Definir limites para acesso a serviços regionais - Entendendo a conformidade com o GDPR na AWS

Definir limites para acesso a serviços regionais

Como cliente, você mantém a propriedade sobre o seu conteúdo e seleciona quais serviços da AWS podem processar, armazenar e hospedar esse conteúdo. A AWS não acessa nem usa o seu conteúdo para nenhum finalidade sem o seu consentimento. Com base no modelo de responsabilidade compartilhada, você escolhe as regiões da AWS nas quais seu conteúdo é armazenado, permitindo que você implante serviços da AWS nos locais de sua escolha, de acordo com seus requisitos geográficos específicos. Por exemplo, se você quiser garantir que seu conteúdo esteja localizado apenas na Europa, você poderá optar por implantar serviços da AWS exclusivamente em uma das regiões europeias da AWS.

As políticas do IAM fornecem um mecanismo simples para limitar o acesso a serviços em regiões específicas. Você pode adicionar uma condição global (aws:RequestedRegion) às políticas do IAM anexadas às suas entidades principais do IAM para aplicá-la a todos os serviços da AWS. Por exemplo, a política a seguir usa o elemento NotAction com o efeito Deny, que nega explicitamente o acesso a todas as ações não listadas na instrução se a região solicitada não for na Europa. As ações nos serviços CloudFront, IAM, Amazon Route 53 e AWS Support não devem ser negadas porque são serviços globais populares da AWS. 


      {
         “Version”: “2012-10-17”,
         “Statement”: [
             {
                “Sid”: “DenyAllOutsideRequestedRegions”,
                “Effect”: “Deny”,
                “NotAction”: [
                     “cloudfront:*”,
                     “iam:*”,
                     ”route53:*”,
                     “support:*”
                 ],
                 “Resource”: “*”,
                 “Condition”: {
                    “StringNotLike”: {
                        “aws:RequestedRegion”: [
                              “eu-*”
                        ]
                     } 
                  }
            }    
          ]           
}

Esse exemplo de política do IAM também pode ser implementado como uma Política de Controle de Serviço (SCP) no AWS Organizations, que define os limites de permissão aplicados a contas específicas da AWS ou unidades organizacionais (OUs) em uma organização. Isso permite que você controle o acesso do usuário a serviços regionais em ambientes complexos de várias contas.

Existem recursos de limitação geográfica para regiões recém-lançadas. As regiões introduzidas após 20 de março de 2019 são desabilitadas por padrão. É necessário habilitar essas regiões antes que seja possível usá-las. Caso uma região da AWS seja desabilitada por padrão, é possível usar o Console de Gerenciamento da AWS para habilitar e desabilitar a região. A habilitação e a desabilitação das regiões da AWS permitem que você controle se os usuários em sua conta da AWS podem acessar recursos na região em questão. Para obter mais informações, consulte Gerenciar regiões da AWS.