データレイヤーに立ち入るための許可を取得するには、必須の手順があります。これには、承認されたユーザーによる、アクセス申請の確認と承認が含まれます。この間に、脅威検知システムと電子的な侵入検知システムで監視し、脅威や不審な行動が確認された場合は、自動的にアラートをトリガーします。たとえば、ドアを無理やり開けたり、解放したままにするとアラームが起動されることになります。監視カメラの配備と録画映像の保存については、法律および契約上の要件に従っています。

サーバールームへのアクセスポイントは、多要素認証を義務付ける電子制御デバイスで厳重に保護されています。また、技術的な侵入を阻止するためにも備えがあります。AWS サーバーはデータの削除を試みる従業員に警告することができます。万一、違反が発生した場合には、サーバーが自動的に無効化されます。

ユーザーデータの保存に使用されるメディアストレージデバイスは「クリティカル」と分類されて、そのライフサイクルを通じて非常に重要な要素として適切に取り扱われます。デバイスの設置、修理、および破棄 (最終的に不要になった場合) の方法について厳格な基準が設けられています。ストレージデバイスが製品寿命に達した場合、NIST 800-88 に詳細が説明されている技法を使用してメディアを停止します。ユーザーデータを保存したメディアは、安全に停止するまで AWS の統制対象です。

AWS は、2,600 を超える要件について、1 年を通じて外部の監査機関による監査を受けています。サードパーティーの監査人が当社データセンターを監査する場合、セキュリティの認証を受けるために必要な規定のルールに従っているかどうかが厳密に査察されます。コンプライアンスプログラムとその要件によっては、メディアの取り扱い方と廃棄の方法について外部の監査人が従業員を面接する場合もあります。また、監査人は監視カメラの録画内容を確認したり、データセンターのすべての入り口や通路を確認したりする場合もあります。また、監査人は電子アクセス制御デバイスや監視カメラなどの機器をしばしば検査します。