Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in Amazon Location Service
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di data center e architetture di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra te e te. AWS Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo aspetto come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi in Cloud AWS. AWS fornisce inoltre servizi che è possibile utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei [AWS Programmi di AWS conformità dei Programmi di conformità](https://aws.amazon.com/compliance/programs/) dei di . Per maggiori informazioni sui programmi di conformità che si applicano ad Amazon Location Service, consulta [AWS Services in Scope by Compliance Program AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. Sei anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della tua azienda e le leggi e normative vigenti.
Questa documentazione ti aiuta a capire come applicare il modello di responsabilità condivisa quando usi Amazon Location. I seguenti argomenti mostrano come configurare Amazon Location per soddisfare i tuoi obiettivi di sicurezza e conformità. Scopri anche come utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le tue risorse di Amazon Location.
**Topics**
+ [
# Protezione dei dati in Amazon Location Service
](data-protection.md)
+ [
# Risposta agli incidenti in Amazon Location Service
](incident-response.md)
+ [
# Convalida della conformità per Amazon Location Service
](compliance-validation.md)
+ [
# Resilienza in Amazon Location Service
](disaster-recovery-resiliency.md)
+ [
# Sicurezza dell'infrastruttura in Amazon Location Service
](infrastructure-security.md)
+ [
# AWS PrivateLink per Amazon Location
](privatelink-interface-endpoints.md)
+ [
# Configurazione e analisi delle vulnerabilità in Amazon Location
](vulnerability-analysis-and-management.md)
+ [
# Prevenzione del problema "confused deputy" tra servizi
](cross-service-confused-deputy-prevention.md)
+ [
# Le migliori pratiche per Amazon Location Service
](best-practices.md)
# Protezione dei dati in Amazon Location Service
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) si applica alla protezione dei dati in Amazon Location Service. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, vedi le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [Modello di responsabilità condivisa AWS e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *Blog sulla sicurezza AWS *.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l'autenticazione a più fattori (MFA) con ogni account.
+ Usa SSL/TLS per comunicare con le risorse. AWS È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con. AWS CloudTrail Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Amazon Location o altro Servizi AWS utilizzando la console, l'API o AWS SDKs. AWS CLI I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando fornisci un URL a un server esterno, ti suggeriamo vivamente di non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta al server.
# Privacy dei dati
Con Amazon Location Service, mantieni il controllo dei dati della tua organizzazione. Amazon Location rende anonime tutte le richieste inviate ai fornitori di dati rimuovendo i metadati dei clienti e le informazioni sull'account.
Amazon Location non utilizza fornitori di dati per il tracciamento e il geofencing. Ciò significa che i tuoi dati sensibili rimangono nel tuo AWS account. Questo aiuta a proteggere le informazioni sensibili sulla posizione, come la struttura, le risorse e l'ubicazione del personale, da terze parti, a proteggere la privacy degli utenti e a ridurre il rischio per la sicurezza dell'applicazione.
Per ulteriori informazioni, consulta le [Domande frequenti sulla privacy AWS dei dati](https://aws.amazon.com/compliance/data-privacy-faq/).
# Conservazione dei dati in Amazon Location
Le seguenti caratteristiche si riferiscono al modo in cui Amazon Location raccoglie e archivia i dati per il servizio:
+ **Localizzatori Amazon Location Service**: quando utilizzi i Tracker APIs per tracciare la posizione delle entità, le loro coordinate possono essere memorizzate. Le posizioni dei dispositivi vengono archiviate per 30 giorni prima di essere eliminate dal servizio.
+ **Amazon Location Service Geofences**: quando utilizzi i Geofences APIs per definire aree di interesse, il servizio memorizza le geometrie fornite. Devono essere eliminati in modo esplicito.
**Nota**
L'eliminazione AWS dell'account comporta l'eliminazione di tutte le risorse al suo interno. Per ulteriori informazioni, consulta le [Domande frequenti sulla privacy AWS dei dati](https://aws.amazon.com/compliance/data-privacy-faq/).
# Crittografia dei dati a riposo per Amazon Location Service
Amazon Location Service fornisce la crittografia di default per proteggere i dati sensibili dei clienti archiviati utilizzando chiavi AWS di crittografia proprietarie.
+ **AWS chiavi di proprietà**: Amazon Location utilizza queste chiavi per impostazione predefinita per crittografare automaticamente i dati di identificazione personale. Non puoi visualizzare, gestire o utilizzare chiavi AWS di proprietà o controllarne l'utilizzo. Tuttavia, non è necessario effettuare alcuna operazione o modificare programmi per proteggere le chiavi che eseguono la crittografia dei dati. Per ulteriori informazioni, consulta la pagina [chiavi di proprietàAWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) nella *Guida per gli sviluppatori di AWS Key Management Service *.
La crittografia predefinita dei dati a riposo aiuta a ridurre il sovraccarico operativo e la complessità associati alla protezione dei dati sensibili. Allo stesso tempo, consente di creare applicazioni sicure che soddisfano i rigorosi requisiti normativi e di conformità alla crittografia.
Sebbene non sia possibile disabilitare questo livello di crittografia o selezionare un tipo di crittografia alternativo, è possibile aggiungere un secondo livello di crittografia rispetto alle chiavi di crittografia esistenti AWS scegliendo una chiave gestita dal cliente quando si creano le risorse di raccolta di tracker e geofence:
+ **Chiavi gestite dal cliente**: Amazon Location supporta l'uso di una chiave simmetrica gestita dal cliente che puoi creare, possedere e gestire per aggiungere un secondo livello di crittografia rispetto alla crittografia di AWS proprietà esistente. Avendo il pieno controllo di questo livello di crittografia, è possibile eseguire operazioni quali:
+ Stabilire e mantenere le policy delle chiavi
+ Stabilire e mantenere le policy e le sovvenzioni IAM
+ Abilitare e disabilitare le policy delle chiavi
+ Ruotare i materiali crittografici delle chiavi
+ Aggiungere tag
+ Creare alias delle chiavi
+ Pianificare l’eliminazione delle chiavi
Per ulteriori informazioni, consulta la [chiave gestita dal cliente nella Guida per](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) gli *AWS Key Management Service sviluppatori*.
La tabella seguente riassume il modo in cui Amazon Location crittografa i dati di identificazione personale.
| Tipo di dati | AWS crittografia a chiave proprietaria | Crittografia con chiavi gestite dal cliente (opzionale) |
| --- | --- | --- |
| PositionUna geometria puntuale contenente [i dettagli sulla posizione del dispositivo](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePosition.html). | Abilitato | Abilitato |
| PositionPropertiesUn insieme di coppie chiave-valore [associate all'aggiornamento della posizione](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePosition.html). | Abilitato | Abilitato |
| GeofenceGeometryUna geometria di [geofence poligonale che rappresenta l'area geofrecintata.](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_GeofenceGeometry.html) | Abilitato | Abilitato |
| DeviceIdL'identificatore del dispositivo specificato durante il [caricamento](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePositionUpdate.html) di un aggiornamento della posizione del dispositivo su una risorsa tracker. | Abilitato | Non supportata |
| GeofenceIdUn identificatore specificato quando si [memorizza una geometria di geofence](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_PutGeofence.html) o un [batch di geofence in una determinata raccolta di](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_BatchPutGeofence.html) geofence. | Abilitato | Non supportata |
**Nota**
Amazon Location abilita automaticamente la crittografia a riposo utilizzando chiavi AWS proprietarie per proteggere gratuitamente i dati di identificazione personale.
Tuttavia, l'utilizzo di una chiave gestita dal cliente comporta dei AWS KMS costi. Per ulteriori informazioni sui prezzi, consulta i [AWS Key Management Service prezzi](https://aws.amazon.com/kms/pricing/).
Per ulteriori informazioni su AWS KMS, consulta [Cos'è AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
## In che modo Amazon Location Service utilizza le sovvenzioni in AWS KMS
Amazon Location richiede una [concessione](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) per utilizzare la tua chiave gestita dal cliente.
Quando crei una [risorsa di tracciamento](https://docs.aws.amazon.com/location/latest/developerguide/trackers.html) o una [raccolta di geofence](https://docs.aws.amazon.com/location/latest/developerguide/geofences.html) crittografata con una chiave gestita dal cliente, Amazon Location crea una concessione per tuo conto inviando una [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)richiesta a. AWS KMS Le sovvenzioni AWS KMS vengono utilizzate per consentire ad Amazon Location di accedere a una chiave KMS in un account cliente.
Amazon Location richiede la concessione dell'utilizzo del codice gestito dal cliente per le seguenti operazioni interne:
+ Invia [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)richieste AWS KMS a per verificare che l'ID della chiave KMS simmetrica gestita dal cliente inserito durante la creazione di un tracker o di una raccolta di geofence sia valido.
+ Invia [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)richieste per generare chiavi dati AWS KMS crittografate dalla chiave gestita dal cliente.
+ Invia le richieste [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) a per AWS KMS decrittografare le chiavi di dati crittografate in modo che possano essere utilizzate per crittografare i dati.
Puoi revocare l'accesso alla concessione o rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento. In tal caso, Amazon Location non sarà in grado di accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, il che influirà sulle operazioni che dipendono da tali dati. Ad esempio, se tenti di [ottenere le posizioni dei dispositivi](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_GetDevicePosition.html) da un tracker crittografato a cui Amazon Location non può accedere, l'operazione restituirà un `AccessDeniedException` errore.
## Creazione di una chiave gestita dal cliente
Puoi creare una chiave simmetrica gestita dal cliente utilizzando Console di gestione AWS, o il. AWS KMS APIs
**Per creare una chiave simmetrica gestita dal cliente**
Segui la procedura riportata in [Creazione di una chiave simmetrica gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) nella *Guida per gli sviluppatori di AWS Key Management Service *.
**Policy della chiave**
Le policy della chiave controllano l’accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, è possibile specificare una policy della chiave. Per ulteriori informazioni, consulta [Gestione dell'accesso alle chiavi gestite dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
Per utilizzare la tua chiave gestita dai clienti con le tue risorse Amazon Location, le seguenti operazioni API devono essere consentite nella politica chiave:
+ `[kms:CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)`: aggiunge una concessione a una chiave gestita dal cliente. Concede l'accesso di controllo a una chiave KMS specificata, che consente l'accesso alle operazioni di [concessione richieste da Amazon](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) Location. Per ulteriori informazioni sull'[utilizzo delle concessioni](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html), consulta la *Guida per gli sviluppatori di AWS Key Management Service *.
Ciò consente ad Amazon Location di effettuare le seguenti operazioni:
+ Chiama `GenerateDataKeyWithoutPlainText` per generare una chiave dati crittografata e archiviarla, poiché la chiave dati non viene utilizzata immediatamente per crittografare.
+ Chiama `Decrypt` per utilizzare la chiave dati crittografata memorizzata per accedere ai dati crittografati.
+ Configurare un principale ritirato per consentire al servizio di `RetireGrant`.
+ `[kms:DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)`: fornisce i dettagli della chiave gestiti dal cliente per consentire ad Amazon Location di convalidare la chiave.
Di seguito sono riportati alcuni esempi di istruzioni di policy che puoi aggiungere per Amazon Location:
```
"Statement" : [
{
"Sid" : "Allow access to principals authorized to use Amazon Location",
"Effect" : "Allow",
"Principal" : {
"AWS" : "*"
},
"Action" : [
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"kms:ViaService" : "geo.region.amazonaws.com",
"kms:CallerAccount" : "111122223333"
}
},
{
"Sid": "Allow access for key administrators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action" : [
"kms:*"
],
"Resource": "arn:aws:kms:region:111122223333:key/key_ID"
},
{
"Sid" : "Allow read-only access to key metadata to the account",
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::111122223333:root"
},
"Action" : [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource" : "*"
}
]
```
Per ulteriori informazioni su come [specificare le autorizzazioni in una policy](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html), consulta la *Guida per gli sviluppatori di AWS Key Management Service *.
Per informazioni sulla [Risoluzione dei problemi delle chiavi di accesso](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam) consulta la *Guida per gli sviluppatori di AWS Key Management Service *.
## Specificare una chiave gestita dal cliente per Amazon Location
È possibile specificare una chiave gestita dal cliente come crittografia di secondo livello per le seguenti risorse:
+ [Crea un localizzatore](start-create-tracker.md)
+ [Inizia a usare Amazon Location Service Geofences](geofence-gs.md)
Quando crei una risorsa, puoi specificare la chiave dati inserendo un **ID KMS**, che Amazon Location utilizza per crittografare i dati personali identificabili memorizzati dalla risorsa.
+ **ID KMS**: un [identificatore chiave per una chiave gestita](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id) dal cliente. AWS KMS Immetti l’ID della chiave, l’ARN della chiave, il nome dell’alias o l’ARN dell’alias.
## Contesto di crittografia di Amazon Location Service
Un [contesto di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) è un set facoltativo di coppie chiave-valore che contengono ulteriori informazioni contestuali sui dati.
AWS KMS utilizza il contesto di crittografia come [dati autenticati aggiuntivi](https://docs.aws.amazon.com/kms/latest/cryptographic-details/crypto-primitives.html) per supportare la crittografia [autenticata](https://docs.aws.amazon.com/kms/latest/cryptographic-details/crypto-primitives.html). Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS associa il contesto di crittografia ai dati crittografati. Per decrittografare i dati, nella richiesta deve essere incluso lo stesso contesto di crittografia.
**Contesto di crittografia di Amazon Location Service**
Amazon Location utilizza lo stesso contesto di crittografia in tutte le operazioni AWS KMS crittografiche, dove la chiave è `aws:geo:arn` e il valore è la [risorsa Amazon Resource Name](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) (ARN).
**Example**
```
"encryptionContext": {
"aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
}
```
**Utilizzo del contesto di crittografia per il monitoraggio**
Quando si utilizza una chiave simmetrica gestita dal cliente per crittografare il tracker o la collezione di recinzioni geografiche virtuali, è possibile utilizzare il contesto di crittografia anche nei record e nei log di controllo per identificare come viene utilizzata la chiave gestita dal cliente. Il contesto di crittografia appare anche nei [log generati da AWS CloudTrail o Amazon CloudWatch Logs](#example-custom-encryption).
**Utilizzo del contesto di crittografia per controllare l'accesso alla chiave gestita dal cliente**
È possibile utilizzare il contesto di crittografia nelle policy delle chiavi e nelle policy IAM come `conditions` per controllare l'accesso alla chiave simmetrica gestita dal cliente. È possibile utilizzare i vincoli del contesto di crittografia in una concessione.
Amazon Location utilizza un vincolo di contesto di crittografia nelle concessioni per controllare l'accesso alla chiave gestita dal cliente nel tuo account o nella tua regione. Il vincolo della concessione richiede che le operazioni consentite dalla concessione utilizzino il contesto di crittografia specificato.
**Example**
Di seguito sono riportati alcuni esempi di istruzioni delle policy della chiave per concedere l’accesso a una chiave gestita dal cliente per un contesto di crittografia specifico. Questa istruzione della policy impone come condizione che le concessioni abbiano un vincolo che specifica il contesto di crittografia.
```
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:tracker/SAMPLE-Tracker"
}
}
}
```
## Monitoraggio delle chiavi di crittografia per Amazon Location Service
Quando utilizzi una chiave gestita AWS KMS dal cliente con le tue risorse Amazon Location Service, puoi utilizzare [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)o [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) per tracciare le richieste a cui Amazon Location invia. AWS KMS
Gli esempi seguenti sono AWS CloudTrail eventi per `CreateGrant` `GenerateDataKeyWithoutPlainText``Decrypt`, e per `DescribeKey` monitorare le operazioni KMS chiamate da Amazon Location per accedere ai dati crittografati dalla chiave gestita dal cliente:
------
#### [ CreateGrant ]
Quando utilizzi una chiave gestita AWS KMS dal cliente per crittografare le tue risorse di raccolta di tracker o geofence, Amazon Location invia una `CreateGrant` richiesta per tuo conto per accedere alla chiave KMS nel tuo account. AWS La concessione creata da Amazon Location è specifica per la risorsa associata alla chiave gestita AWS KMS dal cliente. Inoltre, Amazon Location utilizza l'`RetireGrant`operazione per rimuovere una concessione quando elimini una risorsa.
L’evento di esempio seguente registra l’operazione `CreateGrant`:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "geo.region.amazonaws.com",
"operations": [
"GenerateDataKeyWithoutPlaintext",
"Decrypt",
"DescribeKey"
],
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"granteePrincipal": "geo.region.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
------
#### [ GenerateDataKeyWithoutPlainText ]
Quando abiliti una chiave gestita AWS KMS dal cliente per la tua risorsa di raccolta di tracker o geofence, Amazon Location crea una chiave di tabella univoca. Invia una `GenerateDataKeyWithoutPlainText` richiesta a AWS KMS cui specifica la chiave gestita dal AWS KMS cliente per la risorsa.
L’evento di esempio seguente registra l’operazione `GenerateDataKeyWithoutPlainText`:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
},
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e"
}
```
------
#### [ Decrypt ]
Quando accedi a un tracker crittografato o a una raccolta di geofence, Amazon Location chiama l'`Decrypt`operazione per utilizzare la chiave dati crittografata memorizzata per accedere ai dati crittografati.
L’evento di esempio seguente registra l’operazione `Decrypt`:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:10:51Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "dc129381-1d94-49bd-b522-f56a3482d088"
}
```
------
#### [ DescribeKey ]
Amazon Location utilizza l'`DescribeKey`operazione per verificare se la chiave gestita AWS KMS dal cliente associata alla tua raccolta di tracker o geofence esiste nell'account e nella regione.
L’evento di esempio seguente registra l’operazione `DescribeKey`:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
------
## Ulteriori informazioni
Le seguenti risorse forniscono ulteriori informazioni sulla crittografia dei dati a riposo.
+ Per ulteriori informazioni su [Concetti base di AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html), consulta la *Guida per gli sviluppatori di AWS Key Management Service *.
+ *Per ulteriori informazioni sulle [migliori pratiche di sicurezza per AWS Key Management Service, consulta la Guida per](https://docs.aws.amazon.com/kms/latest/developerguide/kms-security.html) gli AWS Key Management Service sviluppatori.*
# Crittografia dei dati in transito per Amazon Location Service
Amazon Location protegge i dati in transito, mentre viaggiano da e verso il servizio, crittografando automaticamente tutti i dati tra reti utilizzando il protocollo di crittografia Transport Layer Security (TLS) 1.2. Le richieste HTTPS dirette inviate ad Amazon Location Service APIs vengono firmate utilizzando l'[algoritmo AWS Signature Version 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv-create-signed-request.html) per stabilire una connessione sicura.
# Risposta agli incidenti in Amazon Location Service
Per AWS, la sicurezza ha la massima priorità. Come parte del [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) del AWS cloud, AWS gestisce un data center e un'architettura di rete che soddisfano i requisiti delle organizzazioni più sensibili alla sicurezza. In qualità di AWS cliente, condividi la responsabilità di mantenere la sicurezza nel cloud. Ciò significa che puoi controllare la sicurezza che scegli di implementare dagli AWS strumenti e dalle funzionalità a cui hai accesso.
Stabilendo una linea di base di sicurezza che soddisfi gli obiettivi delle applicazioni eseguite nel cloud, l’utente è in grado di rilevare deviazioni a cui è possibile rispondere. Poiché la risposta agli incidenti di sicurezza può essere un argomento complesso, ti invitiamo a consultare le seguenti risorse per comprendere meglio l'impatto che la risposta agli incidenti (IR) e le tue scelte hanno sugli obiettivi aziendali: [AWS Security Incident Response Guide,AWS Security](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) [Best Practices](https://aws.amazon.com/architecture/security-identity-compliance/?cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc) whitepaper e [AWS Cloud Adoption Framework (AWS](https://aws.amazon.com/cloud-adoption-framework/#Security_Perspective)CAF).
# Registrazione e monitoraggio in Amazon Location Service
La registrazione e il monitoraggio sono una parte importante della risposta agli incidenti. Consente di stabilire una linea di base di sicurezza per rilevare le deviazioni su cui indagare e a cui rispondere. Implementando la registrazione e il monitoraggio per Amazon Location Service, puoi mantenere l'affidabilità, la disponibilità e le prestazioni dei tuoi progetti e delle tue risorse.
AWS fornisce diversi strumenti che possono aiutarti a registrare e raccogliere dati per la risposta agli incidenti:
**AWS CloudTrail**
Amazon Location Service si integra con AWS CloudTrail, un servizio che fornisce una registrazione delle azioni intraprese da un utente, ruolo o AWS servizio. Ciò include azioni dalla console di Amazon Location Service e chiamate programmatiche alle operazioni dell'API Amazon Location. Queste registrazioni di azioni sono chiamate eventi. Per ulteriori informazioni, consulta [Registrazione e monitoraggio di Amazon Location Service con AWS CloudTrail](https://docs.aws.amazon.com/location/latest/developerguide/cloudtrail.html).
**Amazon CloudWatch**
Puoi utilizzare Amazon CloudWatch per raccogliere e analizzare i parametri relativi al tuo account Amazon Location Service. Puoi abilitare gli CloudWatch allarmi per avvisarti se una metrica soddisfa determinate condizioni e ha raggiunto una soglia specificata. Quando crei un allarme, CloudWatch invia una notifica a un Amazon Simple Notification Service da te definito. Per ulteriori informazioni, consulta la sezione [Monitoring Amazon Location Service with Amazon CloudWatch](https://docs.aws.amazon.com/location/latest/developerguide/cloudwatch.html).
**AWS Health Pannelli di controllo**
Utilizzando [AWS Health le dashboard](https://status.aws.amazon.com/), puoi verificare lo stato del servizio Amazon Location Service. Puoi anche monitorare e visualizzare i dati storici su eventuali eventi o problemi che potrebbero influire sul tuo AWS ambiente. Per ulteriori informazioni, consulta la [Guida per l'utente AWS Health](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html).
# Convalida della conformità per Amazon Location Service
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta la [Documentazione AWS sulla sicurezza](https://docs.aws.amazon.com/security/).
# Resilienza in Amazon Location Service
L'infrastruttura AWS globale è costruita attorno a Regioni AWS zone di disponibilità. Regioni AWS forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità, puoi progettare e gestire applicazioni e database che eseguono automaticamente il failover tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture a data center singolo o multiplo tradizionali.
[Per ulteriori informazioni sulle zone di disponibilità, vedere Global Regioni AWS Infrastructure.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
Oltre all'infrastruttura AWS globale, Amazon Location offre diverse funzionalità per aiutarti a supportare le tue esigenze di resilienza e backup dei dati.
# Sicurezza dell'infrastruttura in Amazon Location Service
In quanto servizio gestito, Amazon Location Service è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizza chiamate API AWS pubblicate per accedere ad Amazon Location attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
# AWS PrivateLink per Amazon Location
Con AWS PrivateLink for Amazon Location, puoi fornire endpoint *Amazon VPC di interfaccia (endpoint* di interfaccia) nel tuo cloud privato virtuale (Amazon VPC). Questi endpoint sono accessibili direttamente dalle applicazioni locali tramite VPN e/o in un altro modo Regione AWS tramite il peering [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html). Direct Connect Utilizzando AWS PrivateLink e interfacciando gli endpoint, puoi semplificare la connettività di rete privata dalle tue applicazioni ad Amazon Location.
Le applicazioni nel tuo VPC non necessitano di indirizzi IP pubblici per comunicare con gli endpoint VPC dell'interfaccia Amazon Location per le operazioni di Amazon Location. Gli endpoint dell'interfaccia sono rappresentati da una o più interfacce di rete elastiche (ENIs) a cui vengono assegnati indirizzi IP privati dalle sottoreti del tuo Amazon VPC. Le richieste ad Amazon Location tramite gli endpoint di interfaccia rimangono sulla rete Amazon. Puoi anche accedere agli endpoint di interfaccia nel tuo Amazon VPC da applicazioni locali Direct Connect tramite AWS Virtual Private Network o ().Site-to-Site VPN Per maggiori informazioni su come connettere il VPC Amazon alla rete on-premises, consulta la [Guida per l’utente di Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) e la [Guida per l’utente della VPN di AWS Site-to-Site ](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html).
*Per informazioni generali sugli endpoint di interfaccia, consulta [Interface Amazon VPC endpoints AWS PrivateLink(](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)) nella Guida.AWS PrivateLink *
**Topics**
+ [
## Tipi di endpoint Amazon VPC per Amazon Location Service
](#types-of-vpc-endpoints-for-al)
+ [
## Considerazioni sull'utilizzo AWS PrivateLink per Amazon Location Service
](#privatelink-considerations)
+ [
## Crea un endpoint di interfaccia per Amazon Location Service
](#al-creating-vpc)
+ [
## Accedi alle operazioni dell'API Amazon Location dagli endpoint dell'interfaccia Amazon Location
](#accessing-apis-from-interface-endpoints)
+ [
## Aggiorna una configurazione DNS locale
](#updating-on-premises-dns-config)
+ [
## Crea una policy sugli endpoint Amazon VPC per Amazon Location
](#creating-vpc-endpoint-policy)
## Tipi di endpoint Amazon VPC per Amazon Location Service
Puoi utilizzare un tipo di endpoint Amazon VPC per accedere ad Amazon Location Service: *endpoint di interfaccia* (utilizzando). AWS PrivateLink Gli *endpoint di interfaccia* utilizzano indirizzi IP privati per instradare le richieste verso Amazon Location dall'interno del tuo Amazon VPC, in locale o da un Amazon VPC in un altro Regione AWS tramite il peering Amazon VPC. Per ulteriori informazioni, consulta [What is Amazon VPC peering?](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) e [Transit Gateway vs Amazon VPC peering](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/vpc-to-vpc-connectivity.html).
Gli endpoint di interfaccia sono compatibili con gli endpoint gateway. Se si dispone di un endpoint gateway nell’Amazon VPC, è possibile utilizzare entrambi i tipi di endpoint nello stesso Amazon VPC.
Gli endpoint di interfaccia per Amazon Location hanno le seguenti proprietà:
+ Il traffico di rete rimane in rete AWS
+ Usa gli indirizzi IP privati del tuo Amazon VPC per accedere ad Amazon Location Service
+ Consente l'accesso da locale
+ Consente l'accesso da un endpoint Amazon VPC a un altro Regione AWS utilizzando il peering Amazon VPC o AWS Transit Gateway
+ Gli endpoint di interfaccia vengono fatturati
## Considerazioni sull'utilizzo AWS PrivateLink per Amazon Location Service
Le considerazioni relative ad Amazon VPC si applicano ad AWS PrivateLink Amazon Location Service. Per ulteriori informazioni, consulta [Considerazioni di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) e [Quote di AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-limits-endpoints.html) nella *Guida di AWS PrivateLink *. Inoltre, si applicano le limitazioni seguenti:
AWS PrivateLink per Amazon Location Service non supporta quanto segue:
+ Transport Layer Security (TLS) 1.1
+ Servizi del sistema dei nomi di dominio (DNS) privati e ibridi
Endpoint Amazon VPC:
+ Non supportano le operazioni dell'[API Amazon Location Service Maps](https://docs.aws.amazon.com/location/latest/APIReference/API_Operations_Amazon_Location_Service_Maps_V2.html), tra cui: `GetGlyphs``GetSprites`, e `GetStyleDescriptor`
+ Non supporta le richieste interregionali. Assicurati di creare il tuo endpoint nella stessa regione in cui intendi effettuare le chiamate API ad Amazon Location Service.
+ Supporta solo il DNS fornito da Amazon tramite Amazon Route 53. Se desideri utilizzare il tuo DNS, utilizza l'inoltro DNS condizionale. Per ulteriori informazioni, consulta [Set opzioni DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) nella *Guida per l'utente di Amazon VPC*.
+ Deve consentire le connessioni in entrata sulla porta 443 dalla sottorete privata del VPC tramite il gruppo di sicurezza collegato all'endpoint VPC
Puoi inviare fino a 50.000 richieste al secondo per ogni PrivateLink endpoint AWS abilitato.
**Nota**
I timeout di connettività di rete verso gli AWS PrivateLink endpoint non rientrano nell'ambito delle risposte di errore di Amazon Location e devono essere gestiti in modo appropriato dalle applicazioni che si connettono agli endpoint. AWS PrivateLink
## Crea un endpoint di interfaccia per Amazon Location Service
Puoi creare un endpoint di interfaccia per Amazon Location Service utilizzando la console Amazon VPC o AWS Command Line Interface il AWS CLI(). Per ulteriori informazioni, consulta la sezione [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) nella *Guida per l'utente di AWS PrivateLink *.
Esistono sei diversi endpoint VPC, uno per ogni funzionalità offerta da Amazon Location Service.
| Categoria | Endpoint |
| --- | --- |
| Mappe | `com.amazonaws.region.geo.maps` |
| Luoghi | `com.amazonaws.region.geo.places` |
| Percorsi | `com.amazonaws.region.geo.routes` |
| Geofenzioni | `com.amazonaws.region.geo.geofencing` |
| Localizzatori | `com.amazonaws.region.geo.tracking` |
| Metadati | `com.amazonaws.region.geo.metadata` |
**Ad esempio:**
```
com.amazonaws.us-east-2.geo.maps
```
Dopo aver creato l’endpoint, puoi abilitare un nome host DNS privato. Per abilitare, seleziona **Enable Private DNS Name** nella console Amazon VPC quando crei l'endpoint VPC.
Se abiliti il DNS privato per l'endpoint dell'interfaccia, puoi effettuare richieste API al servizio Amazon Location Service utilizzando il nome DNS regionale predefinito. Gli esempi seguenti mostrano il formato predefinito dei nomi DNS regionali.
+ `maps.geo.region.amazonaws.com`
+ `places.geo.region.amazonaws.com`
+ `routes.geo.region.amazonaws.com`
+ `tracking.geo.region.amazonaws.com`
+ `geofencing.geo.region.amazonaws.com`
+ `metadata.geo.region.amazonaws.com`
I nomi DNS precedenti si riferiscono ai IPv4 domini. I seguenti nomi IPV6 DNS possono essere utilizzati anche per gli endpoint di interfaccia.
+ `maps.geo.region.api.aws`
+ `places.geo.region.api.aws`
+ `routes.geo.region.api.aws`
+ `tracking.geo.region.api.aws`
+ `geofencing.geo.region.api.aws`
+ `metadata.geo.region.api.aws`
## Accedi alle operazioni dell'API Amazon Location dagli endpoint dell'interfaccia Amazon Location
Puoi utilizzare [AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/location/)o [AWS SDKs](https://docs.aws.amazon.com/location/latest/developerguide/dev-sdks.html)per accedere alle operazioni dell'API Amazon Location tramite gli endpoint dell'interfaccia Amazon Location.
**Esempio: creazione di un endpoint VPC**
```
aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name location-service-name \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id
```
**Esempio: modifica di un endpoint VPC**
```
aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-endpoint-id \
--policy-document policy-document \ #example optional parameter
--add-security-group-ids security-group-ids \ #example optional parameter
# any additional parameters needed, see PrivateLink documentation for more details
```
## Aggiorna una configurazione DNS locale
Quando utilizzi nomi DNS specifici dell'endpoint per accedere agli endpoint dell'interfaccia per Amazon Location, non devi aggiornare il resolver DNS locale. Puoi risolvere il nome DNS specifico dell'endpoint con l'indirizzo IP privato dell'endpoint di interfaccia dal dominio DNS pubblico di Amazon Location.
Usa gli endpoint di interfaccia per accedere ad Amazon Location senza un endpoint gateway o un gateway Internet in Amazon VPC
Gli endpoint di interfaccia nel tuo Amazon VPC possono instradare sia applicazioni interne ad Amazon VPC che applicazioni locali verso Amazon Location tramite la rete Amazon.
## Crea una policy sugli endpoint Amazon VPC per Amazon Location
Puoi allegare una policy per gli endpoint al tuo endpoint Amazon VPC che controlla l'accesso ad Amazon Location. Questa policy specifica le informazioni riportate di seguito:
+ Il principale AWS Identity and Access Management (IAM) che può eseguire azioni
+ Le azioni che possono essere eseguite
+ Le risorse sui cui si possono eseguire le azioni
**Esempio: esempio** di VPCe politica per l'accesso ad Amazon Location Service Places APIs:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Allow-access-to-location-service-places-opeartions",
"Effect": "Allow",
"Action": [
"geo-places:*",
"geo:*"
],
"Resource": [
"arn:aws:geo-places:us-east-1::provider/default",
"arn:aws:geo:us-east-1:*:place-index/*"
]
}
]
}
```
# Configurazione e analisi delle vulnerabilità in Amazon Location
La configurazione e i controlli IT sono una responsabilità condivisa tra te AWS e te, nostro cliente. Per ulteriori informazioni, consulta il [modello di responsabilità AWS condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/).
# Prevenzione del problema "confused deputy" tra servizi
Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, l'impersonificazione tra servizi può portare al confuso problema del vice. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l’accesso alle risorse dell’account.
Amazon Location Service non funge da servizio di chiamata per conto tuo verso altri AWS servizi, quindi in questo caso non è necessario aggiungere queste protezioni. Per ulteriori informazioni sul deputato confuso, consulta [Il problema del deputato confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) nella *Guida per l'AWS Identity and Access Management utente*.
# Le migliori pratiche per Amazon Location Service
Questo argomento fornisce le best practice per aiutarti a usare Amazon Location Service. Sebbene queste best practice possano aiutarti a sfruttare appieno Amazon Location Service, non rappresentano una soluzione completa. È necessario seguire solo i consigli applicabili al proprio ambiente.
**Topics**
+ [
## Sicurezza
](#security-best-practice)
## Sicurezza
Per aiutare a gestire o addirittura evitare i rischi per la sicurezza, prendi in considerazione le seguenti best practice:
+ Usa la federazione delle identità e i ruoli IAM per gestire, controllare o limitare l'accesso alle tue risorse di Amazon Location. Per ulteriori informazioni, consulta [Best practice IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente di IAM*.
+ Segui il Principio del privilegio minimo per concedere solo l'accesso minimo richiesto alle tue risorse di Amazon Location Service.
+ Per le risorse di Amazon Location Service utilizzate nelle applicazioni Web, limita l'accesso utilizzando una condizione `aws:referer` IAM, limitando l'uso da parte di siti diversi da quelli inclusi nell'elenco consentito.
+ Utilizza strumenti di monitoraggio e registrazione per tenere traccia dell'accesso e dell'utilizzo delle risorse. Per ulteriori informazioni, consulta [Registrazione e monitoraggio in Amazon Location Service](security-logging-and-monitoring.md) e [Logging Data Events for Trails nella Guida per](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html) l' AWS CloudTrail utente.
+ Utilizza connessioni sicure, come quelle iniziali, `https://` per aumentare la sicurezza e proteggere gli utenti dagli attacchi durante la trasmissione dei dati tra il server e il browser.
### Best practice di sicurezza per i Detective per Amazon Location Service
Le seguenti best practice per Amazon Location Service possono aiutare a rilevare incidenti di sicurezza:
**Implementa strumenti AWS di monitoraggio**
Il monitoraggio è fondamentale per la risposta agli incidenti e mantiene l'affidabilità e la sicurezza delle risorse di Amazon Location Service e delle tue soluzioni. Puoi implementare strumenti di monitoraggio tra i diversi strumenti e servizi disponibili AWS per monitorare le tue risorse e gli altri AWS servizi.
Ad esempio, Amazon ti CloudWatch consente di monitorare i parametri per Amazon Location Service e di impostare allarmi per avvisarti se una metrica soddisfa determinate condizioni che hai impostato e ha raggiunto una soglia che hai definito. Quando crei un allarme, puoi impostare l'invio CloudWatch di una notifica di avviso utilizzando Amazon Simple Notification Service. Per ulteriori informazioni, consulta [Registrazione e monitoraggio in Amazon Location Service](security-logging-and-monitoring.md).
**Abilita gli AWS strumenti di registrazione**
La registrazione fornisce una registrazione delle azioni intraprese da un utente, un ruolo o un AWS servizio in Amazon Location Service. Puoi implementare strumenti di registrazione, ad esempio AWS CloudTrail per raccogliere dati sulle azioni volte a rilevare attività insolite delle API.
Quando si crea un percorso, è possibile CloudTrail configurare la registrazione degli eventi. Gli eventi sono registrazioni delle operazioni sulle risorse eseguite su o all'interno di una risorsa, come la richiesta effettuata ad Amazon Location, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata la richiesta e dati aggiuntivi. Per ulteriori informazioni, consulta [Logging Data Events for Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html) nella Guida per l' AWS CloudTrail utente.
### Best practice di sicurezza preventiva per Amazon Location Service
Le seguenti best practice per Amazon Location Service possono aiutare a prevenire incidenti di sicurezza:
**Utilizza connessioni sicure**
Per proteggere le informazioni sensibili in transito, utilizza sempre connessioni crittografate, come quelle che iniziano con `https://`.
**Implementa l'accesso alle risorse con privilegi minimi**
Quando crei politiche personalizzate per le risorse di Amazon Location, concedi solo le autorizzazioni necessarie per eseguire un'attività. È consigliabile iniziare con un set di autorizzazioni minimo e concederne altre aggiuntive quando necessario. L’implementazione dell’accesso con privilegio minimo è fondamentale per ridurre i rischi relativi alla sicurezza e l’impatto risultante da errori o attacchi dannosi. Per ulteriori informazioni, consulta [Usa AWS Identity and Access Management per autenticare](security-iam.md).
**Usa un dispositivo unico a livello globale IDs IDs**
Utilizza le seguenti convenzioni per il dispositivo. IDs
+ Il dispositivo IDs deve essere unico.
+ IDs I dispositivi non devono essere segreti, in quanto possono essere utilizzati come chiavi esterne per altri sistemi.
+ Il dispositivo non IDs deve contenere informazioni di identificazione personale (PII), come dispositivi telefonici o indirizzi e-mail. IDs
+ Il dispositivo IDs non deve essere prevedibile. Si consigliano identificatori opachi come quelli UUIDs .
**Non includete informazioni personali nelle proprietà di posizione del dispositivo**
Quando inviate aggiornamenti del dispositivo (ad esempio, utilizzando [DevicePositionUpdate](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePositionUpdate.html)), non includete informazioni di identificazione personale (PII) come il numero di telefono o l'indirizzo e-mail nel. `PositionProperties`