Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Perlindungan data di Amazon Location Service
<a name="data-protection"></a>

[Model tanggung jawab AWS bersama model tanggung](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di Amazon Location Service. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensyal dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan sumber daya. AWS Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan Amazon Location atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.



# Privasi data
<a name="data-privacy"></a>

Dengan Amazon Location Service, Anda mempertahankan kendali atas data organisasi Anda. Lokasi Amazon menganonimkan semua kueri yang dikirim ke penyedia data dengan menghapus metadata pelanggan dan informasi akun. 

Lokasi Amazon tidak menggunakan penyedia data untuk melacak dan melakukan geofencing. Ini berarti data sensitif Anda tetap ada di AWS akun Anda. Ini membantu melindungi informasi lokasi yang sensitif, seperti fasilitas, aset, dan lokasi personel, dari pihak ketiga, melindungi privasi pengguna, dan mengurangi risiko keamanan aplikasi Anda.

Untuk informasi tambahan, lihat [FAQ Privasi AWS Data](https://aws.amazon.com/compliance/data-privacy-faq/).

# Penyimpanan data di Lokasi Amazon
<a name="data-retention"></a>

Karakteristik berikut berhubungan dengan cara Amazon Location mengumpulkan dan menyimpan data untuk layanan:
+ **Amazon Location Service Trackers** — Saat Anda menggunakan Pelacak APIs untuk melacak lokasi entitas, koordinatnya dapat disimpan. Lokasi perangkat disimpan selama 30 hari sebelum dihapus oleh layanan.
+ **Amazon Location Service Geofences** — Saat Anda menggunakan Geofences APIs untuk menentukan area minat, layanan akan menyimpan geometri yang Anda berikan. Mereka harus dihapus secara eksplisit.
**catatan**  
Menghapus AWS akun Anda menghapus semua sumber daya di dalamnya. Untuk informasi tambahan, lihat [FAQ Privasi AWS Data](https://aws.amazon.com/compliance/data-privacy-faq/).

# Enkripsi data saat istirahat untuk Amazon Location Service
<a name="encryption-at-rest"></a>

Amazon Location Service menyediakan enkripsi secara default untuk melindungi data pelanggan sensitif saat istirahat menggunakan kunci enkripsi yang AWS dimiliki.
+ **AWS kunci yang dimiliki** — Lokasi Amazon menggunakan kunci ini secara default untuk secara otomatis mengenkripsi data yang dapat diidentifikasi secara pribadi. Anda tidak dapat melihat, mengelola, atau menggunakan kunci yang AWS dimiliki, atau mengaudit penggunaannya. Namun, Anda tidak perlu mengambil tindakan apa pun atau mengubah program apa pun untuk melindungi kunci yang mengenkripsi data Anda. Untuk informasi selengkapnya, lihat [kunci yang AWS dimiliki](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) di *Panduan AWS Key Management Service Pengembang*. 

Enkripsi data saat istirahat secara default membantu mengurangi overhead operasional dan kompleksitas yang terlibat dalam melindungi data sensitif. Pada saat yang sama, ini memungkinkan Anda untuk membangun aplikasi aman yang memenuhi kepatuhan enkripsi yang ketat dan persyaratan peraturan. 

Meskipun Anda tidak dapat menonaktifkan lapisan enkripsi ini atau memilih jenis enkripsi alternatif, Anda dapat menambahkan lapisan enkripsi kedua di atas kunci enkripsi AWS milik yang ada dengan memilih kunci yang dikelola pelanggan saat Anda membuat sumber daya pelacak dan pengumpulan geofence Anda:
+ **Kunci terkelola pelanggan** — Lokasi Amazon mendukung penggunaan kunci terkelola pelanggan simetris yang Anda buat, miliki, dan kelola untuk menambahkan enkripsi lapisan kedua di atas enkripsi AWS milik yang ada. Karena Anda memiliki kontrol penuh atas lapisan enkripsi ini, Anda dapat melakukan tugas-tugas seperti: 
  + Menetapkan dan memelihara kebijakan utama
  + Menetapkan dan memelihara kebijakan dan hibah IAM
  + Mengaktifkan dan menonaktifkan kebijakan utama
  + Memutar bahan kriptografi kunci
  + Menambahkan tanda
  + Membuat alias kunci
  + Kunci penjadwalan untuk penghapusan

  Untuk informasi selengkapnya, lihat [kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) di *Panduan AWS Key Management Service Pengembang*. 

Tabel berikut merangkum bagaimana Amazon Location mengenkripsi data yang dapat diidentifikasi secara pribadi.


| Jenis data | AWS enkripsi kunci yang dimiliki | Enkripsi kunci yang dikelola pelanggan (Opsional) | 
| --- | --- | --- | 
| PositionGeometri titik yang berisi [detail posisi perangkat](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePosition.html). | Diaktifkan | Diaktifkan | 
| PositionPropertiesSatu set pasangan kunci-nilai yang [terkait dengan pembaruan posisi](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePosition.html). | Diaktifkan | Diaktifkan | 
| GeofenceGeometry[Geometri geofensi](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_GeofenceGeometry.html) poligon yang mewakili area geofenced. | Diaktifkan | Diaktifkan | 
| DeviceIdPengenal perangkat ditentukan saat [mengunggah pembaruan posisi perangkat](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePositionUpdate.html) ke sumber daya pelacak. | Diaktifkan | Tidak didukung | 
| GeofenceIdPengidentifikasi yang ditentukan saat [menyimpan geometri geofence](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_PutGeofence.html), atau [sekumpulan geofences dalam koleksi geofence](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_BatchPutGeofence.html) tertentu.  | Diaktifkan | Tidak didukung | 

**catatan**  
Lokasi Amazon secara otomatis mengaktifkan enkripsi saat istirahat menggunakan kunci yang AWS dimiliki untuk melindungi data yang dapat diidentifikasi secara pribadi tanpa biaya.   
Namun, AWS KMS biaya berlaku untuk menggunakan kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang harga, lihat [AWS Key Management Service harga](https://aws.amazon.com/kms/pricing/).

Untuk informasi lebih lanjut tentang AWS KMS, lihat [Apa itu AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 

## Bagaimana Amazon Location Service menggunakan hibah di AWS KMS
<a name="encryption-grant"></a>

Lokasi Amazon memerlukan [hibah](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) untuk menggunakan kunci yang dikelola pelanggan Anda.

Saat Anda membuat [sumber daya pelacak](https://docs.aws.amazon.com/location/latest/developerguide/trackers.html) atau [koleksi geofence](https://docs.aws.amazon.com/location/latest/developerguide/geofences.html) yang dienkripsi dengan kunci yang dikelola pelanggan, Amazon Location membuat hibah atas nama Anda dengan mengirimkan permintaan ke. [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) AWS KMS Hibah AWS KMS digunakan untuk memberikan Akses Lokasi Amazon ke kunci KMS di akun pelanggan.

Lokasi Amazon memerlukan hibah untuk menggunakan kunci terkelola pelanggan Anda untuk operasi internal berikut:
+ Kirim [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)permintaan AWS KMS untuk memverifikasi bahwa ID kunci KMS yang dikelola pelanggan simetris yang dimasukkan saat membuat pelacak atau koleksi geofence valid.
+ Kirim [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)permintaan AWS KMS untuk menghasilkan kunci data yang dienkripsi oleh kunci terkelola pelanggan Anda.
+ Kirim permintaan [Dekripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) ke AWS KMS untuk mendekripsi kunci data terenkripsi sehingga mereka dapat digunakan untuk mengenkripsi data Anda.

Anda dapat mencabut akses ke hibah, atau menghapus akses layanan ke kunci yang dikelola pelanggan kapan saja. Jika Anda melakukannya, Lokasi Amazon tidak akan dapat mengakses data apa pun yang dienkripsi oleh kunci yang dikelola pelanggan, yang memengaruhi operasi yang bergantung pada data tersebut. Misalnya, jika Anda mencoba [mendapatkan posisi perangkat](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_GetDevicePosition.html) dari pelacak terenkripsi yang tidak dapat diakses Lokasi Amazon, maka operasi akan mengembalikan kesalahan. `AccessDeniedException`

## Buat kunci terkelola pelanggan
<a name="create-key"></a>

 Anda dapat membuat kunci terkelola pelanggan simetris dengan menggunakan Konsol Manajemen AWS, atau. AWS KMS APIs

**Untuk membuat kunci terkelola pelanggan simetris**

Ikuti langkah-langkah untuk [Membuat kunci terkelola pelanggan simetris](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) di *Panduan AWS Key Management Service Pengembang*.

**Kebijakan utama**

Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menentukan kebijakan kunci. Untuk informasi selengkapnya, lihat [Mengelola akses ke kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) di *Panduan AWS Key Management Service Pengembang*.

Untuk menggunakan kunci terkelola pelanggan dengan sumber daya Lokasi Amazon, operasi API berikut harus diizinkan dalam kebijakan kunci:
+ `[kms:CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)`— Menambahkan hibah ke kunci yang dikelola pelanggan. Memberikan akses kontrol ke kunci KMS tertentu, yang memungkinkan akses untuk [memberikan operasi yang diperlukan Lokasi Amazon](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations). Untuk informasi selengkapnya tentang [Menggunakan Hibah](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html), lihat *Panduan AWS Key Management Service Pengembang*.

  Hal ini memungkinkan Amazon Location untuk melakukan hal berikut:
  + Panggilan `GenerateDataKeyWithoutPlainText` untuk menghasilkan kunci data terenkripsi dan menyimpannya, karena kunci data tidak segera digunakan untuk mengenkripsi.
  + Panggilan `Decrypt` untuk menggunakan kunci data terenkripsi yang disimpan untuk mengakses data terenkripsi.
  + Siapkan kepala sekolah yang pensiun untuk memungkinkan layanan. `RetireGrant`
+ `[kms:DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)`— Memberikan detail kunci yang dikelola pelanggan untuk memungkinkan Lokasi Amazon memvalidasi kunci.

Berikut ini adalah contoh pernyataan kebijakan yang dapat Anda tambahkan untuk Lokasi Amazon:

```
  "Statement" : [ 
    {
      "Sid" : "Allow access to principals authorized to use Amazon Location",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "*"
      },
      "Action" : [ 
        "kms:DescribeKey", 
        "kms:CreateGrant"
      ],
      "Resource" : "*",
      "Condition" : {
        "StringEquals" : {
          "kms:ViaService" : "geo.region.amazonaws.com",
          "kms:CallerAccount" : "111122223333"
        }
    },
    {
      "Sid": "Allow access for key administrators",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
       },
      "Action" : [ 
        "kms:*"
       ],
      "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
    },
    {
      "Sid" : "Allow read-only access to key metadata to the account",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "arn:aws:iam::111122223333:root"
      },
      "Action" : [ 
        "kms:Describe*",
        "kms:Get*",
        "kms:List*",
        "kms:RevokeGrant"
      ],
      "Resource" : "*"
    }
  ]
```

Untuk informasi selengkapnya tentang [menentukan izin dalam kebijakan](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html), lihat Panduan *AWS Key Management Service Pengembang*.

Untuk informasi selengkapnya tentang [akses kunci pemecahan](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam) masalah, lihat Panduan *AWS Key Management Service Pengembang*.

## Menentukan kunci terkelola pelanggan untuk Lokasi Amazon
<a name="enable-custom-encryption"></a>

Anda dapat menentukan kunci yang dikelola pelanggan sebagai enkripsi lapisan kedua untuk sumber daya berikut:
+ [Membuat pelacak](start-create-tracker.md)
+ [Memulai Amazon Location Service Geofences](geofence-gs.md)

Saat membuat sumber daya, Anda dapat menentukan kunci data dengan memasukkan **ID KMS**, yang digunakan Lokasi Amazon untuk mengenkripsi data pribadi yang dapat diidentifikasi yang disimpan oleh sumber daya.
+ **ID KMS** — [Pengidentifikasi kunci](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id) untuk kunci yang dikelola AWS KMS pelanggan. Masukkan ID kunci, ARN kunci, nama alias, atau ARN alias.

## Konteks enkripsi Amazon Location Service
<a name="location-encryption-context"></a>

[Konteks enkripsi](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) adalah kumpulan opsional pasangan kunci-nilai yang berisi informasi kontekstual tambahan tentang data.

AWS KMS menggunakan konteks enkripsi sebagai [data otentikasi tambahan](https://docs.aws.amazon.com/kms/latest/cryptographic-details/crypto-primitives.html) untuk mendukung enkripsi yang [diautentikasi.](https://docs.aws.amazon.com/kms/latest/cryptographic-details/crypto-primitives.html) Bila Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, AWS KMS mengikat konteks enkripsi ke data terenkripsi. Untuk mendekripsi data, Anda menyertakan konteks enkripsi yang sama dalam permintaan.

**Konteks enkripsi Amazon Location Service**

Lokasi Amazon menggunakan konteks enkripsi yang sama di semua operasi AWS KMS kriptografi, di mana kuncinya adalah `aws:geo:arn` dan nilainya adalah sumber daya [Amazon Resource Name](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) (ARN).

**Example**  

```
"encryptionContext": {
    "aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
}
```

**Menggunakan konteks enkripsi untuk pemantauan**

Saat Anda menggunakan kunci terkelola pelanggan simetris untuk mengenkripsi pelacak atau koleksi geofence, Anda juga dapat menggunakan konteks enkripsi dalam catatan audit dan log untuk mengidentifikasi bagaimana kunci yang dikelola pelanggan digunakan. Konteks enkripsi juga muncul di [log yang dihasilkan oleh AWS CloudTrail atau Amazon CloudWatch Logs](#example-custom-encryption).

**Menggunakan konteks enkripsi untuk mengontrol akses ke kunci terkelola pelanggan Anda**

Anda dapat menggunakan konteks enkripsi dalam kebijakan utama dan kebijakan IAM `conditions` untuk mengontrol akses ke kunci terkelola pelanggan simetris Anda. Anda juga dapat menggunakan kendala konteks enkripsi dalam hibah.

Lokasi Amazon menggunakan batasan konteks enkripsi dalam hibah untuk mengontrol akses ke kunci yang dikelola pelanggan di akun atau wilayah Anda. Batasan hibah mengharuskan operasi yang diizinkan oleh hibah menggunakan konteks enkripsi yang ditentukan.

**Example**  
Berikut ini adalah contoh pernyataan kebijakan kunci untuk memberikan akses ke kunci yang dikelola pelanggan untuk konteks enkripsi tertentu. Kondisi dalam pernyataan kebijakan ini mengharuskan hibah memiliki batasan konteks enkripsi yang menentukan konteks enkripsi.  

```
{
    "Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:DescribeKey",
     "Resource": "*"
},
{
     "Sid": "Enable CreateGrant",
     "Effect": "Allow",
     "Principal": {
         "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:CreateGrant",
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:EncryptionContext:aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:tracker/SAMPLE-Tracker"
          }
     }
}
```

## Memantau kunci enkripsi Anda untuk Amazon Location Service
<a name="example-custom-encryption"></a>

Saat Anda menggunakan kunci terkelola AWS KMS pelanggan dengan sumber daya Amazon Location Service, Anda dapat menggunakan [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)atau [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) untuk melacak permintaan yang dikirimkan oleh Amazon Location AWS KMS.

Contoh berikut adalah AWS CloudTrail peristiwa untuk`CreateGrant`,, `GenerateDataKeyWithoutPlainText``Decrypt`, dan `DescribeKey` untuk memantau operasi KMS yang dipanggil oleh Lokasi Amazon untuk mengakses data yang dienkripsi oleh kunci terkelola pelanggan Anda:

------
#### [ CreateGrant ]

Saat Anda menggunakan kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi sumber daya pelacak atau pengumpulan geofence, Amazon Location mengirimkan `CreateGrant` permintaan atas nama Anda untuk mengakses kunci KMS di akun Anda. AWS Hibah yang dibuat Amazon Location khusus untuk sumber daya yang terkait dengan kunci yang dikelola AWS KMS pelanggan. Selain itu, Lokasi Amazon menggunakan `RetireGrant` operasi untuk menghapus hibah saat Anda menghapus sumber daya.

Contoh peristiwa berikut mencatat `CreateGrant` operasi:

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-22T17:02:00Z"
            }
        },
        "invokedBy": "geo.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "retiringPrincipal": "geo.region.amazonaws.com",
        "operations": [
            "GenerateDataKeyWithoutPlaintext",
            "Decrypt",
            "DescribeKey"
        ],
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "granteePrincipal": "geo.region.amazonaws.com"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}
```

------
#### [ GenerateDataKeyWithoutPlainText ]

Saat Anda mengaktifkan kunci terkelola AWS KMS pelanggan untuk sumber daya koleksi pelacak atau geofence, Amazon Location akan membuat kunci tabel unik. Ini mengirimkan `GenerateDataKeyWithoutPlainText` permintaan ke AWS KMS yang menentukan kunci yang dikelola AWS KMS pelanggan untuk sumber daya.

Contoh peristiwa berikut mencatat `GenerateDataKeyWithoutPlainText` operasi:

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "geo.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKeyWithoutPlaintext",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "encryptionContext": {
            "aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
        },
        "keySpec": "AES_256",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333",
    "sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e"
}
```

------
#### [ Decrypt ]

Saat Anda mengakses pelacak terenkripsi atau koleksi geofence, Amazon Location memanggil `Decrypt` operasi untuk menggunakan kunci data terenkripsi yang disimpan untuk mengakses data terenkripsi. 

Contoh peristiwa berikut mencatat `Decrypt` operasi:

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "geo.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:10:51Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "encryptionContext": {
            "aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
        },
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333",
    "sharedEventID": "dc129381-1d94-49bd-b522-f56a3482d088"
}
```

------
#### [ DescribeKey ]

Lokasi Amazon menggunakan `DescribeKey` operasi untuk memverifikasi apakah kunci terkelola AWS KMS pelanggan yang terkait dengan pelacak atau koleksi geofence Anda ada di akun dan wilayah.

Contoh peristiwa berikut mencatat `DescribeKey` operasi:

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-22T17:02:00Z"
            }
        },
        "invokedBy": "geo.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}
```

------

## Pelajari selengkapnya
<a name="Learn-more-data-at-rest-encryption"></a>

Sumber daya berikut memberikan informasi lebih lanjut tentang enkripsi data saat istirahat.
+ Untuk informasi selengkapnya tentang [konsep AWS Key Management Service dasar](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html), lihat *Panduan AWS Key Management Service Pengembang*.
+ Untuk informasi selengkapnya tentang [praktik terbaik Keamanan AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/kms-security.html), lihat *Panduan AWS Key Management Service Pengembang*.

# Enkripsi data dalam transit untuk Amazon Location Service
<a name="encryption-in-transit"></a>

Amazon Location melindungi data dalam perjalanan, saat melakukan perjalanan ke dan dari layanan, dengan secara otomatis mengenkripsi semua data antar-jaringan menggunakan protokol enkripsi Transport Layer Security (TLS) 1.2. Permintaan HTTPS langsung yang dikirim ke Amazon Location Service APIs ditandatangani dengan menggunakan [Algoritma AWS Signature Version 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv-create-signed-request.html) untuk membuat koneksi yang aman.