AWS 中的数字主权

AWS 上工作负载的位置始终由客户控制。您可以选择将客户数据部署到我们在世界各地的任何区域。您还可以使用 AWS 专用本地区域，在这种情况下，我们将与您合作，配置您自己的 Local Zones，并提供满足法规要求所需的服务和功能。

使用 AWS 时，您可以借助强大的 AWS 服务和工具来控制数据，决定数据的存储位置、保护方式以及访问权限。例如，您可以利用 AWS Control Tower 提供的预防性、检测性和前瞻性控制，来帮助满足数据驻留要求。

我们开创性地设计和提供了多项创新，以用于限制对客户数据的访问。AWS Nitro System 是 AWS 计算服务的基础，它使用专门的硬件和软件来保护数据，以确保数据在 Amazon EC2 上处理期间不会被外部访问。Nitro 在设计上强制实施限制，通过提供强大的物理和逻辑安全边界，确保未经客户授权的任何人，包括来自 AWS 的任何人员，都无法访问客户在 EC2 上的工作负载。 

我们提供了多种数据加密功能和控制功能，无论是传输中、静态还是内存中的数据，均可以安全加密。所有 AWS 服务都已支持加密，其中大多数还支持使用 AWS 运营商无法访问的客户自主管理型密钥进行加密。我们承诺不断创新，投资打造更多的控制功能和加密功能，以确保客户能够使用在内部或 AWS Cloud 外部管理的加密密钥来加密任何位置的任何内容。如果由于监管要求的原因，您需要在 AWS Cloud 之外存储和使用加密密钥，则可以使用 AWS Key Management Service（AWS KMS）外部密钥存储。 

在发生供应链中断、网络中断和自然灾害等事件时，对工作负载的控制和高可用性至关重要。每个 AWS 区域均由多个可用区（AZ）组成。可用区是完全隔离的基础设施分区。为确保高可用性，您可以在同一 AWS 区域中的多个可用区之间对应用程序进行分区。我们还提供多种数据恢复功能，包括增量回滚功能，以及基于备份和复制的可靠灾难恢复功能，从而帮助您实现恢复点目标和恢复时间目标（RPO/RTO）。对于在本地运行工作负载、间歇性联网或远程应用场景的客户，可以利用诸如 AWS Outposts 和 AWS Snow Family 等服务。这些服务针对本地、远程或离线位置的计算和存储提供了专门的功能。