本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon Location Service 的最佳實務
<a name="best-practices"></a>

本主題提供最佳實務，協助您使用 Amazon Location Service。雖然這些最佳實務可協助您充分利用 Amazon Location Service，但不代表完整的解決方案。您應該只遵循適用於您環境的建議。

**Topics**
+ [安全](#security-best-practice)

## 安全
<a name="security-best-practice"></a>

為了協助管理甚至避免安全風險，請考慮下列最佳實務：
+ 使用聯合身分和 IAM 角色來管理、控制或限制對 Amazon Location 資源的存取。如需詳細資訊，請參《[IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)》中的 *IAM 最佳實務*。
+ 遵循最低權限原則，僅授予對 Amazon Location Service 資源的最低必要存取權。
+ 對於 Web 應用程式中使用的 Amazon Location Service 資源，請使用 IAM `aws:referer` 條件限制存取，限制允許清單中包含的網站以外的網站使用。
+ 使用監控和記錄工具來追蹤資源存取和用量。如需詳細資訊，請參閱 AWS CloudTrail 《 使用者指南》中的 [在 Amazon Location Service 中記錄和監控](security-logging-and-monitoring.md)和記錄線索的資料事件。 [https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html)
+ 使用安全連線，例如以 開頭的連線`https://`，在伺服器和瀏覽器之間傳輸資料時新增安全性並保護使用者免受攻擊。

### Amazon Location Service 的 Detective 安全最佳實務
<a name="security-best-practices-detective"></a>

下列 Amazon Location Service 的最佳實務可協助偵測安全事件：

**實作 AWS 監控工具**  
監控對於事件回應至關重要，並維護 Amazon Location Service 資源和 解決方案的可靠性和安全性。您可以從 提供的數種工具和服務實作監控工具 AWS ，以監控您的 資源和其他 AWS 服務。  
例如，Amazon CloudWatch 可讓您監控 Amazon Location Service 的指標，並可讓您設定警示，以便在指標符合您設定的特定條件且達到您定義的閾值時通知您。當您建立警示時，您可以將 CloudWatch 設定為使用 Amazon Simple Notification Service 傳送提醒通知。如需詳細資訊，請參閱[在 Amazon Location Service 中記錄和監控](security-logging-and-monitoring.md)。

**啟用 AWS 記錄工具**  
記錄提供 Amazon Location Service AWS 中使用者、角色或服務所採取動作的記錄。您可以實作記錄工具 AWS CloudTrail ，例如收集動作的資料，以偵測不尋常的 API 活動。  
建立追蹤時，您可以設定 CloudTrail 來記錄事件。事件是在資源上執行的資源操作記錄，例如對 Amazon Location 提出的請求、提出請求的 IP 地址、提出請求的人員、提出請求的時間，以及其他資料。如需詳細資訊，請參閱 AWS CloudTrail 《 使用者指南》中的[記錄線索的資料事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html)。

### Amazon Location Service 的預防性安全最佳實務
<a name="security-best-practices-preventive"></a>

下列 Amazon Location Service 的最佳實務有助於防止安全事件：

**使用安全連線**  
一律使用加密連線，例如開頭為 `https://` 的連線，以確保傳輸中敏感資訊的安全。

**實作 資源的最低權限存取**  
當您建立 Amazon Location 資源的自訂政策時，請僅授予執行任務所需的許可。建議從最小的一組許可開始，然後依需要授予額外的許可。對降低錯誤或惡意攻擊所引起的安全風險和影響而言，實作最低權限存取是相當重要的一環。如需詳細資訊，請參閱[使用 AWS Identity and Access Management 進行身分驗證](security-iam.md)。

**使用全域唯一 IDs做為裝置 IDs**  
針對裝置 IDs 使用以下慣例。  
+ 裝置 IDs 必須是唯一的。
+ 裝置 IDs不應是秘密，因為它們可以用作其他系統的外部金鑰。
+ 裝置 IDs不應包含個人身分識別資訊 (PII)，例如電話裝置 IDs或電子郵件地址。
+ 裝置 IDs 不應可預測。建議使用 UUIDs等不透明識別符。

**請勿在裝置位置屬性中包含 PII**  
傳送裝置更新時 （例如，使用 [DevicePositionUpdate](https://docs.aws.amazon.com/location/latest/APIReference/API_WaypointTracking_DevicePositionUpdate.html))，請勿在 中包含個人身分識別資訊 (PII)，例如電話號碼或電子郵件地址`PositionProperties`。