彙整主要公有雲服務平台資料存放地理位置限制機制
1. 研究背景與目的
隨著政府機關對雲端服務需求日益增加,資料存放位置已成為資訊安全政策之核心議題。依據行政院 113 年 12 月 31 日院授數資安字第 1131000727 號函之規定,為避免公務及機敏資料遭不當竊取,導致機關機敏公務資訊外洩或造成國家資通安全危害風險,雲端服務禁止使用及採購其所屬一切資料存取、備份及備援之實體所在地位於大陸地區 (含香港及澳門),且相關資料傳輸亦不得跨境或途經該等地區。因此,各機關在導入與運用雲端服務時,務必嚴格遵循此地理位置限制規範,以確保國家資通安全。
然而,現有公有雲服務供應商所提供之地理位置管控機制複雜且多樣,政府機關普遍缺乏相關技術知識與操作經驗,在選擇與部署雲端服務時,時常難以準確判斷各項服務是否符合資安要求。此外,由於不熟悉各公有雲服務的地理位置設定操作,機關人員往往需耗費大量時間研析各式技術文件,除影響雲端服務的導入效率外,若設定有誤,更會使機關暴露於不必要的資安風險之中。
緣此,建立完整的公有雲服務供應商之地理位置管控指引實屬必要,能夠協助政府機關依據業務需求與資安要求,選擇適當的雲端服務方案、正確設定地理位置限制機制,確保政府數位服務運作之安全性與可信度,有效防範潛在的資安風險。
為協助政府機關正確選擇與設定雲端服務,第二章「依據與指引說明」將先闡述相關限制的影響,並界定本文的分析範圍與服務選定標準,作為後續操作的基礎。第三章「主要雲端服務設定重點」將針對 Amazon 的 Amazon Web Services (以下稱AWS)、Microsoft 的 Azure、Google 的 Google Cloud Platform (以下稱GCP) 及 Cloudflare 等主要公有雲服務,提供與地理位置設定概論與物件儲存、虛擬機器及內容傳遞網路服務相關的管控要點,協助機關人員了解相關設定重點。若機關僅需了解各公有雲服務在地理位置管控上的關鍵要點,可直接參閱第三章各小節開頭的「服務設定指引」段落。
2. 依據與指引說明
2.1 雲端服務資料存放地理位置限制依據
根據行政院的院授數資安字第 1121000202 號示規定,政府機關使用雲端時,其資料的存放與傳輸必須遵循四大核心要求:資料存取管控、資料備份機制、災難備援規劃及資料傳輸路徑,皆不得設置或途經限制地區 (大陸、香港及澳門)。為將上述原則轉化為可執行的技術指引,本文必須識別出在雲端環境中,最容易因設定不當而違反這些要求的服務類型與平台。這些資安要求的本質,涵蓋了資料靜態儲存 (at-rest) 與動態傳輸 (in-transit) 的全生命週期。基於此,我們識別出三類與資料地理位置最為相關的關鍵服務,作為本文的研究核心:
- 物件儲存服務 (Object Storage):直接對應資料靜態存放與備份的地理位置要求。
- 虛擬機器服務 (Virtual Machine):其運算資源與掛載磁碟的所在區域,直接影響資料處理與儲存的部署地點。
- 內容傳遞網路 (Content Delivery Network):其遍布全球的快取節點,直接關係到資料傳輸路徑與暫存的資安要求。
然而,僅滿足地理位置要求尚不足以構成完整的安全策略,為進一步強化資料保護與自主性,建議同時針對資料加密採用適當的安全設定,確保機關對其敏感資料保有完整的存取權限與生命週期掌控,從而大幅提升整體安全性。
2.2 具有存放地理位置風險之公有雲服務
本文之所以選定 AWS、Azure、GCP 與 Cloudflare 作為主要分析對象,是因其服務具備「全球性、自助式」的特性,使用者透過管理主控台即可直接存取數十個海外區域,其地理位置設定選項複雜,若設定不當,極易因人為疏失而違反資安要求。
相較之下,國內雲端服務商的情境則大相逕庭:
- 台智雲:是基於我國的國家高速網路與計算中心所提供的雲服務,已符合本指引的要求。
- 中華電信:海外機房則需透過專案形式申請,而非標準 化自助式服務,此專案申請模式已降低誤選風險,然若確有需求,仍建議應排除位於香港的東華電信機房。
綜上所述,本文為發揮最大實用價值,聚焦於解決主流雲平台因其全球性、自助式服務所帶來的複雜設定挑戰,以協助政府機關應對最常見的資安風險情境。
2.3 影響範圍與服務選定標準
綜合前述,本文的研究範疇將聚焦於四大公有雲平台上的三類高風險服務。此範疇的具體服務涵蓋範圍如下:
- 物件儲存服務: 包含 AWS S3、Azure Blob Storage、Google Cloud Storage 等服務,可用於文件存放、資料備份、靜態網站託管等用途,管控重點在於靜態資料儲存的實際地理位置。
- 虛擬機器服務: 包含 AWS EC2、Azure Virtual Machines、Google Compute Engine 等服務,主要應用於應用系統運行、資料處理、業務服務託管等領域,管控重點為運算資源所在區域及資料處理位置。
- 內容傳遞網路服務: 包含 AWS CloudFront、Azure Front Door、Google Cloud CDN、Cloudflare CDN 等服務,用於網站加速、內容分發、使用者體驗優化等目的,管控重點為快取資料分布位置與邊緣節點地理區域。
3. 主要雲端服務設定重點
3.1 AWS 雲端服務操作指引
服務簡介
AWS 的服務涵蓋物件儲存服務、虛擬機器服務、內容傳遞網路服務與其他服務詳見圖1。其中 EC2 與 S3 等資源在建立時需指定區域,資料與應用程式會駐留於所選位置。若未啟用跨區複寫,資料不會離開該區域,因此政府機關可透過限制可使用的區域,來確保資料駐留符合資安要求。相較之下,CloudFront 屬於全球性內容傳遞網路服務,節點遍及多個國家與地區,故涉及跨境傳輸的議題;其他服務如 VPC、EKS 等則屬於區域資源也需注意區域限制,而 IAM 等全球性管理服務則不牽涉資料駐留問題。

圖 1: AWS 服務簡介
服務設定指引
為確保 AWS 服務符合地理位置限制要求,機關應注意以下關鍵要點:
- 中國大陸區域的獨立性:AWS 在中國大陸採用隔離營運模式,需透過專屬的「中國區帳號」存取服務,此帳號體系與全球 AWS 帳號完全分離。
- 香港區域的識別與排除:香港區域在系統中的代碼為
ap-east-1,顯示名稱為亞太地區(香港),進行任何資源部署時,應絕對避免選用此區域。各區域的詳細地理位置資訊,請參閱本文件附表1。 - 內容傳遞網路 (CDN) 的地理限制:若需使用 AWS CloudFront 服務,應運用以下兩項功能以符合規範:
- 價格級距 (Price Class):設定為「僅使用北美和歐洲」或更嚴格的選項,以限制邊緣節點的地理分佈範圍。
- 地理限制 (Geographic Restriction):建立規則,明確封鎖來自大陸地區、香港及澳門的存取請求。
- 強化資料安全 (建議):為進一步強化資料保護與自主性,建議採用「客戶受管金鑰」機制進行靜態資料加密,並透過 AWS Key Management Service (KMS) 進行金鑰管理,以提升整體安全性。
各公有雲平台對客戶金鑰管理服務之命名分別為:
- Amazon Web Services 的「客戶受管金鑰」(Customer Managed Key, CMK),資料來源:https://docs.aws.amazon.com/zh_tw/bedrock/latest/userguide/import-model-using-cmk.html
- Microsoft Azure 的「客戶自控金鑰」 (Customer-managed keys, CMK),資料來源:https://learn.microsoft.com/zh-tw/azure/security/fundamentals/key-management
- Google Cloud Platform 的「客戶自行管理的加密金鑰」 (Customer-managed encryption keys, CMEK),資料來源:https://cloud.google.com/kms/docs/cmek?hl=zh-tw
Simple Storage Service (S3)
S3 是 AWS 提供之物件儲存服務,具備高可用性與可擴展性,可透過網路以 API、管理介面或標準網路協定存取、管理大量資料,並能依需求彈性擴充儲存容量。S3 適用於備份、資料分析、靜態網站託管等場景,支援版本控制、存取控制與加密功能,可以滿足多種業務需求。
基礎設定重點
在 S3 物件儲存服務的地理位置管控上,最基礎的設定即是在建立儲存貯體 (Bucket) 時,必須正確選擇部署區域,並主動排除香港 (ap-east-1) 地區。此外,為進一步強化資料保護與自主性,建議同時採用「客戶受管金鑰」機制進行加密。透過 AWS KMS 服務管理金鑰,可確保機關對其敏感資料保有完整的存取權 限與生命週期掌控,從而大幅提升整體安全性。緣此,以下針對兩項核心設定進行說明。
-
地理區域設定─部署區域:建立儲存貯體時,機關應避免選擇香港
(ap-east-1)地區。於區域選擇介面中挑選適當的區域後,儲存貯體會建立在指定的區域環境中。設定介面詳見圖2。
圖 2: AWS S3 區域選擇
-
安全性設定─資料加密:儲存貯體預設會對所有新上傳的物件自動應用伺服器端加密 (SSE),可選擇使用 AWS 管理的金鑰 (SSE-S3) 或 AWS KMS 管理的金鑰 (SSE-KMS) 來保護資料安全。建議機關自行產製金鑰並上傳至 KMS,以維持對金鑰的完整管理權。該設定可在建立儲存貯體的「預設加密」區塊中進行設定,設定介面詳見圖3。

圖 3: AWS S3 加密類型
備份設定重點
Amazon S3 於同一區域內已具備多副本儲存,確保資料的高耐久性。若機關需進一步強化備份,可啟用物件版本控制,保存所有歷史版本以避免誤刪或誤覆蓋。此外,亦可使用跨區域複寫或同區域複寫功能,自動將物件複製至其他儲存貯體或跨帳號環境。機關應確保目標儲存貯體位於符合地理位置限制的區域,避免複製至香港 (ap-east-1) 地區。
該設定需在已建立的儲存貯體中,進入「管理」頁籤後,於「複寫規則」選項中新增設定,即可指定來源與目標儲存貯體,選擇複寫方式。設定介面詳見圖4及圖5。

圖 4: AWS S3 建立複寫規則 (一)

圖 5: AWS S3 建立複寫規則 (二)
Elastic Compute Cloud (EC2)
EC2 是 AWS 的雲端運算服務,具備高可用性與可擴展性,提供多種執行個體類型 (Instance Type),可依需求調整虛擬機器 (Virtual Machine) 的運算、記憶體與網路資源,適用於網站託管、資料處理及應用系統運行等場景。
基礎設定重點
EC2 虛擬機器服務的地理位置管控與 S3 相同,在建立執行個體時,必須正確選擇部署區域,並主動排除香港 (ap-east-1) 地區。同時建議針對 EBS 磁碟儲存採用「客戶受管金鑰」機制進行加密。緣此,以下針對兩項核心設定進行說明:
-
地理區域設定─部署區域:建立執行個體時,機關應依據前述的設定重點來選擇合適的地區。於區域選擇介面中挑選適當的區域後,執行個體會建立在指定區域內的可用區域 (AZ) 與子網路 (Subnet) 中。設定介面詳見圖6。

圖 6: AWS EC2 區域選擇
-
安全性設定─磁碟加密:建議啟用 Encrypted 功能以確保磁碟資料安全,可選擇使用 AWS 管理的金鑰或 AWS KMS 管理的金鑰來保護資料。建議機關自行產製金鑰並上傳至 KMS,以維持對金鑰的完整管理權。該設定可在建立執行個體的「儲存(磁碟區) 進階」區塊中進行設定,設定介面詳見圖7。

圖 7: AWS EC2 選擇 KMS 金鑰
備份與備援設定重點
EC2 的備份設定,其地理位置管控的重點在於快照備份的存放位置與跨區域複製的設定。機關應審慎評估各項設定選項,以確保既能滿足資料保護需求,又能符合地理位置限制規範。緣此,以下針對相關設定進行說明:
-
備份設定─集中備份管理:EC2 的執行個體與 EBS 磁碟備份可透過 AWS Backup 統一進行自動化管理。使用者可建立備份計畫,指定要備份的 EC2 執行個體或 EBS 磁碟,並設定排程週期、保存期限與到期刪除規則,以減少人工操作並確保規則一致性。若機關有跨區域備援需求,AWS Backup 亦支援設定將備份複製至其他區域,但必須確認目標區域符合地理位置限制,避免誤將備份複製至香港 (
ap-east-1) 等限制地區。整體設定可在 AWS Backup 主控台建立或修改備份計畫,並搭配KMS 加密機制確保備份資料的安全性。設定介面詳見圖8。
圖 8: AWS Backup 建立備份計畫
-
備份設定─自動化快照管理:EC2 提供生命週期管理員 (Lifecycle Manager) 功能,用於自動化建立與管理 EBS 磁碟的快照備份。該功能透過排程化政策定期進行增量備份,並可依需求設定保留週期與到期刪除規則,以減少人工操作並確保備份一致性。機關若需進行跨區域備份保存,可搭配快照跨區複製功能,惟應確保目標區域符合地理位置限制要求,避免將快照複製至香港 (
ap-east-1) 地區。在 EC2 管理主控台的生命週期管理員頁面建立快照政策時,需指定欲應用的 EBS 磁碟或透過標籤選取資源,並設定排程週期、保留時間與刪除規則。必要時可啟用跨區複製以完成備份規劃。建立介面詳見圖9。
圖 9: AWS EC2 生命周期管理員
CloudFront
CloudFront 為 AWS 提供的全球性內容傳遞服務 (Content Delivery Network, CDN),透過全球分散的邊緣節點 (Edge Locations) 就近為使用者提供內容,達成高效能且低延遲的內容存取。該服務整合 AWS Shield 與 AWS WAF 提供 DDoS 攻擊防護及應用層安全控制,並透過地理限制 (Geographic Restriction) 功能,讓機關能夠控制特定地區的內容存取權限,確保敏感內容的資料安全。
基礎設定重點
在 CloudFront 內容傳遞網路服務的地理位置管控上,機關應 避免在大陸地區 (含香港、澳門) 建立快取節點。為達成此目標,建議透過 Price Class 功能限制邊緣節點區域群組,並透過 Geographic Restriction 功能限制特定地區的存取請求。緣此,以下針對兩項核心設定進行說明。
-
地理區域限制設定─邊緣節點:設定邊緣節點區域群組後,CloudFront 僅會在指定的區域群組 (例如:北美與歐洲) 啟用邊緣節點。該設定可透過編輯 CloudFront 分佈規則進行設定。於「一般」頁籤的「Price Class」選項中進行設定,設定介面詳見圖10及圖11。

圖 10: AWS CloudFront 選定區域群組啟用節點 (一)

圖 11: AWS CloudFront 選定區域群組啟用節點 (二)
-
地理區域限制設定─存取限制:透過 Geographic Restriction 功能設定白名單或黑名單,可限制特定國家的連線存取。該設定需在 CloudFront 分佈面板中,點開已建立的規則 ID,於「安全」頁籤的「CloudFront geographic restrictions」面板中的「國家/地區」進行編輯設定,設定介面詳見圖12。

圖 12: AWS CloudFront 地理限制存取設定
3.2 Azure 雲端服務操作指引
服務簡介
Azure 的服務涵蓋物件儲存服務、虛擬機器服務、內容傳遞網路服務與其他服務詳見圖13。其中 Blob Storage 與 Virtual Machine 在建立時需指定區域,資料與運算資源會駐留於所選位置。若未啟用跨區複寫 (如 GRS、GZRS),資料不會離開該區域,因此可透過限制可用區域來確保資料駐留符合資安要求。相較之下,Front Door 為全球性 CDN,節點分布於多國,涉及跨境傳輸議題。其他如 Application Gateway、Kubernetes Service 等區域性服務也需注意區域限制,而 Azure AD 等全球性管理服務則不牽涉業務資料駐留。

圖 13: Azure 服務簡介
服務設定指引
為確保 Azure 服務符合地理位置限制要求,機關應注意以下關鍵要點:
- 中國大陸區域的獨立性:Azure 在中國大陸採用隔離營運模式,由 21Vianet 獨立營運,需透過專屬的「中國區帳號」存取服務,此帳號體系與全球 Azure 帳號完全分離。
- 香港 區域的識別與排除:香港區域在系統中的代碼為
eastasia,顯示名稱為 East Asia,進行任何資源部署時,應絕對避免選用此區域。各區域的詳細地理位置資訊,請參閱本文件附表2。 - 異地備援風險識別:當啟用異地備援功能 (如 GRS 和 GZRS) 時,Southeast Asia (新加坡) 與 East Asia (香港) 為配對區域,因此會有資料自動複製至香港區域的風險,需要特別注意。
- 內容傳遞網路 (CDN) 服務限制:Azure Front Door 目前尚未提供避免在特定地區建立快取節點的功能,雖可拒絕特定地區的存取請求,但仍存在於大陸地區 (含香港及澳門) 產生快取資料的風險。機關如有使用 CDN 服務的需求,應優先考量 AWS CloudFront 或 Cloudflare 等具備完整地理位置控制能力的服務。
- 強化資料安全 (建議):為進一步強化資料保護與自主性,建議採用客戶自控金鑰機制進行靜態資料加密,並透過金鑰保存庫 (Azure Key Vault) 進行金鑰管理,以提升整體安全性。
Blob Storage
Blob Storage 為 Azure 所提供的雲端物件儲存服務,主要用於儲存非結構化資料,如文件、影像、影音、備份與封存檔案。該服務支援多種存取層級,機關可根據資料存取頻率選擇適當的儲存方案。服務提供企業級安全性與全球存取能力,適用於文件儲存、媒體串流、備份封存及網站內容託管等應用場景。
基礎設定重點
在 Blob Storage 物件儲存服務的地理位置管控上,機關應在建立儲存體帳戶時正確選擇部署區域,並主動排除 East Asia (香港) 以及考慮排除 Southeast Asia (新加坡) 等地區。同時建議採用「客戶自控金鑰」機制進行加密,並透過金鑰保存庫管理金鑰。緣此,以下針對兩項核心設定進行說明。
-
地理區域設定─部署區域:建立儲存體帳戶時,機關應依據前述說明避免選擇 East Asia,以及考慮排除 Southeast Asia。該設定可在建立儲存體帳戶的「基本」頁籤中,於「區域」選項進行設定,設定介面詳見圖14。

圖 14: Azure Blob Storage 部署區域
-
安全性設定─資料加密:Blob Storage 採用伺服器端加密機制,以保護儲存資料的安全性。建議選擇「客戶自控金鑰 (CMK)」,確保金鑰的存取權限與管理操作均由機關自行掌控。該設定可在建立儲存體帳戶的「加密」頁籤中,於「加密類型」選項進行設定。設定介面詳見圖15。

圖 15: Azure Blob Storage 加密類型
備份與備援設定重點
Blob Storage 物件儲存服務的備份與備援設定,其地理位置管控涉及多個層面的考量。由於備援機制的選擇,將直接影響資料複製的目標區域,而備份保存庫 (Backup vault) 的設置,則關係到備份資料的存放位置,機關應審慎評估各項設定選項,以確保既能滿足業務連續性需求,又能符合地 理位置限制規範。緣此,以下針對兩項核心設定進行說明。
-
備援設定─選擇備援機制:機關應依據系統重要性、資料敏感性及預算考量,選擇適當的備援機制。一般而言,關鍵業務系統建議採用 ZRS 或 GRS 以確保高可用性,測試或開發環境可考慮使用 LRS 以降低成本。若有資料不得跨境限制,應優先選擇 LRS 或 ZRS 選項。應注意若選擇新加坡區域並啟用異地備援功能 (如 GRS 和 GZRS) 可能導致資料自動複製至香港地區的風險。該設定可在建立儲存體帳戶的「基本」頁籤中,於「備援」選項進行設定,設定介面詳見圖16及圖17。

圖 16: Azure Blob Storage 備援設定 (一)

圖 17: Azure Blob Storage 備援設定 (二)
Azure 備援機制分為本地備援儲存體 (LRS)、區域備援儲存體 (ZRS)、異地備援儲存體 (GRS) 及異地區域備援儲存體 (GZRS) 等選項,資料來源: https://learn.microsoft.com/zh-tw/azure/storage/common/storage-redundancy#locally-redundant-storage。
-
備份設定─備份保存庫:備份保存庫用於集中管理與儲存各種 Azure 資源的備份資料,其建立位置與備援機制直接影響備份資料的存放區域。在建立備份保存庫時,機關應依據前述說明選擇適當的區域與備援選項,避免資料存放或複製至限制地區。該設定可在建立備份保存庫的「基本」頁籤中,於「區域」及「備份儲存體備援」選項進行設定,設定介面詳見圖18~圖20。

圖 18: Azure 建立備份保存庫 (一)

圖 19: Azure 建立備份保存庫 (二)

圖 20: Azure 建立備份保存庫 (三)
-
備份設定─備份保存庫安全性:此外,為進一步強化備份資料的安全性,建議選擇「使用客戶自控金鑰」來進行加密,確保機關對備份 資料的加密金鑰保有完整掌控權。該設定可在建立備份保存庫的「Vault properties」頁籤中,於「加密類型」選項進行設定,設定介面詳見圖21。

圖 21: Azure 備份保存庫加密設定
Virtual Machines
Virtual Machines 是Azure提供彈性設定的雲端虛擬伺服器,支援 Windows、Linux 與自訂映像,並可透過 VM Scale Sets、Reserved Instances 與 Spot VM 等機制,在確保高可用與自動擴展的同時優化長期與臨時運算成本。
基礎設定重點
Virtual Machines 虛擬機器服務的地理位置管控與 Blob Storage 相同,在建立虛擬機器時,必須正確選擇部署區域,並主動排除 East Asia (香港) 以及考慮排除 Southeast Asia (新加坡) 地區。同時建議針對磁碟儲存採用「客戶自控金鑰」機制進行加密。緣此,以下針對兩項核心設定進行說明。
-
地理區域設定─部署區域:建立虛擬機器時,機關應依據前述的設定重點來選擇合適的地區。該設定可在建立虛擬機器的「基本」頁籤中,於「區域」選項進行設定,設定介面詳見圖22。

圖 22: Azure Virtual Machines部署區域
-
安全性設定─磁碟加密