亚马逊云科技(AWS)已将其欧洲主权云服务(European Sovereign Cloud)推向全面可用,该服务在物理和逻辑上分离的基础设施上投资了78亿欧元。该服务现已在德国勃兰登堡州提供,旨在应对欧洲的监管要求以及对美国访问数据的日益增长的地缘政治担忧。尽管 AWS 强调,该云服务将完全由欧盟居民在新的德国母公司结构下运营,但关于这种分离是否真的能抵御美国政府的数据请求,仍存在重大疑问。
该基础设施使用分区名称 aws-eusc 和区域名称 eusc-de-east-1,完全独立于 AWS 的全球区域运行。所有组件,包括专用的 IAM、计费系统和使用欧洲顶级域名的 Route 53 名称服务器,都保留在欧盟境内。AWS 欧洲主权云有限责任公司(AWS European Sovereign Cloud GmbH)是一家成立的德国母公司,拥有三个子公司,分别负责基础设施、证书管理和就业,负责运营。欧盟公民Stéphane Israël担任总经理,与 AWS 德国和中欧副总裁Stefan Hoechbauer一起担任董事总经理。
一位将服务部署到欧洲主权云的 AWS 软件开发工程师证实了技术隔离在实践中的存在。该工程师在 Hacker News 上写道:
AWS 已经在欧洲主权云(ESC)和全球 AWS 之间建立了适当的界限。由于我在美国,我看不到 ESC 中的任何活动,即使是我们开发的服务。为了解决这个问题,我们必须与 ESC 中的工程师进行电话沟通……所有数据确实 100%保留在 ESC 中。
该工程师还警告要注意权衡,指出隔离“确实减慢了调试问题的速度。本来一两天就能解决的问题可能需要一个月。”
尽管存在这种技术隔离,从业者和分析师对法律保护提出了根本性的担忧。独立技术顾问 Sam Newman 在 LinkedIn 上写道:
除非我误解了美国的爱国者法案(这是可能的),否则新的欧盟 AWS 主权云服务并不能保护客户数据免受美国政府的访问。所以我不太确定这是为了什么,除了公司想要支付(我假设)溢价,让自己看起来像是在面对更不稳定的美国政权做些事情。
ICT 解决方案协调员 Marko Teklic 也表达了类似的担忧,他指出,根据外国情报监视法和CLOUD法案,AWS 作为一家总部位于美国的公司,仍然受美国对其欧洲业务的管辖。CLOUD 法案允许美国当局无论云服务提供商的物理位置如何,都可以要求云服务提供商提供数据。法院可以要求母公司提供子公司持有的数据,这可能使 AWS 欧洲主权云有限责任公司的独立结构在法律上不足。
Reddit 上的一位评论者概述了这种机制:
该法案适用于“所有在美国运营或在美国合法存在的电子通信服务或远程计算服务提供商。”法院可以要求母公司提供其子公司持有的数据。
一些人认为 AWS 的结构可能会提供保护。一位 Hacker News 用户建议,在欧洲的治理下,亚马逊可以告诉美国政府,欧盟员工拒绝遵守数据请求,因为这样做将违反欧盟法律。怀疑论者反驳说,AWS 可以通过向当地员工模糊命令或临时派遣美国员工到欧洲来绕过这一点。
从业者提出了 AWS 尚未回答的尖锐问题。S. Maud 在 Jeff Barr 的 LinkedIn 帖子上询问,如果美国政府针对存储在主权云中的军事行动数据发出 CLOUD 法案令状,AWS 是否会遵守。Sebastian Vogelsang 对远程干预提出了技术性担忧:
什么阻止了远程关闭开关?如果 AWS 公司或美国政府指示禁用这个基础设施,有什么技术或法律机制可以阻止这一点?软件堆栈是完全独立的,还是依赖于可能从欧盟外部撤销的许可证、更新或控制平面?
软件信任问题超出了运营范围。虽然 Hacker News 评论者指出,AWS 的 Nitro 虚拟化团队设在柏林,但人们对更广泛的 AWS 软件堆栈仍然存在疑问。是否对后门进行过审计?在美国开发的代码是否包含了远程访问机制?
当被问及 AWS 欧洲主权云是否类似于 AWS 的中国区域时,首席云架构师 Ivo Pinto确认这是“甚至比 govcloud 更好的比较”。然而,有一个关键区别:AWS 中国通过独立的中国公司(Sinnet 和 NWCD)运营,而 AWS 欧洲主权云完全由 Amazon.com Inc.拥有。
CarMax 的 Eric Swanson 解释了这一服务的实际效果:
美国所有权和总部意味着,无论基础设施在哪里运行,美国法律仍然可以适用于提供商。主权云服务并不凌驾于爱国者法案之上。它们主要减少了在其他背景下的重叠:数据位置、运营控制、员工访问和客户管辖区。
在没有美国所有权的情况下寻求主权的组织可以在欧洲找到替代方案,包括德国提供商 Hetzner、法国提供商 Scaleway、瑞士提供商 Infomaniak,以及 StackIT by Schwarz Digits(Lidl 的母公司),许多在 LinkedIn 和 Reddit 上的评论者强调这些是真正的欧洲主权云选项。
该服务推出了大约 90 个 AWS 服务,计划通过在比利时、荷兰和葡萄牙的主权本地区域进行扩展。AWS 预计 7.8 亿欧元的投资将在 20 年内为欧洲经济贡献 172 亿欧元。
AWS 现在的竞争对手是微软和谷歌云与泰雷兹开发的 S3NS。Mark Surrow 在 LinkedIn 上指出,微软“不得不在法国法院直接承认”它不能保证欧盟客户的数据主权。一个根本性的问题仍然存在:任何美国所有的主权云能否在 CLOUD 法案和 FISA 下保护欧洲数据免受美国政府访问?在 AWS 回答这个问题之前,有严格主权要求的组织可能会寻找其他地方。
原文链接:
https://www.infoq.com/news/2026/01/aws-european-sovereign-cloud/
