Документ AWS: Полное руководство с примерами

Учебники
AWS

Существует множество причин, по которым вашей компании может потребоваться генерировать отчеты о соответствии и соглашения, начиная от попыток удовлетворить аудиторов и соответствовать регулятивным требованиям до демонстрации клиентам безопасности их данных. Проблема заключается в том, что поиск нужных отчетов может быть очень разочаровывающим. В зависимости от структуры вашей компании, вам может потребоваться отслеживать несколько отделов и служб поддержки или просматривать большое количество документации.

AWS Artifact – это самостоятельный портал Amazon для получения отчетов о соответствии и соглашений по требованию. Вместо того чтобы гоняться за бумагами, вы можете получить отчеты SOC, сертификаты ISO и даже соглашения, касающиеся GDPR, всего лишь в несколько кликов.

Как именно работает AWS Artifact и как извлечь максимальную пользу из этого инструмента? Давайте разберемся!

Что такое AWS Artifact?

AWS Artifact — это портал самообслуживания Amazon для доступа к отчетам по соблюдению требований и управления соглашениями. Представьте себе его как централизованный узел для всех вопросов безопасности и соблюдения норм. Отчеты SOC, сертификаты ISO или документы о соответствии PCI DSS доступны по запросу. Нет необходимости подавать заявки в службу поддержки или ждать одобрений — вы можете получить все необходимое всего за несколько кликов.

Использование AWS Artifact сэкономило моей команде так много времени при подготовке нашего сертификата ISO. Я думаю, что каждый, кто работал над получением этого сертификата, знает, сколько бумажной работы это требует! Наличие всех необходимых документов в одном месте означало, что мы могли сосредоточиться на самом процессе сертификации, а не тратить часы на поиск документов.

AWS Artifact не просто хранилище документов. Он также помогает компаниям управлять соглашениями с AWS, такими как Дополнения о обработке данных (DPAs) для соблюдения GDPR или Дополнения о бизнес-партнерах (BAAs) для HIPAA. Если вашей компании необходимо обеспечить соблюдение отраслевых нормативов, AWS Artifact обеспечивает прозрачность и доступность для упрощения этого процесса.

Итак, давайте подведем основные особенности AWS Artifact:

  • Доступ по требованию: Больше никаких ожиданий, получайте документы по соблюдению норм, когда вам это нужно.
  • Всеобъемлющая документация: Включает отчеты по аудиту, сертификаты и материалы по соблюдению нормативных требований.
  • Удобный интерфейс: Легко ориентируйтесь и загружайте отчеты без необходимости в обширных знаниях AWS.

В следующем разделе я подробно рассмотрю ключевые компоненты, чтобы вы могли точно увидеть, что доступно и как это может принести пользу вашей организации.

Ключевые компоненты AWS Artifact

AWS Artifact разделен на два основных раздела: Отчеты AWS Artifact и Соглашения AWS Artifact.

Отчеты AWS Artifact

Если вам когда-либо приходилось собирать документацию по соответствию для аудита, вы знаете, насколько это может быть болезненно. Отчеты AWS Artifact упрощают этот процесс, предоставляя прямой доступ к отчетам аудита, сертификатам безопасности и документам по соответствию:

  • Отчеты SOC: Отчеты SOC (Service Organization Control) описывают внутренние контроли AWS, касающиеся безопасности, доступности и конфиденциальности. Они очень важны для организаций, которым необходимо продемонстрировать доверие и прозрачность в своих облачных операциях.
  • Сертификаты ISO: AWS имеет несколько международных сертификатов безопасности, включая ISO 27001 (информационная безопасность), ISO 27017 (безопасность облачных сервисов) и ISO 27018 (конфиденциальность данных для облачных сервисов). Если ваш бизнес следует стандартам ISO, вы можете легко загрузить эти отчеты для целей соответствия.
  • Соответствие стандартам PCI DSS: Для компаний, работающих с данными платежных карт, AWS Artifact предоставляет отчеты по стандарту PCI DSS (стандарт безопасности данных индустрии платежных карт), подтверждающие соответствие AWS требованиям отраслевых регуляторов.

Соглашения AWS Artifact

AWS Artifact также управляет важными соглашениями между AWS и его клиентами. Эти соглашения помогают компаниям соблюдать регуляторные и юридические требования, а также гарантируют правильную обработку данных. Ключевые соглашения включают в себя:

  • Соглашения с клиентами: Стандартные условия, регулирующие использование услуг AWS.
  • Дополнение к обработке данных (DPA): Для компаний, работающих в соответствии с GDPR, это соглашение описывает, как AWS обрабатывает и защищает персональные данные.
  • Дополнение к соглашению с деловым партнером (BAA): Этот тип соглашения жизненно важен для организаций здравоохранения, подпадающих под HIPAA, и обеспечивает соответствие AWS требованиям по обработке защищенной медицинской информации (PHI).

Теперь, когда вы знаете, чего можно ожидать от AWS Artifact, я покажу вам, как получить доступ к нему и эффективно его использовать.

Как получить доступ и использовать AWS Artifact

Сервис AWS Artifact доступен непосредственно через консоль управления AWS, и его использование довольно просто. Вам не нужно быть экспертом в области облачных технологий или IT-специалистом.

1. Доступ к AWS Artifact

Для начала работы:

  1. Войдите в свою учетную запись в Консоли управления AWS. Если у вас еще нет учетной записи, вам нужно создать одну.
  2. В строке поиска сверху введите “Artifact” и выберите его из результатов.
  3. Или перейдите вручную:
    • Перейдите в раздел “Безопасность, Идентификация и соответствие” в меню услуг AWS.
    • Нажмите на “AWS Artifact”.

Это приведет вас к панели управления AWS Artifact, где вы увидите два основных раздела:

  • Отчеты (для документации по соблюдению требований)
  • Соглашения (для юридических и нормативных контрактов)

Главная страница AWS Artifact

2. Загрузка отчетов по соблюдению требований

Если вам нужны отчеты SOC, сертификаты ISO или документация PCI DSS, вот как вы можете их получить:

  1. На панели управления AWS Artifact нажмите на “Отчеты”.
  2. Просмотрите или воспользуйтесь строкой поиска, чтобы найти нужный отчет.
  3. Нажмите на название отчета, чтобы увидеть подробности, или выберите его для быстрых действий.
  4. Нажмите “Скачать отчет”, чтобы получить копию документа.

Отчеты AWS Artifact

Страница конкретного отчета AWS Artifact

Эти отчеты обычно в формате PDF, и вы можете хранить их безопасно для аудитов или регуляторных проверок.

3. Проверка и принятие соглашений

Некоторые услуги AWS требуют юридических соглашений для соблюдения нормативных требований, таких как GDPR (DPA) или HIPAA (BAA). Вот как с ними работать:

  1. В AWS Artifact перейдите на вкладку «Соглашения».
  2. Вы увидите список соглашений, доступных для вашего аккаунта.
  3. Если требуется, примите соглашение, выбрав его и нажав «Принять соглашение». Вам необходимо будет скачать соглашение перед тем, как это сделать — и внимательно его прочитать!
  4. Если вам больше не нужно конкретное соглашение, у вас может быть возможность его расторгнуть.

Соглашения AWS Artifact

После принятия эти соглашения гарантируют соблюдение ваших услуг AWS законов о конфиденциальности и отраслевых нормативов.

4. Кто может получить доступ к AWS Artifact?

По умолчанию не каждый пользователь вашей учетной записи AWS может получить доступ к AWS Artifact. Если кому-то из вашей команды по соответствию или безопасности требуется доступ, администратор AWS должен предоставить им разрешение через службу AWS Identity and Access Management (IAM).

Чтобы сделать это:

  1. Откройте IAM в консоли AWS.
  2. Создайте или измените политику IAM, которая включает разрешения для AWS Artifact.
  3. Присоедините политику к соответствующим IAM-пользователям, группам или ролям.

Вы можете определить свои собственные политики или использовать управляемые политики AWS, такие как AWSArtifactReportsReadOnlyAccess.

Управляемые политики AWS Artifact

5. Устранение распространенных проблем

Если у вас возникли проблемы с доступом к AWS Artifact или загрузкой отчетов, вот несколько вещей, которые стоит проверить:

  • Нет доступа: Возможно, у вас нет необходимых разрешений IAM. Попросите администратора AWS предоставить доступ.
  • Отсутствующие отчеты: Некоторые отчеты доступны только клиентам AWS в определенных регионах или отраслях.
  • Невозможно загрузить: Попробуйте отключить расширения браузера или использовать другой браузер, так как некоторые настройки безопасности могут помешать.

Лучшие практики для AWS Artifact

AWS Artifact – мощный инструмент, но, как и любая система, связанная с соблюдением правил, важно, как вы его используете. Чтобы извлечь максимальную пользу из него (и избежать спешки в последний момент, когда приходят аудиторы), существуют некоторые лучшие практики, которых стоит придерживаться.

1. Регулярно проверяйте новые отчеты и сертификаты

AWS постоянно обновляет свою документацию по соблюдению требований по мере изменения норм и завершения аудитов. Если ваш бизнес зависит от отчетов SOC, сертификатов ISO или соблюдения PCI DSS, сделайте привычкой периодически проверять AWS Artifact на наличие последних версий. Вы даже можете установить регулярную задачу для загрузки и проверки обновленных отчетов каждый квартал!

2. Держите заинтересованные стороны в курсе

AWS Artifact полезен только в том случае, если правильные люди знают, как к нему получить доступ и использовать его. Убедитесь, что ваши сотрудники по соблюдению требований, команды ИТ-безопасности и аудиторы осведомлены об этом инструменте и имеют необходимые разрешения. Я бы порекомендовал задокументировать, где можно найти ключевые отчеты и соглашения в вашем предпочитаемом инструменте документации, чтобы никому не пришлось в последний момент рыться в интерфейсе AWS.

3. Быстро проверяйте и принимайте соглашения

Некоторые сервисы AWS требуют конкретных соглашений (например, DPA для GDPR или BAA для HIPAA) перед тем, как вы сможете использовать их в соответствии с требованиями. Невыполнение проверки и принятия этих соглашений может вызвать задержки в вашем процессе соблюдения требований. Назначьте кого-то для регулярной проверки новых соглашений и убедитесь, что они подписаны вовремя.

4. Интегрируйте AWS Artifact в свой рабочий процесс по соответствию

Если ваша организация уже следует стандартам ISO, SOC или PCI DSS, сделайте AWS Artifact стандартной частью вашего процесса соответствия. Например:

  • При проведении аудитов вы можете предоставить прямые загрузки из AWS Artifact вместо ручного сбора документации.
  • Для новых сотрудников в области безопасности и соответствия вы можете включить обучение по AWS Artifact в программу вводного обучения.
  • Вы можете использовать контрольный список соответствия, который включает проверку отчетов и соглашений AWS Artifact.

5. Используйте разрешения IAM для контроля доступа

Не каждому сотруднику вашей организации необходим доступ к AWS Artifact. Ограничьте доступ только тем, кто в нем нуждается, используя политики управления доступом и идентификации AWS (IAM). Это обеспечит безопасность данных в соответствии с нормами, оставляя доступными только для нужных команд.

Заключение

AWS Artifact позволяет собрать все ваши отчеты и соглашения в одном месте, чтобы вы меньше тратили времени на охоту за бумагами и могли сконцентрироваться на приятных моментах.

Если вы новичок в AWS и хотели бы узнать больше, вы можете пройти этот курс для начинающих Понятия AWS, где вы узнаете о основных службах AWS и почему платформа находится на передовых позициях в области облачных вычислений.

Source:
https://www.datacamp.com/tutorial/aws-artifact