Définition des limites pour l'accès aux services régionaux

En tant que client, vous restez propriétaire de votre contenu et vous sélectionnez quels services AWS peuvent traiter, stocker et héberger votre contenu. AWS ne consulte ni n'utilise votre contenu à quelque fin que ce soit sans votre consentement. Sur la base du modèle de responsabilité partagée, vous choisissez les régions AWS dans lesquelles votre contenu est stocké et pouvez ainsi déployer les services AWS dans les emplacements de votre choix, conformément à vos exigences géographiques spécifiques. Par exemple, si vous souhaitez vous assurer que votre contenu se trouve uniquement en Europe, vous pouvez choisir de déployer les services AWS exclusivement dans l'une des régions AWS européennes.

Les stratégies IAM fournissent un mécanisme simple de limitation de l'accès aux services dans certaines régions. Vous pouvez ajouter une condition globale (aws:RequestedRegion) aux stratégies IAM attachées à vos entités IAM afin de l'appliquer à tous les services AWS. Par exemple, la stratégie ci-dessous utilise l'élément NotAction avec l'effet Deny, qui refuse explicitement l'accès à toutes les actions non répertoriées dans l'instruction si la région demandée n'est pas européenne. Les actions dans les services CloudFront, IAM, Amazon Route 53 et AWS Support ne doivent pas être refusées car il s'agit de services AWS de niveau international fréquemment utilisés.



      {
         “Version”: “2012-10-17”,
         “Statement”: [
             {
                “Sid”: “DenyAllOutsideRequestedRegions”,
                “Effect”: “Deny”,
                “NotAction”: [
                     “cloudfront:*”,
                     “iam:*”,
                     ”route53:*”,
                     “support:*”
                 ],
                 “Resource”: “*”,
                 “Condition”: {
                    “StringNotLike”: {
                        “aws:RequestedRegion”: [
                              “eu-*”
                        ]
                     } 
                  }
            }    
          ]           
}

Cet exemple de stratégie IAM peut également être implémenté en tant que stratégie de contrôle de service dans AWS Organizations, qui définit les limites d'autorisations appliquées à des comptes AWS ou à des unités d'organisation (UO) spécifiques au sein d'une organisation. Vous pouvez ainsi contrôler l'accès des utilisateurs aux services régionaux dans des environnements complexes à plusieurs comptes.

Il existe des fonctionnalités de géolimitation pour les régions récemment lancées. Les régions introduites après le 20 mars 2019 sont désactivées par défaut. Vous devez activer ces régions avant de pouvoir les utiliser. Si une région AWS est désactivée par défaut, vous pouvez l'activer et la désactiver à l'aide de la console de gestion AWS. Quand vous activez et désactivez des régions AWS, vous pouvez contrôler si les utilisateurs de votre compte AWS peuvent accéder aux ressources dans cette région. Pour en savoir plus, consultez Gestion des régions AWS.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Accès aux ressources AWS

Contrôle de l'accès aux applications web et mobiles