As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança no Amazon Location Service
A segurança da nuvem na AWS é a nossa maior prioridade. Como cliente da AWS, você se beneficiará de data centers e arquiteturas de rede criados para atender aos requisitos das empresas com as maiores exigências de segurança.
A segurança é uma responsabilidade compartilhada entre a AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso como segurança *da* nuvem e segurança *na* nuvem:
+ **Segurança da nuvem:** a AWS é responsável pela proteção da infraestrutura que executa os serviços da AWS na Nuvem AWS. A AWS também fornece serviços que podem ser usados com segurança. Auditores de terceiros testam e verificam regularmente a eficácia da nossa segurança como parte dos [Programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/). Para saber mais sobre os programas de conformidade que se aplicam ao Amazon Location Service, consulte [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/) (Serviços em escopo programa de conformidade) (Serviços em escopo programa de conformidade).
+ **Segurança na nuvem**: sua responsabilidade é determinada pelo serviço da AWS que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da empresa e as leis e regulamentos aplicáveis.
Esta documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar o Amazon Location. Os tópicos a seguir mostram como configurar o Amazon Location para atender aos seus objetivos de segurança e conformidade. Você também aprenderá como usar outros serviços da AWS que ajudam você a monitorar e proteger os recursos do Amazon Location.
**Topics**
+ [Proteção de dados no Amazon Location Service](data-protection.md)
+ [Resposta a incidentes no Amazon Location Service](incident-response.md)
+ [Validação de compatibilidade do Amazon Location Service](compliance-validation.md)
+ [Resiliência no Amazon Location Service](disaster-recovery-resiliency.md)
+ [Segurança da infraestrutura no Amazon Location Service](infrastructure-security.md)
+ [AWS PrivateLink para Amazon Location](privatelink-interface-endpoints.md)
+ [Análise de configuração e vulnerabilidade no Amazon Location](vulnerability-analysis-and-management.md)
+ [Prevenção contra o ataque do “substituto confuso” em todos os serviços](cross-service-confused-deputy-prevention.md)
+ [Práticas recomendadas do Amazon Location Service](best-practices.md)
# Proteção de dados no Amazon Location Service
O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) da AWS se aplica à proteção de dados no Amazon Location Service. Conforme descrito nesse modelo, a AWS é responsável por proteger a infraestrutura global que executa toda a Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para obter mais informações sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para obter mais informações sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS*.
Para fins de proteção de dados, recomendamos que você proteja as credenciais da Conta da AWS e configure as contas de usuário individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com os recursos da AWS. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure os logs de API e atividade do usuário com AWS CloudTrail. Para obter informações sobre como usar as trilhas do CloudTrail para capturar atividades da AWS, consulte [Working with CloudTrail trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia do usuário do AWS CloudTrail*.
+ Use as soluções de criptografia AWS, juntamente com todos os controles de segurança padrão em Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sensíveis armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar a AWS por meio de uma interface de linha de comandos ou de uma API, use um endpoint do FIPS. Para obter mais informações sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sigilosas, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso também vale para o uso do Amazon Location ou de outros Serviços da AWS com o console, a API, AWS CLI ou SDKs da AWS. Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
# Privacidade de dados
Com o Amazon Location Service, você retém o controle dos dados da sua organização. O Amazon Location torna anônimas todas as consultas enviadas aos provedores de dados, removendo metadados do cliente e informações da conta.
O Amazon Location não usa provedores de dados para rastreamento e delimitação geográfica. Isso significa que seus dados confidenciais permanecem na sua conta da AWS. Isto ajuda a proteger informações confidenciais de localização, como localização de instalações, ativos e funcionários, de terceiros, protege a privacidade do usuário e reduz o risco de segurança do seu aplicativo.
Para obter informações adicionais, consulte as [Perguntas frequentes sobre privacidade de dados na AWS](https://aws.amazon.com/compliance/data-privacy-faq/).
# Retenção de dados no Amazon Location
As seguintes características estão relacionadas à forma como o Amazon Location coleta e armazena dados para o serviço:
+ **Rastreadores Amazon Location Service**: quando você usa as APIs dos Rastreadores para rastrear a localização de entidades, as coordenadas delas podem ser armazenadas. As localizações dos dispositivos são armazenadas por 30 dias antes de serem apagadas pelo serviço.
+ **Geocercas do Amazon Location Service**: quando você usa as APIs de Geocercas para definir áreas de interesse, o serviço armazena as geometrias que você forneceu. Elas devem ser excluídas explicitamente.
**nota**
Excluir sua conta da AWS exclui todos os recursos nela. Para obter informações adicionais, consulte as [Perguntas frequentes sobre privacidade de dados na AWS](https://aws.amazon.com/compliance/data-privacy-faq/).
# Criptografia de dados em repouso para o Amazon Location Service
O Amazon Location Service fornece criptografia por padrão para proteger dados confidenciais de clientes em repouso usando chaves de criptografia AWS próprias.
+ **AWS chaves próprias** — A Amazon Location usa essas chaves por padrão para criptografar automaticamente dados de identificação pessoal. Você não pode visualizar, gerenciar ou usar chaves AWS próprias nem auditar seu uso. No entanto, não é necessário tomar nenhuma medida nem alterar qualquer programa para proteger as chaves que criptografam seus dados. Para obter mais informações, consulte [chaves de propriedade da AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) no *Guia do desenvolvedor do AWS Key Management Service *.
A criptografia de dados em repouso por padrão reduz a sobrecarga operacional e a complexidade envolvidas na proteção de dados confidenciais. Ao mesmo tempo, ela permite que você crie aplicações seguras que atendam aos rigorosos requisitos regulatórios e de conformidade de criptografia.
Embora você não possa desativar essa camada de criptografia ou selecionar um tipo de criptografia alternativo, você pode adicionar uma segunda camada de criptografia sobre as chaves de criptografia de AWS propriedade existentes escolhendo uma chave gerenciada pelo cliente ao criar seus recursos de rastreamento e coleta de cerca geográfica:
+ **Chaves gerenciadas pelo cliente** — O Amazon Location suporta o uso de uma chave simétrica gerenciada pelo cliente que você cria, possui e gerencia para adicionar uma segunda camada de criptografia sobre a criptografia existente AWS . Como você tem controle total dessa camada de criptografia, você pode realizar tarefas como:
+ Estabelecer e manter as políticas de chave
+ Estabelecer e manter subsídios e IAM policies
+ Habilitar e desabilitar políticas de chaves
+ Alternar os materiais de criptografia de chave
+ Adicionar etiquetas
+ Criar réplicas de chaves
+ Programar chaves para exclusão
Para obter mais informações, consulte [chave gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) no *Guia do desenvolvedor do AWS Key Management Service *.
A tabela abaixo resume como o Amazon Location criptografa os dados de identificação pessoal.
| Tipo de dados | AWS criptografia de chave própria | Criptografia de chave gerenciada pelo cliente (opcional) |
| --- | --- | --- |
| PositionUma geometria de pontos contendo [os detalhes da posição do dispositivo](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePosition.html). | Habilitado | Habilitado |
| PositionPropertiesUm conjunto de pares de chave-valor [associados à atualização da posição](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePosition.html). | Habilitado | Habilitado |
| GeofenceGeometryUma [geometria de geocerca](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_GeofenceGeometry.html) poligonal representando a área geocercada. | Habilitado | Habilitado |
| DeviceIdIdentificador do dispositivo especificado ao [fazer o upload de uma atualização da posição do dispositivo](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePositionUpdate.html) para um recurso do rastreador. | Habilitado | Não compatível |
| GeofenceIdUm identificador especificado ao [armazenar uma geometria de geocercas ](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_PutGeofence.html) ou um [lote de geocercas](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_BatchPutGeofence.html) em uma determinada coleção de geocercas. | Habilitado | Não compatível |
**nota**
O Amazon Location habilita automaticamente a criptografia em repouso usando chaves AWS próprias para proteger dados de identificação pessoal sem nenhum custo.
No entanto, AWS KMS cobranças são cobradas pelo uso de uma chave gerenciada pelo cliente. Para obter mais informações sobre preços, consulte [definição de preços da AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
Para obter mais informações sobre AWS KMS, consulte [O que é AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
## Como o Amazon Location Service usa subsídios em AWS KMS
O Amazon Location exige uma [concessão](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) para usar sua chave gerenciada pelo cliente.
Quando você cria um [recurso de rastreamento](https://docs.aws.amazon.com/location/latest/developerguide/trackers.html) ou uma [coleção de cercas geográficas](https://docs.aws.amazon.com/location/latest/developerguide/geofences.html) criptografada com uma chave gerenciada pelo cliente, a Amazon Location cria uma concessão em seu nome enviando uma [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)solicitação para. AWS KMS As concessões AWS KMS são usadas para dar à Amazon Location acesso a uma chave KMS em uma conta de cliente.
O Amazon Location exige a concessão para usar sua chave gerenciada pelo cliente para as seguintes operações internas:
+ Envie [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)solicitações para verificar se AWS KMS a ID simétrica da chave KMS gerenciada pelo cliente inserida ao criar um rastreador ou uma coleção de cercas geográficas é válida.
+ Envie [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)solicitações AWS KMS para gerar chaves de dados criptografadas pela chave gerenciada pelo cliente.
+ Envie solicitações de [descriptografia para AWS KMS descriptografar](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) as chaves de dados criptografadas para que elas possam ser usadas para criptografar seus dados.
É possível revogar o acesso à concessão, ou remover o acesso do serviço à chave gerenciada pelo cliente a qualquer momento. Se você fizer isso, o Amazon Location não poderá acessar nenhum dos dados criptografados com a chave gerenciada pelo cliente, o que afetará as operações que dependerem desses dados. Por exemplo, se você tentar [obter as posições de dispositivos](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_GetDevicePosition.html) a partir de um rastreador criptografado que o Amazon Location não pode acessar, a operação retornará um erro `AccessDeniedException`.
## Criar uma chave gerenciada pelo cliente
Você pode criar uma chave simétrica gerenciada pelo cliente usando o Console de gerenciamento da AWS, ou o. AWS KMS APIs
**Para criar uma chave simétrica gerenciada pelo cliente**
Siga as etapas de [Criar uma chave simétrica gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) no *Guia do desenvolvedor do AWS Key Management Service *.
**Política de chave**
As políticas de chaves controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar a chave gerenciada pelo cliente, você pode especificar uma política de chaves. Para obter mais informações, consulte [Managing access to customer managed keys](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) (Administrando o acesso a chaves gerenciadas pelo cliente) no *Guia do desenvolvedor do AWS Key Management Service *.
Para usar a chave gerenciada pelo cliente com os seus recursos do Amazon Location, as seguintes operações da API deverão ser permitidas na política de chave:
+ `[kms:CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)`: Adiciona uma concessão a uma chave gerenciada pelo cliente. Concede acesso de controle a uma chave KMS especificada, que permite o acesso às [operações de concessão](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) exigidas pelo Amazon Location. Para obter mais informações sobre [Utilizar concessões](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html), consulte o *Guia do desenvolvedor do AWS Key Management Service *.
Com isso, o Amazon Location pode:
+ Ligar para `GenerateDataKeyWithoutPlainText` para gerar uma chave de dados criptografada e armazená-la, porque a chave de dados não é usada imediatamente para criptografar.
+ Ligar para `Decrypt` para usar a chave de dados criptografada armazenada para acessar os dados criptografados.
+ Definir uma entidade principal de retirada para permitir o serviço a `RetireGrant`.
+ `[kms:DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)`: Fornecer os principais detalhes gerenciados pelo cliente para permitir que o Amazon Location valide a chave.
A seguir estão exemplos de declarações de política que você pode adicionar ao Amazon Location:
```
"Statement" : [
{
"Sid" : "Allow access to principals authorized to use Amazon Location",
"Effect" : "Allow",
"Principal" : {
"AWS" : "*"
},
"Action" : [
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"kms:ViaService" : "geo.region.amazonaws.com",
"kms:CallerAccount" : "111122223333"
}
},
{
"Sid": "Allow access for key administrators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action" : [
"kms:*"
],
"Resource": "arn:aws:kms:region:111122223333:key/key_ID"
},
{
"Sid" : "Allow read-only access to key metadata to the account",
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::111122223333:root"
},
"Action" : [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource" : "*"
}
]
```
Para obter mais informações sobre [specifying permissions in a policy](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) (especificações de permissões em uma política), consulte o *Guia do desenvolvedor do AWS Key Management Service *.
Para obter mais informações sobre [solução de problemas de acesso à chave](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam), consulte o *Guia do Desenvolvedor do AWS Key Management Service *.
## Especificação de uma chave gerenciada pelo cliente para o Amazon Location
Você pode especificar uma chave gerenciada pelo cliente para fornecer uma segunda camada de criptografia para os seguintes recursos:
+ [Criar um rastreador](start-create-tracker.md)
+ [Conceitos básicos sobre geocercas do Amazon Location Service](geofence-gs.md)
Ao criar um recurso, você pode especificar a chave de dados inserindo uma **ID KMS**, que o Amazon Location usa para criptografar os dados pessoais identificáveis armazenados pelo recurso.
+ **ID KMS** — Um [identificador de chave](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id) para uma chave gerenciada pelo AWS KMS cliente. Insira uma ID de chave, um ARN de chave, um nome de alias ou um ARN de alias.
## Contexto de criptografia do Amazon Location Service
Um [contexto de criptografia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) é um conjunto opcional de pares chave-valor que pode conter informações contextuais adicionais sobre os dados.
AWS KMS usa o contexto de criptografia como [dados autenticados adicionais](https://docs.aws.amazon.com/kms/latest/cryptographic-details/crypto-primitives.html) para oferecer suporte à criptografia [autenticada.](https://docs.aws.amazon.com/kms/latest/cryptographic-details/crypto-primitives.html) Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, AWS KMS vincula o contexto de criptografia aos dados criptografados. Para descriptografar os dados, você deve incluir o mesmo contexto de criptografia na solicitação.
**Contexto de criptografia do Amazon Location Service**
O Amazon Location usa o mesmo contexto de criptografia em todas as operações AWS KMS criptográficas, onde a chave está `aws:geo:arn` e o valor é o [recurso Amazon Resource Name](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) (ARN).
**Example**
```
"encryptionContext": {
"aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
}
```
**Uso do contexto de criptografia para monitoramento**
Ao usar uma chave simétrica gerenciada pelo cliente para criptografar seu rastreador ou sua coleção de geocercas, você também pode usar o contexto de criptografia nos registros e logs de auditoria para identificar como a chave gerenciada pelo cliente está sendo usada. O contexto de criptografia também aparece nos [registros gerados pelo AWS CloudTrail ou Amazon CloudWatch Logs](#example-custom-encryption).
**Uso do contexto de criptografia para controlar o acesso à chave gerenciada pelo cliente**
Você pode usar o contexto de criptografia nas políticas de chaves e políticas do IAM como `conditions` e controlar o acesso à sua chave simétrica gerenciada pelo cliente. Você também pode usar restrições no contexto de criptografia em uma concessão.
O Amazon Location utiliza uma restrição ao contexto de criptografia em concessões para controlar o acesso à chave gerenciada pelo cliente na sua conta ou região. A restrição da concessão exige que as operações permitidas pela concessão usem o contexto de criptografia especificado.
**Example**
Veja a seguir exemplos de declarações de políticas de chave para conceder acesso a uma chave gerenciada pelo cliente para um contexto de criptografia específico. A condição nesta declaração de política exige que as concessões tenham uma restrição no contexto de criptografia que especifique o contexto da criptografia.
```
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:tracker/SAMPLE-Tracker"
}
}
}
```
## Monitoramento das suas chaves de criptografia para o Amazon Location Service
Ao usar uma chave gerenciada pelo AWS KMS cliente com seus recursos do Amazon Location Service, você pode usar [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)o [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) para rastrear solicitações enviadas para a Amazon Location AWS KMS.
Os exemplos a seguir são AWS CloudTrail eventos para`CreateGrant`, `GenerateDataKeyWithoutPlainText``Decrypt`, e `DescribeKey` para monitorar operações KMS chamadas pela Amazon Location para acessar dados criptografados pela chave gerenciada pelo cliente:
------
#### [ CreateGrant ]
Quando você usa uma chave gerenciada pelo AWS KMS cliente para criptografar seus recursos de rastreamento ou coleta geográfica, a Amazon Location envia uma `CreateGrant` solicitação em seu nome para acessar a chave KMS em sua conta. AWS A concessão que o Amazon Location cria é específica para o recurso associado à chave gerenciada pelo cliente AWS KMS . Além disso, o Amazon Location usa a operação `RetireGrant` para remover uma concessão quando você exclui um recurso.
O evento de exemplo a seguir registra a operação `CreateGrant`:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "geo.region.amazonaws.com",
"operations": [
"GenerateDataKeyWithoutPlaintext",
"Decrypt",
"DescribeKey"
],
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"granteePrincipal": "geo.region.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
------
#### [ GenerateDataKeyWithoutPlainText ]
Quando você ativa uma chave gerenciada pelo AWS KMS cliente para seu rastreador ou recurso de coleta de cerca geográfica, a Amazon Location cria uma chave de tabela exclusiva. Ele envia uma `GenerateDataKeyWithoutPlainText` solicitação AWS KMS que especifica a chave gerenciada pelo AWS KMS cliente para o recurso.
O evento de exemplo a seguir registra a operação `GenerateDataKeyWithoutPlainText`:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
},
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e"
}
```
------
#### [ Decrypt ]
Quando você acessa um rastreador ou uma coleção de geocercas criptografados, o Amazon Location chama a operação `Decrypt` para usar a chave de dados criptografada e armazenada para acessar os dados criptografados.
O evento de exemplo a seguir registra a operação `Decrypt`:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:10:51Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "dc129381-1d94-49bd-b522-f56a3482d088"
}
```
------
#### [ DescribeKey ]
O Amazon Location usa a operação `DescribeKey` para verificar se a chave gerenciada pelo cliente AWS KMS associada ao seu rastreador ou à coleção de geocercas existe na conta e na região.
O evento de exemplo a seguir registra a operação `DescribeKey`:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
------
## Saiba mais
Os recursos a seguir fornecem mais informações sobre a criptografia de dados em pausa.
+ Para obter mais informações sobre [conceitos básicos do AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html), consulte o *Guia do desenvolvedor do AWS Key Management Service *.
+ Para obter mais informações sobre [as melhores práticas de segurança para AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/kms-security.html), consulte o *Guia do AWS Key Management Service desenvolvedor*.
# Criptografia de dados em trânsito para o Amazon Location Service
O Amazon Location protege os dados em trânsito à medida que viajam de e para o serviço, criptografando automaticamente todos os dados entre as redes e usando o protocolo de criptografia Transport Layer Security (TLS) 1.2. As solicitações HTTPS diretas enviadas para o Amazon Location Service APIs são assinadas usando o [algoritmo AWS Signature versão 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv-create-signed-request.html) para estabelecer uma conexão segura.
# Resposta a incidentes no Amazon Location Service
A segurança é a maior prioridade na AWS. Como parte do [modelo de responsabilidade compartilhada AWS](https://aws.amazon.com/compliance/shared-responsibility-model/) na nuvem, AWS gerencia uma arquitetura de data center e rede que atende aos requisitos das organizações mais sensíveis à segurança. Como AWS cliente, você compartilha a responsabilidade de manter a segurança na nuvem. Isso significa que você controla a segurança que escolhe implementar a partir das AWS ferramentas e recursos aos quais tem acesso.
Ao estabelecer uma referência de segurança que atenda aos objetivos de suas aplicações executadas na nuvem, você pode detectar desvios aos quais pode reagir. Como a resposta a incidentes de segurança pode ser um tópico complexo, recomendamos que você analise os seguintes recursos para entender melhor o impacto que a resposta a incidentes (IR) e suas escolhas têm em suas metas corporativas: [Guia de resposta a incidentes de AWS segurança](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html), whitepaper de [melhores práticas de AWS segurança](https://aws.amazon.com/architecture/security-identity-compliance/?cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc) e [Estrutura de Adoção de AWS Nuvem (AWS CAF](https://aws.amazon.com/cloud-adoption-framework/#Security_Perspective)).
# Registro em log e monitoramento no Amazon Location Service
O registro em log e o monitoramento são uma parte importante da resposta a incidentes. Ele permite que você estabeleça uma linha de base de segurança para detectar desvios que você pode investigar e aos quais pode responder. Ao implementar o registro em log e o monitoramento do Amazon Location Service, você pode manter a confiabilidade, a disponibilidade e o desempenho de seus projetos e recursos.
AWS fornece várias ferramentas que podem ajudá-lo a registrar e coletar dados para resposta a incidentes:
**AWS CloudTrail**
O Amazon Location Service se integra ao AWS CloudTrail, que é um serviço que fornece um registro das ações realizadas por um usuário, função ou AWS serviço. Isso inclui ações do console do Amazon Location Service e chamadas programáticas às operações da API do Amazon Location. Esses registros de ações são chamados de eventos. Para obter mais informações, consulte [Registro e monitoramento do Amazon Location Service com AWS CloudTrail](https://docs.aws.amazon.com/location/latest/developerguide/cloudtrail.html).
**Amazon CloudWatch**
Você pode usar CloudWatch a Amazon para coletar e analisar métricas relacionadas à sua conta do Amazon Location Service. Você pode ativar CloudWatch os alarmes para notificá-lo se uma métrica atende a determinadas condições e atingiu um limite especificado. Quando você cria um alarme, CloudWatch envia uma notificação para um Amazon Simple Notification Service que você define. Para obter mais informações, consulte o [Monitoramento do Amazon Location Service com a Amazon CloudWatch](https://docs.aws.amazon.com/location/latest/developerguide/cloudwatch.html).
**AWS Health Painéis**
Ao usar os [painéis do AWS Health](https://status.aws.amazon.com/), você pode verificar o status do serviço Amazon Location Service. Você também pode monitorar e visualizar dados históricos sobre quaisquer eventos ou problemas que possam afetar seu AWS ambiente. Para obter mais informações, consulte o [Guia do usuário do AWS Health](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html).
# Validação de compatibilidade do Amazon Location Service
Para saber se um AWS service (Serviço da AWS) está no escopo de programas de conformidade específicos, consulte [Serviços da AWS no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/) e selecione o programa de conformidade em que você está interessado. Para obter informações gerais, consulte [Programas de Conformidade da AWS](https://aws.amazon.com/compliance/programs/).
É possível baixar relatórios de auditoria de terceiros usando o AWS Artifact. Para obter mais informações, consulte [Baixar relatórios no AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Sua responsabilidade de conformidade ao usar o Serviços da AWS é determinada pela confidencialidade dos seus dados, pelos objetivos de conformidade da sua empresa e pelos regulamentos e leis aplicáveis. Para ter mais informações sobre sua responsabilidade pela conformidade ao usar Serviços da AWS, consulte a [documentação da AWS sobre segurança](https://docs.aws.amazon.com/security/).
# Resiliência no Amazon Location Service
A infraestrutura global da AWS se baseia em Regiões da AWS e zonas de disponibilidade. A Regiões da AWS oferece várias zonas de disponibilidade separadas e isoladas fisicamente que são conectadas com baixa latência, throughputs elevadas e em redes altamente redundantes. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que automaticamente executam o failover entre as zonas sem interrupção. As zonas de disponibilidade são mais altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
Para obter mais informações sobre Regiões da AWS e zonas de disponibilidade, consulte [Infraestrutura global da AWS](https://aws.amazon.com/about-aws/global-infrastructure/).
Além da infraestrutura global da AWS, o Amazon Location oferece vários atributos para ajudar no suporte às necessidades de resiliência de dados e backup.
# Segurança da infraestrutura no Amazon Location Service
Como um serviço gerenciado, o Amazon Location Service é protegido pela segurança de rede global da AWS. Para obter informações sobre serviços de segurança da AWS e como a AWS protege a infraestrutura, consulte [Segurança na Nuvem AWS](https://aws.amazon.com/security/). Para projetar seu ambiente da AWS usando as práticas recomendadas de segurança da infraestrutura, consulte [Proteção de Infraestrutura](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) em *Pilar de Segurança: AWS Estrutura bem arquitetada*.
Você usa chamadas de API publicadas pela AWS para acessar o Amazon Location por meio da rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
# AWS PrivateLink para Amazon Location
Com AWS PrivateLink o Amazon Location, você pode provisionar endpoints de *interface Amazon VPC (endpoints* de interface) em sua nuvem privada virtual (Amazon VPC). Esses endpoints podem ser acessados diretamente a partir de aplicativos que estão no local por meio de VPN e/ou de outra forma Região da AWS pelo [Amazon VPC peering](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html). Direct Connect Usando endpoints de interface e o AWS PrivateLink , é possível simplificar a conectividade de rede privada das aplicações para o Amazon Location.
As aplicações na VPC não necessitam que endereços IP públicos se comuniquem com endpoints da VPC de interface do Amazon Location para operações do Amazon Location. Os endpoints de interface são representados por uma ou mais interfaces de rede elástica (ENIs) às quais são atribuídos endereços IP privados de sub-redes em sua Amazon VPC. As solicitações para o Amazon Location por meio de endpoints de interface permanecem na rede da Amazon. Você também pode acessar endpoints de interface em sua Amazon VPC a partir de aplicativos locais Direct Connect por meio AWS Virtual Private Network de ou ().Site-to-Site VPN Para ter mais informações sobre como conectar a Amazon VPC à rede on-premises, consulte o [Guia do usuário do Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) e o [Guia do usuário do AWS Site-to-Site ](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html).
Para ter informações gerais sobre endpoints de interface, consulte [Interface Amazon VPC endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) no *Guia do AWS PrivateLink *.
**Topics**
+ [Tipos de endpoint da Amazon VPC para o Amazon Location Service](#types-of-vpc-endpoints-for-al)
+ [Considerações ao usar o AWS PrivateLink Amazon Location Service](#privatelink-considerations)
+ [Criar um endpoint de interface para o Amazon Location Service](#al-creating-vpc)
+ [Acessar as operações de API do Amazon Location direto dos endpoints de interface do Amazon Location](#accessing-apis-from-interface-endpoints)
+ [Atualizar uma configuração de DNS on-premises](#updating-on-premises-dns-config)
+ [Criar uma política de endpoint da VPC para o Amazon Location](#creating-vpc-endpoint-policy)
## Tipos de endpoint da Amazon VPC para o Amazon Location Service
Você pode usar um tipo de endpoint Amazon VPC para acessar o Amazon Location Service: *endpoints de interface* (usando). AWS PrivateLink Os *endpoints de interface* usam endereços IP privados para rotear solicitações para o Amazon Location de dentro da Amazon VPC, do ambiente on-premises ou de uma Amazon VPC em outra Região da AWS usando emparelhamento do Amazon VPC. Para ter mais informações, consulte [What is Amazon VPC peering?](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) em [Transit Gateway vs Amazon VPC peering](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/vpc-to-vpc-connectivity.html).
Os endpoints de interface são compatíveis com os endpoints de gateway. Se você tiver um endpoint de gateway na Amazon VPC, poderá usar os dois tipos de endpoint na mesma Amazon VPC.
Os endpoint de interface do Amazon Location têm as seguintes propriedades:
+ Seu tráfego de rede permanece na AWS rede
+ Usar endereços IP privados da Amazon VPC para acessar o Amazon Location Service
+ Permite o acesso a partir do local
+ Permite o acesso de um endpoint da Amazon VPC em outro Região da AWS usando o emparelhamento da Amazon VPC ou AWS Transit Gateway
+ Os endpoints da interface são cobrados
## Considerações ao usar o AWS PrivateLink Amazon Location Service
As considerações sobre o Amazon VPC se aplicam ao AWS PrivateLink Amazon Location Service. Para obter mais informações, consulte [Considerações sobre o endpoint de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) e [Cotas do AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-limits-endpoints.html) no *Guia do usuário do AWS PrivateLink *. Além disso, aplicam-se as restrições a seguir.
AWS PrivateLink for Amazon Location Service não oferece suporte ao seguinte:
+ Transport Layer Security (TLS) 1.1
+ Serviços de Sistema de Nomes de Domínio (DNS) privados e híbridos
Endpoints da Amazon VPC:
+ Não oferecem suporte às operações da [API de mapas o Amazon Location Service](https://docs.aws.amazon.com/location/latest/APIReference/API_Operations_Amazon_Location_Service_Maps_V2.html), incluindo:`GetGlyphs`,`GetSprites` e `GetStyleDescriptor`
+ Não são compatíveis com solicitações entre regiões. Assegure-se de crie o endpoint na mesma região em que você planeja emitir as chamadas de API para o Amazon Location Service.
+ Oferecem suporte somente a DNS fornecidos pela Amazon por meio do Amazon Route 53. Se quiser usar seu próprio DNS, poderá usar o encaminhamento de DNS condicional. Para obter mais informações, consulte [Conjuntos de Opções de DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) no *Manual do Usuário da Amazon VPC*.
+ Devem permitir conexões de entrada na porta 443 na sub-rede privada da VPC por meio do grupo de segurança conectado ao endpoint da VPC
Você pode enviar até 50.000 solicitações por segundo para cada PrivateLink endpoint da AWS que você habilitar.
**nota**
Os tempos limite de conectividade de rede para AWS PrivateLink endpoints não estão dentro do escopo das respostas de erro de localização da Amazon e precisam ser tratados adequadamente por seus aplicativos que se conectam aos endpoints. AWS PrivateLink
## Criar um endpoint de interface para o Amazon Location Service
Você pode criar um endpoint de interface para o Amazon Location Service usando o console ou a AWS Command Line Interface (AWS CLI) da Amazon VPC. Para obter mais informações, consulte [Criar um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) no *Guia do usuário do AWS PrivateLink *.
Há seis endpoints de VPC diferentes, um para cada recurso oferecido pelo Amazon Location Service.
| Categoria | Endpoint |
| --- | --- |
| Mapas | `com.amazonaws.region.geo.maps` |
| API de locais | `com.amazonaws.region.geo.places` |
| Rotas | `com.amazonaws.region.geo.routes` |
| Geocercas | `com.amazonaws.region.geo.geofencing` |
| Rastreadores | `com.amazonaws.region.geo.tracking` |
| Metadados | `com.amazonaws.region.geo.metadata` |
**Por exemplo:**
```
com.amazonaws.us-east-2.geo.maps
```
Após criar o endpoint, você tem a opção de habilitar um nome de host DNS privado. Para habilitar, selecione **Enable Private DNS Name (Habilitar nome DNS privado)** no console da Amazon VPC quando criar o endpoint da VPC.
Se você habilitar o DNS privado para o endpoint da interface, poderá fazer solicitações de API ao Amazon Location Service usando seu próprio nome DNS regional padrão. Os exemplos a seguir mostram o formato dos nomes de DNS regionais padrão.
+ `maps.geo.region.amazonaws.com`
+ `places.geo.region.amazonaws.com`
+ `routes.geo.region.amazonaws.com`
+ `tracking.geo.region.amazonaws.com`
+ `geofencing.geo.region.amazonaws.com`
+ `metadata.geo.region.amazonaws.com`
Os nomes DNS anteriores são para IPv4 domínios. Os nomes de IPV6 DNS a seguir também podem ser usados para endpoints de interface.
+ `maps.geo.region.api.aws`
+ `places.geo.region.api.aws`
+ `routes.geo.region.api.aws`
+ `tracking.geo.region.api.aws`
+ `geofencing.geo.region.api.aws`
+ `metadata.geo.region.api.aws`
## Acessar as operações de API do Amazon Location direto dos endpoints de interface do Amazon Location
Você pode usar o [AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/location/)ou [AWS SDKs](https://docs.aws.amazon.com/location/latest/developerguide/dev-sdks.html)para acessar as operações da Amazon Location API por meio dos endpoints da interface Amazon Location.
**Exemplo: Criar um endpoint da VPC**
```
aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name location-service-name \
--vpc-id client-vpc-id \
--subnet-ids client-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id
```
**Exemplo: Modificar um endpoint da VPC**
```
aws ec2 modify-vpc-endpoint \
--region us-east-1 \
--vpc-endpoint-id client-vpc-endpoint-id \
--policy-document policy-document \ #example optional parameter
--add-security-group-ids security-group-ids \ #example optional parameter
# any additional parameters needed, see PrivateLink documentation for more details
```
## Atualizar uma configuração de DNS on-premises
Quando usar nomes de DNS específicos de endpoint para acessar os endpoints de interface do Amazon Location, você não precisa atualizar o resolvedor de DNS on-premises. Você pode resolver o nome de DNS específico do endpoint com o endereço IP privado do endpoint de interface do domínio DNS público do Amazon Location.
Usar endpoints de interface para acessar o Amazon Location sem um endpoint de gateway ou um gateway da Internet na Amazon VPC
Os endpoints de interface na Amazon VPC podem rotear aplicações na Amazon VPC e aplicações on-premises para o Amazon Location pela rede da Amazon.
## Criar uma política de endpoint da VPC para o Amazon Location
É possível vincular uma política de endpoint ao endpoint da Amazon VPC que controla o acesso ao Amazon Location. Essa política especifica as seguintes informações:
+ O principal AWS Identity and Access Management (IAM) que pode realizar ações
+ As ações que podem ser executadas
+ Os recursos nos quais as ações podem ser executadas
**Exemplo: Exemplo** de VPCe política para acessar o Amazon Location Service Places APIs:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Allow-access-to-location-service-places-opeartions",
"Effect": "Allow",
"Action": [
"geo-places:*",
"geo:*"
],
"Resource": [
"arn:aws:geo-places:us-east-1::provider/default",
"arn:aws:geo:us-east-1:*:place-index/*"
]
}
]
}
```
# Análise de configuração e vulnerabilidade no Amazon Location
A configuração e os controles de TI são uma responsabilidade compartilhada entre você AWS e você, nosso cliente. Para obter mais informações, consulte o [modelo de responsabilidade AWS compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/).
# Prevenção contra o ataque do “substituto confuso” em todos os serviços
O problema do “confused deputy” é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executar a ação. Em AWS, a falsificação de identidade entre serviços pode resultar no problema confuso do deputado. A personificação entre serviços pode ocorrer quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, a AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com entidades principais de serviço que receberam acesso aos recursos em sua conta.
O Amazon Location Service não atua como um serviço de chamadas em seu nome para outros AWS serviços, portanto, você não precisa adicionar essas proteções nesse caso. Para saber mais sobre o problema de “confused deputy”, consulte [O problema confused deputy](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) no *Guia do usuário do AWS Identity and Access Management *.
# Práticas recomendadas do Amazon Location Service
Este tópico apresenta as práticas recomendadas para ajudar você a usar o Amazon Location Service. Embora essas práticas recomendadas possam ajudar você a aproveitar ao máximo o Amazon Location Service, elas não representam uma solução completa. Você deve seguir somente as recomendações aplicáveis ao seu ambiente.
**Topics**
+ [Segurança](#security-best-practice)
## Segurança
Para ajudar a controlar ou até mesmo evitar riscos de segurança, considere as seguintes práticas recomendadas:
+ Use a federação de identidades e perfis do IAM para gerenciar, controlar ou limitar o acesso aos seus recursos do Amazon Location. Para obter mais informações, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
+ Siga o Princípio do Privilégio Mínimo para conceder somente o acesso mínimo necessário aos seus recursos do Amazon Location Service.
+ Para recursos do Amazon Location Service usados em aplicativos web, restrinja o acesso usando uma condição IAM `aws:referer`, limitando o uso por sites que não sejam aqueles incluídos na lista de permissões.
+ Use ferramentas de monitoramento e registro para rastrear o acesso e o uso de recursos. Para obter mais informações, consulte [Registro em log e monitoramento no Amazon Location Service](security-logging-and-monitoring.md) [Registrar eventos de dados para trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html) no Guia AWS CloudTrail do usuário.
+ Use conexões seguras, como as que começam com `https://`, para aumentar a segurança e proteger os usuários de ataques enquanto os dados são transmitidos entre o servidor e o navegador.
### Práticas recomendadas de segurança de detecção recomendadas para o Amazon Location Service
As práticas recomendadas a seguir para o Amazon Location Service podem ajudar a detectar incidentes de segurança:
**Implemente ferramentas AWS de monitoramento**
O monitoramento é fundamental para a resposta a incidentes e mantém a confiabilidade e a segurança dos recursos do Amazon Location Service e de suas soluções. Você pode implementar ferramentas de monitoramento a partir das várias ferramentas e serviços disponíveis AWS para monitorar seus recursos e seus outros AWS serviços.
Por exemplo, a Amazon CloudWatch permite que você monitore métricas para o Amazon Location Service e permite que você configure alarmes para notificá-lo se uma métrica atende a determinadas condições que você definiu e atingiu um limite definido por você. Ao criar um alarme, você pode configurar CloudWatch para enviar uma notificação para alertar usando o Amazon Simple Notification Service. Para obter mais informações, consulte [Registro em log e monitoramento no Amazon Location Service](security-logging-and-monitoring.md).
**Ativar ferramentas de AWS registro**
O registro fornece um registro das ações realizadas por um usuário, função ou AWS serviço no Amazon Location Service. Você pode implementar ferramentas de registro, como AWS CloudTrail coletar dados sobre ações para detectar atividades incomuns da API.
Ao criar uma trilha, você pode configurar CloudTrail para registrar eventos. Eventos são registros de operações de recursos realizadas em ou dentro de um recurso, como a solicitação feita ao Amazon Location, o endereço IP do qual a solicitação foi feita, quem fez a solicitação, quando a solicitação foi feita, bem como dados adicionais. Para obter mais informações, consulte [Registrar eventos de dados para trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html) no Guia AWS CloudTrail do usuário.
### Práticas recomendadas de segurança preventiva para o Amazon Location Service
As seguintes práticas recomendadas para o Amazon Location Service podem ajudar a evitar incidentes de segurança:
**Use conexões seguras**
Sempre use conexões criptografadas, como as que começam com `https://` para manter seguras as informações confidenciais em trânsito.
**Implemente o acesso de privilégio mínimo a recursos**
Conceder privilégio mínimo ao criar políticas personalizadas Amazon e conceder apenas as permissões necessárias para a execução de uma tarefa. Recomendamos que se inicie com um conjunto mínimo de permissões e que permissões adicionais sejam concedidas quando forem necessárias. A implementação do privilégio mínimo de acesso é fundamental para se reduzir o risco de segurança e o impacto que pode resultar de erros ou ataques maliciosos. Para obter mais informações, consulte [Use AWS Identity and Access Management para autenticar](security-iam.md).
**Use um dispositivo globalmente exclusivo IDs IDs**
Use as seguintes convenções para o dispositivo IDs.
+ O dispositivo IDs deve ser exclusivo.
+ O dispositivo não IDs deve ser secreto, pois eles podem ser usados como chaves estrangeiras para outros sistemas.
+ O dispositivo não IDs deve conter informações de identificação pessoal (PII), como dispositivo telefônico ou endereços de e-mail. IDs
+ O dispositivo não IDs deve ser previsível. Identificadores opacos como esses UUIDs são recomendados.
**Não inclua PII nas propriedades de posição do dispositivo**
Ao enviar atualizações do dispositivo (por exemplo, usando [DevicePositionUpdate](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePositionUpdate.html)), não inclua informações de identificação pessoal (PII), como número de telefone ou endereço de e-mail no. `PositionProperties`