ITAR – Amazon Web Services (AWS)

什么是 ITAR？

国际武器贸易条例 (ITAR) 用于控制国防相关文章的出口，并声明任何非美国人都无权对 ITAR 环境中存储的文章进行物理或逻辑访问。

ITAR 美国武器列表 (USML) 涵盖的材料包括仅能与缺少特殊授权或豁免的美国人分享的设备、组件、材料、软件、技术信息。美国人指的是美国绿卡持有人或美国公民。

如何在云中应用 ITAR 要求？

云中的 ITAR 合规性注重确保被视为技术数据的信息不会意外分配给外国人或其他国家。为了使数据受 ITAR 约束，必须遵照美国军火清单 (USML) 要求将 IT 工作负载或数据类型视为出口。

AWS 如何向受 ITAR 出口条例约束的客户提供支持？

AWS 允许客户选择将其数据存储在由美国人在美国领土上单独管理的 AWS GovCloud (美国) 中。AWS GovCloud (美国) 是亚马逊的隔离云区域，仅同意为美国组织工作的美国人设立账户。

由于 AWS 没有任何方法得知或不了解客户在其网络中上传的内容，包括此数据是否受 ITAR 条例约束，因此 GovCloud 区域中的所有客户数据都被视为 ITAR 数据。

AWS GovCloud (美国) 如何向客户保证其数据满足 ITAR 要求？

虽然没有正式的 ITAR 认证，但获得认可的联邦风险与授权管理项目 (FedRAMP) 独立第三方评估机构 (3PAO) 持续对 AWS GovCloud (美国) 进行审核，并且已经签发了 FedRAMP High Joint Authorization Board (JAB) Provisional Authority-to-Operate (P-ATO)。美国国防部、国土安全局和总务管理局的首席信息官 (CIO) 组成了 JAB。

当客户在 AWS 上传输、处理和存储受 ITAR 条例约束的数据时，AWS Shared Responsibility 应如何应用？

AWS 负责实现云基础设施和所提供核心服务的逻辑和物理合规性。客户负责他们自己的本地 IT 基础设施、应用程序和系统。如上所述，AWS GovCloud FedRAMP High JAB P-ATO 证明了 AWS GovCloud (美国) 内有适当的控制力，可确保 AWS 支持客户在 AWS 上构建 ITAR 合规系统。这不仅有助于客户对自身安全合规性义务的管理，还有助于在 AWS GovCloud (美国) 中处理和存储数据。以下是一些示例：

保护敏感数据：使用 Amazon S3 中的服务器端加密保护敏感的非机密数据；使用 AWS CloudHSM 或我们的一键 AWS Key Management Service (KMS) 存储和管理安全密钥。

提高云可见性：在 Amazon CloudTrail (我们的 API 日志记录服务，由美国人管理和运行) 中审核敏感数据的访问和使用。

加强身份管理：按个人、时间、位置限制对敏感数据的访问，并限制用户能够使用联合身份、简单密钥轮换和其他强大的可用访问控制测试工具执行的 API 调用。

保护敏感数据：使用 Amazon S3 中的服务器端加密保护敏感的非机密数据文件；使用 AWS CloudHSM 或我们的一键 AWS Key Management Service (KMS) 自行存储和管理安全密钥。

提高云可见性：使用 Amazon CloudTrail (我们的 API 日志记录服务，由美国人管理和运行) 中的密钥审核敏感数据的访问和使用。

巩固身份管理：按个人、时间、位置限制对敏感数据的访问，并限制用户能够使用联合身份、简单密钥轮换和其他强大的可用访问控制测试工具执行的 API 调用。