Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Protezione dei dati in Amazon Location Service
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) si applica alla protezione dei dati in Amazon Location Service. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, vedi le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [Modello di responsabilità condivisa AWS e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *Blog sulla sicurezza AWS *.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l'autenticazione a più fattori (MFA) con ogni account.
+ Usa SSL/TLS per comunicare con le risorse. AWS È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con. AWS CloudTrail Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Amazon Location o altro Servizi AWS utilizzando la console, l'API o AWS SDKs. AWS CLI I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando fornisci un URL a un server esterno, ti suggeriamo vivamente di non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta al server.
# Privacy dei dati
Con Amazon Location Service, mantieni il controllo dei dati della tua organizzazione. Amazon Location rende anonime tutte le richieste inviate ai fornitori di dati rimuovendo i metadati dei clienti e le informazioni sull'account.
Amazon Location non utilizza fornitori di dati per il tracciamento e il geofencing. Ciò significa che i tuoi dati sensibili rimangono nel tuo AWS account. Questo aiuta a proteggere le informazioni sensibili sulla posizione, come la struttura, le risorse e l'ubicazione del personale, da terze parti, a proteggere la privacy degli utenti e a ridurre il rischio per la sicurezza dell'applicazione.
Per ulteriori informazioni, consulta le [Domande frequenti sulla privacy AWS dei dati](https://aws.amazon.com/compliance/data-privacy-faq/).
# Conservazione dei dati in Amazon Location
Le seguenti caratteristiche si riferiscono al modo in cui Amazon Location raccoglie e archivia i dati per il servizio:
+ **Localizzatori Amazon Location Service**: quando utilizzi i Tracker APIs per tracciare la posizione delle entità, le loro coordinate possono essere memorizzate. Le posizioni dei dispositivi vengono archiviate per 30 giorni prima di essere eliminate dal servizio.
+ **Amazon Location Service Geofences**: quando utilizzi i Geofences APIs per definire aree di interesse, il servizio memorizza le geometrie fornite. Devono essere eliminati in modo esplicito.
**Nota**
L'eliminazione AWS dell'account comporta l'eliminazione di tutte le risorse al suo interno. Per ulteriori informazioni, consulta le [Domande frequenti sulla privacy AWS dei dati](https://aws.amazon.com/compliance/data-privacy-faq/).
# Crittografia dei dati a riposo per Amazon Location Service
Amazon Location Service fornisce la crittografia di default per proteggere i dati sensibili dei clienti archiviati utilizzando chiavi AWS di crittografia proprietarie.
+ **AWS chiavi di proprietà**: Amazon Location utilizza queste chiavi per impostazione predefinita per crittografare automaticamente i dati di identificazione personale. Non puoi visualizzare, gestire o utilizzare chiavi AWS di proprietà o controllarne l'utilizzo. Tuttavia, non è necessario effettuare alcuna operazione o modificare programmi per proteggere le chiavi che eseguono la crittografia dei dati. Per ulteriori informazioni, consulta la pagina [chiavi di proprietàAWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) nella *Guida per gli sviluppatori di AWS Key Management Service *.
La crittografia predefinita dei dati a riposo aiuta a ridurre il sovraccarico operativo e la complessità associati alla protezione dei dati sensibili. Allo stesso tempo, consente di creare applicazioni sicure che soddisfano i rigorosi requisiti normativi e di conformità alla crittografia.
Sebbene non sia possibile disabilitare questo livello di crittografia o selezionare un tipo di crittografia alternativo, è possibile aggiungere un secondo livello di crittografia rispetto alle chiavi di crittografia esistenti AWS scegliendo una chiave gestita dal cliente quando si creano le risorse di raccolta di tracker e geofence:
+ **Chiavi gestite dal cliente**: Amazon Location supporta l'uso di una chiave simmetrica gestita dal cliente che puoi creare, possedere e gestire per aggiungere un secondo livello di crittografia rispetto alla crittografia di AWS proprietà esistente. Avendo il pieno controllo di questo livello di crittografia, è possibile eseguire operazioni quali:
+ Stabilire e mantenere le policy delle chiavi
+ Stabilire e mantenere le policy e le sovvenzioni IAM
+ Abilitare e disabilitare le policy delle chiavi
+ Ruotare i materiali crittografici delle chiavi
+ Aggiungere tag
+ Creare alias delle chiavi
+ Pianificare l’eliminazione delle chiavi
Per ulteriori informazioni, consulta la [chiave gestita dal cliente nella Guida per](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) gli *AWS Key Management Service sviluppatori*.
La tabella seguente riassume il modo in cui Amazon Location crittografa i dati di identificazione personale.
| Tipo di dati | AWS crittografia a chiave proprietaria | Crittografia con chiavi gestite dal cliente (opzionale) |
| --- | --- | --- |
| PositionUna geometria puntuale contenente [i dettagli sulla posizione del dispositivo](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePosition.html). | Abilitato | Abilitato |
| PositionPropertiesUn insieme di coppie chiave-valore [associate all'aggiornamento della posizione](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePosition.html). | Abilitato | Abilitato |
| GeofenceGeometryUna geometria di [geofence poligonale che rappresenta l'area geofrecintata.](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_GeofenceGeometry.html) | Abilitato | Abilitato |
| DeviceIdL'identificatore del dispositivo specificato durante il [caricamento](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePositionUpdate.html) di un aggiornamento della posizione del dispositivo su una risorsa tracker. | Abilitato | Non supportata |
| GeofenceIdUn identificatore specificato quando si [memorizza una geometria di geofence](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_PutGeofence.html) o un [batch di geofence in una determinata raccolta di](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_BatchPutGeofence.html) geofence. | Abilitato | Non supportata |
**Nota**
Amazon Location abilita automaticamente la crittografia a riposo utilizzando chiavi AWS proprietarie per proteggere gratuitamente i dati di identificazione personale.
Tuttavia, l'utilizzo di una chiave gestita dal cliente comporta dei AWS KMS costi. Per ulteriori informazioni sui prezzi, consulta i [AWS Key Management Service prezzi](https://aws.amazon.com/kms/pricing/).
Per ulteriori informazioni su AWS KMS, consulta [Cos'è AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
## In che modo Amazon Location Service utilizza le sovvenzioni in AWS KMS
Amazon Location richiede una [concessione](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) per utilizzare la tua chiave gestita dal cliente.
Quando crei una [risorsa di tracciamento](https://docs.aws.amazon.com/location/latest/developerguide/trackers.html) o una [raccolta di geofence](https://docs.aws.amazon.com/location/latest/developerguide/geofences.html) crittografata con una chiave gestita dal cliente, Amazon Location crea una concessione per tuo conto inviando una [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)richiesta a. AWS KMS Le sovvenzioni AWS KMS vengono utilizzate per consentire ad Amazon Location di accedere a una chiave KMS in un account cliente.
Amazon Location richiede la concessione dell'utilizzo del codice gestito dal cliente per le seguenti operazioni interne:
+ Invia [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)richieste AWS KMS a per verificare che l'ID della chiave KMS simmetrica gestita dal cliente inserito durante la creazione di un tracker o di una raccolta di geofence sia valido.
+ Invia [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)richieste per generare chiavi dati AWS KMS crittografate dalla chiave gestita dal cliente.
+ Invia le richieste [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) a per AWS KMS decrittografare le chiavi di dati crittografate in modo che possano essere utilizzate per crittografare i dati.
Puoi revocare l'accesso alla concessione o rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento. In tal caso, Amazon Location non sarà in grado di accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, il che influirà sulle operazioni che dipendono da tali dati. Ad esempio, se tenti di [ottenere le posizioni dei dispositivi](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_GetDevicePosition.html) da un tracker crittografato a cui Amazon Location non può accedere, l'operazione restituirà un `AccessDeniedException` errore.
## Creazione di una chiave gestita dal cliente
Puoi creare una chiave simmetrica gestita dal cliente utilizzando Console di gestione AWS, o il. AWS KMS APIs
**Per creare una chiave simmetrica gestita dal cliente**
Segui la procedura riportata in [Creazione di una chiave simmetrica gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) nella *Guida per gli sviluppatori di AWS Key Management Service *.
**Policy della chiave**
Le policy della chiave controllano l’accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, è possibile specificare una policy della chiave. Per ulteriori informazioni, consulta [Gestione dell'accesso alle chiavi gestite dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
Per utilizzare la tua chiave gestita dai clienti con le tue risorse Amazon Location, le seguenti operazioni API devono essere consentite nella politica chiave:
+ `[kms:CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)`: aggiunge una concessione a una chiave gestita dal cliente. Concede l'accesso di controllo a una chiave KMS specificata, che consente l'accesso alle operazioni di [concessione richieste da Amazon](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) Location. Per ulteriori informazioni sull'[utilizzo delle concessioni](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html), consulta la *Guida per gli sviluppatori di AWS Key Management Service *.
Ciò consente ad Amazon Location di effettuare le seguenti operazioni:
+ Chiama `GenerateDataKeyWithoutPlainText` per generare una chiave dati crittografata e archiviarla, poiché la chiave dati non viene utilizzata immediatamente per crittografare.
+ Chiama `Decrypt` per utilizzare la chiave dati crittografata memorizzata per accedere ai dati crittografati.
+ Configurare un principale ritirato per consentire al servizio di `RetireGrant`.
+ `[kms:DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)`: fornisce i dettagli della chiave gestiti dal cliente per consentire ad Amazon Location di convalidare la chiave.
Di seguito sono riportati alcuni esempi di istruzioni di policy che puoi aggiungere per Amazon Location:
```
"Statement" : [
{
"Sid" : "Allow access to principals authorized to use Amazon Location",
"Effect" : "Allow",
"Principal" : {
"AWS" : "*"
},
"Action" : [
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"kms:ViaService" : "geo.region.amazonaws.com",
"kms:CallerAccount" : "111122223333"
}
},
{
"Sid": "Allow access for key administrators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action" : [
"kms:*"
],
"Resource": "arn:aws:kms:region:111122223333:key/key_ID"
},
{
"Sid" : "Allow read-only access to key metadata to the account",
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::111122223333:root"
},
"Action" : [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource" : "*"
}
]
```
Per ulteriori informazioni su come [specificare le autorizzazioni in una policy](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html), consulta la *Guida per gli sviluppatori di AWS Key Management Service *.
Per informazioni sulla [Risoluzione dei problemi delle chiavi di accesso](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam) consulta la *Guida per gli sviluppatori di AWS Key Management Service *.
## Specificare una chiave gestita dal cliente per Amazon Location
È possibile specificare una chiave gestita dal cliente come crittografia di secondo livello per le seguenti risorse:
+ [Crea un localizzatore](start-create-tracker.md)
+ [Inizia a usare Amazon Location Service Geofences](geofence-gs.md)
Quando crei una risorsa, puoi specificare la chiave dati inserendo un **ID KMS**, che Amazon Location utilizza per crittografare i dati personali identificabili memorizzati dalla risorsa.
+ **ID KMS**: un [identificatore chiave per una chiave gestita](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id) dal cliente. AWS KMS Immetti l’ID della chiave, l’ARN della chiave, il nome dell’alias o l’ARN dell’alias.
## Contesto di crittografia di Amazon Location Service
Un [contesto di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) è un set facoltativo di coppie chiave-valore che contengono ulteriori informazioni contestuali sui dati.
AWS KMS utilizza il contesto di crittografia come [dati autenticati aggiuntivi](https://docs.aws.amazon.com/kms/latest/cryptographic-details/crypto-primitives.html) per supportare la crittografia [autenticata](https://docs.aws.amazon.com/kms/latest/cryptographic-details/crypto-primitives.html). Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS associa il contesto di crittografia ai dati crittografati. Per decrittografare i dati, nella richiesta deve essere incluso lo stesso contesto di crittografia.
**Contesto di crittografia di Amazon Location Service**
Amazon Location utilizza lo stesso contesto di crittografia in tutte le operazioni AWS KMS crittografiche, dove la chiave è `aws:geo:arn` e il valore è la [risorsa Amazon Resource Name](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) (ARN).
**Example**
```
"encryptionContext": {
"aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
}
```
**Utilizzo del contesto di crittografia per il monitoraggio**
Quando si utilizza una chiave simmetrica gestita dal cliente per crittografare il tracker o la collezione di recinzioni geografiche virtuali, è possibile utilizzare il contesto di crittografia anche nei record e nei log di controllo per identificare come viene utilizzata la chiave gestita dal cliente. Il contesto di crittografia appare anche nei [log generati da AWS CloudTrail o Amazon CloudWatch Logs](#example-custom-encryption).
**Utilizzo del contesto di crittografia per controllare l'accesso alla chiave gestita dal cliente**
È possibile utilizzare il contesto di crittografia nelle policy delle chiavi e nelle policy IAM come `conditions` per controllare l'accesso alla chiave simmetrica gestita dal cliente. È possibile utilizzare i vincoli del contesto di crittografia in una concessione.
Amazon Location utilizza un vincolo di contesto di crittografia nelle concessioni per controllare l'accesso alla chiave gestita dal cliente nel tuo account o nella tua regione. Il vincolo della concessione richiede che le operazioni consentite dalla concessione utilizzino il contesto di crittografia specificato.
**Example**
Di seguito sono riportati alcuni esempi di istruzioni delle policy della chiave per concedere l’accesso a una chiave gestita dal cliente per un contesto di crittografia specifico. Questa istruzione della policy impone come condizione che le concessioni abbiano un vincolo che specifica il contesto di crittografia.
```
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:tracker/SAMPLE-Tracker"
}
}
}
```
## Monitoraggio delle chiavi di crittografia per Amazon Location Service
Quando utilizzi una chiave gestita AWS KMS dal cliente con le tue risorse Amazon Location Service, puoi utilizzare [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)o [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) per tracciare le richieste a cui Amazon Location invia. AWS KMS
Gli esempi seguenti sono AWS CloudTrail eventi per `CreateGrant` `GenerateDataKeyWithoutPlainText``Decrypt`, e per `DescribeKey` monitorare le operazioni KMS chiamate da Amazon Location per accedere ai dati crittografati dalla chiave gestita dal cliente:
------
#### [ CreateGrant ]
Quando utilizzi una chiave gestita AWS KMS dal cliente per crittografare le tue risorse di raccolta di tracker o geofence, Amazon Location invia una `CreateGrant` richiesta per tuo conto per accedere alla chiave KMS nel tuo account. AWS La concessione creata da Amazon Location è specifica per la risorsa associata alla chiave gestita AWS KMS dal cliente. Inoltre, Amazon Location utilizza l'`RetireGrant`operazione per rimuovere una concessione quando elimini una risorsa.
L’evento di esempio seguente registra l’operazione `CreateGrant`:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "geo.region.amazonaws.com",
"operations": [
"GenerateDataKeyWithoutPlaintext",
"Decrypt",
"DescribeKey"
],
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"granteePrincipal": "geo.region.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
------
#### [ GenerateDataKeyWithoutPlainText ]
Quando abiliti una chiave gestita AWS KMS dal cliente per la tua risorsa di raccolta di tracker o geofence, Amazon Location crea una chiave di tabella univoca. Invia una `GenerateDataKeyWithoutPlainText` richiesta a AWS KMS cui specifica la chiave gestita dal AWS KMS cliente per la risorsa.
L’evento di esempio seguente registra l’operazione `GenerateDataKeyWithoutPlainText`:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
},
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e"
}
```
------
#### [ Decrypt ]
Quando accedi a un tracker crittografato o a una raccolta di geofence, Amazon Location chiama l'`Decrypt`operazione per utilizzare la chiave dati crittografata memorizzata per accedere ai dati crittografati.
L’evento di esempio seguente registra l’operazione `Decrypt`:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:10:51Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "dc129381-1d94-49bd-b522-f56a3482d088"
}
```
------
#### [ DescribeKey ]
Amazon Location utilizza l'`DescribeKey`operazione per verificare se la chiave gestita AWS KMS dal cliente associata alla tua raccolta di tracker o geofence esiste nell'account e nella regione.
L’evento di esempio seguente registra l’operazione `DescribeKey`:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
------
## Ulteriori informazioni
Le seguenti risorse forniscono ulteriori informazioni sulla crittografia dei dati a riposo.
+ Per ulteriori informazioni su [Concetti base di AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html), consulta la *Guida per gli sviluppatori di AWS Key Management Service *.
+ *Per ulteriori informazioni sulle [migliori pratiche di sicurezza per AWS Key Management Service, consulta la Guida per](https://docs.aws.amazon.com/kms/latest/developerguide/kms-security.html) gli AWS Key Management Service sviluppatori.*
# Crittografia dei dati in transito per Amazon Location Service
Amazon Location protegge i dati in transito, mentre viaggiano da e verso il servizio, crittografando automaticamente tutti i dati tra reti utilizzando il protocollo di crittografia Transport Layer Security (TLS) 1.2. Le richieste HTTPS dirette inviate ad Amazon Location Service APIs vengono firmate utilizzando l'[algoritmo AWS Signature Version 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv-create-signed-request.html) per stabilire una connessione sicura.