欧洲数字主权常见问题

作为 AWS 客户，无论您的数据敏感性和工作负载如何，您都将从专为满足全球大多数安全敏感型组织的要求而打造的数据中心和网络架构中受益。您还可以获得由深入了解全球安全趋势的工程师设计的高级安全服务，这些服务旨在相互配合，并且使用您已知和信任的产品。

AWS 还提供各种安全工具，向客户提供 230 多项安全、合规性和治理服务与功能，用以保护应用程序。其中一个示例即为 AWS Nitro System，这是所有现代 Amazon Elastic Compute Cloud（Amazon EC2）实例的基础平台，可以额外增强应用程序的机密性和隐私性。  Nitro System 有意设计为无操作员访问权限。任何系统或人员无需通过任何机制即可登录 EC2 Nitro 主机、访问 EC2 实例的内存，或者访问本地加密实例存储或远程加密 EBS 卷上存储的任何客户数据。如果包括拥有最高权限的运营商在内的任何 AWS 运营商需要在 EC2 服务器上开展维护工作，他们仅能使用一系列有限的经过身份验证、授权、记录和审核的管理 API。这些 API 均不允许操作员访问 EC2 服务器上的客户数据。由于这些是 Nitro System 自带的经过设计和测试的技术限制，任何 AWS 运营商均无法避开这些控制和保护措施。作为我们提高透明度这一承诺的一部分，我们聘请了领先的网络安全咨询公司 NCC Group，对我们的 Nitro System 安全声明进行架构审核并出具公共报告。其报告证实，使用 AWS Nitro System 的任何 AWS 人员无需通过任何机制即可访问 Nitro 主机上的数据。我们还在 AWS 服务条款（第 96 节）中添加了 Nitro 控制措施，这些内容适用于 AWS 的所有使用者。

有关 Nitro 的更多信息，请阅读我们的机密计算博客文章和 AWS Nitro 安全白皮书，其中详细描述了现有安全机制。Nitro 可自动用于所有现代 Amazon EC2 实例，客户无需额外付费。

您。您拥有自己的客户内容，并且由您选择使用哪些 AWS 服务来处理和存储您的客户内容。未经您同意，我们不会出于任何目的而访问或使用您的客户内容。由您控制客户内容的安全和访问、身份管理、访问权限和身份验证方法、保留和删除。

客户内容的定义为：客户或任何终端用户传输给我们以便处理、存储或交由与该客户账户关联的 AWS 服务托管的软件（包括机器映像）、数据、文本、音频、视频或图像；以及客户或其终端用户在使用 AWS 服务过程中通过上述内容得出的任何计算结果。例如，客户或其终端用户存储在 Amazon Simple Storage Service（S3）中的内容就是客户内容。客户内容不包括资源标识符、元数据标签、使用策略、权限以及与 AWS 资源管理相关的类似项目中所包含的信息。

有关更多信息，请访问数据隐私常见问题。

作为客户，您可以确定自己的内容的存储位置、存储类型和存储所在的地理区域。AWS 全球基础设施让您可以灵活地选择运行工作负载的方式和地点。未经您同意，AWS 不会将您的内容移到或复制到您所选择的 AWS 区域之外，除非法律要求或者政府部门发布有约束力的指令要求。  作为我们合规性计划的一部分，外部独立审计师对这一承诺进行了核实，例如德国政府的 C5 认证。我们的认证报告载列于 AWS Artifact。

在使用 AWS 服务时，客户可以确信客户内容保留在所选 AWS 区域内。例如，通过选择 AWS 欧洲地区（巴黎），组成该区域的三个可用区（AZ）分别至少包括一个数据中心，AWS 客户即可控制其数据的位置，并可在法国境内构建高度可用的应用程序。少量 AWS 服务涉及数据传输，例如，出于开发和改进服务的需要，您可以在此过程中选择退出传输，或者因为传输是服务的重要部分（例如内容分发服务）。有关更多信息，请访问“AWS 服务的隐私功能”页面。

如需了解有关控制数据位置的更多信息，请参阅我们的白皮书《Using AWS in the Context of Common Privacy & Data Protection Considerations》（“AWS 区域：内容将存储在哪里？”部分）。

否。我们禁止（且我们的系统旨在防止）AWS 人员出于任何目的（包括服务维护）远程访问客户内容，除非客户要求访问或者出于防止欺诈和滥用或遵守法律的需要访问。作为我们 C5 认证的一部分，经外部独立审计师核实，只有经客户授权的人员才能访问内容，无一例外。

在 AWS，我们认为最佳安全工具不应在成本、易操作性或性能上有所妥协。我们建议客户在云端加密客户数据，我们为客户提供 AWS Key Management Service（KMS）等工具，采用可扩展、持久和高度可用的方式进行加密。AWS 主张的一项基本安全原则是，在任何 AWS 服务中，任何类型的明文加密密钥材料均不存在人机交互。包括 AWS 服务运营商在内，任何人无需通过任何机制即可查看、访问或导出明文密钥材料。即使是在灾难性故障和灾难恢复事件中，这一原则也同样适用。AWS KMS 中的明文客户密钥材料仅用于根据客户或其代理人对服务提出的授权请求，在经 AWS KMS FIPS 验证的 HSM 中进行加密操作。

AWS KMS 使用经过 NIST 联邦信息处理标准（FIPS）140 加密模块验证程序验证的 AWS 托管硬件安全模块（HSM），保护密钥的机密性和完整性。在这些 HSM 中生成的 KMS 密钥的所有密钥材料以及所有需要解密 KMS 密钥材料的操作，都在这些经 FIPS 140-2 安全级别 3 验证的 HSM 中严格进行。根据 FIPS 140 要求，KMS HSM 的所有固件变更均提交给 NIST 认可的实验室按照 FIPS 140 安全级别 3 进行验证。如需详细了解 AWS KMS 的设计方式以及用于保护密钥的加密技术，请阅读《AWS KMS Cryptographic Details》白皮书。

AWS 为 AWS KMS 提供了几个高级配置选项，称为自定义密钥存储，此类选项将 AWS KMS 便捷的密钥管理界面与控制和管理出现密钥材料和加密操作的 HSM 的能力相结合，甚至可以在 AWS 云之外使用您的 HSM。这些自定义密钥存储选项可能有助于您满足监管要求，即在本地或 AWS 云外部存储和使用加密密钥，或者使用单租户 HSM。这些自定义密钥存储的安全优势与 AWS KMS 相同，但管理和成本影响却有所不同（甚至更大）。因此，您对加密密钥的可用性和持久性以及 HSM 的操作承担更多责任。无论您是将 AWS KMS 与 AWS 托管 HSM 搭配使用，还是选择利用自定义密钥存储，您都可以通过 AWS KMS 控制谁可以使用您的 AWS KMS 密钥并访问您的加密数据。AWS KMS 支持两种类型的自定义密钥存储：

AWS CloudHSM 密钥存储
您可以在 AWS CloudHSM 密钥存储中创建 KMS 密钥，其中 KMS 密钥材料在您拥有和管理的 CloudHSM 集群中生成、存储和使用。向 AWS KMS 发出的使用密钥进行某些加密操作的请求会转发到您的 CloudHSM 集群，进而执行该操作。虽然 CloudHSM 集群由 AWS 托管，但它却是由您直接管理和运营的单租户解决方案。您可以获得 CloudHSM 集群中密钥的大部分可用性和性能。如需了解由 CloudHSM 支持的密钥存储是否符合您的要求，请阅读此博客。

外部密钥存储
您可以将 AWS KMS 配置为使用外部密钥存储库（XKS），其中 KMS 密钥材料在 AWS 云之外的密钥管理系统中生成、存储和使用。向 AWS KMS 发出的使用密钥进行某些加密操作的请求会转发到外部托管系统，进而执行该操作。具体而言，请求会转发到您网络中的 XKS 代理，然后该代理会将请求转发到您的首选加密系统。XKS 代理是一种开源规范，您可以将其与本地解决方案或众多商业密钥管理供应商整合，其中多数供应商的现有解决方案均支持 XKS 代理规范。由于外部密钥存储由您或某个第三方托管，您可获得系统中密钥的完整可用性、持久性和性能。如需了解 XKS 是否符合您的要求，请阅读此博客。

我们已经宣布计划推出 AWS 欧盟主权云服务，这是一款面向欧盟的全新独立云，旨在帮助公共部门组织和高度监管行业的客户满足其不断变化的主权需求。我们正在设计独立于现有 AWS 区域的 AWS 欧盟主权云服务，其基础设施完全位于欧盟（EU）境内，并且具有与客户在当今现有区域获得的相同的安全性、可用性和性能。与当前所有区域相同，使用 AWS 欧盟主权云服务的客户将受益于 AWS 的所有强大功能，其熟悉的架构、广泛的服务组合和 API 与当今数百万客户所用的相同。

为了提高在欧盟境内的运营自主性和韧性，只有位于欧盟境内的欧盟居民才可以控制日常运营活动，包括访问数据中心以及获取技术支持和 AWS 欧盟主权云服务的客户服务。如需了解更多信息，请阅读我们的公告或观看下方视频。

AWS 欧盟主权云服务计划于 2025 年底在德国推出其首个 AWS 区域。

AWS 欧盟主权云服务的首个 AWS 区域将位于德国勃兰登堡州。通过 Amazon 新闻博客 AWS plans to invest €7.8 billion into the AWS European Sovereign Cloud，了解更多信息。

推出新区域期间，我们将首先提供支持关键工作负载和应用程序所需的核心服务，然后根据客户与合作伙伴的需求继续扩展我们的服务目录。AWS 欧盟主权云服务最初将提供一系列不同种类的服务，包括人工智能：Amazon SageMaker、Amazon Q 以及 Amazon Bedrock，计算：Amazon EC2 与 AWS Lambda，容器：Amazon Elastic Kubernetes Service（Amazon EKS）与 Amazon Elastic Container Service（Amazon ECS），数据库：Amazon Aurora、Amazon DynamoDB 与 Amazon Relational Database Service（Amazon RDS），联网：Amazon Virtual Private Cloud（Amazon VPC），安全：AWS Key Management Service（AWS KMS）与 AWS Private Certificate Authority，以及存储：Amazon Simple Storage Service（Amazon S3）与 Amazon Elastic Block Store（Amazon EBS）。阅读博客文章，了解有关初始服务公告和路线图的更多详细信息。

AWS 直接与许多其他网络（包括其他云提供商的网络）互连，旨在帮助客户从不同提供商处、在不同网络中获得可靠的数据传输体验。如果客户决定切换 IT 提供商，我们希望清除让客户难以完成这件事的障碍，因为我们关注建立长期的客户信任，如能清除这些障碍，AWS 将对新客户和回头客产生吸引力。在全球范围内，如果客户希望迁移到 AWS 以外，则其有权免费将数据传输到互联网上。如需了解更多信息，请阅读我们的数据传输博客文章。

AWS 支持欧盟（EU）云基础设施服务的数据保护标准，例如切换云提供商和移植数据（SWIPO）行为准则。

为了提升应用程序层面的可移植性，AWS 提供了许多开源解决方案，包括 MySQL（Amazon RDS）、PostgreSQL（Amazon RDS）、Apache Kafka（Amazon Managed Streaming for Apache Kafka）、Kubernetes（Amazon EKS）、Elasticsearch（Amazon OpenSearch Service）、MongoDB（Amazon DocumentDB）、Apache Cassandra [Amazon Keyspaces（Apache Cassandra 兼容）] 以及 Apache Hadoop [Amazon Elastic MapReduce（EMR）]。在基础设施层面，VMware Cloud on AWS 与 AWS 云端 Red Hat OpenShift 服务也适用于希望在 AWS 云中使用这些可提供一致体验的流行技术的客户。

是，可以从 AWS 云向外部传输或复制数据。AWS 支持客户选择，包括选择将您的数据迁移到其他云提供商或本地。如果您希望将数据迁移到其他云提供商或本地，我们将免收将数据传输到互联网（DTO）的费用。

AWS 提供广泛的解决方案，借由这些解决方案，您可以直接通过互联网传输数据，也可以通过专用网络（AWS Direct Connect）或通过物理设备传输面向 AWS 客户的大量数据（AWS Snow 系列）。数据格式完全由客户控制。此外，我们的合同条款规定，客户可以随时检索其数据（请参阅 AWS 客户协议）。

我们在 AWS 设计了云服务，让客户可以自由选择最适合他们需求的技术，我们承诺可实现互操作性，这是客户首选 AWS 的关键原因。我们提供开放式 API 和软件开发工具包（SDK）、Amazon Elastic Container Service 和 Amazon EKS Anywhere 等服务，以及 AWS Outposts 系列和 AWS Snow 系列等混合基础设施服务，因此客户和第三方能够构建兼容的软件和解决方案。我们一直致力于开发最新的技术解决方案，这些解决方案可让客户在 AWS 上运行其应用程序，同时仍然可以连接到其他云提供商或在本地进行连接，以实现任何应用程序依赖关系。

云韧性是指应用程序抵御中断或从中断中恢复的能力，其中包括与基础设施、依赖服务、错误配置、瞬态网络问题和负载激增相关的中断。在组织更广泛的业务韧性战略（包括满足数字主权要求的能力）中，云韧性也发挥着至关重要的作用。客户需要知道的是，即使遭遇自然灾害、网络中断以及地缘政治危机造成中断，他们在云中的工作负载仍将继续运行。AWS 可提供最高级别的韧性和安全性，公共部门组织和高度监管行业的客户可借此来满足他们的需求。AWS 为全球数百万活跃客户提供保护，这些客户涉及不同的行业和使用案例，包括大型企业、初创企业、学校和政府机构等。

AWS 全球云基础设施旨在让客户能够构建高韧性的工作负载架构。AWS 在构建和运行世界上最具韧性的云方面进行了大量投资，具体方法是在服务设计和部署机制中建立防护措施，并将韧性融合到运营文化中。我们构建这些是为了防范中断和事件，在设计 AWS 服务时也将其考虑在内，因此当发生中断时，对客户和服务连续性的影响会尽可能降至最低。为避免单点故障，我们将全球基础设施内部的互连性降至最低。AWS 全球基础设施地理位置分散，横跨全球 33 个 AWS 区域内的 105 个可用区（AZ）。

每个区域由多个可用区组成，每个可用区包含一个或多个离散的数据中心，这些数据中心具有独立冗余的电力基础设施、联网能力和连接能力。特意拉开一个区域中可用区之间的距离，最远可达 60 英里（约 100 公里），从而防止发生相关故障，但又足够接近，可以使用延迟为个位数毫秒的同步复制功能。AWS 是唯一一家在每个区域内提供至少三个可用区的云提供商，提供了更多的冗余和更好的隔离，从而有效控制问题。发电机和冷却设备等常见故障点不在可用区之间共享，而是设计为由独立的变电站供电。为了更好地隔离问题并实现高可用性，客户可以跨同一区域中的多个可用区对应用程序进行分区。了解有关 AWS 如何维持运营韧性和服务连续性的更多信息。

韧性已根植于我们设计服务的方式中。在 AWS，我们构建的服务必须满足极高的可用性目标。我们会仔细考虑系统所具有的依赖关系。我们的系统经过精心设计，在这些依赖关系受损时也能保持韧性；我们使用所谓的静态稳定性来实现这种韧性水平。这意味着系统在静态状态下运行，在故障期间或依赖关系不可用时也能继续正常运行，无需进行更改。例如，在 Amazon Elastic Compute Cloud（Amazon EC2）中，启动实例后，其可用性就如数据中心的物理服务器一样。其他 AWS 资源也适用这一属性，例如虚拟私有云（VPC）、Amazon Simple Storage Service（Amazon S3）存储桶和对象，以及 Amazon Elastic Block Store（Amazon EBS）卷等。请参阅《Fault Isolation Boundaries 白皮书》了解更多信息。

实现运营韧性是 AWS 和客户的共同责任。AWS 负责确保客户所用的服务（其应用程序的组成部分）持续可用，并确保我们随时做好准备，能够处理可能影响我们基础设施的各种事件。我们提供的资源中探讨了客户对运营韧性的责任，即客户如何在 AWS 上设计、部署和测试应用程序，以实现所需的可用性和韧性，包括几乎不需要停机时间的关键任务应用程序。了解有关韧性责任共担模式的更多信息。

AWS 提供了一套全面的专用韧性服务、策略和架构最佳实践，可用于改善韧性状况，最终实现数字主权目标。AWS Resilience Lifecycle Framework 中概述了这些服务、策略和最佳实践，可分为五个阶段：设定目标、设计与实施、评估与测试、运营，以及响应与学习。Resilience Lifecycle Framework 仿照标准软件开发生命周期进行建模，因此客户可以让现有流程轻松实现韧性。

您可以使用 AWS 韧性监测中心来设置韧性目标，根据这些目标评估韧性状况，并根据 AWS Well-Architected Framework 和 AWS Trusted Advisor 实施改进建议。 在韧性监测中心内，您可以创建和运行 AWS 故障注入服务实验，这些实验可测试应用程序将如何响应某些类型的中断。其他 AWS 韧性服务（如 AWS Backup、AWS 弹性灾难恢复和 Amazon Route53 应用程序恢复控制器等）可助您快速响应中断并从中断中恢复。AWS 还提供《Fault Isolation Boundaries 白皮书》等资源，该白皮书详细介绍了 AWS 如何使用边界来创建分区、区域和全球服务，并包含有关如何考虑不同服务的依赖关系以及如何提高客户工作负载韧性的规范指引。

AWS 提供多种方法助您实现韧性目标，包括来自 AWS 合作伙伴和 AWS 专业服务团队的协助。AWS 韧性能力合作伙伴专门协助客户提高云端关键工作负载的可用性和韧性。AWS 专业服务团队提供韧性架构就绪情况评测，可评测客户在八个关键领域（变更管理、灾难恢复、持久性、可观测性、运营、冗余、可扩展性和测试）中的能力，以确定差距和待改进领域。

AWS 定期接受独立的第三方认证审计，以保证控制活动按预期进行。您可以沿用 AWS 运营的最新安全控制措施，从而加强自己的合规性和认证计划。AWS 支持超过 140 种安全标准与合规性认证，包括 ISO 标准、法国 HDS 认证、德国 C5 认证、DSS 和 SOC 标准。无论客户需要高级数据保护还是有更多标准需求，AWS 对所有客户都应用相同的安全模型。这样，即使我们的客户不处理个人数据、银行数据和健康数据等，也不管其应用程序的规模或重要性如何，他们都可以从此类敏感数据需要的最严格安全控制措施中受益。我们可以证明自己的合规性状态，帮助您证实符合行业和政府要求。我们通过名为 AWS Artifact 的自助门户直接向您提供合规性证书、报告和其他文档。

可以。AWS 致力于让客户能够根据欧盟的数据保护条例 [包括《一般数据保护条例》（GDPR）] 来使用所有 AWS 服务。AWS 客户可以根据 GDPR 的规定，使用所有 AWS 服务来处理上传到其 AWS 账户下的 AWS 服务的个人数据（定义见 GDPR），即客户数据。除了确保我们自己的合规性，AWS 还致力于为客户提供服务和资源，帮助他们遵守可能适用于其活动的 GDPR 要求。  有关更多信息，请访问 GDPR 中心。

对于受 GDPR 约束的客户，将会自动应用我们的《Data Processing Addendum（AWS DPA）》，包括标准合同条款（SCC）。AWS 服务条款包括欧盟委员会（EC）在 2021 年 6 月采用的 SCC，AWS DPA 确认每当 AWS 客户使用 AWS 服务将客户数据传输到欧洲经济区以外且尚未收到欧盟委员会充分认定的国家/地区（第三国）时，SCC 将自动适用。作为 AWS 服务条款的一部分，每当客户使用 AWS 服务将客户数据传输到第三国时，新 SCC 将自动适用。有关更多信息，请参阅有关实施新标准合同条款的博客文章。您还可以阅读我们的指南《Navigating Compliance with EU Data Transfer Requirements》。

可以。AWS 已根据欧洲云基础设施服务提供商数据保护行为准则（CISPE 准则）推出了 100 多项服务，该准则为我们的客户提供了独立验证，增加了保障级别，确保我们的云服务可以根据《一般数据保护条例》（GDPR）的规定使用。CISPE 准则经代表欧洲 27 个数据保护机构的欧洲数据保护委员会（EDPB）验证，并被担任主要监管机构的法国数据保护机关（CNIL）正式采用，该准则向组织确保，其云基础设施服务提供商满足的要求适用于根据 GDPR 代表组织处理的个人数据（客户数据）。CISPE 准则还提高了欧洲云服务的数据保护和隐私标准，超出了当前 GDPR 的要求。CISPE 准则可以帮助客户确保其云基础设施服务提供商提供相应的运营保证，以证明符合 GDPR 并保护客户数据。CISPE 目录（可在线获取）中列出了经独立验证符合 CISPE 准则的 AWS 服务。验证过程由 Ernst & Young CertifyPoint（EY CertifyPoint）进行。EY CertifyPoint 是一家独立的全球知名监督机构，获得了 CNIL 的认可。访问 GDPR 中心的常见问题，了解有关 AWS 符合 CISPE 准则的更多信息。

我们致力于通过可验证的客户内容访问控制并提高透明度来赢得客户信任。我们聘请了领先的网络安全咨询公司 NCC Group，对我们的 AWS Nitro System 安全声明进行架构审核并出具公共报告。该报告证实，使用 AWS Nitro System 的任何 AWS 人员无需通过任何机制即可访问 Nitro 主机上的内容。如需了解更多信息，请阅读我们的博客文章。

加密技术是确保 AWS 和客户安全性的重要组成部分。AWS 服务已支持对传输中数据、静态数据或内存中的数据进行加密，其中大多数还支持使用 AWS 无法访问的客户自主管理型密钥进行加密。通过 AWS 数字主权承诺，我们承诺将持续创新并投资开发主权和加密功能的额外控制能力，以便客户可以随时随地加密所有内容。

AWS 还承诺将使用最安全的可用加密算法来满足客户的安全和性能要求。我们默认采用高保证算法和实现方法，但我们更喜欢硬件优化型解决方案，这些解决方案速度更快、安全性更高且功耗更低。AWS Crypto Library（AWS-LC）就是我们对提供优化型、高保证、经正式验证的常数时间加密算法的承诺。在适用的情况下，我们遵循责任共担模式，让我们的客户能够自定义使用加密技术，满足各自在安全性、合规性和性能方面的要求，同时仍能达到行业公认的安全级别。例如，弹性负载均衡提供的应用程序负载均衡器可为传输层安全性协议（TLS）提供各种安全策略。

用于保护数据的加密算法的互操作性和可信度非常重要。AWS 服务使用的加密算法符合行业标准并可促进互操作性。政府、行业和学术界都广泛认可这些标准。要让一种算法得到广泛认可，需要在全球范围内进行大量分析。算法在行业内得到广泛应用也需要时间。缺乏分析和可用性会为实现互操作性和复杂性增加难度，并让部署面临风险。AWS 将根据需要继续部署新的加密选项，满足我们的高安全标准和性能要求。

下面我们总结了 AWS 为保护客户数据而在其服务中部署的加密算法、密码、模式和密钥长度。但这并非 AWS 中使用的所有加密技术的详尽列表。

这些算法可分为两类。首选算法是符合上述标准的算法。可接受的算法是可用于某些应用程序兼容性的可信算法，但并非首选算法。客户在加密应用场景中选择加密算法时可以考虑这些信息。

AWS 密切关注加密技术的发展、安全问题和研究成果。我们会删除已弃用的算法，并及时解决发现的安全问题。例如 logjam 漏洞安全问题，或者在 SIKE 算法失效后，尽管其并未构成安全风险，但仍然删除其在后量子混合模式下的早期实验部署。其他示例包括与填充 CBC 模式实现时的侧信道相关的常见安全问题。AWS 始终致力于发现旧版客户端的兼容性问题（这些客户端使用了安全性较低的算法），并与我们的客户合作，帮助他们迁移到安全的算法。

AWS 始终积极涉足新的加密领域，包括后量子密码术、加密数据计算以及更多领域。我们正准备将其部署到应用场景中，以保护客户数据。

有关欧洲数字主权的更多信息，请访问我们的资源。