Amazon Artifact 是一個 AWS 的自助服務入口網站,它為你提供按需下載 AWS 安全與合規性文件和管理協議的功能。你可以將其視為一個集中的樞紐,用於獲取所有與 AWS 安全和合規性相關的資訊。
Amazon Artifact 的核心功能
AWS Artifact 主要分為兩大類:- AWS Artifact Reports (報告):
- 提供合規性報告和認證:這是 Artifact 的主要功能之一。你可以下載由第三方稽核機構為 AWS 基礎設施和服務頒發的各種合規性報告、安全認證和證明。這些文件證明了 AWS 在安全和營運方面符合國際標準和行業規定。
- 常見的報告類型包括:
- SOC 報告 (Service Organization Control Reports):包括 SOC 1(關於財務報告的內部控制)、SOC 2(關於安全性、可用性、處理完整性、機密性和隱私)和 SOC 3(SOC 2 的公開摘要版本)。這些報告對於你的稽核師評估你的雲端環境的控制措施非常重要。
- ISO 認證 (ISO Certifications):如 ISO 27001(資訊安全管理系統)、ISO 27017(雲端服務資訊安全控制指南)和 ISO 27018(雲端中個人身份資訊保護指南)。
- PCI DSS (Payment Card Industry Data Security Standard):用於處理支付卡交易的證明文件。
- HIPAA (Health Insurance Portability and Accountability Act):關於醫療保健數據處理的證明文件,通常與業務夥伴協議 (Business Associate Addendum, BAA) 相關。
- FedRAMP (Federal Risk and Authorization Management Program):美國聯邦政府採購雲端服務的安全評估和授權計畫。
- GDPR (General Data Protection Regulation) 相關報告:協助符合歐盟數據保護法規的文件。
- 為稽核提供證據:這些報告可以直接提交給你的稽核師或監管機構,作為證明你在 AWS 上運行的基礎設施符合相關安全和合規性標準的證據。
- AWS Artifact Agreements (協議):
- 管理與 AWS 的法律協議:你可以透過 Artifact 審閱、接受和追蹤你與 AWS 之間的各種法律協議狀態,無論是針對單一 AWS 帳戶還是整個 AWS Organizations 中的多個帳戶。
- 常見的協議類型包括:
- 資料處理協議 (Data Processing Addendum, DPA):這對於受 GDPR 或其他資料保護法規管轄的客戶至關重要,它定義了 AWS 作為資料處理者在處理個人資料方面的責任。
- 業務夥伴協議 (Business Associate Addendum, BAA):對於處理受 HIPAA 保護的健康資訊 (PHI) 的客戶,這是必需的協議。
- 保密協議 (Non-Disclosure Agreements, NDAs):用於訪問某些機密資訊。
- 其他特定服務的條款和條件。
AWS Artifact 如何協助合規性?
AWS Artifact 在合規性管理中扮演著關鍵角色:
- 簡化稽核流程:它提供了一個集中、自助的平台,讓你可以快速獲取稽核所需的 AWS 合規性文件,無需手動向 AWS 支援部門發送請求,大大節省了時間和精力。
- 增強透明度:Artifact 提供詳細的報告,讓你深入了解 AWS 的安全控制措施和合規性態勢,幫助你評估並驗證 AWS 作為你的雲端供應商所提供的安全性。
- 證明雲端環境的合規性:你從 Artifact 下載的文件可以直接作為證據,向稽核師或監管機構證明你的 AWS 基礎設施符合特定的行業標準和法規要求。
- 支持共享責任模型:AWS 採用共享責任模型,其中 AWS 負責「雲端的安全 (Security of the Cloud)」,而客戶負責「雲端中的安全 (Security in the Cloud)」。Artifact 提供 AWS 部分責任的證明文件,讓你能夠專注於滿足你在雲端中部署的應用程式和資料的合規性要求。
- 最新的文件:AWS 會定期更新其合規性報告和認證。Artifact 確保你始終可以訪問最新版本的文件,這對於保持持續合規性非常重要。
- 與 AWS Organizations 整合:如果你使用 AWS Organizations,可以在管理帳戶中集中管理整個組織的協議,簡化多帳戶環境下的合規性。
Amazon Artifact 的優勢
- 免費服務:AWS Artifact 本身是免費的。所有 AWS 帳戶都可以直接透過 AWS 管理控制台訪問它,無需額外付費。
- 自助服務:隨時隨地按需下載所需文件,無需等待。
- 集中管理:所有與 AWS 相關的合規性文件和協議都在一個地方。
- 多樣化內容:涵蓋廣泛的行業標準和法規。
- 持續更新:確保你能獲取最新的合規性文件。
- 提高效率:簡化稽核準備流程,減少人工工作量。
如何訪問 AWS Artifact?
你可以透過 AWS 管理控制台訪問 AWS Artifact。通常在「安全性、身分與合規性 (Security, Identity, & Compliance)」服務類別下可以找到它。
總而言之,Amazon Artifact 是你在 AWS 雲端中實現和證明合規性的重要工具。它讓獲取合規性報告變得輕而易舉,並簡化了管理與 AWS 之間法律協議的過程,幫助企業更自信地在雲端中運行敏感工作負載。
