Definizione dei limiti per l'accesso ai servizi regionali - Conformità al regolamento generale sulla protezione dei dati in AWS

Definizione dei limiti per l'accesso ai servizi regionali

La proprietà dei dati rimane al cliente, che potrà scegliere a quali servizi AWS consentirne elaborazione, archiviazione e hosting. AWS non accede né utilizza i contenuti dei clienti per alcun motivo senza il loro consenso. In base al modello di responsabilità condivisa, sei tu che scegli le regioni AWS in cui vengono archiviati i tuoi contenuti, il che ti permette di distribuire i servizi AWS nelle posizioni di tua scelta, in base ai tuoi requisiti geografici specifici. Ad esempio, se desideri che i tuoi contenuti siano localizzati solo in Europa, puoi scegliere di distribuire i servizi AWS esclusivamente in una delle regioni AWS europee.

Le policy IAM forniscono un modo semplice per limitare l'accesso ai servizi in regioni specifiche. Puoi aggiungere una condizione globale (aws:RequestedRegion) alle policy IAM associate ai tuoi principali IAM da applicare a tutti i servizi AWS. Ad esempio, la seguente policy utilizza l'elemento NotAction con l'Denyeffetto di negare esplicitamente l'accesso a tutte le operazioni non elencate nell'istruzione se la Regione richiesta non è europea. Le autorizzazioni per eseguire operazioni nei servizi CloudFront, IAM, Amazon Route 53 e AWS Support non devono essere negate perché si tratta di servizi globali AWS molto diffusi. 


      {
         “Version”: “2012-10-17”,
         “Statement”: [
             {
                “Sid”: “DenyAllOutsideRequestedRegions”,
                “Effect”: “Deny”,
                “NotAction”: [
                     “cloudfront:*”,
                     “iam:*”,
                     ”route53:*”,
                     “support:*”
                 ],
                 “Resource”: “*”,
                 “Condition”: {
                    “StringNotLike”: {
                        “aws:RequestedRegion”: [
                              “eu-*”
                        ]
                     } 
                  }
            }    
          ]           
}

Questa policy IAM di esempio può essere implementata anche come Service Control Policy (SCP) in AWS Organizations, che definisce i limiti di autorizzazioni applicati a specifici account AWS o unità organizzative (OU) all'interno di un'organizzazione. Ciò consente di controllare l'accesso degli utenti ai servizi regionali in ambienti multi-account complessi.

Per le regioni introdotte di recente sono disponibili funzionalità di limitazione geografica. Le regioni introdotte dopo il 20 marzo 2019 sono disabilitate per impostazione predefinita. È necessario abilitare queste regioni prima di poterle utilizzare. Per abilitare o disabilitare una regione AWS disabilitata per impostazione predefinita puoi utilizzare la Console di gestione AWS. Attraverso l'abilitazione e la disabilitazione delle regioni è possibile controllare se gli utenti dell'account hanno accesso alle risorse in quella regione. Per ulteriori informazioni, consulta Gestione delle regioni AWS.