ITAR
概觀
AWS GovCloud (US) 區域支援美國國際武器貿易條例 (ITAR) 合規。受 ITAR 出口條例規範的公司必須管控意外出口,這是管理全面 ITAR 合規計劃的一部分,而方法是限制美國人對受保護資料的存取,以及限制該資料在美國境內的實際位置。AWS GovCloud (US) 提供了位於美國境內的實體環境,而能夠存取的 AWS 人員僅限美國人,如此讓符合資格的公司能遵照 ITAR 限制來傳輸、處理及存放受保護的文章和資料。AWS GovCloud (US) 環境已由獨立第三方完成稽核,確認已採用適當的控制來支援客戶的出口合規計劃。
-
什麼是 ITAR?
國際武器貿易條例 (ITAR) 管控國防相關文章的出口,並闡明非美國人不得以實體或邏輯的方式存取存放在 ITAR 環境的文章。
ITAR 美國軍需用品表 (USML) 涵蓋設備、元件、材料、軟體、技術資訊等資料,這些資料只能與無特殊授權或豁免的美國人共用。美國人是指持有美國綠卡的人員或美國公民。
-
ITAR 要求如何應用在雲端?
雲端的 ITAR 合規著重在確保視為技術資料的資訊不會意外散佈給外國人或其他國家。只有依據美國軍需用品表 (USML) 視為出口的 IT 工作負載或資料類型需遵守 ITAR 的規範。
-
AWS 如何支援需要遵守 ITAR 出口條例的客戶?
AWS 可讓客戶選擇將資料存放在 AWS GovCloud (US),該區域只能由美國境內的美國人進行管理。AWS GovCloud (US) 是 Amazon 隔離的雲端區域,該區域的帳戶只能授與在美國機構工作的美國人。
由於 AWS 無法看到或知道客戶上傳到網路的內容,包含該資料是否需要遵守 ITAR 條例,因此 GovCloud 區域內的所有客戶資料都視為 ITAR 資料。
-
如何向客戶保證 AWS GovCloud (US) 符合 ITAR 要求?
目前沒有正式的 ITAR 認證。AWS GovCloud (US) 持續由經過認可的聯邦政府風險與授權管理計劃 (FedRAMP) 獨立第三方評估機構 (3PAO) 進行稽核,且已獲得 FedRAMP 高影響級別聯合授權委員會 (JAB) 臨時操作授權書 (P-ATO)。美國國防部、美國國土安全部和美國公眾服務行政部門的資訊長 (CIO) 共同代表 JAB。
-
當客戶在 AWS 上傳輸、處理和存放需遵守 ITAR 條例的資料時,該如何應用 AWS 共同的責任?
AWS 需要為其提供的雲端基礎設施和核心服務負起邏輯和實體合規的責任。客戶則需為自己的現場部署 IT 基礎架構、應用程式和系統負責。如上所述,AWS GovCloud FedRAMP High JAB P-ATO 證明 AWS GovCloud (US) 具備所需的管控,可確保 AWS 支援客戶在 AWS 上建置 ITAR 合規系統。這能夠讓客戶在 AWS GovCloud (US) 處理和存放資料的同時,加強管理自己的安全合規義務。以下是一些範例:
保護敏感資料:使用 Amazon S3 的伺服器端加密保護敏感的未分類資料;使用 AWS CloudHSM 存放和管理安全金鑰,或使用我們的一鍵式 AWS Key Management Service (KMS)。
提高雲端可見性:在 Amazon CloudTrail 稽核敏感資料的存取和使用,Amazon CloudTrail 是由美國人管理和操作的 API 日誌服務。
加強身分管理:透過限制個人、時間、位置,以及限制使用者使用聯合身分發出的 API 呼叫、簡易金鑰輪換和其他功能強大的存取控制測試工具,限制對敏感資料的存取。
