翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Location Service のセキュリティ
AWS でのクラウドセキュリティは最優先事項です。AWS のユーザーは、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャを利用できます。
セキュリティは、AWS とユーザーの間の責任共有です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)では、これをクラウド の セキュリティおよびクラウド内 の セキュリティと説明しています。
+ **クラウドのセキュリティ** - AWS は、AWS クラウド で AWS のサービスを実行するインフラストラクチャを保護する責任を担います。また、AWS は、ユーザーが安全に使用できるサービスも提供します。[AWS コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)の一環として、サードパーティーの監査が定期的にセキュリティの有効性をテストおよび検証しています。Amazon Location Service に適用するコンプライアンスプログラムの詳細については、[コンプライアンスプログラムによる対象範囲の AWS のサービス](https://aws.amazon.com/compliance/services-in-scope/)を参照してください。
+ **クラウド内のセキュリティ** - ユーザーの責任は、使用する AWS サービスに応じて異なります。また、ユーザーは、データの機密性、会社の要件、適用される法律や規制など、その他の要因についても責任を負います。
このドキュメントは、Amazon Location 使用時における責任共有モデルの適用法を理解するのに役立ちます。以下のトピックでは、セキュリティとコンプライアンスの目標を達成するように Amazon Location を設定する方法について説明します。また、Amazon Location リソースのモニタリングや保護に役立つ他の AWS のサービスの使用方法についても説明します。
**Topics**
+ [Amazon Location Service でのデータ保護](data-protection.md)
+ [Amazon Location Service でのインシデントへの対応](incident-response.md)
+ [Amazon Location Service のコンプライアンス検証](compliance-validation.md)
+ [Amazon Location Service の耐障害性](disaster-recovery-resiliency.md)
+ [Amazon Location Service でのインフラストラクチャセキュリティ](infrastructure-security.md)
+ [AWS PrivateLink Amazon Location の](privatelink-interface-endpoints.md)
+ [Amazon Location での設定と脆弱性の分析](vulnerability-analysis-and-management.md)
+ [サービス間の混乱した代理の防止](cross-service-confused-deputy-prevention.md)
+ [Amazon Location Service のベストプラクティス](best-practices.md)
# Amazon Location Service でのデータ保護
AWS の[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)は、Amazon Location Service でのデータ保護に適用されます。このモデルで説明されているように、「AWS」 は、「AWS クラウド」 のすべてを実行するグローバルインフラストラクチャを保護する責任があります。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「AWS のサービス」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された [AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) のブログ記事を参照してください。
データを保護するため、「AWS アカウント」 認証情報を保護し、「AWS IAM アイデンティティセンター」 または 「AWS Identity and Access Management」 (IAM) を使用して個々のユーザーをセットアップすることをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して 「AWS」 リソースと通信します。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
+ AWS CloudTrail で API とユーザーアクティビティロギングを設定します。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「*AWS CloudTrail ユーザーガイド*」の「[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+ AWS のサービス 内のすべてのデフォルトセキュリティコントロールに加え、AWS 暗号化ソリューションを使用します。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API を使用して 「AWS」 にアクセスする際に FIPS 140-3 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。
お客様の E メールアドレスなどの極秘または機密情報は、タグ、または**名前**フィールドなどの自由形式のテキストフィールドに配置しないことを強くお勧めします。これには、コンソール、API、AWS CLI、または AWS SDK を使用して、Amazon Location または他の AWS のサービス で作業する場合も含まれます。タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。
# データプライバシー
Amazon Location Service を使用すると、組織のデータを引き続き管理できます。Amazon Location は、顧客メタデータとアカウント情報を削除することで、データプロバイダーに送信されるすべてのクエリを匿名化します。
Amazon Location は、追跡やジオフェンシングにデータプロバイダーを使用しません。つまり、機密データは AWS アカウントに残っているということです。これにより、施設、資産、人員の所在地などの機密性の高い位置情報を第三者から保護し、ユーザーのプライバシーを保護し、アプリケーションのセキュリティリスクを軽減できます。
詳細については、「[AWS データプライバシーのよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)」を参照してください。
# Amazon Location でのデータ保持
以下の特性は、Amazon Location がサービスのデータを収集して保存する方法に関係します。
+ **Amazon Location Service Trackers** — Trackers API を使用してエンティティの位置を追跡すると、その座標を保存できます。デバイスの位置情報は、サービスによって削除されるまで 30 日間保存されます。
+ **Amazon Location Service Geofences** — Geofences API を使用して対象地域を定義すると、サービスは指定したジオメトリを保存します。これらは明示的に削除する必要があります。
**注記**
アカウントを削除すると、その AWS アカウント内のリソースがすべて削除されます。詳細については、「[AWS データプライバシーのよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)」を参照してください。
# Amazon Location Service の保管中のデータ暗号化
Amazon Location Service は、デフォルトで暗号化を提供し、 AWS 所有の暗号化キーを使用して保管中の機密データを保護します。
+ **AWS 所有キー** — Amazon Location は、デフォルトでこれらのキーを使用して、個人を特定できるデータを自動的に暗号化します。 AWS 所有キーを表示、管理、使用したり、その使用を監査したりすることはできません。ただし、データを暗号化するキーを保護するためのアクションの実施やプログラムの変更を行う必要はありません。詳細については、AWS Key Management Service デベロッパーガイドの「[AWS 所有キー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)」を参照してください。
保管中のデータをデフォルトで暗号化することで、機密データの保護におけるオーバーヘッドと複雑な作業を減らすのに役立ちます。同時に、セキュリティを重視したアプリケーションを構築することで、暗号化のコンプライアンスと規制の厳格な要件を満たすことができます。
この暗号化レイヤーを無効にしたり、代替の暗号化タイプを選択したりすることはできませんが、トラッカーとジオフェンスコレクションリソースを作成するときにカスタマーマネージドキーを選択することで、既存の AWS 所有の暗号化キーに 2 番目の暗号化レイヤーを追加できます。
+ **カスタマーマネージドキー** — Amazon Location は、作成、所有、管理する対称カスタマーマネージドキーを使用して、既存の AWS 所有暗号化に 2 番目の暗号化レイヤーを追加します。この暗号化層はユーザーが完全に制御できるため、次のようなタスクを実行できます。
+ キーポリシーの策定と維持
+ IAM ポリシーとグラントの策定と維持
+ キーポリシーの有効化と無効化
+ キー暗号化マテリアルのローテーション
+ タグを追加する
+ キーエイリアスの作成
+ キー削除のスケジュール設定
詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[カスタマーマネージドキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)」を参照してください。
次の表は、Amazon Location が個人を特定できるデータをどのように暗号化するかをまとめたものです。
| データ型 | AWS 所有キーの暗号化 | カスタマーマネージドキーの暗号化 (オプション) |
| --- | --- | --- |
| Position[デバイス位置の詳細](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePosition.html) を含むポイントジオメトリ。 | 有効 | 有効 |
| PositionProperties[位置の更新に関連付けられた](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePosition.html)キーと値のペアのセット。 | 有効 | 有効 |
| GeofenceGeometryジオフェンスされたエリアを表すポリゴン[ジオフェンスジオメトリ](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_GeofenceGeometry.html)。 | 有効 | 有効 |
| DeviceIdデバイス位置更新をトラッカーリソースに[アップロードする際に指定されたデバイス識別子](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePositionUpdate.html)。 | 有効 | サポートされていません |
| GeofenceId[ジオフェンスジオメトリ](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_PutGeofence.html)、または特定のジオフェンスコレクション内の[ジオフェンスのバッチ](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_BatchPutGeofence.html)を格納するときに指定される識別子。 | 有効 | サポートされていません |
**注記**
Amazon Location は AWS 、所有キーを使用して保管時の暗号化を自動的に有効にし、個人を特定できるデータを無償で保護します。
ただし、カスタマーマネージドキーの使用には AWS KMS 料金が適用されます。料金の詳細については、「[AWS Key Management Service 料金](https://aws.amazon.com/kms/pricing/)」を参照してください。
詳細については AWS KMS、[「 とは」を参照してください AWS Key Management Service。](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
## Amazon Location Service が で許可を使用する方法 AWS KMS
Amazon AppIntegrations には、カスタマー管理キーを使用するための[グラント](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)が必要です。
カスタマーマネージドキーで暗号化された[トラッカーリソース](https://docs.aws.amazon.com/location/latest/developerguide/trackers.html)または[ジオフェンスコレクション](https://docs.aws.amazon.com/location/latest/developerguide/geofences.html)を作成すると、Amazon Location は [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) リクエストを送信してユーザーに代わって許可を作成します AWS KMS。の許可 AWS KMS は、顧客アカウントの KMS キーへのアクセス権を Amazon Location に付与するために使用されます。
このグラントは、Amazon Location が、以下の内部オペレーションでカスタマーマネージドキーを使用するために必要です。
+ [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) リクエストを に送信 AWS KMS して、トラッカーまたはジオフェンスコレクションの作成時に入力された対称カスタマーマネージド KMS キー ID が有効であることを確認します。
+ [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) リクエストを に送信 AWS KMS して、カスタマーマネージドキーによって暗号化されたデータキーを生成します。
+ [に Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) リクエストを送信 AWS KMS して、暗号化されたデータキーを復号して、データの暗号化に使用できるようにします。
グラントへのアクセスの取り消しや、カスタマーマネージドキーに対するサービスのアクセスの取り消しは、いつでもできます。これを行うと、Amazon Location はカスタマーマネージドキーによって暗号化されたすべてのデータにアクセスできなくなり、そのデータに依存しているオペレーションが影響を受けます。例えば、Amazon Location がアクセスできない暗号化されたトラッカーから [デバイスの位置を取得](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_GetDevicePosition.html) しようとすると、操作によって `AccessDeniedException` エラーが返されます。
## カスタマーマネージドキーを作成する
対称カスタマーマネージドキーは AWS マネジメントコンソール、 または AWS KMS APIs を使用して作成できます。
**対称カスタマーマネージドキーを作成するには**
AWS Key Management Service デベロッパーガイド にある [対称カスタマーマネージドキーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) ステップに従います。
**キーポリシー**
キーポリシーは、カスタマーマネージドキーへのアクセスを制御します。すべてのカスタマーマネージドキーには、キーポリシーが 1 つだけ必要です。このポリシーには、そのキーを使用できるユーザーとその使用方法を決定するステートメントが含まれています。カスタマーマネージドキーを作成する際に、キーポリシーを指定することができます。詳細については、AWS Key Management Service デベロッパーガイドの「[カスタマーマネージドキーへのアクセスの管理](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)」を参照してください。
Amazon Location リソースでカスタマーマネージドキーを使用するには、キーポリシーで次の API オペレーションを許可する必要があります。
+ `[kms:CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)` - カスタマーマネージドキーに許可を追加します。この権限は、指定された KMS キーへのアクセスを制御します。これにより、必要な[グラントオペレーション](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations)に対し Amazon Location がアクセスできるようにします。詳細については、AWS Key Management Service デベロッパーガイド の「[許可の使用](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)」を参照してください。
これにより、Amazon Location で次のことが可能になります。
+ `GenerateDataKeyWithoutPlainText` を呼び出して、暗号化されたデータキーを生成して保存します。データキーは暗号化にすぐには使用されないからです。
+ `Decrypt` を呼び出して、保存された暗号化データキーを使用して暗号化データにアクセスします。
+ 退職するプリンシパルを設定して、`RetireGrant` にサービスがそれを許可するようにします。
+ `[kms:DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)` — カスタマーマネージドキーの詳細を提供し、サービスがキーを検証できるようにします。
Amazon Location に追加できるポリシーステートメントの例を以下に示します。
```
"Statement" : [
{
"Sid" : "Allow access to principals authorized to use Amazon Location",
"Effect" : "Allow",
"Principal" : {
"AWS" : "*"
},
"Action" : [
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"kms:ViaService" : "geo.region.amazonaws.com",
"kms:CallerAccount" : "111122223333"
}
},
{
"Sid": "Allow access for key administrators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action" : [
"kms:*"
],
"Resource": "arn:aws:kms:region:111122223333:key/key_ID"
},
{
"Sid" : "Allow read-only access to key metadata to the account",
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::111122223333:root"
},
"Action" : [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource" : "*"
}
]
```
[ポリシーでの許可の指定](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)に関する詳細については、「*AWS Key Management Service デベロッパーガイド*」を参照してください。
[キーアクセスのトラブルシューティング](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam) については、AWS Key Management Service デベロッパーガイド を参照してください。
## Amazon Location のカスタマーマネージドキーの指定
カスタマーマネージドキーは、以下のリソースの第 2 レイヤー暗号化として指定できます。
+ [トラッカーを作成する](start-create-tracker.md)
+ [Amazon Location Service Geofences の使用を開始する](geofence-gs.md)
リソースを作成する場合、**KMS ID** を入力してデータキーを指定できます。Amazon Location は、リソースに保存されている識別可能な個人データを暗号化するために使用します。
+ **KMS ID** — AWS KMS カスタマーマネージド[キーのキー識別子](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id)。キー ID、キー ARN、エイリアス名、またはエイリアス ARN を入力します。
## Amazon Location Service の暗号化コンテキスト
[暗号化コンテキスト](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)は、データに関する追加のコンテキスト情報が含まれたキーバリューペアのオプションのセットです。
AWS KMS は、追加の[認証済みデータ](https://docs.aws.amazon.com/kms/latest/cryptographic-details/crypto-primitives.html)として暗号化コンテキストを使用して、[認証済み暗号化](https://docs.aws.amazon.com/kms/latest/cryptographic-details/crypto-primitives.html)をサポートします。データを暗号化するリクエストに暗号化コンテキストを含めると、 は暗号化コンテキストを暗号化されたデータに AWS KMS バインドします。データを復号化するには、そのリクエストに (暗号化時と) 同じ暗号化コンテキストを含めます。
**Amazon Location Service の暗号化コンテキスト**
Amazon Location は、すべての AWS KMS 暗号化オペレーションで同じ暗号化コンテキストを使用します。キーは で、`aws:geo:arn`値はリソース [Amazon リソースネーム](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) (ARN) です。
**Example**
```
"encryptionContext": {
"aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
}
```
**モニタリングに暗号化コンテキストを使用する**
対称カスタマーマネージドキーを使用してトラッカーまたはジオフェンスコレクションを暗号化する場合は、監査レコードとログで暗号化コンテキストを使用して、カスタマーマネージドキーがどのように使用されているかを特定することもできます。暗号化コンテキストは、 [AWS CloudTrail または Amazon CloudWatch Logs によって生成されたログ](#example-custom-encryption)にも表示されます。
**暗号化コンテキストを使用してカスタマーマネージドキーへのアクセスを制御する**
対称カスタマーマネージドキー (CMK) へのアクセスを制御するための `conditions` として、キーポリシーと IAM ポリシー内の暗号化コンテキストを使用することができます。グラントに暗号化コンテキストの制約を使用することもできます。
Amazon Location は、権限で暗号化コンテキスト制約を使用して、アカウントまたはリージョン内のカスタマーマネージドキーへのアクセスを制御します。グラントの制約では、指定された暗号化コンテキストの使用をグラントが許可するオペレーションが必要です。
**Example**
次に、特定の暗号化コンテキストのカスタマーマネージドキーへのアクセスを付与するキーポリシーステートメントの例を示します。このポリシーステートメントの条件では、暗号化コンテキストを指定する暗号化コンテキスト制約がグラントに必要です。
```
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:tracker/SAMPLE-Tracker"
}
}
}
```
## Amazon Location Service の暗号化キーを監視する
Amazon Location Service リソースで AWS KMS カスタマーマネージドキーを使用する場合、 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)または [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) を使用して、Amazon Location が送信するリクエストを追跡できます AWS KMS。
次の例は`CreateGrant`、カスタマーマネージドキーによって暗号化されたデータにアクセス`DescribeKey`するために Amazon Location によって呼び出される KMS オペレーションをモニタリングするための `Decrypt`、、、および `GenerateDataKeyWithoutPlainText`の AWS CloudTrail イベントです。
------
#### [ CreateGrant ]
AWS KMS カスタマーマネージドキーを使用してトラッカーまたはジオフェンスコレクションリソースを暗号化すると、Amazon Location はユーザーに代わって AWS アカウントの KMS キーにアクセスする`CreateGrant`リクエストを送信します。Amazon Location が作成する権限は、 AWS KMS カスタマーマネージドキーに関連付けられたリソースに固有のものです。さらに、Amazon Location は、リソースを削除するときに付与を削除する `RetireGrant` オペレーションを使用します。
以下のイベント例では `CreateGrant` オペレーションを記録しています。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "geo.region.amazonaws.com",
"operations": [
"GenerateDataKeyWithoutPlaintext",
"Decrypt",
"DescribeKey"
],
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"granteePrincipal": "geo.region.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
------
#### [ GenerateDataKeyWithoutPlainText ]
トラッカーまたはジオフェンスコレクションリソースの AWS KMS カスタマーマネージドキーを有効にすると、Amazon Location は一意のテーブルキーを作成します。リソースの AWS KMS カスタマーマネージドキー AWS KMS を指定する`GenerateDataKeyWithoutPlainText`リクエストを に送信します。
以下のイベント例では `GenerateDataKeyWithoutPlainText` オペレーションを記録しています。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
},
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e"
}
```
------
#### [ Decrypt ]
暗号化されたトラッカーまたはジオフェンスコレクションにアクセスすると、Amazon Location は `Decrypt` オペレーションを呼び出し、保存されている暗号化されたデータキーを使用して暗号化されたデータにアクセスします。
以下のイベント例では `Decrypt` オペレーションを記録しています。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:10:51Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "dc129381-1d94-49bd-b522-f56a3482d088"
}
```
------
#### [ DescribeKey ]
Amazon Location は `DescribeKey` オペレーションを使用して、トラッカーまたはジオフェンスコレクションに関連付けられている AWS KMS カスタマーマネージドキーがアカウントとリージョンに存在するかどうかを確認します。
以下のイベント例では `DescribeKey` オペレーションを記録しています。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
------
## 詳細情報
次のリソースは、保管時のデータ暗号化についての詳細を説明しています。
+ [AWS Key Management Service 基本概念](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)の詳細については、「*AWS Key Management Service デベロッパーガイド*」を参照してください。
+ [のセキュリティのベストプラクティスの詳細については AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/kms-security.html)、「 *AWS Key Management Service デベロッパーガイド*」を参照してください。
# Amazon Location Service の転送中のデータの暗号化
Amazon Location は、Transport Layer Security (TLS) 1.2 暗号化プロトコルを使用してすべてのネットワーク間データを自動的に暗号化することにより、サービスに出入りする転送中のデータを保護します。Amazon Location Service API に送信される直接 HTTPS リクエストは、[AWS 署名バージョン 4 アルゴリズム](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv-create-signed-request.html) を使用して署名され、安全な接続を確立します。
# Amazon Location Service でのインシデントへの対応
AWSでは、セキュリティが最優先事項です。 AWS クラウド[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)の一環として、 は、セキュリティを最も重視する組織の要件を満たすデータセンターとネットワークアーキテクチャ AWS を管理します。お客様は AWS 、クラウドでセキュリティを維持する責任を共有します。つまり、ユーザーは、アクセスできる AWS ツールや機能から実装するセキュリティを制御できます。
クラウド上で稼働するアプリケーションの目標を満たすセキュリティベースラインを確立することで、対応可能な逸脱を検出できます。セキュリティインシデント対応は複雑なトピックになる可能性があるため、インシデント対応 (IR) と選択が企業目標に与える影響をよりよく理解できるように、セキュリティインシデント対応[AWS ガイド](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html)、[AWS セキュリティベストプラクティス](https://aws.amazon.com/architecture/security-identity-compliance/?cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc)ホワイトペーパー、[AWS クラウド導入フレームワーク (AWS CAF)](https://aws.amazon.com/cloud-adoption-framework/#Security_Perspective) のリソースを確認することをお勧めします。
# Amazon Location Service でのログ記録とモニタリング
ログ記録とモニタリングはインシデントへの対応の重要な部分です。これにより、逸脱を検出するためのセキュリティベースラインを確立し、調査して対応することができます。Amazon Location Service のログ記録とモニタリングを実装することで、プロジェクトとリソースの信頼性、可用性、およびパフォーマンスを維持できます。
AWS には、インシデント対応のためのデータのログ記録と収集に役立つツールがいくつか用意されています。
**AWS CloudTrail**
Amazon Location Service は、ユーザー AWS CloudTrail、ロール、またはサービスによって実行されたアクションを記録する AWS サービスである と統合されます。これには、Amazon Location Service コンソールからのアクションと Amazon Location API オペレーションへのプログラムによる呼び出しが含まれます。これらのアクション記録はイベントと呼ばれます。詳細については、「 [を使用した Amazon Location Service のログ記録とモニタリング AWS CloudTrail](https://docs.aws.amazon.com/location/latest/developerguide/cloudtrail.html)」を参照してください。
**Amazon CloudWatch**
Amazon CloudWatch を使用して Amazon Location Service アカウントに関連するメトリクスをモニタリングし、分析することが可能になりました。CloudWatch アラームを有効にして、メトリックスが特定の条件を満たし、指定されたしきい値に達した場合に通知を受けることができます。アラームを作成すると、CloudWatch は、指定した Amazon Simple Notification Service (Amazon SNS) に通知を送信します。詳細については、[Amazon CloudWatch による Amazon Location Service のモニタリング](https://docs.aws.amazon.com/location/latest/developerguide/cloudwatch.html)を参照してください。
**AWS Health ダッシュボード**
[AWS Health ダッシュボード](https://status.aws.amazon.com/) を使用して、Amazon Location Service ステータスを確認できます。 AWS 環境に影響を与える可能性のあるイベントや問題に関する履歴データをモニタリングして表示することもできます。詳細については、「[AWS Health ユーザーガイド](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html)」を参照してください。
# Amazon Location Service のコンプライアンス検証
AWS のサービス が特定のコンプライアンスプログラムの対象であるかどうかを確認するには、「[コンプライアンスプログラムによる対象範囲内の AWS のサービス](https://aws.amazon.com/compliance/services-in-scope/)」をご覧いただき、関心のあるコンプライアンスプログラムを選択してください。一般的な情報については、「[AWSコンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)」を参照してください。
AWS Artifact を使用して、サードパーティーの監査レポートをダウンロードできます。詳細については、「[AWS Artifact でレポートをダウンロードする](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)」を参照してください。
AWS のサービス を使用する際のお客様のコンプライアンス責任は、お客様のデータの機密性や貴社のコンプライアンス目的、適用可能な法律および規制によって決定されます。AWS のサービスを使用する際のコンプライアンス責任の詳細については、「[AWS セキュリティドキュメント](https://docs.aws.amazon.com/security/)」を参照してください。
# Amazon Location Service の耐障害性
AWS グローバルインフラストラクチャは AWS リージョンおよびアベイラビリティーゾーンを中心に構築されています。AWS リージョンは、低レイテンシー、高スループット、そして高度な冗長ネットワークで接続される物理的に独立、隔離された複数のアベイラビリティーゾーンを提供します。アベイラビリティーゾーンを使用すると、中断することなくゾーン間で自動的にフェイルオーバーするアプリケーションとデータベースを設計および運用できます。アベイラビリティーゾーンは、従来の単一または複数のデータセンターインフラストラクチャよりも可用性が高く、フォールトトレラントで、スケーラブルです。
AWS リージョンとアベイラビリティーゾーンの詳細については、「[AWS グローバルインフラストラクチャ](https://aws.amazon.com/about-aws/global-infrastructure/)」を参照してください。
Amazon Location では、AWS グローバルインフラストラクチャに加えて、データの耐障害性とバックアップのニーズに対応できるように複数の機能を提供しています。
# Amazon Location Service でのインフラストラクチャセキュリティ
Amazon Location Service はマネージドサービスとして、AWS グローバルネットワークセキュリティによって保護されています。AWS セキュリティサービスと AWS がインフラストラクチャを保護する方法については「[AWS クラウドセキュリティ](https://aws.amazon.com/security/)」を参照してください。インフラストラクチャセキュリティのベストプラクティスを使用して AWS 環境を設計するには「*セキュリティの柱 - AWS 適切なアーキテクチャを備えたフレームワーク*」の「[インフラストラクチャの保護](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)」を参照してください。
ネットワーク経由で Amazon Location にアクセスするには、AWS が発行した API コールを使用します。クライアントは以下をサポートする必要があります。
+ Transport Layer Security (TLS)。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
+ DHE (楕円ディフィー・ヘルマン鍵共有) や ECDHE (楕円曲線ディフィー・ヘルマン鍵共有) などの完全前方秘匿性 (PFS) による暗号スイート。これらのモードは Java 7 以降など、ほとんどの最新システムでサポートされています。
# AWS PrivateLink Amazon Location の
AWS PrivateLink for Amazon Location を使用すると、仮想プライベートクラウド (*Amazon VPC*) でインターフェイス Amazon VPC エンドポイント (インターフェイスエンドポイント) をプロビジョニングできます。これらのエンドポイントは、VPN および 経由でオンプレミスのアプリケーション、 Direct Connectまたは [Amazon VPC ピアリング](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) AWS リージョン 経由で別の にあるアプリケーションから直接アクセスできます。 AWS PrivateLink とインターフェイスエンドポイントを使用すると、アプリケーションから Amazon Location へのプライベートネットワーク接続を簡素化できます。
VPC 内のアプリケーションは、パブリック IP アドレスがなくても、Amazon Location インターフェイス VPC エンドポイントと通信して、Amazon Location の操作を実行できます。インターフェイスエンドポイントは、Amazon VPC 内のサブネットからプライベート IP アドレスが割り当てられた 1 つ以上の Elastic Network Interface (ENI) で表されます。インターフェイスエンドポイントを介した Amazon Location へのリクエストは、Amazon ネットワークに残ります。Amazon VPC のインターフェイスエンドポイントには、オンプレミスアプリケーションから Direct Connect または AWS Virtual Private Network () を介してアクセスすることもできますSite-to-Site VPN。Amazon VPC をオンプレミスネットワークに接続する方法の詳細については、「[Direct Connect ユーザーガイド](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)」および「[AWS Site-to-Site VPN ユーザーガイド](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)」を参照してください。
インターフェイスエンドポイントの一般的な情報については、「AWS PrivateLink ガイド」**の[インターフェイス Amazon VPC エンドポイント (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) に関するセクションを参照してください。
**Topics**
+ [Amazon Location Service の Amazon VPC エンドポイントのタイプ](#types-of-vpc-endpoints-for-al)
+ [for Amazon Location Service を使用する際 AWS PrivateLink の考慮事項](#privatelink-considerations)
+ [Amazon Location Service のインターフェイスエンドポイントを作成する](#al-creating-vpc)
+ [Amazon Location インターフェイスエンドポイントから Amazon Location API オペレーションにアクセスする](#accessing-apis-from-interface-endpoints)
+ [オンプレミスの DNS 設定を更新する](#updating-on-premises-dns-config)
+ [Amazon Location の Amazon VPC エンドポイントポリシーを作成する](#creating-vpc-endpoint-policy)
## Amazon Location Service の Amazon VPC エンドポイントのタイプ
Amazon Location Service にアクセスするには、インターフェイスエンドポイント ( を使用) の 1 つのタイプの Amazon VPC *エンドポイント*を使用できます AWS PrivateLink。*インターフェイスエンドポイント*は、プライベート IP アドレスを使用し、Amazon VPC ピアリングを使用することにより、Amazon VPC 内、オンプレミス、または別の AWS リージョン にある Amazon VPC から Amazon Location にリクエストをルーティングします。詳細については、「[VPC ピア機能とは](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)」および「[Transit Gateway と VPC ピアリング](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/vpc-to-vpc-connectivity.html)」を参照してください。
インターフェイスエンドポイントは、ゲートウェイエンドポイントと互換性があります。Amazon VPC 内に既存のゲートウェイエンドポイントがある場合は、同じ Amazon VPC で両方のタイプのエンドポイントを使用できます。
Amazon Location のインターフェイスエンドポイントには、次のプロパティがあります。
+ ネットワークトラフィックは AWS ネットワークに残ります。
+ Amazon VPC のプライベート IP アドレスを使用して Amazon Location Service にアクセスする
+ オンプレミスからのアクセスを許可します
+ Amazon VPC ピアリングまたは AWS リージョン を使用して、別の の Amazon VPC エンドポイントからのアクセスを許可する AWS Transit Gateway
+ インターフェイスエンドポイントは課金される
## for Amazon Location Service を使用する際 AWS PrivateLink の考慮事項
Amazon VPC に関する考慮事項は、 AWS PrivateLink for Amazon Location Service に適用されます。詳細については、*AWS PrivateLink ガイド*の「[インターフェイスエンドポイントの考慮事項](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)」と「[AWS PrivateLink クォータ](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-limits-endpoints.html)」を参照してください。また、以下の制約も適用されます。
AWS PrivateLink for Amazon Location Service は以下をサポートしていません。
+ Transport Layer Security (TLS) 1.1
+ プライベートおよびハイブリッドドメインネームシステム (DNS) サービス
Amazon VPC エンドポイント
+ `GetGlyphs`、`GetSprites`、`GetStyleDescriptor` などの [Amazon Location Service Maps API](https://docs.aws.amazon.com/location/latest/APIReference/API_Operations_Amazon_Location_Service_Maps_V2.html) オペレーションをサポートしていません。
+ クロスリージョンリクエストをサポートしていません。Amazon Location Service に対して API コールを発行するリージョンと同じリージョンにエンドポイントを作成してください。
+ Amazon Route 53 を介して Amazon 提供の DNS のみをサポートしています。独自の DNS を使用する場合は、条件付き DNS 転送を使用します。詳細については、*Amazon VPC ユーザーガイド* の [DHCP Options Sets](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) を参照してください。
+ VPC エンドポイントにアタッチされたセキュリティグループを介して VPC のプライベートサブネットからポート 443 で着信接続を許可する必要があります。
有効にする AWS PrivateLink エンドポイントごとに、1 秒あたり最大 5 万件のリクエストを送信できます。
**注記**
AWS PrivateLink エンドポイントへのネットワーク接続タイムアウトは Amazon Location エラーレスポンスの範囲内にないため、 AWS PrivateLink エンドポイントに接続するアプリケーションで適切に処理する必要があります。
## Amazon Location Service のインターフェイスエンドポイントを作成する
Amazon VPC コンソールまたは AWS Command Line Interface (AWS CLI) を使用して、Amazon Location Service のインターフェイスエンドポイントを作成できます。詳細については、「*AWS PrivateLink ガイド*」の「[インターフェイスエンドポイントを作成](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)」を参照してください。
Amazon Location Service が提供する機能ごとに 1 つずつ、6 つの異なる VPC エンドポイントがあります。
| Category | Endpoint |
| --- | --- |
| マップ | `com.amazonaws.region.geo.maps` |
| 場所 | `com.amazonaws.region.geo.places` |
| ルート | `com.amazonaws.region.geo.routes` |
| ジオフェンス | `com.amazonaws.region.geo.geofencing` |
| トラッカー | `com.amazonaws.region.geo.tracking` |
| メタデータ | `com.amazonaws.region.geo.metadata` |
**例: **
```
com.amazonaws.us-east-2.geo.maps
```
エンドポイントを作成後に、プライベート DNS ホスト名を有効にするオプションがあります。有効にするには、VPC エンドポイントの作成時に Amazon VPC コンソールで **[プライベート DNS 名を有効にする]** を選択します。
インターフェイスエンドポイントのプライベート DNS を有効にすると、リージョンのデフォルト DNS 名を使用して、Amazon Location Service への API リクエストを実行できます。次の例は、デフォルトのリージョン DNS 名の形式を示しています。
+ `maps.geo.region.amazonaws.com`
+ `places.geo.region.amazonaws.com`
+ `routes.geo.region.amazonaws.com`
+ `tracking.geo.region.amazonaws.com`
+ `geofencing.geo.region.amazonaws.com`
+ `metadata.geo.region.amazonaws.com`
以前の DNS 名は IPv4 ドメイン用です。インターフェイスエンドポイントには、次の IPV6 DNS 名も使用できます。
+ `maps.geo.region.api.aws`
+ `places.geo.region.api.aws`
+ `routes.geo.region.api.aws`
+ `tracking.geo.region.api.aws`
+ `geofencing.geo.region.api.aws`
+ `metadata.geo.region.api.aws`
## Amazon Location インターフェイスエンドポイントから Amazon Location API オペレーションにアクセスする
[AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/location/) または [AWS SDK](https://docs.aws.amazon.com/location/latest/developerguide/dev-sdks.html) を使用し、Amazon Location インターフェイスエンドポイントを介して Amazon Location API オペレーションにアクセスできます。
**例: VPC エンドポイントの作成**
```
aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name location-service-name \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id
```
**例: VPC エンドポイントの変更**
```
aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-endpoint-id \
--policy-document policy-document \ #example optional parameter
--add-security-group-ids security-group-ids \ #example optional parameter
# any additional parameters needed, see PrivateLink documentation for more details
```
## オンプレミスの DNS 設定を更新する
エンドポイント固有の DNS 名を使用して Amazon Location のインターフェイスエンドポイントにアクセスする場合、オンプレミス DNS リゾルバーを更新する必要はありません。パブリック Amazon Location DNS ドメインからのインターフェイスエンドポイントのプライベート IP アドレスを使用して、エンドポイント固有の DNS 名を解決できます。
Amazon Location にアクセスするためのインターフェイスエンドポイントの使用 (Amazon VPC 内のゲートウェイエンドポイントまたはインターネットゲートウェイの使用なし)
Amazon VPC 内のインターフェイスエンドポイントは、Amazon VPC 内のアプリケーションとオンプレミスアプリケーションの両方を Amazon ネットワーク経由で Amazon Location にルーティングできます。
## Amazon Location の Amazon VPC エンドポイントポリシーを作成する
Amazon VPC エンドポイントに Amazon Location へのアクセスをコントロールするエンドポイントポリシーをアタッチできます。このポリシーでは、以下の情報を指定します。
+ アクションを実行できる AWS Identity and Access Management (IAM) プリンシパル
+ 実行可能なアクション
+ アクションを実行できるリソース
**例:** Amazon Location Service Places API にアクセスするための VPCe ポリシーの例:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Allow-access-to-location-service-places-opeartions",
"Effect": "Allow",
"Action": [
"geo-places:*",
"geo:*"
],
"Resource": [
"arn:aws:geo-places:us-east-1::provider/default",
"arn:aws:geo:us-east-1:*:place-index/*"
]
}
]
}
```
# Amazon Location での設定と脆弱性の分析
設定と IT コントロールは、 AWS とお客様の間の責任共有です。詳細については、 AWS [「 責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)」を参照してください。
# サービス間の混乱した代理の防止
混乱した代理問題とは、アクションを実行する許可を持たないエンティティが、より高い特権を持つエンティティにそのアクションの実行を強制できるというセキュリティ問題です。では AWS、サービス間のなりすましにより、混乱した代理問題が発生する可能性があります。サービス間でのなりすましは、1 つのサービス (*呼び出し元サービス*) が、別のサービス (*呼び出し対象サービス*) を呼び出すときに発生する可能性があります。呼び出し元サービスは、本来ならアクセスすることが許可されるべきではない方法でその許可を使用して、別のお客様のリソースに対する処理を実行するように操作される場合があります。これを防ぐため、 AWS では、アカウントのリソースへのアクセス権が付与されたサービスプリンシパルで、すべてのサービスのデータを保護するために役立つツールを提供しています。
Amazon Location Service は、ユーザーに代わって他の のサービスへの呼び出し AWS サービスとして機能しないため、この場合はこれらの保護を追加する必要はありません。混乱した代理について詳しくは、「*AWS Identity and Access Management ユーザーガイド*」の「[混乱した代理問題](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)」を参照してください。
# Amazon Location Service のベストプラクティス
このトピックでは、Amazon Location Service を使用するために、ベストプラクティスについて説明します。これらのベストプラクティスは Amazon Location Service 最大限に活用するのに役立ちますが、完全なソリューションではありません。ご使用の環境に該当するレコメンデーションのみに従うようにしてください。
**Topics**
+ [セキュリティ](#security-best-practice)
## セキュリティ
セキュリティリスクを管理または回避するには、次のベストプラクティスを検討してください。
+ ID フェデレーションと IAM ロールを使用して、Amazon Location リソースへのアクセスを管理、制御、制限します。詳細については、「*IAM ユーザーガイド*」の「[IAM のベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」を参照してください。
+ 最小特権の原則に従い、Amazon Location Service リソースへの必要最小限のアクセス権限のみを付与してください。
+ ウェブアプリケーションで使用される Amazon Location Service リソースについては、`aws:referer` IAM 条件を使用してアクセスを制限し、許可リストに含まれているサイト以外のサイトによる使用を制限します。
+ モニタリングおよびログ記録ツールを使用して、リソースのアクセスと使用状況を追跡します。詳細については、「 AWS CloudTrail ユーザーガイド」の[Amazon Location Service でのログ記録とモニタリング](security-logging-and-monitoring.md)「」および[「証跡のデータイベントのログ記録](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html)」を参照してください。
+ `https://` で始まる安全な接続を使用してセキュリティを強化し、サーバーとブラウザの間でデータが送信されている間の攻撃からユーザーを保護します。
### Amazon Location Service の探知用セキュリティのベストプラクティス
以下は、セキュリティ問題の検出に役立つ Amazon Location Service でのベストプラクティスです。
** AWS モニタリングツールを実装する**
モニタリングはインシデントへの対応に不可欠であり、Amazon Location Service のリソースとソリューションの信頼性とセキュリティを維持します。で利用可能ないくつかのツールやサービスからモニタリングツールを実装 AWS して、 リソースやその他の AWS サービスをモニタリングできます。
例えば、Amazon CloudWatch では Amazon Location Service のメトリックスをモニタリングできます。また、メトリックスが設定した特定の条件を満たし、定義したしきい値に達した場合に通知するアラームを設定できます。アラームを作成すると、Amazon Simple Notification Service を使用してアラートに通知を送信するように CloudWatch を設定できます。詳細については、「[Amazon Location Service でのログ記録とモニタリング](security-logging-and-monitoring.md)」を参照してください。
** AWS ログ記録ツールを有効にする**
ログ記録は、Amazon Location Service のユーザー、ロール、または AWS のサービスによって実行されたアクションの記録を提供します。などのログ記録ツールを実装 AWS CloudTrail して、異常な API アクティビティを検出するためのアクションに関するデータを収集できます。
証跡を作成する際に、ログイベントをログ記録するように CloudTrail を設定できます。イベントは、Amazon Location に対するリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などのリソースオペレーションの記録で、その他のデータが含まれます。詳細については、「 AWS CloudTrail ユーザーガイド」の[「証跡のデータイベントのログ記録](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html)」を参照してください。
### Amazon Location Service の予防的セキュリティベストプラクティス
以下は、セキュリティ問題の防止に役立つ Amazon Location Service でのベストプラクティスです。
**安全な接続を使用**
`https://` で始まる接続など、転送時に機密情報を安全に保つには、常に暗号化された接続を使用してください。
**リソースへの最小特権アクセスの実装**
Amazon Location リソースにカスタムポリシーを作成する場合は、タスクの実行に必要なアクセス許可のみを付与します。最小限の許可セットから開始し、必要に応じて追加許可を付与することをお勧めします。最小特権アクセスの実装は、エラーや悪意のある攻撃から生じる可能性のあるリスクと影響を軽減するために不可欠です。詳細については、「[を使用して認証 AWS Identity and Access Management する](security-iam.md)」を参照してください。
**グローバルにユニークな ID をデバイス ID として使用**
デバイス ID には以下の規則を使用してください。
+ デバイス ID は一意であることが必要です。
+ デバイス ID は他のシステムの外部キーとして使用される可能性があるため、秘密にしないでください。
+ デバイス ID には、電話デバイス ID やメールアドレスなどの個人を特定できる情報 (PII) を含めないでください。
+ デバイス ID は予測可能であってはなりません。UUID のような不透明な識別子が推奨されます。
**デバイスの位置プロパティには PII を含めないでください**
デバイスの更新情報を送信する場合 (例えば [DevicePositionUpdate](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePositionUpdate.html) を使用)、電話番号やメールアドレスなどの個人を特定できる情報 (PII) を `PositionProperties` に含めないでください。