本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon Location Service 的最佳实践
<a name="best-practices"></a>

本主题提供了可帮助您使用 Amazon Location Service 的最佳实践。虽然这些最佳实践可以帮助您充分利用 Amazon Location Service，但它们并不代表完整的解决方案。您应该只遵循适用于您的环境的建议。

**Topics**
+ [安全性](#security-best-practice)

## 安全性
<a name="security-best-practice"></a>

为了帮助管理甚至避免安全风险，请考虑以下最佳实践：
+ 使用联合身份和 IAM 角色来管理、控制或限制对您的Amazon Location资源的访问。有关更多信息，请参阅《IAM 用户指南》**中的 [IAM 最佳实操](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
+ 遵循最低权限原则，仅授予对您的 Amazon Location Service 资源所需的最低访问权限。
+ 对于网络应用程序中使用的 Amazon Location Service 资源，请使用 `aws:referer` IAM 条件限制访问权限，限制除允许名单中包含的网站以外的网站使用。
+ 使用监控和日志工具来跟踪器资源的访问和使用情况。有关更多信息，请参阅 AWS CloudTrail 用户指南中的[Amazon Location Service 中的日志记录和监控](security-logging-and-monitoring.md)和[记录跟踪的数据事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html)。
+ 使用安全连接，例如以 `https://` 开头的连接，以增加安全性并在服务器与浏览器之间传输数据时保护用户免受攻击。

### Amazon Location Service 的检测性安全最佳实践
<a name="security-best-practices-detective"></a>

Amazon Location Service 的以下最佳实践可以帮助检测安全事故：

**实施 AWS 监控工具**  
监控对于事件响应至关重要，可以维护 Amazon Location Service 资源和解决方案的可靠性和安全性。您可以从多种可用工具和服务中实施监控工具 AWS ，以监控您的资源和其他 AWS 服务。  
例如，亚马逊 CloudWatch 允许您监控亚马逊定位服务（Amazon Location Service）的指标，并允许您设置警报，以便在指标满足您设定的特定条件并达到您定义的阈值时通知您。创建警报时，您可以设置 CloudWatch 为使用 Amazon 简单通知服务发送提醒通知。有关更多信息，请参阅 [Amazon Location Service 中的日志记录和监控](security-logging-and-monitoring.md)。

**启用 AWS 日志工具**  
日志记录记录用户、角色或 AWS 服务在 Amazon Location Service 中采取的操作。您可以实现日志工具，例如 AWS CloudTrail 收集操作数据以检测异常 API 活动。  
创建跟踪时，可以配置 CloudTrail 为记录事件。事件是对资源或资源内部执行的资源操作的记录，如向 Amazon Location 发出的请求、发出请求的 IP 地址、请求的发出请求的 IP 地址、时间、时间，以及其他数据。有关更多信息，请参阅 AWS CloudTrail 用户指南中的[记录跟踪的数据事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html)。

### Amazon Location Service 的预防性安全最佳实践
<a name="security-best-practices-preventive"></a>

Amazon Location Service 的以下最佳实践可以帮助预防安全事故：

**使用安全连接**  
请务必使用加密连接，例如以 `https://` 开头的连接，以确保敏感信息在传输过程中的安全。

**实施最低权限访问资源**  
当您为 Amazon Location 资源创建自定义策略时，只授予执行任务所需的权限。建议最开始只授予最低权限，然后根据需要授予其他权限，则样会更加安全。实施最低权限访问对于减小风险以及可能由错误或恶意攻击造成的影响至关重要。有关更多信息，请参阅 [用于 AWS Identity and Access Management 进行身份验证](security-iam.md)。

**使用全球唯一的设备作为设备 IDs IDs**  
对设备使用以下约定 IDs。  
+ 设备 IDs 必须是唯一的。
+ 设备 IDs 不应是秘密的，因为它们可以用作其他系统的外键。
+ 设备 IDs 不应包含个人身份信息 (PII)，例如电话设备 IDs 或电子邮件地址。
+ 设备 IDs 不应是可预测的。建议使用不透明的标识符 UUIDs ，例如。

**不要在设备位置属性中包含 PII**  
发送设备更新（例如，使用 [DevicePositionUpdate](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePositionUpdate.html)）时，请勿在中包含个人身份信息 (PII)，例如电话号码或电子邮件地址。`PositionProperties`