Limitez les transferts de données entre Régions AWS - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Limitez les transferts de données entre Régions AWS

Nous aimerions avoir de vos nouvelles. Veuillez nous faire part de vos commentaires sur le AWS PRA en répondant à un court sondage.

À l'exception de deux rôles AWS Identity and Access Management (IAM), cette politique de contrôle des services refuse les appels d'API Services AWS aux entités régionales Régions AWS autres que eu-west-1 eteu-central-1. Ce SCP peut aider à empêcher la création de services de AWS stockage et de traitement dans les régions non approuvées. Cela peut contribuer à empêcher le traitement des données personnelles Services AWS dans toutes ces régions. Cette politique utilise un NotAction paramètre car elle prend en compte les services AWS mondiaux, tels que IAM, et les services intégrés aux services mondiaux, tels que AWS Key Management Service (AWS KMS) et Amazon CloudFront. Dans les valeurs des paramètres, vous pouvez spécifier ces services globaux et autres services non applicables en tant qu'exceptions. Pour plus d'informations sur la manière dont cette politique peut contribuer à protéger la confidentialité et les données personnelles au sein de votre organisation, consultez AWS Organizations ce guide.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAllOutsideEU",
            "Effect": "Deny",
            "NotAction": [
                "a4b:*",
                "acm:*",
                "aws-marketplace-management:*",
                "aws-marketplace:*",
                "aws-portal:*",
                "budgets:*",
                "ce:*",
                "chime:*",
                "cloudfront:*",
                "config:*",
                "cur:*",
                "directconnect:*",
                "ec2:DescribeRegions",
                "ec2:DescribeTransitGateways",
                "ec2:DescribeVpnGateways",
                "fms:*",
                "globalaccelerator:*",
                "health:*",
                "iam:*",
                "importexport:*",
                "kms:*",
                "mobileanalytics:*",
                "networkmanager:*",
                "organizations:*",
                "pricing:*",
                "route53:*",
                "route53domains:*",
                "route53-recovery-cluster:*",
                "route53-recovery-control-config:*",
                "route53-recovery-readiness:*",
                "s3:GetAccountPublic*",
                "s3:ListAllMyBuckets",
                "s3:ListMultiRegionAccessPoints",
                "s3:PutAccountPublic*",
                "shield:*",
                "sts:*",
                "support:*",
                "trustedadvisor:*",
                "waf-regional:*",
                "waf:*",
                "wafv2:*",
                "wellarchitected:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-central-1",
                        "eu-west-1"
                    ]
                },
                "ArnNotLike": {
                    "aws:PrincipalARN": [
                        "arn:aws:iam::*:role/Role1AllowedToBypassThisSCP",
                        "arn:aws:iam::*:role/Role2AllowedToBypassThisSCP"
                    ]
                }
            }
        }
    ]
}