvez activer les CloudWatch alarmes pour vous avertir si une métrique répond à certaines conditions et a atteint un seuil spécifié. Lorsque vous créez une alarme, CloudWatch envoie une notification à un Amazon Simple Notification Service que vous définissez. Pour plus d'informations, consultez le [Monitoring Amazon Location Service with Amazon CloudWatch](https://docs.aws.amazon.com/location/latest/developerguide/cloudwatch.html).
**AWS Health Tableaux de bord**
À l'aide [AWS Health des tableaux](https://status.aws.amazon.com/) de bord, vous pouvez vérifier l'état du service Amazon Location Service. Vous pouvez également surveiller et consulter les données historiques relatives à tout événement ou problème susceptible d'affecter votre AWS environnement. Pour de plus amples informations, veuillez consulter le [Guide de l'utilisateur AWS Health](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html).
# Validation de conformité pour Amazon Location Service
Pour savoir si un [programme Services AWS de conformité Service AWS s'inscrit dans le champ d'application de programmes de conformité](https://aws.amazon.com/compliance/services-in-scope/) spécifiques, consultez Services AWS la section de conformité et sélectionnez le programme de conformité qui vous intéresse. Pour des informations générales, voir Programmes de [AWS conformité Programmes AWS](https://aws.amazon.com/compliance/programs/) de .
Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, voir [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Votre responsabilité en matière de conformité lors de l'utilisation Services AWS est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise et les lois et réglementations applicables. Pour plus d'informations sur votre responsabilité en matière de conformité lors de l'utilisation Services AWS, consultez [AWS la documentation de sécurité](https://docs.aws.amazon.com/security/).
# Résilience dans Amazon Location Service
L'infrastructure AWS mondiale est construite autour Régions AWS de zones de disponibilité. Régions AWS fournissent plusieurs zones de disponibilité physiquement séparées et isolées, connectées par un réseau à faible latence, à haut débit et hautement redondant. Avec les zones de disponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculent automatiquement d’une zone à l’autre sans interruption. Les zones de disponibilité sont davantage disponibles, tolérantes aux pannes et ont une plus grande capacité de mise à l’échelle que les infrastructures traditionnelles à un ou plusieurs centres de données.
Pour plus d'informations sur les zones de disponibilité Régions AWS et les zones de disponibilité, consultez la section [Infrastructure AWS globale](https://aws.amazon.com/about-aws/global-infrastructure/).
Outre l'infrastructure AWS mondiale, Amazon Location propose plusieurs fonctionnalités pour répondre à vos besoins en matière de résilience et de sauvegarde des données.
# Sécurité de l'infrastructure dans Amazon Location Service
En tant que service géré, Amazon Location Service est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.
Vous utilisez des appels d'API AWS publiés pour accéder à Amazon Location via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
# AWS PrivateLink pour Amazon Location
Avec AWS PrivateLink Amazon Location, vous pouvez provisionner des points de terminaison *Amazon VPC (points de terminaison* d'interface) dans votre cloud privé virtuel (Amazon VPC). Ces points de terminaison sont directement accessibles depuis des applications installées sur site via un VPN et/ou via un autre système de peering Région AWS via [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html). Direct Connect En utilisant AWS PrivateLink et en interfacant les points de terminaison, vous pouvez simplifier la connectivité au réseau privé entre vos applications et Amazon Location.
Les applications de votre VPC n'ont pas besoin d'adresses IP publiques pour communiquer avec les points de terminaison VPC de l'interface Amazon Location pour les opérations Amazon Location. Les points de terminaison d'interface sont représentés par une ou plusieurs interfaces réseau élastiques (ENIs) auxquelles des adresses IP privées sont attribuées à partir de sous-réseaux de votre Amazon VPC. Les demandes adressées à Amazon Location via les points de terminaison de l'interface restent sur le réseau Amazon. Vous pouvez également accéder aux points de terminaison d'interface de votre Amazon VPC à partir d'applications sur site Direct Connect via AWS Virtual Private Network ou ().Site-to-Site VPN Pour plus d’informations sur la façon de connecter votre Amazon VPC à votre réseau sur site, consultez le [Guide de l’utilisateur Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) et le Guide de l’utilisateur [VPN AWS Site-to-Site ](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html).
*Pour des informations générales sur les points de terminaison d'interface, consultez [Interface Amazon VPC endpoints AWS PrivateLink(](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)) dans le Guide.AWS PrivateLink *
**Topics**
+ [Types de points de terminaison Amazon VPC pour Amazon Location Service](#types-of-vpc-endpoints-for-al)
+ [Considérations relatives à l' AWS PrivateLink utilisation d'Amazon Location Service](#privatelink-considerations)
+ [Création d'un point de terminaison d'interface pour Amazon Location Service](#al-creating-vpc)
+ [Accédez aux opérations de l'API Amazon Location depuis les points de terminaison de l'interface Amazon Location](#accessing-apis-from-interface-endpoints)
+ [Mettre à jour une configuration DNS locale](#updating-on-premises-dns-config)
+ [Création d'une politique de point de terminaison Amazon VPC pour Amazon Location](#creating-vpc-endpoint-policy)
## Types de points de terminaison Amazon VPC pour Amazon Location Service
Vous pouvez utiliser un type de point de terminaison Amazon VPC pour accéder à Amazon Location Service : les *points de terminaison d'interface* (en utilisant). AWS PrivateLink*Les points de terminaison de l'interface* utilisent des adresses IP privées pour acheminer les demandes vers Amazon Location depuis votre Amazon VPC, sur site ou depuis un Amazon VPC situé dans un autre Région AWS en utilisant le peering Amazon VPC. Pour plus d’informations, consultez [What is Amazon VPC peering?](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) et [Transit Gateway vs Amazon VPC peering](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/vpc-to-vpc-connectivity.html).
Les points de terminaison d’interface sont compatibles avec les points de terminaison de passerelle. Si vous avez un point de terminaison de passerelle existant dans le VPC Amazon, vous pouvez utiliser les deux types de points de terminaison dans le même VPC Amazon.
Les points de terminaison d'interface pour Amazon Location possèdent les propriétés suivantes :
+ Le trafic de votre réseau reste sur le AWS réseau
+ Utilisez les adresses IP privées de votre Amazon VPC pour accéder à Amazon Location Service
+ Autorise l'accès depuis vos sites
+ Permet l'accès d'un point de terminaison Amazon VPC à un autre en Région AWS utilisant le peering Amazon VPC ou AWS Transit Gateway
+ Les points de terminaison de l'interface sont facturés
## Considérations relatives à l' AWS PrivateLink utilisation d'Amazon Location Service
Les considérations relatives à Amazon VPC s'appliquent à AWS PrivateLink Amazon Location Service. Pour plus d’informations, consultez [Considérations sur les points de terminaison d’interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) et [Quotas AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-limits-endpoints.html) dans le *Guide AWS PrivateLink *. En outre, les restrictions suivantes s’appliquent.
AWS PrivateLink pour Amazon Location Service ne prend pas en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security) 1.1
+ Services de système de nom de domaine (DNS) privé et hybride
Points de terminaison Amazon VPC :
+ Ne prend pas en charge les opérations de [l'API Amazon Location Service Maps](https://docs.aws.amazon.com/location/latest/APIReference/API_Operations_Amazon_Location_Service_Maps_V2.html)`GetGlyphs`, notamment :`GetSprites`, et `GetStyleDescriptor`
+ Ne prenez pas en charge les demandes interrégionales. Assurez-vous de créer votre point de terminaison dans la même région que celle où vous prévoyez d'envoyer vos appels d'API à Amazon Location Service.
+ Ne prenez en charge que le DNS fourni par Amazon via Amazon Route 53. Si vous souhaitez utiliser votre propre DNS, utilisez le transfert DNS conditionnel. Pour en savoir plus, consultez [Jeux d'options DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) dans le *Guide de l'utilisateur Amazon VPC*.
+ Doit autoriser les connexions entrantes sur le port 443 depuis le sous-réseau privé du VPC via le groupe de sécurité attaché au point de terminaison du VPC
Vous pouvez envoyer jusqu'à 50 000 demandes par seconde pour chaque point de PrivateLink terminaison AWS que vous activez.
**Note**
Les délais de connectivité réseau vers les AWS PrivateLink points de terminaison ne sont pas concernés par les réponses aux erreurs d'Amazon Location et doivent être gérés de manière appropriée par vos applications connectées aux points de terminaison. AWS PrivateLink
## Création d'un point de terminaison d'interface pour Amazon Location Service
Vous pouvez créer un point de terminaison d'interface pour Amazon Location Service à l'aide de la console Amazon VPC ou du AWS Command Line Interface ()AWS CLI. Pour plus d’informations, consultez [Création d’un point de terminaison d’interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) dans le *Guide AWS PrivateLink *.
Il existe six points de terminaison VPC différents, un pour chaque fonctionnalité proposée par Amazon Location Service.
| Catégorie | Endpoint |
| --- | --- |
| Mappages | `com.amazonaws.region.geo.maps` |
| Lieux | `com.amazonaws.region.geo.places` |
| Routes | `com.amazonaws.region.geo.routes` |
| Géofences | `com.amazonaws.region.geo.geofencing` |
| Traceurs | `com.amazonaws.region.geo.tracking` |
| Métadonnées | `com.amazonaws.region.geo.metadata` |
**Par exemple :**
```
com.amazonaws.us-east-2.geo.maps
```
Après avoir créé le point de terminaison, vous avez la possibilité d’activer un nom d’hôte DNS privé. Pour l'activer, sélectionnez **Activer le nom DNS privé** dans la console Amazon VPC lorsque vous créez le point de terminaison VPC.
Si vous activez le DNS privé pour le point de terminaison de l'interface, vous pouvez envoyer des demandes d'API au service Amazon Location Service en utilisant son nom DNS régional par défaut. Les exemples suivants montrent le format des noms DNS régionaux par défaut.
+ `maps.geo.region.amazonaws.com`
+ `places.geo.region.amazonaws.com`
+ `routes.geo.region.amazonaws.com`
+ `tracking.geo.region.amazonaws.com`
+ `geofencing.geo.region.amazonaws.com`
+ `metadata.geo.region.amazonaws.com`
Les noms DNS précédents concernent les IPv4 domaines. Les noms IPV6 DNS suivants peuvent également être utilisés pour les points de terminaison de l'interface.
+ `maps.geo.region.api.aws`
+ `places.geo.region.api.aws`
+ `routes.geo.region.api.aws`
+ `tracking.geo.region.api.aws`
+ `geofencing.geo.region.api.aws`
+ `metadata.geo.region.api.aws`
## Accédez aux opérations de l'API Amazon Location depuis les points de terminaison de l'interface Amazon Location
Vous pouvez utiliser le [AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/location/)ou [AWS SDKs](https://docs.aws.amazon.com/location/latest/developerguide/dev-sdks.html)pour accéder aux opérations de l'API Amazon Location via les points de terminaison de l'interface Amazon Location.
**Exemple : création du point de terminaison d’un VPC**
```
aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name location-service-name \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id
```
**Exemple : modifier le point de terminaison d’un VPC**
```
aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-endpoint-id \
--policy-document policy-document \ #example optional parameter
--add-security-group-ids security-group-ids \ #example optional parameter
# any additional parameters needed, see PrivateLink documentation for more details
```
## Mettre à jour une configuration DNS locale
Lorsque vous utilisez des noms DNS spécifiques à un point de terminaison pour accéder aux points de terminaison de l'interface pour Amazon Location, vous n'avez pas besoin de mettre à jour votre résolveur DNS local. Vous pouvez résoudre le nom DNS spécifique au point de terminaison avec l'adresse IP privée du point de terminaison de l'interface depuis le domaine DNS public d'Amazon Location.
Utilisez les points de terminaison d'interface pour accéder à Amazon Location sans point de terminaison passerelle ni passerelle Internet dans Amazon VPC
Les points de terminaison d'interface de votre Amazon VPC peuvent acheminer à la fois les applications Amazon VPC et les applications sur site vers Amazon Location via le réseau Amazon.
## Création d'une politique de point de terminaison Amazon VPC pour Amazon Location
Vous pouvez associer une politique de point de terminaison à votre point de terminaison Amazon VPC qui contrôle l'accès à Amazon Location. La politique spécifie les informations suivantes :
+ Le principal Gestion des identités et des accès AWS (IAM) qui peut effectuer des actions
+ Les actions qui peuvent être effectuées.
+ Les ressources sur lesquelles les actions peuvent être exécutées.
**Exemple : exemple** VPCe de politique d'accès à Amazon Location Service Places APIs :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Allow-access-to-location-service-places-opeartions",
"Effect": "Allow",
"Action": [
"geo-places:*",
"geo:*"
],
"Resource": [
"arn:aws:geo-places:us-east-1::provider/default",
"arn:aws:geo:us-east-1:*:place-index/*"
]
}
]
}
```
# Analyse de configuration et de vulnérabilité dans Amazon Location
La configuration et les contrôles informatiques sont une responsabilité partagée entre vous AWS et vous, notre client. Pour plus d'informations, consultez le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/).
# Prévention du problème de l’adjoint confus entre services
Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. En AWS, l'usurpation d'identité interservices peut entraîner la confusion des adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le *service appelant*) appelle un autre service (le *service appelé*). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d’un autre client auxquelles on ne serait pas autorisé à accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services avec des principaux de service qui ont eu accès aux ressources de votre compte.
Amazon Location Service n'agit pas en tant que service d'appel en votre nom vers d'autres AWS services. Vous n'avez donc pas besoin d'ajouter ces protections dans ce cas. Pour en savoir plus sur le problème du député confus, voir [Le problème du député confus](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) dans le *guide de Gestion des identités et des accès AWS l'utilisateur*.
# Bonnes pratiques pour Amazon Location Service
Cette rubrique présente les meilleures pratiques pour vous aider à utiliser Amazon Location Service. Bien que ces bonnes pratiques puissent vous aider à tirer pleinement parti d'Amazon Location Service, elles ne constituent pas une solution complète. Vous devez suivre uniquement les recommandations applicables à votre environnement.
**Topics**
+ [Sécurité](#security-best-practice)
## Sécurité
Pour aider à gérer ou même à éviter les risques de sécurité, tenez compte des meilleures pratiques suivantes :
+ Utilisez la fédération d'identité et les rôles IAM pour gérer, contrôler ou limiter l'accès à vos ressources Amazon Location. Pour plus d'informations, consultez [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l'utilisateur IAM*.
+ Respectez le principe du moindre privilège pour n'accorder que l'accès minimum requis à vos ressources Amazon Location Service.
+ Pour les ressources Amazon Location Service utilisées dans les applications Web, limitez l'accès à l'aide d'une condition `aws:referer` IAM, en limitant l'utilisation par des sites autres que ceux inclus dans la liste d'autorisation.
+ Utilisez des outils de surveillance et de journalisation pour suivre l'accès aux ressources et leur utilisation. Pour plus d'informations, consultez la section « [Enregistrement [Journalisation et surveillance dans Amazon Location Service](security-logging-and-monitoring.md) des événements liés aux données pour les sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html) » dans le guide de AWS CloudTrail l'utilisateur.
+ Utilisez des connexions sécurisées, telles que celles qui visent `https://` à renforcer la sécurité et à protéger les utilisateurs contre les attaques lors de la transmission de données entre le serveur et le navigateur.
### Les meilleures pratiques de Detective en matière de sécurité pour Amazon Location Service
Les bonnes pratiques suivantes pour Amazon Location Service peuvent aider à détecter les incidents de sécurité :
**Mettre en œuvre AWS des outils de surveillance**
La surveillance est essentielle à la réponse aux incidents et garantit la fiabilité et la sécurité des ressources d'Amazon Location Service et de vos solutions. Vous pouvez implémenter des outils de surveillance à partir des différents outils et services disponibles AWS pour surveiller vos ressources et vos autres AWS services.
Par exemple, Amazon vous CloudWatch permet de surveiller les métriques pour Amazon Location Service et de configurer des alarmes pour vous avertir si une métrique répond à certaines conditions que vous avez définies et a atteint un seuil que vous avez défini. Lorsque vous créez une alarme, vous pouvez configurer CloudWatch l'envoi d'une notification à l'aide d'Amazon Simple Notification Service. Pour de plus amples informations, veuillez consulter [Journalisation et surveillance dans Amazon Location Service](security-logging-and-monitoring.md).
**Activer les outils de AWS journalisation**
La journalisation fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service dans Amazon Location Service. Vous pouvez implémenter des outils de journalisation tels que AWS CloudTrail la collecte de données sur les actions visant à détecter les activités inhabituelles des API.
Lorsque vous créez un suivi, vous pouvez le configurer CloudTrail pour consigner les événements. Les événements sont des enregistrements des opérations de ressources effectuées sur ou au sein d'une ressource, telles que la demande envoyée à Amazon Location, l'adresse IP à partir de laquelle la demande a été faite, l'auteur de la demande, le moment où la demande a été faite, ainsi que des données supplémentaires. Pour plus d'informations, consultez la section [Enregistrement des événements liés aux données pour les sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html) dans le guide de AWS CloudTrail l'utilisateur.
### Bonnes pratiques de sécurité préventive pour Amazon Location Service
Les bonnes pratiques suivantes pour Amazon Location Service peuvent vous aider à prévenir les incidents de sécurité :
**Utilisez des connexions sécurisées**
Utilisez toujours des connexions chiffrées, telles que celles qui commencent par `https://` pour protéger les informations sensibles pendant le transport.
**Implémenter l'accès aux ressources avec le moindre privilège**
Lorsque vous créez des politiques personnalisées pour les ressources Amazon Location, accordez uniquement les autorisations requises pour effectuer une tâche. Il est recommandé de commencer avec un minimum d’autorisations et d’en accorder d’autres si nécessaire. L’implémentation d’un accès sur la base du moindre privilège est essentielle pour réduire les risques et l’impact que pourraient avoir des d’erreurs ou des actes de malveillance. Pour de plus amples informations, veuillez consulter [Gestion des identités et des accès AWS À utiliser pour s'authentifier](security-iam.md).
**Utiliser un appareil unique au monde IDs IDs**
Utilisez les conventions suivantes pour l'appareil IDs.
+ L'appareil IDs doit être unique.
+ Le périphérique ne IDs doit pas être secret, car il peut être utilisé comme clé étrangère pour d'autres systèmes.
+ L'appareil ne IDs doit pas contenir d'informations personnelles identifiables (PII), telles que l'appareil téléphonique IDs ou les adresses e-mail.
+ L'appareil ne IDs doit pas être prévisible. Des identificateurs opaques tels que ceux-ci UUIDs sont recommandés.
**Ne pas inclure les informations personnelles dans les propriétés de position de l'appareil**
Lorsque vous envoyez des mises à jour d'appareils (par exemple, lors de [DevicePositionUpdate](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePositionUpdate.html)leur utilisation), n'incluez pas d'informations personnellement identifiables (PII) telles que le numéro de téléphone ou l'adresse e-mail dans le. `PositionProperties`