本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Amazon Location Service 中的数据保护
AWS [责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)适用于 Amazon Location Service 中的数据保护。如该模式中所述,AWS 负责保护运行所有 AWS 云 的全球基础结构。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅[数据隐私常见问题](https://aws.amazon.com/compliance/data-privacy-faq/)。有关欧洲数据保护的信息,请参阅 *AWS Security Blog* 上的 [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。
出于数据保护目的,建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management(IAM)设置单个用户。这样,每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据:
+ 对每个账户使用多重身份验证(MFA)。
+ 使用 SSL/TLS 与 AWS 资源进行通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 使用 AWS CloudTrail 设置 API 和用户活动日记账记录。有关使用 CloudTrail 跟踪来捕获 AWS 活动的信息,请参阅《AWS CloudTrail 用户指南》**中的[使用 CloudTrail 跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解决方案以及 AWS 服务中的所有默认安全控制。
+ 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果在通过命令行界面或 API 访问 AWS 时需要经过 FIPS 140-3 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅[《美国联邦信息处理标准(FIPS)第 140-3 版》](https://aws.amazon.com/compliance/fips/)。
强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如**名称**字段)。这包括当您通过控制台、API、AWS CLI 或 AWS SDK 使用 Amazon Location 或其他 AWS 服务时。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供网址,强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。
# 数据隐私
使用 Amazon Location Service,您可以保留对组织数据的控制权。Amazon Location 会删除客户元数据和账户信息,从而匿名化发送给数据提供程序的所有查询。
Amazon Location 不使用数据提供程序进行跟踪和地理围栏。这意味着您的敏感数据仍保留在您的 AWS 帐户中。这有助于保护敏感的位置信息(例如设施、资产和人员位置)免受第三方的侵害,保护用户隐私,并降低应用程序的安全风险。
有关更多信息,请参阅 [AWS 数据隐私常见问题解答](https://aws.amazon.com/compliance/data-privacy-faq/)。
# Amazon Location 的数据保留
以下特征与 Amazon Location 如何收集和存储服务数据有关:
+ **Amazon Location Service 跟踪器** – 当您使用跟踪器 API 跟踪实体的位置时,可以存储其坐标。设备位置会存储 30 天,然后才会被服务删除。
+ **Amazon Location Service 地理围栏** – 当您使用地理围栏 API 定义感兴趣区域时,该服务会存储您提供的几何图形。必须明确删除它们。
**注意**
删除您的 AWS 账户会删除其中的所有资源。有关更多信息,请参阅 [AWS 数据隐私常见问题解答](https://aws.amazon.com/compliance/data-privacy-faq/)。
# Amazon Location Service 中的静态数据加密
Amazon Location Service 默认提供加密,以使用 AWS 自有的加密密钥保护敏感的静态客户数据。
+ **AWS 自有密钥** — Amazon Location 默认使用这些密钥来自动加密个人身份数据。您无法查看、管理或使用 AWS 自有密钥,也无法审核其使用情况。但是,无需采取任何措施或更改任何计划即可保护用于加密数据的密钥。有关更多信息,请参阅 *AWS Key Management Service 开发人员指南*中的 [AWS 自有密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)。
默认情况下,静态数据加密有助于减少保护敏感数据时涉及的操作开销和复杂性。同时,它还支持构建符合严格加密合规性和监管要求的安全应用程序。
虽然您无法禁用此加密层或选择其他加密类型,但您可以在创建跟踪器和地理围栏收集资源时选择客户管理的密钥,从而在现有的 AWS 加密密钥上添加第二层加密:
+ **客户托管密钥** — Amazon Location 支持使用由您创建、拥有和管理的对称客户托管密钥,在现有 AWS 自有加密的基础上添加第二层加密。由于您可以完全控制这层加密,因此可以执行以下任务:
+ 制定和维护关键策略
+ 建立和维护 IAM 策略和授权
+ 启用和禁用密钥策略
+ 轮换加密材料
+ 添加 标签
+ 创建密钥别名
+ 计划删除密钥
有关更多信息,请参阅 *AWS Key Management Service 开发人员指南*中的[客户托管密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)。
下表汇总了 Amazon Location 如何加密个人身份数据。
| 数据类型 | AWS 自有密钥加密 | 客户托管密钥加密(可选) |
| --- | --- | --- |
| Position包含[设备位置详细信息](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePosition.html)的造点几何体。 | 已启用 | 已启用 |
| PositionProperties一组与[位置更新关联](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePosition.html)的键值对。 | 已启用 | 已启用 |
| GeofenceGeometry表示地理围栏区域的多边形[地理围栏几何](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_GeofenceGeometry.html)。 | 已启用 | 已启用 |
| DeviceId将[设备位置更新上传](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePositionUpdate.html)到跟踪器资源时指定的设备标识符。 | 已启用 | 不支持 |
| GeofenceId在给定地理围栏集合中[存储地理围栏几何](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_PutGeofence.html)或[一批地理围栏](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointGeofencing_BatchPutGeofence.html)时指定的标识符。 | 已启用 | 不支持 |
**注意**
Amazon Location 使用 AWS 自有密钥自动启用静态加密,从而免费保护个人身份数据。
但是,使用客户管理的密钥需要 AWS KMS 付费。有关定价的更多信息,请参阅 [AWS Key Management Service 定价](https://aws.amazon.com/kms/pricing/)。
有关的更多信息 AWS KMS,请参阅[什么是 AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
## Amazon Location Service 如何使用补助金 AWS KMS
Amazon Location 需要[授权](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html),才能使用客户托管密钥。
当您创建使用客户托管密钥加密的[追踪器资源](https://docs.aws.amazon.com/location/latest/developerguide/trackers.html)或[地理围栏集合](https://docs.aws.amazon.com/location/latest/developerguide/geofences.html)时,Amazon Location 会通过向发送[CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)请求来代表您创建授权。 AWS KMS中的授权 AWS KMS 用于让 Amazon Location 访问客户账户中的 KMS 密钥。
Amazon Location 需要授权,才能将客户托管的密钥用于以下内部操作:
+ 向发送[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)请求, AWS KMS 以验证在创建跟踪器或地理围栏集合时输入的对称客户托管 KMS 密钥 ID 是否有效。
+ 向发送[GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)请求 AWS KMS 以生成由您的客户托管密钥加密的数据密钥。
+ 将 [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) 请求发送 AWS KMS 到以解密加密的数据密钥,以便它们可用于加密您的数据。
您可以随时撤销授予访问权限,或删除服务对客户托管密钥的访问权限。如果您这样做,Amazon Location 将无法访问由客户托管的密钥加密的任何数据,这会影响依赖于该数据的操作。例如,如果您尝试从 Amazon Location 无法访问的加密跟踪器中[获取设备位置](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_GetDevicePosition.html),则该操作将返回 `AccessDeniedException` 错误。
## 创建客户托管密钥
您可以使用 AWS 管理控制台、或,创建对称的客户托管密钥。 AWS KMS APIs
**创建对称的客户托管密钥**
按照**《AWS Key Management Service 开发人员指南》中[创建对称的客户托管密钥](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk)的步骤进行操作。
**密钥策略**
密钥策略控制对客户自主管理型密钥的访问。每个客户托管式密钥必须只有一个密钥策略,其中包含确定谁可以使用密钥以及如何使用密钥的声明。创建客户托管式密钥时,可以指定密钥策略。有关更多信息,请参阅 *AWS Key Management Service 开发人员指南*中的[管理对客户托管密钥的访问](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)。
要将客户托管密钥与 Amazon Location 资源结合使用,密钥政策中必须允许以下 API 操作:
+ `[kms:CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)` – 向客户托管密钥添加授权。授予对指定 KMS 密钥的控制访问权限,从而允许访问[授予操作](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations),这些操作是 Amazon Location 所需的。有关[使用授权](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)的更多信息,请参阅 *AWS Key Management Service 开发人员指南*。
这将允许 Amazon Location 执行以下操作:
+ 调用 `GenerateDataKeyWithoutPlainText` 生成加密的数据密钥并将其存储,因为数据密钥不会立即用于加密。
+ 调用 `Decrypt` 使用存储的加密数据密钥访问加密数据。
+ 设置停用委托人,以允许服务 `RetireGrant`。
+ `[kms:DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)` – 提供客户托管式密钥详细信息以允许 Amazon Location 验证密钥。
以下是您可以为 Amazon Location 添加的政策声明示例:
```
"Statement" : [
{
"Sid" : "Allow access to principals authorized to use Amazon Location",
"Effect" : "Allow",
"Principal" : {
"AWS" : "*"
},
"Action" : [
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"kms:ViaService" : "geo.region.amazonaws.com",
"kms:CallerAccount" : "111122223333"
}
},
{
"Sid": "Allow access for key administrators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action" : [
"kms:*"
],
"Resource": "arn:aws:kms:region:111122223333:key/key_ID"
},
{
"Sid" : "Allow read-only access to key metadata to the account",
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::111122223333:root"
},
"Action" : [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource" : "*"
}
]
```
有关[在策略中指定权限](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)的更多信息,请参阅 *AWS Key Management Service 开发人员指南*。
有关[密钥访问故障排除](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam)更多的信息,请参阅 *AWS Key Management Service 开发人员指南*。
## 指定 Amazon Location 的客户托管密钥
您可以指定客户托管密钥作为以下资源的第二层加密:
+ [创建跟踪器](start-create-tracker.md)
+ [开始使用 Amazon Location Service 地理围栏](geofence-gs.md)
创建资源时,您可以通过输入 **KMS ID** 来指定数据密钥,Amazon Location 使用该 ID 来加密资源存储的可识别个人数据。
+ **KMS ID** — AWS KMS 客户托管[密钥的密钥标识符](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id)。输入密钥 ID、密钥 ARN、别名名称或别名 ARN。
## Amazon Location Service 加密上下文
[加密上下文](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)是一组可选的键值对,包含有关数据的其他上下文信息。
AWS KMS 使用加密上下文作为[其他经过身份验证的数据](https://docs.aws.amazon.com/kms/latest/cryptographic-details/crypto-primitives.html)来支持经过[身份验证的加密](https://docs.aws.amazon.com/kms/latest/cryptographic-details/crypto-primitives.html)。当您在加密数据的请求中包含加密上下文时,会将加密上下文 AWS KMS 绑定到加密数据。要解密数据,您需要在请求中包含相同的加密上下文。
**Amazon Location Service 加密上下文**
Amazon Location 在所有 AWS KMS 加密操作中使用相同的加密上下文,其中密钥为`aws:geo:arn`,值为资源[亚马逊资源名称](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) (ARN)。
**Example**
```
"encryptionContext": {
"aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
}
```
**使用加密上下文进行监控**
当您使用对称的客户托管密钥来加密您的跟踪器或地理围栏集合时,您还可以使用审计记录和日志中的加密上下文来识别客户托管密钥的使用情况。加密上下文还会显示在[AWS CloudTrail 或 Amazon Logs 生成的 CloudWatch 日志](#example-custom-encryption)中。
**使用加密上下文控制对客户托管式密钥的访问**
您可以使用密钥策略和 IAM 策略中的加密上下文作为 `conditions` 来控制对您的对称客户托管密钥的访问。您还可以在授权中使用加密上下文限制。
Amazon Location 在授权中使用加密上下文限制,以控制对您账户或区域中的客户管理密钥的访问。授权约束要求授权允许的操作使用指定的加密上下文。
**Example**
以下是密钥策略声明示例,用于授予对特定加密上下文的客户托管密钥的访问权限。此策略声明中的条件要求授权具有指定加密上下文的加密上下文约束。
```
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:tracker/SAMPLE-Tracker"
}
}
}
```
## 监控您的 Amazon Location Service 的加密密钥
当您将 AWS KMS 客户托管密钥与 Amazon Location Service 资源一起使用时,您可以使用[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)或 [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) 来跟踪亚马逊位置发送到的请求 AWS KMS。
以下示例是`CreateGrant`、`GenerateDataKeyWithoutPlainText``Decrypt`、和`DescribeKey`监控 Amazon Location 调用的 KMS 操作 AWS CloudTrail 的事件,以访问由您的客户托管密钥加密的数据:
------
#### [ CreateGrant ]
当您使用 AWS KMS 客户托管密钥加密您的追踪器或地理围栏收集资源时,Amazon Location 会代表您发送访问您账户中的 KMS 密钥的`CreateGrant`请求。 AWS Amazon Location 创建的授权特定于与 AWS KMS 客户托管密钥关联的资源。此外,当您删除资源时,Amazon Location 会使用 `RetireGrant` 操作来删除授权。
以下示例事件记录了 `CreateGrant` 操作:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "geo.region.amazonaws.com",
"operations": [
"GenerateDataKeyWithoutPlaintext",
"Decrypt",
"DescribeKey"
],
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"granteePrincipal": "geo.region.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
------
#### [ GenerateDataKeyWithoutPlainText ]
当您为追踪器或地理围栏收集资源启用 AWS KMS 客户托管密钥时,Amazon Location 会创建一个唯一的表密钥。它向发送`GenerateDataKeyWithoutPlainText`请求 AWS KMS ,指定资源的 AWS KMS 客户托管密钥。
以下示例事件记录了 `GenerateDataKeyWithoutPlainText` 操作:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
},
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e"
}
```
------
#### [ Decrypt ]
当您访问加密的跟踪器或地理围栏集合时,Amazon Location 会地理围栏 `Decrypt` 操作以使用存储的加密数据密钥来访问加密数据。
以下示例事件记录了 `Decrypt` 操作:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:10:51Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "dc129381-1d94-49bd-b522-f56a3482d088"
}
```
------
#### [ DescribeKey ]
Amazon Location 使用 `DescribeKey` 操作来验证账户和地区中是否存在与您的跟踪器或地理围栏集合关联的 AWS KMS 客户托管密钥。
以下示例事件记录了 `DescribeKey` 操作:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "geo.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
------
## 了解详情
以下资源提供有关静态数据加密的更多信息。
+ 有关 [AWS Key Management Service 基本概念](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)的更多信息,请参阅 **《AWS Key Management Service 开发人员指南》。
+ 有关[安全最佳实践的更多信息 AWS Key Management Service,请参](https://docs.aws.amazon.com/kms/latest/developerguide/kms-security.html)阅《*AWS Key Management Service 开发人员指南》*。
# Amazon Location Service 的传输中数据加密
Amazon Location 使用传输层安全性协议 (TLS) 1.2 加密协议自动加密所有网络间数据,从而保护往返服务的过程中的传输中数据。发送到 Amazon Location Servic APIs e 的直接 HTTPS 请求使用[AWS 签名版本 4 算法](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv-create-signed-request.html)进行签名,以建立安全连接。