为AWS欧洲主权云建立欧洲信任服务提供商

上月，我们宣布了AWS欧洲主权云的新主权控制和治理结构。AWS欧洲主权云是专为欧洲设计的新独立云，旨在帮助客户满足不断变化的主权需求，包括严格的数据驻留、运营自主性和弹性要求。AWS欧洲主权云将于2025年底推出，完全位于欧盟（EU）境内，并作为欧洲的独立云运营。

上月，我们宣布计划推出专用的欧洲证书颁发机构（CA）或信任服务提供商，以支持AWS欧洲主权云内的自主信任服务运营。

我们正在德国勃兰登堡州积极建设AWS欧洲主权云的第一个AWS区域。我们按计划推进启动，AWS服务正在部署、配置和测试，以实现AWS欧洲主权云中的自主运营。AWS欧洲主权云基础设施将在物理和逻辑上与其他区域分离。我们设计AWS欧洲主权云时，确保其对非欧盟基础设施没有关键依赖。运营AWS欧洲主权云所需的一切都在欧盟：人才、技术、基础设施和领导层。除了独立的基础设施外，欧盟境外将零运营控制。只有居住在欧盟的AWS员工将控制日常运营，包括对数据中心的访问、技术支持和AWS欧洲主权云的客户服务。

首次，我们将提供专用的主权欧洲信任服务提供商（EU-TSP）。该EU-TSP将自主运营其自己的CA密钥材料，并在AWS欧洲主权云内执行证书颁发功能。信任服务提供商是管理一组根证书颁发机构和从属证书颁发机构的策略和运营的实体。根CA是加密构建块和信任根，可以在此基础上颁发终端实体证书。它代表用于签名（颁发）证书的私钥和标识根CA并将私钥绑定到CA名称的根证书。简而言之，EU-TSP是欧洲的自主信任服务提供商，为欧洲服务。

EU-TSP将成为AWS欧洲主权云的公共信任根，有助于维护网络通信的机密性和完整性。EU-TSP将提供AWS服务端点、AWS证书管理器（ACM）和ACM集成服务使用的默认CA。对于AWS欧洲主权云客户，这意味着即使在欧盟境外发生重大连接丢失的情况下，EU-TSP将继续自主提供信任服务。

我们最近在安全的欧盟地点完成了EU-TSP的加密密钥签名仪式，由外部第三方审计员见证。生成的根CA已提交用于包含在AWS客户使用的流行Web浏览器中。该EU-TSP将按照证书颁发机构/浏览器论坛的要求运营。EU-TSP的所有密钥材料都位于欧盟境内，只有欧盟居民有能力操作、控制或重新配置EU-TSP。

为了维护可验证的信任，我们将聘请独立的欧盟审计员，以确保EU-TSP控制设计适当、运营有效，并能帮助客户满足其合规义务。我们将公开审计报告。

EU-TSP将在2025年底AWS欧洲主权云推出时活跃并提供自主信任服务。要了解更多信息，请访问AWS欧洲主权云。

如果您对本文有反馈，请在下面的评论部分提交评论。如果您对本文有疑问，请联系AWS支持。