リージョナルサービスアクセスの境界の定義 - AWS における GDPR コンプライアンスに関する情報提供

リージョナルサービスアクセスの境界の定義

お客様のコンテンツの所有権はお客様が保持します。また、お客様のコンテンツを処理、保存、ホストする AWS のサービスはお客様が選択します。いかなる目的であっても、AWS はお客様の同意を得ることなく、お客様のコンテンツにアクセスしたり、それを使用したりすることはありません。責任共有モデルに基づいて、コンテンツが保存される AWS リージョンをお客様が選択し、特定の地理的要件に従って、選択した場所に AWS のサービスをデプロイできます。例えば、コンテンツがヨーロッパのみに配置されるようにする場合、ヨーロッパの AWS リージョンの 1 つだけに AWS のサービスをデプロイするよう選択できます。

IAM ポリシーは、特定のリージョンのサービスへのアクセスを制限するシンプルなメカニズムを提供します。IAM プリンシパルに付与した IAM ポリシーにグローバル条件 (aws:RequestedRegion) を追加して、すべての AWS のサービスに強制することができます。例えば、次のポリシーでは、リクエストされたリージョンがヨーロッパではない場合、ステートメントに記載されていないすべてのアクションへのアクセスを明示的に拒否する Deny 効果を持つ NotAction エレメントを使用します。CloudFront、IAM、Amazon Route 53AWS Support サービスでのアクションは、一般的な AWS グローバルサービスであるため、拒否されるべきではありません。


      {
         “Version”: “2012-10-17”,
         “Statement”: [
             {
                “Sid”: “DenyAllOutsideRequestedRegions”,
                “Effect”: “Deny”,
                “NotAction”: [
                     “cloudfront:*”,
                     “iam:*”,
                     ”route53:*”,
                     “support:*”
                 ],
                 “Resource”: “*”,
                 “Condition”: {
                    “StringNotLike”: {
                        “aws:RequestedRegion”: [
                              “eu-*”
                        ]
                     } 
                  }
            }    
          ]           
}

このサンプル IAM ポリシーは、AWS Organizations のサービスコントロールポリシー (SCP) として実装することもできます。SCP は、組織内の特定の AWS アカウントまたは組織単位 (OU) に適用されるアクセス権限の境界を定義します。これにより、複雑なマルチアカウント環境で、リージョンのサービスへのユーザーアクセスを制御できます。

新しく立ち上げられたリージョンには、地域制限機能があります。2019 年 3 月 20 日以降に導入されたリージョンは、デフォルトで無効になっています。これらのリージョンを使用するには、有効にする必要があります。ある AWS リージョンがデフォルトで無効になっている場合は、AWS マネジメントコンソールを使用してリージョンを有効または無効にできます。AWS リージョンを有効化または無効化することで、AWS アカウントのユーザーがそのリージョンのリソースにアクセスできるかどうかの制御が可能になります。詳細については、「AWS リージョンの管理」を参照してください。