美國國際武器貿易條例 (ITAR)

概觀

itar-sized

AWS GovCloud (US) 區域支援美國國際武器貿易條例 (ITAR) 合規。受 ITAR 出口條例規範的公司必須管控意外出口,這是管理全面 ITAR 合規計劃的一部分,而方法是限制美國人對受保護資料的存取,以及限制該受保護資料在美國境內的實際位置。AWS GovCloud (US) 提供了位於美國境內的實體環境,而能夠存取的 AWS 員工僅限美國人,如此讓符合資格的公司能遵照 ITAR 限制,使用 AWS 來傳輸、處理及存放受保護的文章和資料。AWS GovCloud (US) 環境已由獨立第三方評估機構 (3PAO) 完成稽核,確認已採用適當的控制來支援客戶的出口合規計劃。

  • 什麼是 ITAR?

    國際武器貿易條例 (ITAR) 管控美國國防相關文章的出口,且條例闡明非美國人不得以實體或邏輯的方式存取存放在 ITAR 環境的文章。

    ITAR 美國軍需用品表 (USML) 涵蓋的物品包括設備、元件、材料、軟體、技術資訊等等,除非有特殊授權或豁免,否則只能與美國人分享。美國人是指美國綠卡 (永久居留卡) 持有人或美國公民。

  • ITAR 要求如何應用在雲端?

    雲端的 ITAR 合規著重在確保視為技術資料的資訊不會意外散佈給外國人或其他國家。只有依據美國軍需用品表 (USML) 視為出口的 IT 工作負載或資料類型需遵守 ITAR 的規範。

  • AWS 如何支援需要遵守 ITAR 出口條例的客戶?

    AWS 可讓客戶選擇將資料存放在 AWS GovCloud (US),該區域只能由美國境內的美國人進行管理。AWS GovCloud (US) 是 Amazon 隔離的雲端環境,該區域的帳戶只能授與在美國機構工作的美國人。

    由於 AWS 無法看到或知道客戶上傳到網路的內容,包含該資料是否需要遵守 ITAR 條例,因此 GovCloud 區域內的所有客戶資料都視為 ITAR 資料。 

  • 如何向客戶保證 AWS GovCloud (US) 符合 ITAR 要求?

    目前沒有正式的 ITAR 認證。AWS GovCloud (US) 持續由經過認可的聯邦政府風險與授權管理計劃 (FedRAMP) 獨立第三方評估機構 (3PAO) 進行稽核,且已獲得聯合授權委員會 (JAB) 高基線 FedRAMP 臨時操作授權書 (P-ATO)。美國國防部、美國國土安全部和美國公眾服務行政部門的資訊長 (CIO) 共同代表 JAB。如需詳細資訊,請參閱 Achieve FedRAMP High Compliance in the AWS GovCloud (US) Region

  • 當客戶在 AWS 傳輸、處理和存放 ITAR 資料時,該如何應用 AWS 共同的責任?

    AWS 需要為其提供的雲端基礎設施和核心服務負起邏輯和實體合規的責任。客戶則需為自己的現場部署 IT 基礎架構、應用程式和系統負責。聯合授權委員會 (JAB) 高基線 AWS GovCloud FedRAMP 臨時操作授權書 (P-ATO) 證明 AWS GovCloud (US) 內擁有管制。AWS 支援在 AWS 建置 ITAR 合規系統的客戶。以下是 AWS 服務的一些範例,這些服務協助客戶管理他們自己的安全合規義務:

    保護敏感資料:客戶可使用 Amazon S3 的伺服器端加密保護敏感的非機密資料;使用 AWS CloudHSM 存放和管理安全金鑰,或使用我們的一鍵式 AWS Key Management Service (KMS)。

    提高雲端可見性:客戶可以使用 Amazon CloudTrail 稽核敏感資料的存取和使用,Amazon CloudTrail 是由美國人管理和操作的 API 日誌服務。

    加強身分管理:客戶可透過限制個人、時間、位置,限制對敏感資料的存取。若要限制使用者可發出哪些 API 呼叫,您可使用聯合身分、簡易金鑰輪換以及 AWS 提供的其他功能強大的存取控制測試工具。

compliance-contactus-icon
有問題?與 AWS 合規代表聯繫
探索合規職缺?
立即申請 »
需要 AWS 合規更新?
在 Twitter 上關注我們 »