AWS 合规性解决方案指南

AWS 合规性报告最好通过 AWS Artifact 中的控制台访问。AWS Artifact 为客户提供自助服务，方便客户按需访问最新的 AWS 合规性报告。一旦 AWS 发布新报告，客户便可通过 AWS Artifact 下载。除了按需访问外，使用 AWS Artifact 还具有以下三大优势。

1. 无需输入信用卡。创建账户或使用 AWS Artifact 门户不会产生任何相关费用。
2. 支持通过 IAD 为其他用户创建帐户。
3. 支持快捷的点击 NDA。

请注意，所有第三方鉴证、认证、服务组织控制 (SOC) 报告和其他相关合规性报告均需要 NDA。AWS ISO 27001 认证和公开发布的 AWS SOC 3 报告除外。

如果您已有 AWS 账户并准备使用 AWS Artifact，可利用以下资源在控制台中熟悉这一功能。如果您还没有 AWS 账户，可通过以下步骤创建一个。

AWS Artifact 网站 - 本网站将为您提供有关 AWS Artifact 的基本信息，包括快速入门指南和 AWS Artifact 常见问题页面，快速入门指南有如何登录控制台和下载报告的逐步说明，常见问题页面则包含所有常见问题的完整列表。

以下是容易出现问题的几个常见情况：

填写安全性调查问卷以记录 AWS 安全性和合规性状况时，如果需要协助，AWS 已拟定建议方法，可为您提供资源，帮助您解决在云和 AWS 业务模型中遇到的安全性与合规性问题。此程序可确保所有客户获得经第三方审计机构验证的一致答案。

AWS Artifact 存储了所有合规性报告，因此是首选方式。AWS 每年接受第三方审计机构的多次审计，其中大部分审计均按照国际安全标准进行，如 ISO 27001、PCI 和 SOC。您可以利用这些报告回答任何安全性调查问卷上的问题。

此外，还有几类在线资源可帮助您回答一些最常见的问题。填写调查问卷时最常用到以下两个文档：

共识评估倡议调查问卷 - 云安全联盟 (CSA) 是一个非营利组织，旨在促进最佳实践的使用，实现云计算安全保障。“CSA 共识评估倡议调查问卷”包含一系列问题，据 CSA 预计云客户和/或审计机构会可能向云提供商提出。该调查问卷提出了一系列安全、控制和流程问题，用途广泛，包括对云提供商的选择和安全评估。本文档包含由 AWS 针对 CSA 调查问卷提供的答案。

《Risk and Compliance》白皮书：本文档旨在为 AWS 客户提供信息，协助他们将 AWS 集成到支持其 IT 环境的现有控制框架中。其中包含评估 AWS 的控制能力的基本方法，并提供相关信息来协助客户集成控制环境。此外，本文档还围绕云计算合规性问题，提供了一些 AWS 特定信息。其中对 AWS 认证、计划、报告和第三方鉴证也给出了详细描述。CSA 问卷已附于本文档中。

如果在回答问题的过程中，您仍需帮助，请联系您的 AWS 销售客户经理，他们可以帮助您寻找相应资源。

以下是使用 HIPAA BAA 时最常遇到的一些挑战。如需访问更多 BAA 相关资源，包括含 HIPAA 常见问题、BAA 教学视频、白皮书等内容的完整列表，请访问 AWS HIPAA 合规性主页面。

问：我可否获得现有 BAA 的硬拷贝？

答：Artifact 上的 BAA 版本与硬拷贝版本完全相同。使用 Artifact 时，可在接受条款前后随时下载 BAA 副本。如果您已有离线 BAA，可以联系您的销售代表获得副本。

问：我需要附表 A 来确定账户已添加至现有 BAA，或需要 BAA 已包含特定账户的证明。

答：AWS 不会在现有 BAA 包含额外账户后发布更新的附表 A。通过 Artifact，您可以在控制台中立即指定新帐户自助服务。在 Artifact 中接受 BAA 后，可以使用账户 ID 登录控制台，确认账户处于有效状态。如需增加新账户，可通过自助服务实现。  如需确认包含状态和向审计机构或监管机构分享 BAA，可下载 pdf 版本。此外，状态也可作为包含的证据。

问：我无法进入 BAA，或无法勾选 NDA 复选框。

答：此问题源于权限错误。处理 AWS 账户 IAM 请求的个人或团队可以通过调整权限来解决此问题。设置 IAM 账户的更多信息参见这里。