Mendefinisikan Batas untuk Akses Layanan Regional
Sebagai pelanggan, Anda menjaga kepemilikan konten Anda dan memilih layanan AWS mana yang dapat memproses, menyimpan, dan meng-host konten Anda. AWS tidak mengakses atau menggunakan konten Anda untuk tujuan apa pun tanpa persetujuan Anda. Berdasarkan Model Tanggung Jawab Bersama, Anda memilih Wilayah AWS tempat konten disimpan, memungkinkan Anda men-deploy layanan AWS di lokasi pilihan Anda, sesuai dengan persyaratan geografis spesifik Anda. Misalnya, jika Anda ingin memastikan konten Anda hanya berada di Eropa, Anda dapat memilih untuk men-deploy layanan AWS secara eksklusif di salah satu Wilayah AWS Eropa.
Kebijakan IAM menyediakan mekanisme sederhana untuk membatasi akses ke layanan di Wilayah tertentu. Anda dapat menambahkan syarat global (aws:RequestedRegion
) ke kebijakan IAM yang dilampirkan pada Entitas Utama IAM Anda untuk memberlakukan syarat ini untuk semua layanan AWS. Misalnya, kebijakan berikut menggunakan NotAction
elemen dengan efek Deny
, yang secara eksplisit menolak akses ke semua tindakan yang tidak tercantum dalam pernyataan jika Wilayah yang diminta bukan Eropa. Tindakan di layanan CloudFront, IAM, Amazon Route 53
{ “Version”: “2012-10-17”, “Statement”: [ { “Sid”: “DenyAllOutsideRequestedRegions”, “Effect”: “Deny”, “NotAction”: [ “cloudfront:*”, “iam:*”, ”route53:*”, “support:*” ], “Resource”: “*”, “Condition”: { “StringNotLike”: { “aws:RequestedRegion”: [ “eu-*” ] } } } ] }
Contoh kebijakan IAM ini juga dapat diimplementasikan sebagai Kebijakan Kontrol Layanan (SCP) di AWS Organizations, yang mendefinisikan batas izin yang diterapkan pada akun AWS atau Unit Organisasi (OU) tertentu dalam suatu organisasi. Hal ini memungkinkan Anda mengontrol akses pengguna ke layanan regional di lingkungan multi-akun yang kompleks.
Kemampuan pembatasan geografis ada untuk Wilayah yang baru diluncurkan. Wilayah yang diperkenalkan setelah 20 Maret 2019 dinonaktifkan secara default. Anda harus mengaktifkan Wilayah ini sebelum Anda dapat menggunakannya. Jika Wilayah AWS dinonaktifkan secara default, Anda dapat menggunakan Konsol Manajemen AWS untuk mengaktifkan dan menonaktifkan Wilayah. Mengaktifkan dan menonaktifkan Wilayah AWS memungkinkan Anda mengontrol apakah pengguna di akun AWS Anda dapat mengakses sumber daya di Wilayah tersebut. Untuk informasi selengkapnya, lihat Mengelola Wilayah AWS.