AWS 的 NIST 兼容云基础设施服务由第三方针对 NIST 800-53 Rev. 4 控制以及 FedRAMP 要求进行了测试，已通过验证。对于 AWS GovCloud（美国）区域和 AWS 美国东部/西部区域，AWS 已获得来自多个授权机构的 FedRAMP 代理机构操作授权书 (ATO)。有关更多信息，请参阅以下链接：

•   有关 AWS 东部/西部区域的完整授权机构列表，请转至此处

•   有关 AWS GovCloud 区域的完整授权机构列表，请转至此处

•   有关高基准的 AWS GovCloud JAB P-ATO，请转至此处

有关 AWS FedRAMP 项目的更多信息，请访问我们的 FedRAMP 网页。

虽然有一些控制专门源自于 AWS，不过许多控制源自于您与 AWS 之间的共同责任。在签署 NDA 的前提下，AWS 可以基于 NIST 800-53 Rev. 4 提供 AWS FedRAMP SSP 模板，其中预先填充了适用的 NIST 800-5 Rev. 4 低/中/高控制基准。控制责任如下：

• 共同责任：您负责提供软件组件的安全和配置，AWS 为其基础设施提供安全。

• 仅由客户负责：您完全负责来宾操作系统、已部署的应用程序以及自行选择网络资源（例如，防火墙）。更具体地说，您单独负责配置和管理云“内部”的安全性。

• 仅由 AWS 负责：AWS 管理云基础设施，包括网络、数据存储、系统资源、数据中心、物理安全、可靠性以及支持硬件和软件。在 AWS 系统上构建的应用程序会继承 AWS 提供的功能和可配置选项。AWS 单独负责配置和管理云“本身”的安全性。

在安全授权方面，为了符合 FedRAMP 的要求（基于 NIST 800-53 rev 4 低/中/高控制基准），需要 AWS 全面地实施 AWS 完全控制和共同控制，而您需要实施客户完全控制和共同控制。FedRAMP 认可的 3PAO（第三方评估组织）已对 AWS 的控制责任实施做出评估和授权。对于由您负责的共同控制部分，以及与您在 AWS 基础设施上实施的应用程序相关的控制，必须由您在遵循 NIST 800-37 以及客户特定安全授权政策与过程的情况下单独评估和授权。

AWS FedRAMP 合规性系统已获得授权，已满足 FedRAMP 安全控制 (NIST SP 800-53) 的要求，使用在安全 FedRAMP 存储库中发布的安全包所必需的 FedRAMP 模板，已由获得认可的独立第三方评估组织 (3PAO) 进行评估，并持续符合 FedRAMP 的连续监控要求。

根据 AWS 共同责任模型，AWS 负责管理云自身的安全性，而您负责云内部的安全性。为了支持您落实共同责任，AWS 快速入门（由 AWS CloudFormation 提供支持）提供了一键式部署方式来自动完成 AWS 云中的关键技术部署。每个快速入门会启动、配置和运行在 AWS 上部署工作负载所需的 AWS 计算、网络、存储和其他服务，可满足通用安全标准和框架（例如 PCI DSS 和 NIST 800-53）的合规性要求。

快速入门包含全面的规则集，按照系统化的方式来强制执行，实现了安全基准的简化、自动化和实施。例如，“AWS 云中面向符合 NIST 标准的保障框架的标准化架构：快速入门”包括 AWS CloudFormation 模板。这些模板可以与 AWS Service Catalog 集成来自动构建符合 NIST 800-53（第 4 版）和 NIST 800-171 规范的标准化基准架构工作负载。快速入门还包括安全控制参考，其中论述了基准的安全控制架构决策、功能和配置。这些内容可用于支持您在 AWS 中的合规性工作，能够对您组织的 AWS 云安全与合规目标起到非常大的作用。

公共部门和商业部门组织均可使用本白皮书来访问针对 NIST CSF 的 AWS 环境，并改善他们实施和运营的安全措施 (也称为云安全性)。我们提供详细的 AWS 云产品分类以及相关的客户职责和 AWS 职责，帮助您与 NIST CSF 保持一致。本白皮书还提供了第三方审计人员的信件，证明 AWS 云产品符合 NIST CSF 风险管理实践 (也称为云安全性)，支持组织以适当方式保护 AWS 中的数据。

从联邦机构和州机构到受监管的实体，再到大型企业，各组织均可使用本白皮书作为实施 AWS 解决方案的指南，以便在 NIST CSF 中取得风险管理成果。