Definieren von Grenzen für den Zugang zu regionalen Services

Als Kunde bleiben Sie der Eigentümer Ihrer Inhalte und können sich entscheiden, welche AWS-Services Ihre Inhalte verarbeiten, speichern und hosten können. AWS greift niemals auf Ihre Inhalte zu oder verwendet diese, ohne Sie vorher um Erlaubnis gebeten zu haben. Auf der Grundlage des Modells der geteilten Verantwortung wählen Sie die AWS-Regionen, in denen Ihre Inhalte gespeichert sind, sodass Sie die AWS-Services an den Orten Ihrer Wahl entsprechend Ihren spezifischen geographischen Anforderungen nutzen können. Wenn Sie beispielsweise sicherstellen möchten, dass sich Ihre Inhalte nur in Europa befinden, können Sie AWS-Services ausschließlich in einer der europäischen AWS-Regionen bereitstellen.

IAM-Richtlinien bieten einen einfachen Mechanismus, um den Zugriff auf Services in bestimmten Regionen zu beschränken. Sie können den IAM-Richtlinien, die Ihren IAM-Prinzipalen angehängt sind, eine globale Bedingung (aws:RequestedRegion) hinzufügen, um dies für alle AWS-Services durchzusetzen. Die folgende Richtlinie verwendet beispielsweise das NotAction-Element mit dem Deny-Effekt, der explizit den Zugriff auf alle Aktionen verweigert, die nicht in der Anweisung aufgeführt sind, wenn die angeforderte Region nicht europäisch ist. Aktionen in den Services CloudFront, IAM, Amazon Route 53 und AWS Support sollten nicht verweigert werden, da dies beliebte globale AWS-Services sind.



      {
         “Version”: “2012-10-17”,
         “Statement”: [
             {
                “Sid”: “DenyAllOutsideRequestedRegions”,
                “Effect”: “Deny”,
                “NotAction”: [
                     “cloudfront:*”,
                     “iam:*”,
                     ”route53:*”,
                     “support:*”
                 ],
                 “Resource”: “*”,
                 “Condition”: {
                    “StringNotLike”: {
                        “aws:RequestedRegion”: [
                              “eu-*”
                        ]
                     } 
                  }
            }    
          ]           
}

Dieses Beispiel für eine IAM-Richtlinie kann auch als Service Control Policy (SCP, Service-Kontrollrichtlinie) in AWS Organizations implementiert werden, die die Berechtigungsgrenzen definiert, die auf bestimmte AWS-Konten oder Organizational Units (OUs, Organisationseinheiten) innerhalb einer Organisation angewendet werden. Auf diese Weise können Sie den Benutzerzugriff auf regionale Services in komplexen Umgebungen mit mehreren Konten steuern.

Funktionen zur geografischen Einschränkung liegen für neu eingeführte Regionen vor. Regionen, die nach dem 20. März 2019 eingeführt wurden, sind standardmäßig deaktiviert. Sie müssen diese Regionen aktivieren, bevor Sie sie verwenden können. Wenn eine AWS-Region standardmäßig deaktiviert ist, können Sie mithilfe der AWS-Managementkonsole die Region aktivieren und deaktivieren. Indem Sie AWS-Regionen aktivieren und deaktivieren, können Sie steuern, ob Benutzer in Ihrem AWS-Konto auf Ressourcen in dieser Region zugreifen können. Weitere Informationen finden Sie unter Verwalten von AWS-Regionen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Zugriff auf AWS-Ressourcen

Steuern des Zugriffs auf Webanwendungen und mobile Apps