您可以使用 AWS 執行受美國健康保險流通與責任法案 (HIPAA) 管制的敏感工作負載。如果您計劃在 AWS 服務包含 HIPAA 定義的受保護醫療資訊,首先必須接受 AWS 商業夥伴增補合約 (AWS BAA)。您可以透過 AWS Artifact 提供的自助服務入口網站檢閱、接受和檢查 AWS BAA 的狀態。
所有 AWS 服務都可搭配醫療保健應用程式使用,但是只有 AWS BAA 涵蓋的服務可用來存放、處理和傳輸由 HIPAA 定義的受保護醫療資訊。
在 HIPAA 應用程式使用 AWS 表示要遵守某些一般策略,像是:
- 將受保護資料從處理/協作分離
- 追蹤使用自動化的資料流程
- 在受保護和一般工作流程之間建立邏輯邊界
下方是常見的架構模式範例。建議您進行盡職調查,並在實作之前先諮詢 AWS 或您的內部合規部門。
範例 1:針對 PHI 和非 PHI 資料使用不同的 Amazon Virtual Private Cloud (VPC)。右邊的 VPC 是用來測試行動應用程式,而左邊的 VPC 則是用來存放和處理 PHI。PHI 不會從左邊的 VPC 流到右邊的 VPC。注意:左邊的 VPC 架構必須符合我們的 HIPAA 指導。
範例 2:間接策略。透過 S3 Transfer Acceleration 將包含 PHI 的新物件寫入 S3 時,S3 觸發程式會指示 AWS Lambda 將適當的中繼資料寫入 Amazon SQS 佇列。Amazon EC2 上執行的服務會輪詢 SQS 佇列,如果有新的可用資料,就會從 S3 取出 PHI 資料。第二個 Lambda 函數會觸發行動提醒,通知已開始處理資料。這個範例僅使用 S3 和 EC2 來存放、處理和傳輸所有 PHI 資料;Lambda 和 SQS 僅用來協調服務或在任務應該開始時發出通知。
