Restringir as transferências de dados entre Regiões da AWS - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Restringir as transferências de dados entre Regiões da AWS

Pesquisa

Gostaríamos muito de ouvir você. Forneça feedback sobre o AWS PRA respondendo a uma breve pesquisa.

Com exceção de dois perfis do AWS Identity and Access Management (IAM), essa política de controle de serviço nega chamadas de API para Serviços da AWS regionais nas Regiões da AWS que não sejam a eu-west-1 e a eu-central-1. Essa SCP pode ajudar a impedir a criação de serviços de armazenamento e processamento da AWS em regiões não aprovadas. Isso pode ajudar a evitar que dados pessoais sejam totalmente manipulados pelos Serviços da AWS nessas regiões. Essa política usa um parâmetro NotAction porque considera os Serviços da AWS globais, como o IAM, e os serviços que se integram a serviços globais, como o AWS Key Management Service (AWS KMS) e o Amazon CloudFront. Nos valores dos parâmetros, você pode especificar esses serviços globais e outros serviços não aplicáveis como exceções. Para obter mais informações sobre como essa política pode ajudar a proteger a privacidade e os dados pessoais em sua organização, consulte AWS Organizations neste guia.

{
    "Version": "2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "DenyAllOutsideEU",
            "Effect": "Deny",
            "NotAction": [
                "a4b:*",
                "acm:*",
                "aws-marketplace-management:*",
                "aws-marketplace:*",
                "aws-portal:*",
                "budgets:*",
                "ce:*",
                "chime:*",
                "cloudfront:*",
                "config:*",
                "cur:*",
                "directconnect:*",
                "ec2:DescribeRegions",
                "ec2:DescribeTransitGateways",
                "ec2:DescribeVpnGateways",
                "fms:*",
                "globalaccelerator:*",
                "health:*",
                "iam:*",
                "importexport:*",
                "kms:*",
                "mobileanalytics:*",
                "networkmanager:*",
                "organizations:*",
                "pricing:*",
                "route53:*",
                "route53domains:*",
                "route53-recovery-cluster:*",
                "route53-recovery-control-config:*",
                "route53-recovery-readiness:*",
                "s3:GetAccountPublic*",
                "s3:ListAllMyBuckets",
                "s3:ListMultiRegionAccessPoints",
                "s3:PutAccountPublic*",
                "shield:*",
                "sts:*",
                "support:*",
                "trustedadvisor:*",
                "waf-regional:*",
                "waf:*",
                "wafv2:*",
                "wellarchitected:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-central-1",
                        "eu-west-1"
                    ]
                },
                "ArnNotLike": {
                    "aws:PrincipalARN": [
                        "arn:aws:iam::*:role/Role1AllowedToBypassThisSCP",
                        "arn:aws:iam::*:role/Role2AllowedToBypassThisSCP"
                    ]
                }
            }
        }
    ]
}