什麼是 AWS Artifact?
AWS Artifact 是亞馬遜的自助服務門戶,用於訪問合規報告並管理協議。可以將其視為所有安全性和合規性事項的集中中心。 SOC報告、ISO認證或PCI DSS合規性文件都可以隨需提供。無需提交支持票或等待批准,您可以在幾個點擊內獲取所需資料。
使用 AWS Artifact 在準備我們的ISO認證時為我的團隊節省了大量時間。我認為每個致力於該認證的人都知道這需要多少文件工作!將所有必要文件放在一個地方意味著我們可以專注於實際的認證過程,而不是浪費時間追蹤文件。
AWS Artifact 不僅僅是一個文件存儲庫。它還幫助企業管理與AWS等方面的協議,例如 GDPR 合規的數據處理附加協議(DPAs)或 HIPAA 的商業聯繫人附加協議(BAAs)。如果您的公司需要確保符合行業法規,AWS Artifact 提供透明度和可訪問性,使這一過程變得更加簡單。
因此,讓我們回顧一下 AWS Artifact 的主要功能:
- 按需存取:不再需要等待,隨時檢索合規文件。
- 全面文檔:包括審計報告、認證和法規合規材料。
- 用戶友好界面:輕鬆瀏覽和下載報告,無需深入了解 AWS。
在下一部分中,我將詳細介紹關鍵組件,讓您了解可用內容及其對您的組織有何益處。
AWS Artifact 的主要组成部分
AWS Artifact 分为两个主要部分:AWS Artifact 报告和 AWS Artifact 协议。
AWS Artifact 报告
如果您曾经因为需要收集合规文件而进行审核,就会知道这是多么痛苦。AWS Artifact 报告通过直接提供审计报告、安全认证和合规文件来简化这一过程:
- SOC 报告:服务组织控制(SOC)报告概述了 AWS 与安全、可用性和保密性相关的内部控制。对于需要在其云操作中展示信任和透明度的组织来说,这些报告非常重要。
- ISO 認證: AWS 擁有多項國際安全認證,包括 ISO 27001(資訊安全)、ISO 27017(雲端安全)及 ISO 27018(雲端服務的資料隱私)。如果您的企業遵循 ISO 標準,您可以輕鬆下載這些報告以符合要求。
- PCI DSS合規性:對於處理付款卡數據的企業,AWS Artifact 提供 PCI DSS(支付卡行業數據安全標準)報告,以確認 AWS 符合行業法規。
AWS Artifact 協議
AWS Artifact 還管理 AWS 與客戶之間的重要協議。這些協議有助於企業達到法規和法律要求,確保數據得到正確處理。關鍵協議包括:
- 客戶協議:管理 AWS 服務使用的標準條款與條件。
- 數據處理附錄 (DPA): 對於根據 GDPR 運營的公司,此協議概述了 AWS 如何處理和保護個人數據。
- 商業夥伴附錄 (BAA): 此類協議對於受 HIPAA 約束的醫療機構至關重要,確保 AWS 遵守處理受保護健康信息 (PHI) 的相關法規。
現在您已經知道可以從 AWS Artifact 獲得什麼,我將向您展示如何有效地訪問和使用它。
如何訪問和使用 AWS Artifact
AWS Artifact 可直接通過 AWS 管理控制台使用,並且非常直觀。您不需要成為雲專家或 IT 專業人士。
1. 存取 AWS Artifact
開始使用:
- 登入您的AWS管理控制台。如果您尚未註冊帳戶,您需要創建一個。
- 在頂部的搜索欄中輸入“Artifact”,並從結果中選擇它。
- 或者,手動導航:
- 前往AWS服務菜單中的“安全性、身份和合規性”。
- 點擊「AWS Artifact」。
這將帶你進入 AWS Artifact 控制面板,在那裡你會看到兩個主要部分:
- 報告(用於合規性文件)
- 協議(用於法律和監管合約)
AWS Artifact 首頁
2. 下載合規性報告
如果你需要 SOC 報告、ISO 認證或 PCI DSS 文件,這是你可以檢索它們的方法:
- 從 AWS Artifact 儀表板中,點擊“報告”。
- 瀏覽或使用搜索欄找到您需要的特定報告。
- 點擊報告標題查看詳細信息,或選擇進行快速操作。
- 點擊“下載報告”以獲取文件的副本。
AWS Artifact 報告
AWS Artifact 特定報告頁面
這些報告通常是PDF格式的,您可以將它們安全地存儲以供審計或監管檢查使用。
3. 審閱並接受協議
一些AWS服務需要法律協議以符合GDPR(DPA)或HIPAA(BAA)等法規。以下是如何管理這些協議的方法:
- 在AWS Artifact中,轉到“協議”選項卡。
- 您將看到可用於您帳戶的協議列表。
- 如果需要,請選擇並點擊“接受協議”以接受該協議。在這之前,您需要下載並仔細閱讀協議內容!
- 如果您不再需要特定協議,您可以選擇終止它。
AWS 文檔協議
一旦接受,這些協議確保您的 AWS 服務符合隱私法律和行業規定。
4. 誰可以訪問 AWS 文檔?
默認情況下,您的AWS帳戶中並非每個人都可以訪問AWS Artifact。如果您的合規或安全團隊中有人需要訪問權限,AWS管理員必須通過AWS Identity and Access Management(IAM)授予他們權限。
執行以下操作:
- 在AWS控制台中打開IAM。
- 創建或修改包含對AWS Artifact權限的IAM策略。
- 將政策附加到適當的 IAM 使用者、群組或角色。
您可以定義自己的政策或使用 AWS 的管理政策,例如 AWSArtifactReportsReadOnlyAccess。
AWS Artifact 管理政策
5. 排除常見問題
如果您在訪問 AWS Artifact 或下載報告時遇到問題,以下是幾件需要檢查的事項:
- 無法訪問:您可能沒有正確的 IAM 權限,請要求 AWS 管理員授予訪問權限。
- 遺失的報告: 一些報告僅適用於特定地區或行業的AWS客戶。
- 無法下載: 請嘗試停用瀏覽器擴展或使用不同的瀏覽器,因為一些安全設置可能會干擾。
AWS Artifact的最佳實踐
AWS Artifact是一個強大的工具,但像任何合規相關的系統一樣,您如何使用它很重要。為了從中獲得最大價值(並避免當稽核人員來敲門時的臨時抱佛腳),有一些最佳實踐需要遵循。
1. 定期檢查新報告和認證
AWS會不斷更新其合規文件,隨著法規的演變和審計的完成。如果您的業務依賴SOC報告、ISO認證或PCI DSS合規性,請習慣性地定期檢查AWS Artifact以獲取最新版本。您甚至可以設置一個定期任務,每季度下載並審查更新的報告!
2. 保持合規利益相關者的信息共享
只有當適當的人知道如何訪問和使用AWS Artifact時,它才有用。確保您的合規主管、IT安全團隊和審計師知道這個工具,並具有必要的權限。我建議在您喜歡的文件工具中記錄關鍵報告和協議的位置,這樣就不必在最後一刻翻找AWS的用戶界面了。
3. 及時審查並接受協議
一些AWS服務在您以符合法規的方式使用之前需要特定的協議(例如GDPR的DPA或HIPAA的BAA)。未能審查並接受這些協議可能會導致合規流程延遲。指派某人定期檢查新協議,並確保它們及時簽署。
4. 將AWS Artifact整合到您的合規工作流程中
如果您的組織已經遵循ISO、SOC或PCI DSS框架,請將AWS Artifact納入您的合規流程的標準部分。例如:
- 在審計期間,您可以提供直接從AWS Artifact下載而不是手動收集文件。
- 對於安全和合規角色的新員工,您可以在入職培訓中包含AWS Artifact的培訓。
- 您可以使用包括檢查AWS Artifact報告和協議的合規檢查表。
5. 使用IAM權限來控制訪問
您的组织中并非每个人都需要访问 AWS Artifact。使用 AWS 身份和访问管理(IAM)策略限制访问权限,仅授予确实需要访问权限的人员。这样可确保合规数据的安全性,同时仍可提供给正确的团队。
结论
AWS Artifact 可让您将所有报告和协议汇总到一个位置,因此您可以花更少的时间追逐文件,并专注于有趣的事情。
如果您是AWS的新手,並且想了解更多,您可以參考這個初學者的AWS概念課程,您將了解AWS的主要服務以及為什麼這個平台處於雲計算的前沿。