Definición de límites para acceder a servicios regionales - Información general sobre el cumplimiento del reglamento GDPR en AWS

Definición de límites para acceder a servicios regionales

Como cliente, sigue siendo propietario del contenido y puede seleccionar qué servicios de AWS pueden procesar el contenido, almacenarlo y alojarlo. AWS no puede accede al contenido ni usarlo para ningún otro fin sin su consentimiento. Según el modelo de responsabilidad compartida, usted elige las regiones de AWS en las que se almacena el contenido, lo que le permite implementar los servicios de AWS en las ubicaciones que elija, de acuerdo con los requisitos geográficos que especifique. Por ejemplo, si desea asegurarse de que el contenido se encuentre solo en Europa, puede optar por implementar los servicios de AWS exclusivamente en una de las regiones europeas de AWS.

Las políticas de IAM proporcionan un mecanismo simple para limitar el acceso a los servicios en regiones específicas. Puede añadir una condición global (aws:RequestedRegion) a las políticas de IAM adjuntas a las entidades principales de IAM para aplicarla a todos los servicios de AWS. Por ejemplo, la siguiente política utiliza el elemento NotAction con el efecto Deny, que niega explícitamente el acceso a todas las acciones que no figuran en la declaración si la región solicitada no es europea. No se deben negar las acciones en los servicios de CloudFront, IAM, Amazon Route 53 y AWS Support porque se trata de servicios globales populares de AWS. 


      {
         “Version”: “2012-10-17”,
         “Statement”: [
             {
                “Sid”: “DenyAllOutsideRequestedRegions”,
                “Effect”: “Deny”,
                “NotAction”: [
                     “cloudfront:*”,
                     “iam:*”,
                     ”route53:*”,
                     “support:*”
                 ],
                 “Resource”: “*”,
                 “Condition”: {
                    “StringNotLike”: {
                        “aws:RequestedRegion”: [
                              “eu-*”
                        ]
                     } 
                  }
            }    
          ]           
}

Esta política de IAM de ejemplo también se puede implementar como política de control de servicios (SCP, por sus siglas en inglés) en AWS Organizations, que define los límites de los permisos que se aplican a cuentas o unidades organizativas (OU) de AWS específicas dentro de una organización. Esto le permite controlar el acceso de los usuarios a los servicios regionales en entornos complejos de varias cuentas.

Existen capacidades de limitación geográfica para las regiones que se acaben de lanzar. Las regiones introducidas después del 20 de marzo de 2019 están desactivadas de forma predeterminada. Debe habilitar estas regiones para poder usarlas. Si una región de AWS está deshabilitada de forma predeterminada, puede utilizar la consola de administración de AWS para habilitarla y deshabilitarla. La habilitación y deshabilitación de regiones de AWS permite controlar si los usuarios de su cuenta de AWS pueden acceder a los recursos de esa región. Para obtener más información, consulte el tema sobre la administración de regiones de AWS.