Keamanan dalam CloudWatch investigasi - Amazon CloudWatch
Izin CloudWatch investigasi default, retensi, dan enkripsiIzin pengguna untuk grup CloudWatch investigasi Anda Izin tambahan untuk Wawasan DatabaseBagaimana mengontrol CloudWatch investigasi data apa yang dapat diakses selama investigasiEnkripsi data investigasiInferensi Lintas Wilayah

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Keamanan dalam CloudWatch investigasi

Bagian ini mencakup topik tentang bagaimana CloudWatch investigasi terintegrasi dengan fitur AWS keamanan dan izin.

Izin CloudWatch investigasi default, retensi, dan enkripsi

Saat Anda menjalankan investigasi menggunakan pengaturan default tanpa konfigurasi tambahan di akun, investigasi menggunakan izin yang tersedia untuk sesi konsol Anda saat ini dan hanya mengakses data telemetri menggunakan izin hanya-baca. Tidak diperlukan konfigurasi peran IAM grup investigasi atau kebijakan izin. Namun, itu berarti akses investigasi ke data dibatasi oleh izin pengguna yang masuk.

Investigasi ini hanya tersedia untuk pengguna yang sama yang memulai penyelidikan. Investigasi tersedia untuk dilihat hanya untuk periode 24 jam, setelah itu penyelidikan dihapus tanpa opsi pemulihan yang tersedia.

Data investigasi dienkripsi saat istirahat dengan kunci yang AWS dimiliki. Anda tidak dapat melihat atau mengelola kunci yang AWS dimiliki, dan Anda tidak dapat menggunakannya untuk tujuan lain atau mengaudit penggunaannya. Namun, Anda tidak perlu mengambil tindakan apa pun atau mengubah pengaturan apa pun untuk menggunakan kunci ini. Untuk informasi selengkapnya, lihat kunci AWS KMS.

Izin pengguna untuk grup CloudWatch investigasi Anda

AWS telah membuat tiga kebijakan IAM terkelola yang dapat Anda gunakan untuk pengguna Anda yang akan bekerja dengan grup CloudWatch investigasi Anda.

  • AIOpsConsoleAdminPolicy— memberikan administrator kemampuan untuk mengatur CloudWatch investigasi di akun, akses ke tindakan CloudWatch investigasi, pengelolaan propagasi identitas tepercaya, dan manajemen integrasi dengan IAM Identity Center dan akses organisasi.

  • AIOpsOperatorAccess— memberikan pengguna akses ke tindakan investigasi termasuk memulai penyelidikan. Ini juga memberikan izin tambahan yang diperlukan untuk mengakses peristiwa investigasi.

  • AIOpsReadOnlyAccess— memberikan izin hanya-baca untuk CloudWatch investigasi dan layanan terkait lainnya.

Kami menyarankan Anda menggunakan tiga prinsip IAM, memberikan salah satu dari mereka kebijakan AIOpsConsoleAdminPolicyIAM, memberikan kebijakan lain, dan memberikan AIOpsOperatorAccesskebijakan ketiga. AIOpsReadOnlyAccess Prinsipal ini bisa berupa peran IAM (disarankan) atau pengguna IAM. Kemudian pengguna Anda yang bekerja dengan CloudWatch investigasi akan masuk menggunakan salah satu prinsip ini.

Izin untuk pembuatan laporan insiden

Pembuatan laporan insiden memerlukan izin tambahan untuk memungkinkan AI mengumpulkan peristiwa, fakta, dan kemudian membuat laporan.

Pengguna dengan AIOpsConsoleAdminPolicydapat membuat, mengedit, dan menyalin laporan insiden. Secara default, grup investigasi Anda ditugaskan AIOpsAssistantPolicy untuk memberikan akses ke sumber daya. Namun, itu tidak memiliki izin yang diperlukan untuk membuat laporan investigasi. Untuk memberikan izin kepada grup investigasi Anda untuk menyusun data investigasi ke dalam laporan insiden, Anda harus menambahkan kebijakan yang serupa dengan contoh berikut yang menyertakan izin tambahan atau menambahkan tindakan tambahan sebagai kebijakan sebaris ke grup:

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "IncidentReportOperations",
            "Effect": "Allow",
            "Action": [
                "aiops:GetInvestigation",
                "aiops:ListInvestigationEvents",
                "aiops:GetInvestigationEvent",

                "aiops:CreateReport",
                "aiops:UpdateReport", 
                "aiops:GetReport",

                "aiops:PutFact",
                "aiops:ListFacts",
                "aiops:GetFact",
                "aiops:GetFactVersions"
            ],
            "Resource": [
                "arn:aws:aiops:*:*:investigation-group/*"
            ]
        }
    ]
}

Kebijakan terkelola yang baru AIOpsAssistantIncidentReportPolicy memberikan izin yang diperlukan dan secara otomatis ditambahkan ke grup investigasi yang dibuat setelah 10 Oktober 2025. Untuk informasi selengkapnya, lihat AIOpsAssistantIncidentReportPolicy.

Izin tambahan untuk Wawasan Database

Untuk menggunakan kemampuan Database Insights selama investigasi, Anda harus melampirkan kebijakan AmazonRDSPerformanceInsightsFullAccess terkelola ke peran IAM atau pengguna yang Anda gunakan untuk melakukan investigasi. CloudWatch investigasi memerlukan izin ini untuk membuat dan mengakses laporan analisis kinerja untuk instans database Amazon RDS Anda.

Untuk melampirkan kebijakan ini, gunakan konsol IAM untuk menambahkan kebijakan AmazonRDSPerformanceInsightsFullAccess terkelola ke prinsipal investigasi Anda. Untuk informasi selengkapnya tentang kebijakan terkelola ini dan izinnya, lihat Amazon RDSPerformance InsightsFullAccess.

Bagaimana mengontrol CloudWatch investigasi data apa yang dapat diakses selama investigasi

Saat mengonfigurasi grup investigasi di akun, Anda menentukan izin apa yang dimiliki CloudWatch investigasi untuk mengakses sumber daya Anda selama investigasi. Anda melakukan ini dengan menetapkan peran IAM ke kelompok investigasi.

Untuk memungkinkan CloudWatch investigasi mengakses sumber daya dan dapat membuat saran dan hipotesis, metode yang direkomendasikan adalah melampirkan peran AIOpsAssistantPolicykelompok investigasi. Ini memberikan izin grup investigasi untuk menganalisis AWS sumber daya Anda selama penyelidikan Anda. Untuk informasi tentang isi lengkap kebijakan ini, lihatAIOpsAssistantPolicy.

Anda juga dapat memilih untuk melampirkan jenderal AWS ReadOnlyAccesske peran kelompok investigasi, selain melampirkan AIOpsAssistantPolicy. Alasan untuk melakukan ini adalah AWS pembaruan ReadOnlyAccesslebih sering dengan izin untuk AWS layanan dan tindakan baru yang dirilis. Ini juga AIOpsAssistantPolicyakan diperbarui untuk tindakan baru, tetapi tidak sesering itu.

Jika Anda ingin mencakupkan izin yang diberikan untuk CloudWatch investigasi, Anda dapat melampirkan kebijakan IAM khusus ke peran IAM grup investigasi alih-alih melampirkan kebijakan. AIOpsAssistantPolicy Untuk melakukannya, mulai kebijakan kustom Anda dengan konten AIOpsAssistantPolicydan kemudian hapus izin yang tidak ingin Anda berikan untuk CloudWatch investigasi. Ini akan mencegah CloudWatch investigasi membuat saran berdasarkan AWS layanan atau tindakan yang tidak Anda berikan akses.

catatan

Apa pun yang dapat diakses CloudWatch investigasi dapat ditambahkan ke penyelidikan dan dilihat oleh operator investigasi Anda. Kami menyarankan Anda menyelaraskan izin CloudWatch investigasi dengan izin yang dimiliki operator grup investigasi Anda.

Memungkinkan CloudWatch investigasi untuk mendekripsi data terenkripsi selama investigasi

Jika Anda mengenkripsi data Anda di salah satu layanan berikut dengan kunci yang dikelola pelanggan AWS KMS, dan Anda ingin CloudWatch investigasi dapat mendekripsi data dari layanan ini dan memasukkannya ke dalam investigasi, Anda harus melampirkan satu atau lebih kebijakan IAM tambahan ke peran IAM grup investigasi.

  • AWS Step Functions

Pernyataan kebijakan harus menyertakan kunci konteks untuk konteks enkripsi guna membantu cakupan izin. Misalnya, kebijakan berikut akan memungkinkan CloudWatch investigasi untuk mendekripsi data untuk mesin status Step Functions.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
        {
            "Sid": "AIOPSKMSAccessForStepFunctions",
            "Effect": "Allow",
            "Principal": {
                "Service": "aiops.amazonaws.com"
            },
            "Action":
            [
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                     "kms:ViaService": "states.*.amazonaws.com",
                     "kms:EncryptionContext:aws:states:stateMachineArn": "arn:aws:states:region:accountId:stateMachine:*"
                }
            }
        }
    ]
}

Untuk informasi selengkapnya tentang jenis kebijakan ini dan menggunakan kunci konteks ini, lihat kms: ViaService dan kms:EncryptionContext: context-key di Panduan AWS Key Management Service Pengembang, dan aws: SourceArn di Panduan Pengguna IAM.

Enkripsi data investigasi

Untuk enkripsi data investigasi Anda, AWS menawarkan dua opsi:

  • AWS kunci yang dimiliki — Secara default, CloudWatch investigasi mengenkripsi data investigasi saat istirahat dengan kunci yang AWS dimiliki. Anda tidak dapat melihat atau mengelola kunci yang AWS dimiliki, dan Anda tidak dapat menggunakannya untuk tujuan lain atau mengaudit penggunaannya. Namun, Anda tidak perlu mengambil tindakan apa pun atau mengubah pengaturan apa pun untuk menggunakan kunci ini. Untuk informasi selengkapnya tentang kunci yang AWS dimiliki, lihat kunci AWS yang dimiliki.

  • Kunci yang dikelola pelanggan — Ini adalah kunci yang Anda buat dan kelola sendiri. Anda dapat memilih untuk menggunakan kunci yang dikelola pelanggan alih-alih kunci yang AWS dimiliki untuk data investigasi Anda. Untuk informasi selengkapnya tentang kunci terkelola pelanggan, lihat Kunci terkelola pelanggan.

Laporan insiden yang dihasilkan dari investigasi menggunakan pengaturan enkripsi yang sama dengan investigasi induk. Ini menjaga postur keamanan yang konsisten di seluruh data dan dokumentasi investigasi Anda

catatan

CloudWatch investigasi secara otomatis memungkinkan enkripsi saat istirahat menggunakan kunci yang AWS dimiliki tanpa biaya. Jika Anda menggunakan kunci yang dikelola pelanggan, AWS KMS dikenakan biaya. Untuk informasi selengkapnya tentang harga, silakan lihat harga AWS Key Management Service.

Untuk informasi lebih lanjut tentang AWS KMS, lihat AWS Key Management Service.

Menggunakan kunci yang dikelola pelanggan untuk grup investigasi Anda

Anda dapat mengaitkan grup investigasi dengan kunci yang dikelola pelanggan, dan kemudian semua investigasi yang dibuat dalam grup tersebut akan menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data investigasi Anda saat istirahat.

CloudWatch investigasi penggunaan kunci yang dikelola pelanggan memiliki ketentuan sebagai berikut:

  • CloudWatch investigasi hanya mendukung AWS KMS kunci enkripsi simetris dengan spesifikasi kunci default,SYMMETRIC_DEFAULT, dan yang memiliki penggunaan didefinisikan sebagai. ENCRYPT_DECRYPT

  • Agar pengguna dapat membuat atau memperbarui grup investigasi dengan kunci yang dikelola pelanggan, pengguna tersebut harus memilikikms:DescribeKey,kms:GenerateDataKey, dan kms:Decrypt izin.

  • Agar pengguna dapat membuat atau memperbarui investigasi dalam grup investigasi yang menggunakan kunci yang dikelola pelanggan, pengguna tersebut harus memiliki izin kms:GenerateDataKey dan kms:Decrypt izin.

  • Agar pengguna dapat melihat data investigasi dalam grup investigasi yang menggunakan kunci yang dikelola pelanggan, pengguna tersebut harus memiliki kms:Decrypt izin.

Menyiapkan investigasi untuk menggunakan kunci yang dikelola AWS KMS pelanggan

Pertama, jika Anda belum memiliki kunci simetris yang ingin Anda gunakan, buat kunci baru dengan perintah berikut.

aws kms create-key

Output perintah mencakup ID kunci dan Nama Sumber Daya Amazon (ARN) dari kunci. Anda akan membutuhkannya di langkah selanjutnya di bagian ini. Berikut ini adalah contoh dari output ini.

{
"KeyMetadata": {
"Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1478910250.94,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/6f815f63-e628-448c-8251-e4EXAMPLE",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}

Tetapkan izin pada kunci

Selanjutnya, atur izin pada kunci. Secara default, semua AWS KMS kunci bersifat pribadi. Hanya pemilik sumber daya yang dapat menggunakannya untuk mengenkripsi dan mendekripsi data. Namun, pemilik sumber daya dapat memberikan izin untuk mengakses kunci ke pengguna dan sumber daya lain. Dengan langkah ini, Anda memberikan izin utama layanan Operasi AI untuk menggunakan kunci tersebut. Prinsipal layanan ini harus berada di AWS Wilayah yang sama di mana kunci KMS disimpan.

Sebagai praktik terbaik, kami menyarankan Anda membatasi penggunaan kunci KMS hanya untuk AWS akun atau sumber daya yang Anda tentukan.

Langkah pertama untuk menyetel izin adalah menyimpan kebijakan default untuk kunci Anda sebagaipolicy.json. Gunakan perintah berikut untuk melakukannya. Ganti key-id dengan ID kunci Anda.

aws kms get-key-policy --key-id key-id --policy-name default --output text > ./policy.json

Buka policy.json file di editor teks dan tambahkan bagian kebijakan berikut ke dalam kebijakan tersebut. Pisahkan pernyataan yang ada dari bagian baru dengan koma. Bagian baru ini menggunakan Condition bagian untuk meningkatkan keamanan AWS KMS kunci. Untuk informasi selengkapnya, lihat AWS KMS kunci dan konteks enkripsi.

Kebijakan ini memberikan izin untuk prinsipal layanan karena alasan berikut:

  • aiopsLayanan memerlukan GenerateDataKey izin untuk mendapatkan kunci data dan menggunakan kunci data tersebut untuk mengenkripsi data Anda saat disimpan dalam keadaan istirahat. DecryptIzin diperlukan untuk mendekripsi data Anda saat membaca dari penyimpanan data. Dekripsi terjadi ketika Anda membaca data menggunakan aiops APIs atau ketika Anda memperbarui investigasi atau peristiwa investigasi. Operasi pembaruan mengambil data yang ada setelah mendekripsi, memperbarui data, dan menyimpan data yang diperbarui di penyimpanan data setelah mengenkripsi

  • Layanan CloudWatch alarm dapat membuat investigasi atau peristiwa investigasi. Ini membuat operasi memverifikasi bahwa penelepon memiliki akses ke AWS KMS kunci yang ditentukan untuk grup investigasi. Pernyataan kebijakan memberikan GenerateDataKey dan Decrypt izin ke layanan CloudWatch alarm untuk membuat investigasi atas nama Anda.

catatan

Kebijakan berikut mengasumsikan bahwa Anda mengikuti rekomendasi untuk menggunakan tiga prinsip IAM, dan memberikan salah satu dari mereka kebijakan AIOpsConsoleAdminPolicyIAM, memberikan kebijakan lain, dan memberikan AIOpsOperatorAccesskebijakan ketiga. AIOpsReadOnlyAccess Prinsipal ini bisa berupa peran IAM (disarankan) atau pengguna IAM. Kemudian pengguna Anda yang bekerja dengan CloudWatch investigasi akan masuk dengan salah satu prinsip ini.

Untuk kebijakan berikut, Anda memerlukan tiga ARNs prinsip tersebut.

{
    "Sid": "Enable AI Operations Admin for the DescribeKey permissions",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::{account-id}:role/{AIOpsConsoleAdmin}"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        }
    }
},
{
   "Sid": "Enable AI Operations Admin and Operator for the Decrypt and GenerateDataKey permissions", 
   "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::{account-id}:role/{AIOpsConsoleAdmin}",
            "arn:aws:iam::{account-id}:role/{AIOpsOperator}"
         ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        },
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
   "Sid": "Enable AI Operations ReadOnly for the Decrypt permission",
   "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::{account-id}:role/{AIOpsReadOnly}"
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        },
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
   "Sid": "Enable the AI Operations service to have the DescribeKey permission",
   "Effect": "Allow",
    "Principal": {
        "Service": "aiops.amazonaws.com"
    },
    "Action": [
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "aws:SourceAccount": "{account-id}"
        },
        "StringLike": {
            "aws:SourceArn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
   "Sid": "Enable the AI Operations service to have the Decrypt and GenerateDataKey permissions",
   "Effect": "Allow",
    "Principal": {
        "Service": "aiops.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
            "aws:SourceAccount": "{account-id}"
        },
        "StringLike": {
            "aws:SourceArn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        },
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        }
    }
 },
 {
    "Sid": "Enable CloudWatch to have the Decrypt and GenerateDataKey permissions",
    "Effect": "Allow",
    "Principal": {
        "Service": "aiops.alarms.cloudwatch.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": {
            "kms:EncryptionContext:aws:aiops:investigation-group-arn": "arn:aws:aiops:{region}:{account-id}:investigation-group/*"
        },
        "StringEquals": {
            "aws:SourceAccount": "{account-id}",
            "kms:ViaService": "aiops.{region}.amazonaws.com"
        }, 
        "StringLike": { 
            "aws:SourceArn": "arn:aws:cloudwatch:{region}:{account-id}:alarm:*"
        }
    }
  }

Setelah memperbarui kebijakan, tetapkan ke kunci dengan memasukkan perintah berikut.

aws kms put-key-policy --key-id key-id --policy-name default --policy file://policy.json

Kaitkan kunci dengan kelompok investigasi

Saat Anda menggunakan CloudWatch konsol untuk membuat grup investigasi, Anda dapat memilih untuk mengaitkan AWS KMS kunci dengan grup investigasi. Untuk informasi selengkapnya, lihat Menyiapkan kelompok investigasi.

Anda juga dapat mengaitkan kunci yang dikelola pelanggan dengan grup investigasi yang ada.

Mengubah konfigurasi enkripsi

Anda dapat memperbarui grup investigasi untuk mengubah antara menggunakan kunci yang dikelola pelanggan atau kunci yang dimiliki layanan. Anda juga dapat mengubah dari menggunakan satu kunci yang dikelola pelanggan menjadi menggunakan yang lain. Ketika Anda membuat perubahan seperti itu, perubahan tersebut berlaku untuk investigasi baru yang dibuat setelah perubahan. Investigasi sebelumnya masih terkait dengan konfigurasi enkripsi lama. Investigasi yang sedang berlangsung saat ini juga terus menggunakan kunci asli untuk data baru.

Selama kunci yang digunakan sebelumnya aktif dan Amazon Q memiliki akses ke sana untuk penyelidikan, Anda dapat mengambil investigasi lama yang dienkripsi dengan metode itu, serta data dalam penyelidikan saat ini yang dienkripsi dengan kunci sebelumnya. Jika Anda menghapus kunci yang sebelumnya digunakan atau mencabut akses ke sana, data investigasi yang dienkripsi dengan kunci tersebut tidak dapat diambil.

Inferensi Lintas Wilayah

CloudWatch Investigasi menggunakan inferensi lintas wilayah untuk mendistribusikan lalu lintas di berbagai Wilayah. AWS Meskipun data tetap disimpan hanya di Wilayah utama, saat menggunakan inferensi Lintas wilayah, data investigasi Anda mungkin berpindah ke luar Wilayah utama Anda. Semua data akan dikirimkan dienkripsi di seluruh jaringan aman Amazon.

Untuk detail tentang di mana distribusi inferensi lintas wilayah terjadi untuk setiap Wilayah, lihat tabel berikut.

Geografi CloudWatch investigasi yang didukung Wilayah Investigasi Kemungkinan inferensi Wilayah
Amerika Serikat (US) AS Timur (Virginia Utara) AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon)
AS Timur (Ohio) AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon)
AS Barat (Oregon) AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon)
Eropa (UE) Eropa (Frankfurt) Eropa (Frankfurt), Eropa (Irlandia), Eropa (Paris), Eropa (Stockholm)
Eropa (Irlandia) Eropa (Frankfurt), Eropa (Irlandia), Eropa (Paris), Eropa (Stockholm)
Eropa (Spanyol) Eropa (Frankfurt), Eropa (Irlandia), Eropa (Paris), Eropa (Stockholm)
Eropa (Stockholm) Eropa (Frankfurt), Eropa (Irlandia), Eropa (Paris), Eropa (Stockholm)
Asia-Pasifik (AP) Asia Pasifik (Hong Kong) AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon)
Asia Pasifik (Mumbai) AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon)
Asia Pasifik (Singapura) AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon)
Asia Pasifik (Sydney) AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon)
Asia Pasifik (Tokyo) AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon)
Asia Pasifik (Malaysia) AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon)
Asia Pasifik (Thailand) AS Timur (Virginia Utara), AS Timur (Ohio), AS Barat (Oregon)