Le International Traffic in Arms Regulations (ITAR) sono norme che controllano l'esportazione di articoli per la difesa personale, secondo la quale nessun individuo di nazionalità o residenza non statunitense può disporre di accesso fisico o logico agli articoli immagazzinati nell'ambiente ITAR.

La United States Munitions List (USML) ITAR copre elementi quali apparecchiature, componenti, materiali, software e informazioni tecniche che possono essere condivisi senza autorizzazioni speciali o deroghe solamente con cittadini o residenti statunitensi. Per cittadino o residente statunitense si intendono individui con cittadinanza statunitense o detentori di Green Card.

La conformità alle norme ITAR nel cloud permette di accertare che le informazioni considerate dati tecnici non vengano involontariamente distribuite a individui o nazioni estere. Perché i dati siano soggetti alle norme ITAR, un carico di lavoro IT o dei dati devono essere considerati esportazione secondo la US Munitions List (USML).

AWS fornisce ai propri clienti un'opzione che permette di memorizzare i dati nella regione AWS GovCloud (US), gestita esclusivamente da cittadini o residenti statunitensi su suolo americano. AWS GovCloud (US) è una regione del cloud di Amazon isolata, in cui vengono accettati account esclusivamente a soggetti statunitensi che lavorano per aziende statunitensi.

Poiché AWS non può controllare cosa carichino i clienti nella propria rete, né verificare se tali dati sono da considerare soggetti alle norme ITAR, tutti i dati dei clienti all'interno della regione GovCloud sono considerati soggetti alle norme ITAR.

Formalmente, non esiste alcuna certificazione per le norme ITAR. La regione AWS GovCloud (US) è sottoposta a controlli continui da parte di un ente valutatore di terze parti accreditati dal programma federale per la gestione di rischio e autorizzazioni o FedRAMP (Federal Risk Authorization Management Program) e ha ricevuto un'autorizzazione provvisoria del Joint Authorization Board (JAB P-ATO) per il livello di impatto High. Il JAB è rappresentato dai CIO di dipartimento della difesa, dipartimento di sicurezza interna e amministrazione dei servizi generali.

AWS è responsabile per la conformità logica e fisica dell'infrastruttura cloud e dei servizi offerti. I clienti sono responsabili per infrastruttura IT, applicazioni e sistemi locali. Come già menzionato, l'autorizzazione provvisoria (P-ATO) di livello High per il programma FedRAMP da parte del JAB attesta i controlli in esecuzione all'interno della regione AWS GovCloud (US) per garantire il supporto ai clienti che necessitano di sistemi conformi alle norme ITAR in AWS. In questo modo è più semplice per il cliente gestire i propri requisiti di conformità elaborando e memorizzando i dati nella regione AWS GovCloud (US). Di seguito sono elencati alcuni esempi:

Protezione di dati sensibili: proteggi file sensibili non riservati con la crittografia lato server in Amazon S3; memorizza e gestisci personalmente le chiavi di sicurezza con AWS CloudHSM, oppure usa con la massima semplicità AWS Key Management Service (KMS).

Migliora la visibilità sul cloud: verifica l'accesso e l'utilizzo dei dati sensibili in Amazon CloudTrail, il servizio di accesso API gestito e operato da soggetti statunitensi.

Potenzia la gestione delle identità: limita l'accesso ai dati sensibili in base a utente, ora e posizione, e restringi le chiamate API utilizzabili dagli utenti con federazione delle identità, rotazione delle chiavi di accesso e altri strumenti di testing di accesso.