AWS European Sovereign Cloud

GA: Infrastruktur vollständig innerhalb der EU; erste Region Brandenburg (DE) live. Customer Content wird in der AWS ESC innerhalb der EU verarbeitet/gespeichert (stated).

Kontrollen für Customer Content & customer-created metadata innerhalb EU (stated) – inkl. Metadaten, IAM- & Abrechnungsdaten.

Physisch & logisch getrennt von anderen AWS Regions; Region operiert unabhängig (stated).

Täglicher Betrieb/Support ausschließlich durch in der EU ansässige Personen; schrittweise Umstellung auf EU-Bürger. Unabhängiges EU-Management + eigenes Security Operations Center (stated).

Addendum: Die AWS European Sovereign Cloud ist so ausgelegt, dass sie unabhängig und dauerhaft betrieben werden kann („operate independently and indefinitely“). Kritische Abhängigkeiten von Non‑EU‑Infrastruktur sollen vermieden werden; Betrieb auch bei Unterbrechung zum Rest der Welt (stated).

Ultimate parent: Amazon.com, Inc. (US). Lokale EU-Entities fuer ESC (stated), aber nicht EU-owned.

Ultimate Parent: Amazon.com, Inc. (US). Auch bei EU-Residency/Operations bleibt US-Jurisdiktion als Risiko-Faktor (FISA 702 / CLOUD Act) grundsätzlich relevant.

Neue EU Governance-Struktur fuer ESC: EU-basierte operative Kontrolle (EU residents; transition to EU citizens), lokale Entities (stated).

Independent advisory board (4 EU-Bürger, mind. 1 unabhängig; gesetzlich verpflichtet im Interesse der ESC zu handeln) (stated).

Dedizierter europäischer Trust-Service-Provider für CA-Operationen; ESC nutzt EU-basierte Trust Services (stated). Zusätzlich: KMS External Key Store (XKS) ermöglicht Schlüsselmaterial außerhalb von AWS (z.B. eigener „Kill Switch“) – Verfügbarkeit je Service/Region prüfen.

BSI C5 Typ 1 (Basis- & Zusatzkriterien) für AWS European Sovereign Cloud, 69 Services im Scope, unabhängig auditiert (veröffentlicht 10.03.2026). Attestierungsberichte über AWS Artifact abrufbar.

ISO 27001:2022 + ISO 27017, 27018, 27701, 22301, 20000-1, 9001 – sieben ISO-Zertifizierungen spezifisch für AWS European Sovereign Cloud (69 Services im Scope), veröffentlicht 10.03.2026.

AWS hat C5-Testat für kommerzielle Regionen. ESC-spezifisches IT-Grundschutz-Testat noch ausstehend.

TBD.

AWS unterstützt zahlreiche offene Standards in der Praxis (u.a. Kubernetes via EKS, OIDC/SAML Federation) + breites IaC/SDK-Ökosystem. Dennoch bleiben viele AWS-APIs proprietär → Portabilität stark workload-abhängig.

Voll funktionsreich; startet mit Kernservices und erweitert nach Nachfrage. Liste/Roadmap über AWS-Funktionen nach Regionen (stated).

GA: 1 ESC Region in Brandenburg (DE); weitere EU-Standorte/Expansion angekuendigt (stated).

SOC 2 Typ 1 + BSI C5 Typ 1 + 7 ISO-Zertifizierungen (27001, 27017, 27018, 27701, 22301, 20000-1, 9001) – ESC-spezifisch für 69 Services; Reports über AWS Artifact zugänglich (Self-Service-Portal).

AWS SCPs, Organizations, Control Tower, Config Rules. Starke Policy-as-Code (CloudFormation Guard, OPA). ESC übernimmt AWS-Guardrails.

AWS-Standardsicherheit (S3 Block Public Access, VPC defaults, Security Groups deny-by-default). Nitro System.

AWS Config, CloudTrail, Security Hub, GuardDuty. Kontinuierliches Monitoring. SOC 2/C5 als periodische Verifikation.

Nitro System (kein Operator-Zugriff auf Hardware). Aber: ESC Control-Plane-Transparenz begrenzt. EU-Operator-Modell.

ESC Compute basiert auf AWS Nitro; Nitro reduziert Operator-Zugriff (z.B. kein Zugriff auf Kunden-Instanzen/OS) und wird als Basis für Confidential Computing (z.B. Nitro Enclaves) genutzt. Scope bleibt workload-/service-spezifisch; Verfügbarkeit je Service/Instance/Region prüfen.

Sehr stark: AWS APIs/SDKs + CloudFormation/CDK + Terraform-Ökosystem. (ESC: Tooling-Kompatibilität im Projekt prüfen, v.a. Partition/Endpoints).

Stark: breite DevTools (z.B. CI/CD, Registries, Deployments), Managed Container/K8s und Security Services. Für ESC: Service-Verfügbarkeit je Region prüfen.

Sehr stark: CloudWatch/X-Ray u.a. (ESC: Service-Verfügbarkeit je Region prüfen).

Service Quotas je Service/Region verfügbar, Quota Increase Prozesse etabliert (ESC: Partition/Region beachten).

Sehr stark: Well-Architected, Landing Zone/Control Tower Patterns, Landing Zone Accelerator (IaC).

Publiziert PUE/WUE für AWS-Regionen; 2024 global PUE 1.15, bestes EU-Site PUE 1.04; global WUE 0.15. (Quelle: AWS Sustainability)

Erneuerbare Energie: 2024 100% Stromverbrauch von Amazon mit erneuerbaren Quellen gematcht; AWS publiziert Methodiken + Effizienz-/Wasser-KPIs. (Quelle: AWS Sustainability)