建立欧洲可信服务提供商，支持AWS欧洲主权云

上月，我们宣布了AWS欧洲主权云的新主权控制措施和治理结构。AWS欧洲主权云是专为欧洲设计的新独立云，旨在帮助客户满足不断演变的主权需求，包括严格的数据驻留、运营自主性和弹性要求。该云计划于2025年底推出，将完全位于欧盟（EU）境内，并作为欧洲的独立云运营。上月，我们还宣布计划推出专用的欧洲证书颁发机构（CA）或可信服务提供商，以支持AWS欧洲主权云内的自主可信服务运营。

我们正在德国勃兰登堡州积极建设AWS欧洲主权云的第一个AWS区域。项目按计划推进，AWS服务正在部署、配置和测试，以实现AWS欧洲主权云中的自主运营。AWS欧洲主权云基础设施将在物理和逻辑上与其他区域隔离。我们设计该云时确保其对非欧盟基础设施没有关键依赖。运营AWS欧洲主权云所需的一切都在欧盟内：人才、技术、基础设施和领导层。除了独立的基础设施外，欧盟境外将零运营控制。只有居住在欧盟的AWS员工才能控制日常运营，包括对数据中心的访问、技术支持和客户服务。

首次，我们将提供专用的主权欧洲可信服务提供商（EU-TSP）。该EU-TSP将自主运营其CA密钥材料，并在AWS欧洲主权云内执行证书颁发功能。可信服务提供商是管理一组根证书和从属证书机构策略和运营的实体。根CA是密码学构建块和信任根，可基于其颁发终端实体证书。它代表用于签名（颁发）证书的私钥和标识根CA并将私钥绑定到CA名称的根证书。简而言之，EU-TSP是欧洲自主的可信服务提供商，为欧洲服务。

EU-TSP将成为AWS欧洲主权云的公共信任根，有助于维护网络通信的机密性和完整性。它将提供AWS服务端点、AWS证书管理器（ACM）和ACM集成服务使用的默认CA。对于AWS欧洲主权云客户，这意味着即使在欧盟外部连接 materially 丢失的情况下，EU-TSP也将继续自主提供可信服务。

我们最近在安全的欧盟地点完成了EU-TSP的密码学密钥签名仪式，由外部第三方审计师见证。生成的根CA已提交纳入AWS客户常用的流行网页浏览器。该EU-TSP将按照证书机构/浏览器论坛的要求运营。所有EU-TSP的关键材料都位于欧盟境内，只有欧盟居民有能力操作、控制或重新配置EU-TSP。

为维护可验证的信任，我们将聘请独立的欧盟审计师，确保EU-TSP控制措施设计适当、运营有效，并能帮助客户满足合规义务。审计报告将公开提供。

EU-TSP将在2025年底AWS欧洲主权云推出时活跃并提供自主可信服务。了解更多，请访问AWS欧洲主权云。