리전 서비스 액세스의 경계 정의 - AWS에서 GDPR 규정 준수 탐색

리전 서비스 액세스의 경계 정의

고객은 자신의 콘텐츠에 대한 소유권을 유지하고 콘텐츠를 처리, 저장 및 호스트할 수 있는 AWS 서비스를 선택합니다. AWS는 사용자의 동의 없이 어떤 목적으로도 사용자의 콘텐츠에 액세스하거나 사용자의 콘텐츠를 사용하지 않습니다. 공동 책임 모델을 기반으로 콘텐츠가 저장되는 AWS 리전을 선택하면 특정 지리적 요구 사항에 따라 선택한 위치에 AWS 서비스를 배포할 수 있습니다. 예를 들어 콘텐츠가 유럽에만 위치하도록 하려면 AWS 서비스를 유럽 AWS 리전 중 하나에만 배포하도록 선택할 수 있습니다.

IAM 정책은 특정 리전의 서비스에 대한 액세스를 제한하는 간단한 메커니즘을 제공합니다. IAM 보안 주체에 연결된 IAM 정책에 글로벌 조건(aws:RequestedRegion)을 추가하여 이 정책을 모든 AWS 서비스에 적용할 수 있습니다. 예를 들어, 다음 정책Deny 효과가 있는 NotAction 요소를 사용하며, 이 요소는 요청된 리전이 유럽이 아닌 경우 문에 나열되지 않은 모든 작업에 대한 액세스를 명시적으로 거부합니다. CloudFront, IAM, Amazon Route 53AWS Support 서비스의 작업은 널리 사용되는 AWS 글로벌 서비스이므로 거부해서는 안 됩니다. 


      {
         “Version”: “2012-10-17”,
         “Statement”: [
             {
                “Sid”: “DenyAllOutsideRequestedRegions”,
                “Effect”: “Deny”,
                “NotAction”: [
                     “cloudfront:*”,
                     “iam:*”,
                     ”route53:*”,
                     “support:*”
                 ],
                 “Resource”: “*”,
                 “Condition”: {
                    “StringNotLike”: {
                        “aws:RequestedRegion”: [
                              “eu-*”
                        ]
                     } 
                  }
            }    
          ]           
}

이 샘플 IAM 정책을 AWS Organizations에서 서비스 제어 정책(SCP)으로 구현할 수도 있습니다. 이 정책은 조직 내의 특정 AWS 계정 또는 조직 단위(OU)에 적용되는 권한 경계를 정의합니다. 이렇게 하면 복잡한 다중 계정 환경에서 리전 서비스에 대한 사용자 액세스를 제어할 수 있습니다.

새로 시작된 리전에는 지리적 제한 기능이 있습니다. 2019년 3월 20일 이후에 도입된 리전은 기본적으로 비활성화되어 있습니다. 이 리전을 사용하려면 먼저 활성화해야 합니다. AWS 리전이 기본적으로 비활성화되어 있는 경우 AWS 관리 콘솔을 사용하여 리전을 활성화하고 비활성화할 수 있습니다. AWS 리전을 활성화하거나 비활성화하여 AWS 계정에 있는 사용자가 해당 리전의 리소스에 액세스할 수 있는지 여부를 제어할 수 있습니다. 자세한 내용은 AWS 리전 관리를 참조하세요.