Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan di Amazon Location Service
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menjelaskan hal ini sebagai keamanan *dari* cloud dan keamanan *dalam* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara teratur menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [Program AWS Kepatuhan Program AWS Kepatuhan](https://aws.amazon.com/compliance/programs/) . Untuk mempelajari tentang program kepatuhan yang berlaku untuk Amazon Location Service, lihat [AWS Services in Scope by Compliance Program AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, yang mencakup sensitivitas data Anda, persyaratan perusahaan Anda, serta undang-undang dan peraturan yang berlaku.
Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan Lokasi Amazon. Topik berikut menunjukkan cara mengonfigurasi Lokasi Amazon untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga mempelajari cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan sumber daya Lokasi Amazon Anda.
**Topics**
+ [Perlindungan data di Amazon Location Service](data-protection.md)
+ [Respon Insiden di Amazon Location Service](incident-response.md)
+ [Validasi kepatuhan untuk Amazon Location Service](compliance-validation.md)
+ [Ketahanan di Amazon Location Service](disaster-recovery-resiliency.md)
+ [Keamanan infrastruktur di Amazon Location Service](infrastructure-security.md)
+ [AWS PrivateLink untuk Lokasi Amazon](privatelink-interface-endpoints.md)
+ [Analisis konfigurasi dan kerentanan di Lokasi Amazon](vulnerability-analysis-and-management.md)
+ [Pencegahan "confused deputy" lintas layanan](cross-service-confused-deputy-prevention.md)
+ [Praktik terbaik untuk Amazon Location Service](best-practices.md)
# Perlindungan data di Amazon Location Service
[Model tanggung jawab AWS bersama model tanggung](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di Amazon Location Service. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensyal dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan sumber daya. AWS Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan Amazon Location atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.
# Privasi data
Dengan Amazon Location Service, Anda mempertahankan kendali atas data organisasi Anda. Lokasi Amazon menganonimkan semua kueri yang dikirim ke penyedia data dengan menghapus metadata pelanggan dan informasi akun.
Lokasi Amazon tidak menggunakan penyedia data untuk melacak dan melakukan geofencing. Ini berarti data sensitif Anda tetap ada di AWS akun Anda. Ini membantu melindungi informasi lokasi yang sensitif, seperti fasilitas, aset, dan lokasi personel, dari pihak ketiga, melindungi privasi pengguna, dan mengurangi risiko keamanan aplikasi Anda.
Untuk informasi tambahan, lihat [FAQ Privasi AWS Data](https://aws.amazon.com/compliance/data-privacy-faq/).
# Penyimpanan data di Lokasi Amazon
Karakteristik berikut berhubungan dengan cara Amazon Location mengumpulkan dan menyimpan data untuk layanan:
+ **Amazon Location Service Trackers** — Saat Anda menggunakan Pelacak APIs untuk melacak lokasi entitas, koordinatnya dapat disimpan. Lokasi perangkat disimpan selama 30 hari sebelum dihapus oleh layanan.
+ **Amazon Location Service Geofences** — Saat Anda menggunakan Geofences APIs untuk menentukan area minat, layanan akan menyimpan geometri yang Anda berikan. Mereka harus dihapus secara eksplisit.
**catatan**
Menghapus AWS akun Anda menghapus semua sumber daya di dalamnya. Untuk informasi tambahan, lihat [FAQ Privasi AWS Data](https://aws.amazon.com/compliance/data-privacy-faq/).
# Enkripsi data saat istirahat untuk Amazon Location Service
Amazon Location Service menyediakan enkripsi secara default untuk melindungi data pelanggan sensitif saat istirahat menggunakan kunci enkripsi yang AWS dimiliki.
+ **AWS kunci yang dimiliki** — Lokasi Amazon menggunakan kunci ini secara default untuk secara otomatis mengenkripsi data yang dapat diidentifikasi secara pribadi. Anda tidak dapat melihat, mengelola, atau menggunakan kunci yang AWS dimiliki, atau mengaudit penggunaannya. Namun, Anda tidak perlu mengambil tindakan apa pun atau mengubah program apa pun untuk melindungi kunci yang mengenkripsi data Anda. Untuk informasi selengkapnya, lihat [kunci yang AWS dimiliki](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) di *Panduan AWS Key Management Service Pengembang*.
Enkripsi data saat istirahat secara default membantu mengurangi overhead operasional dan kompleksitas yang terlibat dalam melindungi data sensitif. Pada saat yang sama, ini memungkinkan Anda untuk membangun aplikasi aman yang memenuhi kepatuhan enkripsi yang ketat dan persyaratan peraturan.
Meskipun Anda tidak dapat menonaktifkan lapisan enkripsi ini atau memilih jenis enkripsi alternatif, Anda dapat menambahkan lapisan enkripsi kedua di atas kunci enkripsi AWS milik yang ada dengan memilih kunci yang dikelola pelanggan saat Anda membuat sumber daya pelacak dan pengumpulan geofence Anda:
+ **Kunci terkelola pelanggan** — Lokasi Amazon mendukung penggunaan kunci terkelola pelanggan simetris yang Anda buat, miliki, dan kelola untuk menambahkan enkripsi lapisan kedua di atas enkripsi AWS milik yang ada. Karena Anda memiliki kontrol penuh atas lapisan enkripsi ini, Anda dapat melakukan tugas-tugas seperti:
+ Menetapkan dan memelihara kebijakan utama
+ Menetapkan dan memelihara kebijakan dan hibah IAM
+ Mengaktifkan dan menonaktifkan kebijakan utama
+ Memutar bahan kriptografi kunci
+ Menambahkan tanda
+ Membuat alias kunci
+ Kunci penjadwalan untuk penghapusan
Untuk informasi selengkapnya, lihat [kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) di *Panduan AWS Key Management Service Pengembang*.
Tabel berikut merangkum bagaimana Amazon Location mengenkripsi data yang dapat diidentifikasi secara pribadi.
| Jenis data | AWS enkripsi kunci yang dimiliki | Enkripsi kunci yang dikelola pelanggan (Opsional) |
| --- | --- | --- |
| PositionGeometri titik yang berisi [detail posisi perangkat](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePosition.html). | Diaktifkan | Diaktifkan |
| PositionPropertiesSatu set pasangan kunci-nilai yang [terkait dengan pembaruan posisi](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePosition.html). | Diaktifkan | Diaktifkan |
| GeofenceGeometry[Geometri geofensi](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_GeofenceGeometry.html) poligon yang mewakili area geofenced. | Diaktifkan | Diaktifkan |
| DeviceIdPengenal perangkat ditentukan saat [mengunggah pembaruan posisi perangkat](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePositionUpdate.html) ke sumber daya pelacak. | Diaktifkan | Tidak didukung |
| GeofenceIdPengidentifikasi yang ditentukan saat [menyimpan geometri geofence](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_PutGeofence.html), atau [sekumpulan geofences dalam koleksi geofence](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_BatchPutGeofence.html) tertentu. | Diaktifkan | Tidak didukung |
**catatan**
Lokasi Amazon secara otomatis mengaktifkan enkripsi saat istirahat menggunakan kunci yang AWS dimiliki untuk melindungi data yang dapat diidentifikasi secara pribadi tanpa biaya.
Namun, AWS KMS biaya berlaku untuk menggunakan kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang harga, lihat [AWS Key Management Service harga](https://aws.amazon.com/kms/pricing/).
Untuk informasi lebih lanjut tentang AWS KMS, lihat [Apa itu AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
## Bagaimana Amazon Location Service menggunakan hibah di AWS KMS
Lokasi Amazon memerlukan [hibah](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) untuk menggunakan kunci yang dikelola pelanggan Anda.
Saat Anda membuat [sumber daya pelacak](https://docs.aws.amazon.com/location/latest/developerguide/trackers.html) atau [koleksi geofence](https://docs.aws.amazon.com/location/latest/developerguide/geofences.html) yang dienkripsi dengan kunci yang dikelola pelanggan, Amazon Location membuat hibah atas nama Anda dengan mengirimkan permintaan ke. [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) AWS KMS Hibah AWS KMS digunakan untuk memberikan Akses Lokasi Amazon ke kunci KMS di akun pelanggan.
Lokasi Amazon memerlukan hibah untuk menggunakan kunci terkelola pelanggan Anda untuk operasi internal berikut:
+ Kirim [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)permintaan AWS KMS untuk memverifikasi bahwa ID kunci KMS yang dikelola pelanggan simetris yang dimasukkan saat membuat pelacak atau koleksi geofence valid.
+ Kirim [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)permintaan AWS KMS untuk menghasilkan kunci data yang dienkripsi oleh kunci terkelola pelanggan Anda.
+ Kirim permintaan [Dekripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) ke AWS KMS untuk mendekripsi kunci data terenkripsi sehingga mereka dapat digunakan untuk mengenkripsi data Anda.
Anda dapat mencabut akses ke hibah, atau menghapus akses layanan ke kunci yang dikelola pelanggan kapan saja. Jika Anda melakukannya, Lokasi Amazon tidak akan dapat mengakses data apa pun yang dienkripsi oleh kunci yang dikelola pelanggan, yang memengaruhi operasi yang bergantung pada data tersebut. Misalnya, jika Anda mencoba [mendapatkan posisi perangkat](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_GetDevicePosition.html) dari pelacak terenkripsi yang tidak dapat diakses Lokasi Amazon, maka operasi akan mengembalikan kesalahan. `AccessDeniedException`
## Buat kunci terkelola pelanggan
Anda dapat membuat kunci terkelola pelanggan simetris dengan menggunakan Konsol Manajemen AWS, atau. AWS KMS APIs
**Untuk membuat kunci terkelola pelanggan simetris**
Ikuti langkah-langkah untuk [Membuat kunci terkelola pelanggan simetris](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) di *Panduan AWS Key Management Service Pengembang*.
**Kebijakan utama**
Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menentukan kebijakan kunci. Untuk informasi selengkapnya, lihat [Mengelola akses ke kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) di *Panduan AWS Key Management Service Pengembang*.
Untuk menggunakan kunci terkelola pelanggan dengan sumber daya Lokasi Amazon, operasi API berikut harus diizinkan dalam kebijakan kunci:
+ `[kms:CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)`— Menambahkan hibah ke kunci yang dikelola pelanggan. Memberikan akses kontrol ke kunci KMS tertentu, yang memungkinkan akses untuk [memberikan operasi yang diperlukan Lokasi Amazon](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations). Untuk informasi selengkapnya tentang [Menggunakan Hibah](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html), lihat *Panduan AWS Key Management Service Pengembang*.
Hal ini memungkinkan Amazon Location untuk melakukan hal berikut:
+ Panggilan `GenerateDataKeyWithoutPlainText` untuk menghasilkan kunci data terenkripsi dan menyimpannya, karena kunci data tidak segera digunakan untuk mengenkripsi.
+ Panggilan `Decrypt` untuk menggunakan kunci data terenkripsi yang disimpan untuk mengakses data terenkripsi.
+ Siapkan kepala sekolah yang pensiun untuk memungkinkan layanan. `RetireGrant`
+ `[kms:DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)`— Memberikan detail kunci yang dikelola pelanggan untuk memungkinkan Lokasi Amazon memvalidasi kunci.
Berikut ini adalah contoh pernyataan kebijakan yang dapat Anda tambahkan untuk Lokasi Amazon:
```
"Statement" : [
{
"Sid" : "Allow access to principals authorized to use Amazon Location",
"Effect" : "Allow",
"Principal" : {
"AWS" : "*"
},
"Action" : [
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"kms:ViaService" : "geo.region.amazonaws.com",
"kms:CallerAccount" : "111122223333"
}
},
{
"Sid": "Allow access for key administrators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action" : [
"kms:*"
],
"Resource": "arn:aws:kms:region:111122223333:key/key_ID"
},
{
"Sid" : "Allow read-only access to key metadata to the account",
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::111122223333:root"
},
"Action" : [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource" : "*"
}
]
```
Untuk informasi selengkapnya tentang [menentukan izin dalam kebijakan](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html), lihat Panduan *AWS Key Management Service Pengembang*.
Untuk informasi selengkapnya tentang [akses kunci pemecahan](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam) masalah, lihat Panduan *AWS Key Management Service Pengembang*.
## Menentukan kunci terkelola pelanggan untuk Lokasi Amazon
Anda dapat menentukan kunci yang dikelola pelanggan sebagai enkripsi lapisan kedua untuk sumber daya berikut:
+ [Membuat pelacak](start-create-tracker.md)
+ [Memulai Amazon Location Service Geofences](geofence-gs.md)
Saat membuat sumber daya, Anda dapat menentukan kunci data dengan memasukkan **ID KMS**, yang digunakan Lokasi Amazon untuk mengenkripsi data pribadi yang dapat diidentifikasi yang disimpan oleh sumber daya.
+ **ID KMS** — [Pengidentifikasi kunci](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id) untuk kunci yang dikelola AWS KMS pelanggan. Masukkan ID kunci, ARN kunci, nama alias, atau ARN alias.
## Konteks enkripsi Amazon Location Service
[Konteks enkripsi](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) adalah kumpulan opsional pasangan kunci-nilai yang berisi informasi kontekstual tambahan tentang data.
AWS KMS menggunakan konteks enkripsi sebagai [data otentikasi tambahan](https://docs.aws.amazon.com/kms/latest/cryptographic-details/crypto-primitives.html) untuk mendukung enkripsi yang [diautentikasi.](https://docs.aws.amazon.com/kms/latest/cryptographic-details/crypto-primitives.html) Bila Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, AWS KMS mengikat konteks enkripsi ke data terenkripsi. Untuk mendekripsi data, Anda menyertakan konteks enkripsi yang sama dalam permintaan.
**Konteks enkripsi Amazon Location Service**
Lokasi Amazon menggunakan konteks enkripsi yang sama di semua operasi AWS KMS kriptografi, di mana kuncinya adalah `aws:geo:arn` dan nilainya adalah sumber daya [Amazon Resource Name](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) (ARN).
**Example**
```
"encryptionContext": {
"aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
}
```
**Menggunakan konteks enkripsi untuk pemantauan**
Saat Anda menggunakan kunci terkelola pelanggan simetris untuk mengenkripsi pelacak atau koleksi geofence, Anda juga dapat menggunakan konteks enkripsi dalam catatan audit dan log untuk mengidentifikasi bagaimana kunci yang dikelola pelanggan digunakan. Konteks enkripsi juga muncul di [log yang dihasilkan oleh AWS CloudTrail atau Amazon CloudWatch Logs](#example-custom-encryption).
**Menggunakan konteks enkripsi untuk mengontrol akses ke kunci terkelola pelanggan Anda**
Anda dapat menggunakan konteks enkripsi dalam kebijakan utama dan kebijakan IAM `conditions` untuk mengontrol akses ke kunci terkelola pelanggan simetris Anda. Anda juga dapat menggunakan kendala konteks enkripsi dalam hibah.
Lokasi Amazon menggunakan batasan konteks enkripsi dalam hibah untuk mengontrol akses ke kunci yang dikelola pelanggan di akun atau wilayah Anda. Batasan hibah mengharuskan operasi yang diizinkan oleh hibah menggunakan konteks enkripsi yang ditentukan.
**Example**
Berikut ini adalah contoh pernyataan kebijakan kunci untuk memberikan akses ke kunci yang dikelola pelanggan untuk konteks enkripsi tertentu. Kondisi dalam pernyataan kebijakan ini mengharuskan hibah memiliki batasan konteks enkripsi yang menentukan konteks enkripsi.
```
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:tracker/SAMPLE-Tracker"
}
}
}
```
## Memantau kunci enkripsi Anda untuk Amazon Location Service
Saat Anda menggunakan kunci terkelola AWS KMS pelanggan dengan sumber daya Amazon Location Service, Anda dapat menggunakan [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)atau [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) untuk melacak permintaan yang dikirimkan oleh Amazon Location AWS KMS.
Contoh berikut adalah AWS CloudTrail peristiwa untuk`CreateGrant`,, `GenerateDataKeyWithoutPlainText``Decrypt`, dan `DescribeKey` untuk memantau operasi KMS yang dipanggil oleh Lokasi Amazon untuk mengakses data yang dienkripsi oleh kunci terkelola pelanggan Anda:
------
#### [ CreateGrant ]
Saat Anda menggunakan kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi sumber daya pelacak atau pengumpulan geofence, Amazon Location mengirimkan `CreateGrant` permintaan atas nama Anda untuk mengakses kunci KMS di akun Anda. AWS Hibah yang dibuat Amazon Location khusus untuk sumber daya yang terkait dengan kunci yang dikelola AWS KMS pelanggan. Selain itu, Lokasi Amazon menggunakan `RetireGrant` operasi untuk menghapus hibah saat Anda menghapus sumber daya.
Contoh peristiwa berikut mencatat `CreateGrant` operasi:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "geo.region.amazonaws.com",
"operations": [
"GenerateDataKeyWithoutPlaintext",
"Decrypt",
"DescribeKey"
],
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"granteePrincipal": "geo.region.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
------
#### [ GenerateDataKeyWithoutPlainText ]
Saat Anda mengaktifkan kunci terkelola AWS KMS pelanggan untuk sumber daya koleksi pelacak atau geofence, Amazon Location akan membuat kunci tabel unik. Ini mengirimkan `GenerateDataKeyWithoutPlainText` permintaan ke AWS KMS yang menentukan kunci yang dikelola AWS KMS pelanggan untuk sumber daya.
Contoh peristiwa berikut mencatat `GenerateDataKeyWithoutPlainText` operasi:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
},
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e"
}
```
------
#### [ Decrypt ]
Saat Anda mengakses pelacak terenkripsi atau koleksi geofence, Amazon Location memanggil `Decrypt` operasi untuk menggunakan kunci data terenkripsi yang disimpan untuk mengakses data terenkripsi.
Contoh peristiwa berikut mencatat `Decrypt` operasi:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:10:51Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "dc129381-1d94-49bd-b522-f56a3482d088"
}
```
------
#### [ DescribeKey ]
Lokasi Amazon menggunakan `DescribeKey` operasi untuk memverifikasi apakah kunci terkelola AWS KMS pelanggan yang terkait dengan pelacak atau koleksi geofence Anda ada di akun dan wilayah.
Contoh peristiwa berikut mencatat `DescribeKey` operasi:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
------
## Pelajari selengkapnya
Sumber daya berikut memberikan informasi lebih lanjut tentang enkripsi data saat istirahat.
+ Untuk informasi selengkapnya tentang [konsep AWS Key Management Service dasar](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html), lihat *Panduan AWS Key Management Service Pengembang*.
+ Untuk informasi selengkapnya tentang [praktik terbaik Keamanan AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/kms-security.html), lihat *Panduan AWS Key Management Service Pengembang*.
# Enkripsi data dalam transit untuk Amazon Location Service
Amazon Location melindungi data dalam perjalanan, saat melakukan perjalanan ke dan dari layanan, dengan secara otomatis mengenkripsi semua data antar-jaringan menggunakan protokol enkripsi Transport Layer Security (TLS) 1.2. Permintaan HTTPS langsung yang dikirim ke Amazon Location Service APIs ditandatangani dengan menggunakan [Algoritma AWS Signature Version 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv-create-signed-request.html) untuk membuat koneksi yang aman.
# Respon Insiden di Amazon Location Service
Keamanan adalah prioritas tertinggi di AWS. Sebagai bagian dari [model tanggung jawab bersama AWS](https://aws.amazon.com/compliance/shared-responsibility-model/) Cloud, AWS mengelola pusat data dan arsitektur jaringan yang memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan. Sebagai AWS pelanggan, Anda berbagi tanggung jawab untuk menjaga keamanan di cloud. Ini berarti Anda mengontrol keamanan yang Anda pilih untuk diterapkan dari AWS alat dan fitur yang dapat Anda akses.
Dengan menetapkan garis dasar keamanan yang memenuhi tujuan aplikasi Anda yang berjalan di cloud, Anda dapat mendeteksi penyimpangan yang dapat Anda tanggapi. Karena respons insiden keamanan dapat menjadi topik yang kompleks, kami mendorong Anda untuk meninjau sumber daya berikut sehingga Anda lebih dapat memahami dampak respons insiden (IR) dan pilihan Anda terhadap tujuan perusahaan Anda: [Panduan Respons Insiden AWS Keamanan](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html), whitepaper [Praktik Terbaik AWS Keamanan](https://aws.amazon.com/architecture/security-identity-compliance/?cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc), dan [AWS Cloud Adoption Framework (AWS CAF](https://aws.amazon.com/cloud-adoption-framework/#Security_Perspective)).
# Logging dan Monitoring di Amazon Location Service
Penebangan dan pemantauan adalah bagian penting dari respons insiden. Ini memungkinkan Anda menetapkan garis dasar keamanan untuk mendeteksi penyimpangan yang dapat Anda selidiki dan tanggapi. Dengan menerapkan pencatatan dan pemantauan untuk Amazon Location Service, Anda dapat mempertahankan keandalan, ketersediaan, dan kinerja untuk proyek dan sumber daya Anda.
AWS menyediakan beberapa alat yang dapat membantu Anda mencatat dan mengumpulkan data untuk respons insiden:
**AWS CloudTrail**
Amazon Location Service terintegrasi dengan AWS CloudTrail, yang merupakan layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan. Ini termasuk tindakan dari konsol Amazon Location Service, dan panggilan terprogram ke operasi Amazon Location API. Catatan tindakan ini disebut peristiwa. Untuk informasi selengkapnya, lihat [Logging dan monitoring Amazon Location Service dengan AWS CloudTrail](https://docs.aws.amazon.com/location/latest/developerguide/cloudtrail.html).
**Amazon CloudWatch**
Anda dapat menggunakan Amazon CloudWatch untuk mengumpulkan dan menganalisis metrik yang terkait dengan akun Amazon Location Service Anda. Anda dapat mengaktifkan CloudWatch alarm untuk memberi tahu Anda jika metrik memenuhi kondisi tertentu, dan telah mencapai ambang batas yang ditentukan. Saat Anda membuat alarm, CloudWatch kirimkan pemberitahuan ke Layanan Pemberitahuan Sederhana Amazon yang Anda tentukan. Untuk informasi selengkapnya, lihat [Monitoring Amazon Location Service dengan Amazon CloudWatch](https://docs.aws.amazon.com/location/latest/developerguide/cloudwatch.html).
**AWS Health Dasbor**
Dengan menggunakan [AWS Health Dasbor](https://status.aws.amazon.com/), Anda dapat memverifikasi status layanan Amazon Location Service. Anda juga dapat memantau dan melihat data historis tentang peristiwa atau masalah apa pun yang mungkin memengaruhi AWS lingkungan Anda. Untuk informasi selengkapnya, lihat [Panduan Pengguna AWS Health](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html).
# Validasi kepatuhan untuk Amazon Location Service
Untuk mempelajari apakah an Layanan AWS berada dalam lingkup program kepatuhan tertentu, lihat [Layanan AWS di Lingkup oleh Program Kepatuhan Layanan AWS](https://aws.amazon.com/compliance/services-in-scope/) dan pilih program kepatuhan yang Anda minati. Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .
Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. Untuk informasi selengkapnya tentang tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS, lihat [Dokumentasi AWS Keamanan](https://docs.aws.amazon.com/security/).
# Ketahanan di Amazon Location Service
Infrastruktur AWS global dibangun di sekitar Wilayah AWS dan Availability Zones. Wilayah AWS menyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung dengan latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang serta mengoperasikan aplikasi dan basis data yang secara otomatis melakukan fail over di antara zona tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur pusat data tunggal atau multi tradisional.
Untuk informasi selengkapnya tentang Wilayah AWS dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).
Selain infrastruktur AWS global, Amazon Location menawarkan beberapa fitur untuk membantu mendukung ketahanan data dan kebutuhan pencadangan Anda.
# Keamanan infrastruktur di Amazon Location Service
Sebagai layanan terkelola, Amazon Location Service dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses Lokasi Amazon melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.
# AWS PrivateLink untuk Lokasi Amazon
Dengan AWS PrivateLink untuk Lokasi Amazon, Anda dapat menyediakan *antarmuka titik akhir VPC Amazon (titik akhir* antarmuka) di cloud pribadi virtual Anda (Amazon VPC). Titik akhir ini dapat diakses langsung dari aplikasi yang ada di tempat melalui VPN dan Direct Connect, atau berbeda dengan peering Wilayah AWS [VPC Amazon](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html). Menggunakan AWS PrivateLink dan antarmuka endpoint, Anda dapat menyederhanakan konektivitas jaringan pribadi dari aplikasi Anda ke Amazon Location.
Aplikasi di VPC Anda tidak memerlukan alamat IP publik untuk berkomunikasi dengan titik akhir VPC antarmuka Lokasi Amazon untuk operasi Lokasi Amazon. Titik akhir antarmuka diwakili oleh satu atau lebih antarmuka jaringan elastis (ENIs) yang diberi alamat IP pribadi dari subnet di VPC Amazon Anda. Permintaan ke Lokasi Amazon melalui titik akhir antarmuka tetap berada di jaringan Amazon. Anda juga dapat mengakses titik akhir antarmuka di VPC Amazon dari aplikasi lokal Direct Connect melalui AWS Virtual Private Network atau ().Site-to-Site VPN Untuk informasi selengkapnya tentang cara menghubungkan VPC Amazon dengan jaringan lokal, lihat [Panduan Direct Connect Pengguna dan Panduan Pengguna AWS](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) [Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html).
*Untuk informasi umum tentang titik akhir antarmuka, lihat [Antarmuka Amazon VPC endpoints AWS PrivateLink(](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)) di Panduan.AWS PrivateLink *
**Topics**
+ [Jenis titik akhir Amazon VPC untuk Amazon Location Service](#types-of-vpc-endpoints-for-al)
+ [Pertimbangan saat menggunakan AWS PrivateLink Amazon Location Service](#privatelink-considerations)
+ [Membuat titik akhir antarmuka untuk Amazon Location Service](#al-creating-vpc)
+ [Akses operasi API Lokasi Amazon dari titik akhir antarmuka Lokasi Amazon](#accessing-apis-from-interface-endpoints)
+ [Memperbarui konfigurasi DNS lokal](#updating-on-premises-dns-config)
+ [Membuat kebijakan titik akhir VPC Amazon untuk Lokasi Amazon](#creating-vpc-endpoint-policy)
## Jenis titik akhir Amazon VPC untuk Amazon Location Service
Anda dapat menggunakan satu jenis titik akhir Amazon VPC untuk mengakses Amazon Location Service: *titik akhir antarmuka* (dengan menggunakan). AWS PrivateLink*Titik akhir antarmuka* menggunakan alamat IP pribadi untuk merutekan permintaan ke Lokasi Amazon dari dalam VPC Amazon Anda, di tempat, atau dari VPC Amazon di tempat lain dengan Wilayah AWS menggunakan peering VPC Amazon. Untuk informasi lebih lanjut, lihat [Apa itu peering Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) dan [Transit Gateway vs Pengintip VPC Amazon](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/vpc-to-vpc-connectivity.html).
Titik akhir antarmuka kompatibel dengan titik akhir gateway. Jika Anda memiliki titik akhir gateway yang ada di VPC Amazon, Anda dapat menggunakan kedua jenis titik akhir di VPC Amazon yang sama.
Titik akhir antarmuka untuk Lokasi Amazon memiliki properti berikut:
+ Lalu lintas jaringan Anda tetap berada di AWS jaringan
+ Gunakan alamat IP pribadi dari Amazon VPC Anda untuk mengakses Amazon Location Service
+ Memungkinkan akses dari tempat
+ Mengizinkan akses dari titik akhir VPC Amazon di titik lain dengan Wilayah AWS menggunakan peering VPC Amazon atau AWS Transit Gateway
+ Titik akhir antarmuka ditagih
## Pertimbangan saat menggunakan AWS PrivateLink Amazon Location Service
Pertimbangan Amazon VPC berlaku untuk AWS PrivateLink Amazon Location Service. Untuk informasi selengkapnya, lihat [Pertimbangan antarmuka titik akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) dan [AWS PrivateLink kuota](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-limits-endpoints.html) dalam *AWS PrivateLink Panduan*. Selain itu, larangan berikut juga berlaku.
AWS PrivateLink untuk Amazon Location Service tidak mendukung hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS) 1.1
+ Layanan Sistem Nama Domain Pribadi dan Hybrid (DNS)
Titik akhir Amazon VPC:
+ Jangan mendukung operasi [Amazon Location Service Maps API](https://docs.aws.amazon.com/location/latest/APIReference/API_Operations_Amazon_Location_Service_Maps_V2.html), termasuk:`GetGlyphs`,`GetSprites`, dan `GetStyleDescriptor`
+ Jangan mendukung permintaan lintas wilayah. Pastikan Anda membuat titik akhir di wilayah yang sama dengan tempat Anda berencana mengeluarkan panggilan API ke Amazon Location Service.
+ Hanya mendukung DNS yang disediakan Amazon melalui Amazon Route 53. Jika Anda ingin menggunakan DNS Anda sendiri, gunakan penerusan DNS bersyarat. Untuk informasi lebih lanjut, lihat [Pengaturan Opsi DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) di *Panduan Pengguna Amazon VPC*.
+ Harus mengizinkan koneksi masuk pada port 443 dari subnet pribadi VPC melalui grup keamanan yang terpasang pada titik akhir VPC
Anda dapat mengirimkan hingga 50.000 permintaan per detik untuk setiap PrivateLink titik akhir AWS yang Anda aktifkan.
**catatan**
Batas waktu konektivitas jaringan ke AWS PrivateLink titik akhir tidak berada dalam cakupan respons kesalahan Lokasi Amazon dan perlu ditangani dengan tepat oleh aplikasi Anda yang terhubung ke titik akhir. AWS PrivateLink
## Membuat titik akhir antarmuka untuk Amazon Location Service
Anda dapat membuat titik akhir antarmuka untuk Amazon Location Service menggunakan Konsol VPC Amazon atau AWS Command Line Interface ().AWS CLI Untuk informasi selengkapnya, lihat [Membuat titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) di *AWS PrivateLink Panduan*.
Ada enam titik akhir VPC yang berbeda, satu untuk setiap fitur yang ditawarkan oleh Amazon Location Service.
| Kategori | Titik akhir |
| --- | --- |
| Peta | `com.amazonaws.region.geo.maps` |
| Tempat | `com.amazonaws.region.geo.places` |
| Rute | `com.amazonaws.region.geo.routes` |
| Geofences | `com.amazonaws.region.geo.geofencing` |
| Pelacak | `com.amazonaws.region.geo.tracking` |
| Metadata | `com.amazonaws.region.geo.metadata` |
**Sebagai contoh:**
```
com.amazonaws.us-east-2.geo.maps
```
Setelah Anda membuat titik akhir, Anda memiliki opsi untuk mengaktifkan nama host DNS pribadi. Untuk mengaktifkan, pilih **Aktifkan Nama DNS Pribadi** di Konsol VPC Amazon saat Anda membuat titik akhir VPC.
Jika Anda mengaktifkan DNS pribadi untuk titik akhir antarmuka, Anda dapat membuat permintaan API ke layanan Amazon Location Service menggunakan nama DNS Regional default. Contoh berikut menunjukkan format nama DNS Regional default.
+ `maps.geo.region.amazonaws.com`
+ `places.geo.region.amazonaws.com`
+ `routes.geo.region.amazonaws.com`
+ `tracking.geo.region.amazonaws.com`
+ `geofencing.geo.region.amazonaws.com`
+ `metadata.geo.region.amazonaws.com`
Nama DNS sebelumnya adalah untuk IPv4 domain. Nama IPV6 DNS berikut juga dapat digunakan untuk titik akhir antarmuka.
+ `maps.geo.region.api.aws`
+ `places.geo.region.api.aws`
+ `routes.geo.region.api.aws`
+ `tracking.geo.region.api.aws`
+ `geofencing.geo.region.api.aws`
+ `metadata.geo.region.api.aws`
## Akses operasi API Lokasi Amazon dari titik akhir antarmuka Lokasi Amazon
Anda dapat menggunakan [AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/location/)atau [AWS SDKs](https://docs.aws.amazon.com/location/latest/developerguide/dev-sdks.html)untuk mengakses operasi Amazon Location API melalui titik akhir antarmuka Amazon Location.
**Contoh: Buat titik akhir VPC**
```
aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name location-service-name \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id
```
**Contoh: Memodifikasi titik akhir VPC**
```
aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-endpoint-id \
--policy-document policy-document \ #example optional parameter
--add-security-group-ids security-group-ids \ #example optional parameter
# any additional parameters needed, see PrivateLink documentation for more details
```
## Memperbarui konfigurasi DNS lokal
Saat menggunakan nama DNS khusus titik akhir untuk mengakses titik akhir antarmuka untuk Lokasi Amazon, Anda tidak perlu memperbarui resolver DNS lokal. Anda dapat menyelesaikan nama DNS spesifik titik akhir dengan alamat IP pribadi titik akhir antarmuka dari domain DNS Lokasi Amazon publik.
Gunakan titik akhir antarmuka untuk mengakses Lokasi Amazon tanpa titik akhir gateway atau gateway internet di VPC Amazon
Titik akhir antarmuka di VPC Amazon Anda dapat merutekan aplikasi VPC di Amazon dan aplikasi lokal ke Lokasi Amazon melalui jaringan Amazon.
## Membuat kebijakan titik akhir VPC Amazon untuk Lokasi Amazon
Anda dapat melampirkan kebijakan titik akhir ke titik akhir VPC Amazon yang mengontrol akses ke Lokasi Amazon. Kebijakan titik akhir menentukan informasi berikut:
+ Prinsip AWS Identity and Access Management (IAM) yang dapat melakukan tindakan
+ Tindakan-tindakan yang dapat dilakukan
+ Sumber daya yang padanya tindakan dapat dilakukan
**Contoh:** Contoh VPCe kebijakan untuk mengakses Amazon Location Service Places APIs:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Allow-access-to-location-service-places-opeartions",
"Effect": "Allow",
"Action": [
"geo-places:*",
"geo:*"
],
"Resource": [
"arn:aws:geo-places:us-east-1::provider/default",
"arn:aws:geo:us-east-1:*:place-index/*"
]
}
]
}
```
# Analisis konfigurasi dan kerentanan di Lokasi Amazon
Konfigurasi dan kontrol TI adalah tanggung jawab bersama antara AWS dan Anda, pelanggan kami. Untuk informasi lebih lanjut, lihat [model tanggung jawab AWS bersama](https://aws.amazon.com/compliance/shared-responsibility-model/).
# Pencegahan "confused deputy" lintas layanan
Masalah "confused deputy" adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memengaruhi entitas yang memiliki hak akses lebih tinggi untuk melakukan tindakan. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (*layanan yang dipanggil*) memanggil layanan lain (*layanan yang dipanggil*). Layanan pemanggilan dapat dimanipulasi menggunakan izinnya untuk bertindak pada sumber daya pelanggan lain dengan cara yang seharusnya tidak dilakukannya kecuali bila memiliki izin untuk mengakses. Untuk mencegah hal ini, AWS menyediakan alat yang membantu Anda melindungi data untuk semua layanan dengan principal layanan yang telah diberi akses ke sumber daya di akun Anda.
Amazon Location Service tidak bertindak sebagai layanan panggilan atas nama Anda ke AWS layanan lain, jadi Anda tidak perlu menambahkan perlindungan ini dalam kasus ini. Untuk mempelajari lebih lanjut tentang wakil yang [bingung, lihat Masalah wakil](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) yang bingung di *Panduan AWS Identity and Access Management Pengguna*.
# Praktik terbaik untuk Amazon Location Service
Topik ini memberikan praktik terbaik untuk membantu Anda menggunakan Amazon Location Service. Meskipun praktik terbaik ini dapat membantu Anda memanfaatkan sepenuhnya Amazon Location Service, praktik tersebut tidak mewakili solusi lengkap. Anda harus mengikuti hanya rekomendasi yang berlaku untuk lingkungan Anda.
**Topics**
+ [Keamanan](#security-best-practice)
## Keamanan
Untuk membantu mengelola atau bahkan menghindari risiko keamanan, pertimbangkan praktik terbaik berikut:
+ Gunakan federasi identitas dan peran IAM untuk mengelola, mengontrol, atau membatasi akses ke sumber daya Lokasi Amazon Anda. Untuk informasi selengkapnya, lihat [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
+ Ikuti Prinsip Hak Istimewa Paling Sedikit untuk hanya memberikan akses minimum yang diperlukan ke sumber daya Amazon Location Service Anda.
+ Untuk sumber daya Amazon Location Service yang digunakan dalam aplikasi web, batasi akses menggunakan kondisi `aws:referer` IAM, membatasi penggunaan oleh situs selain yang termasuk dalam daftar izin.
+ Gunakan alat pemantauan dan pencatatan untuk melacak akses dan penggunaan sumber daya. Untuk informasi selengkapnya, lihat [Logging dan Monitoring di Amazon Location Service](security-logging-and-monitoring.md) dan [Mencatat Peristiwa Data untuk Jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html) di Panduan AWS CloudTrail Pengguna.
+ Gunakan koneksi aman, seperti yang dimulai dengan `https://` untuk menambah keamanan dan melindungi pengguna terhadap serangan saat data sedang ditransmisikan antara server dan browser.
### Praktik terbaik keamanan Detektif untuk Amazon Location Service
Praktik terbaik berikut untuk Amazon Location Service dapat membantu mendeteksi insiden keamanan:
**Menerapkan alat AWS pemantauan**
Pemantauan sangat penting untuk respons insiden dan menjaga keandalan dan keamanan sumber daya Amazon Location Service dan solusi Anda. Anda dapat menerapkan alat pemantauan dari beberapa alat dan layanan yang tersedia AWS untuk memantau sumber daya Anda dan AWS layanan Anda lainnya.
Misalnya, Amazon CloudWatch memungkinkan Anda memantau metrik untuk Amazon Location Service dan memungkinkan Anda mengatur alarm untuk memberi tahu Anda jika metrik memenuhi kondisi tertentu yang telah Anda tetapkan dan telah mencapai ambang batas yang telah Anda tetapkan. Saat membuat alarm, Anda dapat mengatur CloudWatch untuk mengirim pemberitahuan ke peringatan menggunakan Amazon Simple Notification Service. Untuk informasi selengkapnya, lihat [Logging dan Monitoring di Amazon Location Service](security-logging-and-monitoring.md).
**Aktifkan alat AWS logging**
Logging menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan di Amazon Location Service. Anda dapat menerapkan alat logging seperti AWS CloudTrail mengumpulkan data tentang tindakan untuk mendeteksi aktivitas API yang tidak biasa.
Saat Anda membuat jejak, Anda dapat mengonfigurasi CloudTrail untuk mencatat peristiwa. Peristiwa adalah catatan operasi sumber daya yang dilakukan pada atau di dalam sumber daya seperti permintaan yang dibuat ke Lokasi Amazon, alamat IP dari mana permintaan dibuat, siapa yang membuat permintaan, saat permintaan dibuat, bersama dengan data tambahan. Untuk informasi selengkapnya, lihat [Mencatat Peristiwa Data untuk Jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html) di Panduan AWS CloudTrail Pengguna.
### Praktik terbaik keamanan preventif untuk Amazon Location Service
Praktik terbaik berikut untuk Amazon Location Service dapat membantu mencegah insiden keamanan:
**Gunakan koneksi aman**
Selalu gunakan koneksi terenkripsi, seperti yang dimulai dengan `https://` untuk menjaga keamanan informasi sensitif saat transit.
**Menerapkan akses hak istimewa paling sedikit ke sumber daya**
Saat Anda membuat kebijakan khusus ke sumber daya Lokasi Amazon, berikan hanya izin yang diperlukan untuk melakukan tugas. Disarankan untuk memulai dengan set izin minimum dan memberikan izin tambahan sesuai kebutuhan. Menerapkan akses hak istimewa paling sedikit sangat penting untuk mengurangi risiko dan dampak yang dapat dihasilkan dari kesalahan atau serangan berbahaya. Untuk informasi selengkapnya, lihat [Gunakan AWS Identity and Access Management untuk mengautentikasi](security-iam.md).
**Gunakan perangkat yang unik secara global IDs IDs**
Gunakan konvensi berikut untuk perangkat IDs.
+ Perangkat IDs harus unik.
+ Perangkat tidak IDs boleh rahasia, karena mereka dapat digunakan sebagai kunci asing untuk sistem lain.
+ Perangkat tidak IDs boleh berisi informasi identitas pribadi (PII), seperti perangkat telepon atau alamat email. IDs
+ Perangkat IDs seharusnya tidak dapat diprediksi. Pengidentifikasi buram seperti UUIDs direkomendasikan.
**Jangan sertakan PII dalam properti posisi perangkat**
Saat mengirim pembaruan perangkat (misalnya, menggunakan [DevicePositionUpdate](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePositionUpdate.html)), jangan sertakan informasi identifikasi pribadi (PII) seperti nomor telepon atau alamat email di. `PositionProperties`