La réglementation américaine contre le trafic d'armes au niveau international (ITAR, International Traffic in Arms Regulations) contrôle l'exportation des articles liés à la défense et interdit aux non-ressortissants des Etats-Unis de bénéficier d'un accès physique ou logique aux articles stockés dans l'environnement ITAR.

La liste USML (United States Munitions List) de la réglementation ITAR répertorie les équipements, les composants, les matériaux, les logiciels et les informations techniques qui peuvent uniquement être partagés avec des ressortissants des Etats-Unis, en l'absence d'autorisation ou d'exonération spéciale. Les ressortissants des Etats-Unis sont des détenteurs de carte verte ou des citoyens des Etats-Unis.

La conformité à la réglementation ITAR dans le cloud vise à s'assurer que les informations considérées comme des données techniques ne sont pas distribuées par inadvertance à des ressortissants ou pays étrangers. Pour que des données soient soumises à la réglementation ITAR, une charge de travail informatique ou un type de données doit être considéré comme une exportation selon la liste USML (United States Munitions List).

AWS donne aux clients la possibilité de stocker leurs données dans la région AWS GovCloud (US), une région uniquement gérée par des ressortissants des Etats-Unis sur le sol américain. AWS GovCloud (US) est une région isolée du cloud Amazon dans laquelle les comptes sont uniquement accordés à des ressortissants des Etats-Unis travaillant pour des organisations américaines.

Etant donné qu'AWS n'a pas la possibilité de voir ni de savoir quelles données sont chargées par les clients sur son réseau, notamment si ces données sont considérées ou non comme étant soumises à la réglementation ITAR, toutes les données des clients stockées dans la région GovCloud sont considérées comme étant soumises à la réglementation ITAR.

Il n'existe aucune certification officielle de conformité à la réglementation ITAR. La région AWS GovCloud (US) est contrôlée de façon continue par un évaluateur indépendant (3PAO) accrédité par le programme FedRAMP (Federal Risk Authorization Management Program) et a reçu une autorisation d'exploitation provisoire (P-ATO) FedRAMP High de la part du JAB (Joint Authorization Board). Les directeurs informatiques (CIO) des départements américains de la Défense et de la Sécurité intérieure et de l'Administration des services généraux représentent le JAB.

AWS est responsable de la conformité logique et physique de l'infrastructure du cloud et des principaux services proposés. Les clients sont responsables de leurs propres infrastructures, applications et systèmes informatiques sur site. Comme indiqué ci-dessus, l'autorisation AWS GovCloud FedRAMP High JAB P-ATO approuve les contrôles mis en place au sein de la région AWS GovCloud (US) pour s'assurer qu'AWS prend en charge les clients créant des systèmes conformes à la réglementation ITAR sur AWS. Cela permet à un client de gérer plus facilement ses propres obligations de conformité en matière de sécurité tout en traitant et en stockant des données dans la région AWS GovCloud (US). Voici quelques exemples :

Protégez les données sensibles : protégez les données non classées sensibles avec le chiffrement côté serveur dans Amazon S3 ; stockez et gérez vous-même les clés de sécurité avec AWS CloudHSM ou utilisez notre service en un clic AWS Key Management Service (KMS).

Améliorez la visibilité dans le cloud : contrôlez l'accès aux données sensibles et leur utilisation dans Amazon CloudTrail, notre service de journalisation d'API géré par des ressortissants des Etats-Unis.

Renforcez la gestion d'identité : limitez l'accès aux données sensibles à certaines personnes ou en fonction de l'heure ou du lieu, et limitez les appels d'API que les utilisateurs peuvent effectuer avec la fédération d'identité, la rotation simplifiée des clés et les autres outils de test et de contrôle d'accès puissants disponibles.