导读

随着对数据隐私、安全和数字主权的担忧，全球许多国家正在加强数据驻留法律，以确保个人和敏感数据保留在本国境内。对于跨多个地区运营的组织来说，满足不断变化的数据驻留法律可能具有挑战性。在本次讨论中，我们将遵循亚马逊云科技架构完善的框架，探讨使用混合云服务时关于数据驻留的最佳实践，包括亚马逊云科技 Local Zones、亚马逊云科技专用Local Zones和Amazon Outposts。

演讲精华

以下是小编为您整理的本次演讲的精华。

本次会议由Sherry Lynn，亚马逊云科技专属Local Zones的产品经理主持。她热情欢迎与会者，并表示期待讨论数据驻留、亚马逊云科技架构优化框架以及混合云解决方案。她认可到场者来自不同行业，包括政府、金融服务、电信和医疗保健等领域。

Sherry Lynn阐释了数据驻留的概念，即要求在特定地理位置存储或处理数据。她强调这个话题对世界各地不同行业的客户都非常重要。Sherry随后介绍了亚马逊云科技架构优化框架，这是一套全面的最佳实践，旨在帮助客户构建安全可靠的云应用程序。

为了满足客户的数据驻留需求，Sherry重点介绍了各种亚马逊云科技基础设施解决方案，将亚马逊云科技云扩展到全球更多地理位置。这些解决方案包括亚马逊云科技区域，目前有34个区域和108个可用区，为客户提供了广泛的选择和灵活性。此外，Amazon Local Zones目前有34个，其中17个位于美国境外，将计算、存储、数据库和其他服务部署在大型人口中心和行业中心附近，使客户能够满足低延迟应用需求并遵守法规。

对于需要本地部署的应用程序，Amazon Outposts可以将亚马逊云科技基础设施和服务引入任何数据中心。Outposts在75多个国家可用，有效增加了客户在自己的数据中心内运行工作负载的基础设施选择。此外，对于具有广泛数字主权和数据驻留需求的客户，以及需要专用基础设施为用户群提供服务的客户，亚马逊云科技专属Local Zones提供了一种灵活的解决方案，可以部署在亚马逊云科技站点或客户数据中心内，并由当地亚马逊云科技人员运营。

Sherry强调，Amazon Local Zones、专属Local Zones和Outposts为客户提供了更多位置和更大的灵活性，可以选择数据驻留的位置。但她承认，仅根据位置选择基础设施解决方案只是数据驻留方程式的一部分。Sherry接着重点介绍了这些混合云解决方案中可用于本地处理和数据存储的核心服务集，包括用于通用或内存/存储优化计算的EC2实例类型、在特定本地区域和专属本地区域用于AI/ML用例的加速计算、Amazon EBS用于持久块存储、Amazon FSx作为本地文件服务、Amazon RDS用于关系数据库，以及最近在亚马逊云科技专属Local Zones中推出的Amazon S3存储类别的普遍可用性，专门用于帮助客户满足数字主权和数据驻留要求。

在安全性和治理方面，Sherry表示亚马逊云科技提供了50多种安全和治理服务，可与Amazon Local Zones、专属Local Zones和Outposts配合使用，帮助执行数据驻留防护措施。她还提到了亚马逊云科技 Nitro系统，该系统旨在通过实施严格的物理和逻辑安全边界来确保客户数据的机密性和完整性，防止任何人(包括亚马逊云科技人员)访问运行在EC2上的客户工作负载。

为了提供关于数据驻留和混合云解决方案的实际案例，Sherry邀请了新加坡政府科技集团(GovTech)核心工程产品高级总监Kevin Ing作为特邀嘉宾，分享新加坡政府在云端构建应用程序以实现数据驻留的历程。

Kevin Ing首先介绍了GovTech，这是一个负责为新加坡政府设计数字解决方案的机构。与大多数从外部采购技术的政府不同，GovTech拥有内部能力来设计、开发和运营自己的技术解决方案，尽管它仍与外部供应商和合作伙伴(如亚马逊云科技)合作。

Kevin概述了新加坡政府技术栈，它包括三个层次:托管层(政府商业云，简称GCC)、基础层(云开发工具)和服务层(可重用软件组件)。他举例说明了基础层工具，如APEX(API网关和市场系统)和ShipHats(持续集成和持续交付解决方案)。

关注托管层，Kevin解释说，GCC位于新加坡区域的公有云中。GovTech已经围绕公有云构建了能力，可以为各个政府机构(每个机构都有自己的IT团队和平台团队)集中管理。GovTech扮演“平台的平台”角色，提供一个通用平台，让各机构能够轻松加入，并支持较小的机构，允许它们直接利用GovTech的平台。

Kevin强调的一个关键能力是实施基线安全控制，以管理系统控制工作负载，包括确保数据和必要服务保留在新加坡区域内、简化政策实施并为工作负载提供防护措施。此外，GovTech还简化了上线流程，使开发人员能够更高效地部署应用程序，并集中计费，以便于成本分配。

Kevin强调了集中观察能力、管理能力以及直接排查工作负载问题的能力的重要性，并承认政府机构在技术成熟度方面存在差异。此外，GovTech还简化了本地触点，将GCC连接到政府网络和不同的托管基础设施，因为许多工作负载仍然部署在本地，需要本地和云环境之间的数据和用户互操作性。

GCC实施的第一阶段非常成功，约有80%的工作负载已迁移到云端。然而，大约两年前，由于对机密工作负载的数据分类要求，传统上需要本地解决方案，具有绝对控制权和物理隔离。

鉴于政府私有云将于2024年6月停止使用，GovTech面临一个关键决策:是继续投资延长许可证和新技术以实现本地解决方案，还是探索如何构建工作负载以迁移到云端，同时确保额外的安全保证、物理隔离和专用资源。

在考虑了安全性、主权、开发人员体验和成本要求后，GovTech与亚马逊云科技合作，共同创建了一种名为GCC Plus的专属本地区域解决方案。这种合作涉及对亚马逊云科技技术(如Nitro系统)进行深入研讨，并确定所需的本地服务的优先级。

Kevin概述了GCC Plus的四大广泛要求:安全性、主权、开发人员体验和成本。从安全性角度来看，GovTech不仅需要在机构层面实现隔离，还需要在工作负载层面实现隔离，以降低潜在违规事件影响多个机构和第三方提供商的风险。主权至关重要，计算和存储资源需要由新加坡政府直接拥有和控制，并由当地可信人员运营。

在开发人员体验方面，GovTech旨在创建一个能够支持开发人员并保持高生产力的云平台。这包括集成现有工具(如其持续集成和持续交付解决方案)、支持使用Amazon EKS进行Kubernetes部署，以及利用Terraform进行基础设施即代码。

成本也是一个重要考虑因素，GovTech希望通过共同分析方法、简化架构、统一亚马逊云科技基础设施工具和API来降低成本。

与亚马逊云科技的合作涉及确定GCC Plus所需的本地服务的优先级、考虑如何利用公有云构建其他服务，以及支持多租户，使各机构能够在组织单位内管理自己的云平台。高可用性是一个重点，计划在多个专属本地区域构建故障转移能力。

Kevin概述了GCC Plus实施的紧凑时间表，亚马逊云科技将在一年内交付专属本地区域，然后用一年时间将本地工作负载迁移到云端，为各机构和供应商提供培训，并开发一个简化的云管理门户。

GCC Plus的架构结合了专属本地区域和从公有云(GCC)扩展的服务，以实现安全性、故障转移弹性和政府网络连接。在专属本地区域内，资源在物理上和字面上都是隔离的，只有当地批准的人员才能访问。

实施过程中面临的挑战包括确定专属本地区域的亚马逊云科技服务和功能的优先级、制定数据迁移策略以最大化带宽利用率，以及在本地和云环境之间统一安全策略。

迁移到GCC Plus取得了成功，共有41个机构和68个系统迁移到专用本地区域解决方案，92个系统迁移到公有云，并淘汰了43个系统。Kevin强调了GCC Plus的好处，包括提高了敏捷性和创新能力、加快了入职和开发能力、通过故障转移功能提高了弹性、通过简化架构和统一工具降低了成本，以及通过托管服务和减少配置错误提高了安全性。

展望未来，GovTech计划将其技术栈与GCC Plus环境紧密集成，持续改善开发人员体验，通过教育和基本能力专注于提高弹性，并与亚马逊云科技密切合作，将人工智能等额外服务引入GCC Plus环境。

在Kevin的演讲之后，混合云团队的专家解决方案副总裁Lakshmi就使用亚马逊云科技混合云服务设计符合数据本地化要求的架构进行了深入探讨和演示。

Lakshmi强调了确定合规状态和适用于数据本地化合规的数据范围的重要性，根据特定的数据本地化合规位置评估亚马逊云科技基础设施选项(如区域或混合云解决方案)，并利用Control Tower与登陆区域、亚马逊云科技组织与服务控制策略(SCP)和IAM等亚马逊云科技服务来设计和实施数据本地化防护措施。

在第一个演示中，Lakshmi展示了Amazon Control Tower的使用，这是一项帮助设置和管理多账户亚马逊云科技环境的服务，同时自动化和监控数据本地化状态。Control Tower提供预防性控制措施来防止不需要的操作，主动控制措施来自动在CloudFormation部署上实施策略，以及检测性控制措施来检测和记录CloudTrail中的特定操作。

Lakshmi演示了客户如何启用相关策略，这些策略分组在数字主权等类别下，选择一个检测性策略，该策略可立即检测EC2实例是否与公共IPv4地址关联，并为特定账户启用该策略以实施数据本地化防护措施。

第二个演示集中在亚马逊云科技服务控制策略(SCP)上，它有助于在亚马逊云科技组织内管理权限，并为数据本地化场景(如限制数据移动、防止使用不相关的亚马逊云科技服务以及维护数据隔离或分离)构建自定义防护措施。

Lakshmi介绍了一个本地数据处理用例，其中金融客户需要将支付卡信息和处理细节保留在合规位置，类似于GovTech将敏感工作负载保留在专用本地区域内运行的示例。

使用一个阻止在专用本地区域子网之外的任何子网中启动EC2实例的SCP，Lakshmi演示了当在亚马逊云科技区域中尝试启动实例时，SCP会拒绝该操作，但在选择专用本地区域内的合规子网时则允许该操作。

为了满足数据隔离要求，Lakshmi展示了一个SCP，该策略拒绝将EBS卷的快照存储在专用本地区域之外的任何地方，从而防止在处理后数据移出合规边界。

Lakshmi强调，S3存储类在Outposts和专用本地区域的最新可用性为客户提供了决定数据所在位置并符合工作负载和用例要求的能力。

总之，Lakshmi强调，这些演示只代表了设计符合数据本地化要求的架构解决方案的一部分考虑因素，并鼓励与会者探索Well-Architected Tool进行实践练习和获取更多资源。

本次会议全面概述了亚马逊云科技的混合云解决方案和服务，用于解决数据本地化要求，并以新加坡政府的实际经历和使用亚马逊云科技服务实施数据本地化防护措施的实际演示为特色。

我们正处在 Agentic AI 爆发前夜。 2025 亚马逊云科技中国峰会提出，企业要从 " 成本优化 " 转向 " 创新驱动 " ，通过完善的数据战略和 AI 云服务，把握全球化机遇。亚马逊将投入 1000 亿美元在 AI 算力、云基础设施等领域，通过领先的技术实力和帮助“中国企业出海“和”服务中国客户创新“的丰富经验，助力企业在 AI 时代突破。