Klant of accountant zegt: data alleen in EU, hoe regelen we dat hard?
Niet vertrouwen op default-regio-selectie. Leg het vast in IaC én in een org-policy. Meerdere clouds hebben EU-only-restrictie als policy-template, dat is de juiste laag.
Probeer dit eerst zelf
- 1AWS: SCP met aws:RequestedRegion in een allow-lijst van EU-regio's (bv. eu-central-1, eu-west-1, eu-west-3). Geldt voor het hele organization.
- 2Azure: Azure Policy 'Allowed locations' op subscription of management-group-niveau. Templates zoals 'EU only' zijn standaard.
- 3GCP: Organization Policy constraints/gcp.resourceLocations met EU multi-region of specifieke EU-regio's.
- 4Let op: sommige services zijn global (CloudFront, Front Door, IAM zelf). Die staan apart en hebben een eigen data-residency-claim van de cloud-vendor.
- 5Voor data-in-transit: check dat ook backups, snapshots en logs in de EU blijven. Default-CloudTrail kan naar US gaan als je niet oplet.
Wanneer ons inschakelen
Heb je een DPIA waar EU-only contractueel staat: leg vast in policy, IaC én DPA. Een privacy-jurist en cloud-architect samen kunnen meestal in een halve dag de hele scope aftikken.
Zie ook
- Iedereen logt in met het root-account van AWSHet root-account is voor noodgevallen en facturatie. Dagelijks werk hoort via IAM-users of SSO.
- Iedere developer heeft AdministratorAccessAdministratorAccess overal is gemak nu, drama later. Begin met rolgebaseerde policies.
- Iedereen heeft losse IAM-users met eigen wachtwoordIdentity Center (voorheen AWS SSO) koppelt aan je IdP en geeft tijdelijke credentials per sessie.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.