- セキュリティ、アイデンティティ、コンプライアンス›
- AWS Artifact›
- AWS Artifact に関するよくある質問
AWS Artifact に関するよくある質問
全般
1.AWS Artifact とは何ですか?
コンソールで利用可能な AWS Artifact は、お客様に AWS のコンプライアンスドキュメントと AWS 契約へのオンデマンドのアクセスを提供する、セルフサービスによる監査アーティファクト検索ポータルです。
AWS Artifact Reports を使用し、AWS ISO 認定、Payment Card Industry (PCI) レポート、System and Organization Control (SOC) レポートのような AWS セキュリティおよびコンプライアンスのドキュメントをダウンロードできます。
AWS Artifact Agreements を使用し、事業提携契約 (BAA) のような AWS 契約の状況を確認、受諾、追跡できます。
2.AWS Artifact には誰がアクセスできますか?
すべての AWS アカウントには、AWS Artifact にアクセスする権限があります。ルートユーザーおよび管理者権限を持つ IAM ユーザーは、関連する利用規約に同意することで、すべての利用可能な監査アーティファクトを自身のアカウントにダウンロードできます。
管理者アクセス許可がない IAM ユーザーには、IAM アクセス許可を使用して AWS Artifact へのアクセス許可を付与する必要があります。この操作によって、ユーザーに AWS Artifact へのアクセス権限を付与しつつ、AWS アカウント内の他のサービスやリソースへのアクセスを制限できます。IAM を使用してアクセス権限を付与する方法についての詳細は、AWS Artifact のドキュメント内の該当するヘルプトピックを参照してください。
3.契約の状態にはどのようなものがありますか、またそれぞれの状態は何を意味しますか?
契約には以下の 2 つの状態があります。
- 非アクティブ: ユーザーが契約を受諾していない場合や、過去に受諾された契約をユーザーが終了した場合、契約は [非アクティブ] になります
- アクティブ: ユーザーが契約を受諾した場合、契約は [アクティブ] になります
4.他のユーザーに AWS Artifact Agreements へのアクセス権限を付与するにはどうすればよいですか?
AWS Artifact を使用するうえで必要なすべてのアクセス許可は管理アカウントに含まれていますが、さまざまなユーザーに異なるアクセス許可を付与するには個別のドキュメントや契約が必要になる場合があります。IAM ポリシーを使用してアクセス許可を付与できます。AWS Artifact ユーザーガイドで以下のテーブルを参照し、必要なアクセスレベルに応じて IAM ユーザーに割り当て可能な権限を確認してください。
5.監査アーティファクトとは何ですか?
監査アーティファクトは、組織が文書化プロセスに従っていること、または特有の要件を満たしていることを示す証拠のことです。監査アーティファクトはシステム開発のライフサイクル全体で収集およびアーカイブされ、内部および外部向けの監査や評価における証拠として使用されます。
現在、AWS Artifact は監査アーティファクトとして使用されるレポートと契約をお客様に提供しています。
6.監査人と監査アーティファクトを共有するにはどうすればよいですか?
多くの場合、AWS コンプライアンスレポートへのアクセス権限を監査人に付与する必要があります。アクセス権限の付与は、各監査人に特有の IAM ユーザー認証情報を作成し、監査人が行っている監査に関連するレポートのみにアクセスできるように認証情報を設定することによって簡単に行えます。詳細については、AWS Artifact のドキュメント内の該当するヘルプトピックを参照してください。
7.監査要件を満たすためにこれらのアーティファクトを使用する方法を教えてください。
AWS 監査アーティファクトは、監査人または規制機関に AWS のセキュリティ制御の証拠として提示することができます。
また、AWS 監査アーティファクトの一部として提供される責務についてのガイダンスを使用して、クラウドアーキテクチャを設計することもできます。このガイダンスは、システムの固有のユースケースに対応するために実行すべき追加のセキュリティ制御を決定するのに役立ちます。
8.ダウンロードできるアーティファクトの数には制限がありますか?
いいえ。必要に応じて、いつでも、何回でも、利用可能なアーティファクトにアクセスしてダウンロードできます。
AWS レポート
1.AWS Artifact Reports の対象者は?
AWS Artifact Reports は、すべての AWS のお客様が、自身が使用する AWS インフラストラクチャとサービスのセキュリティとコンプライアンスを評価し、検証するために使用できます。
AWS Artifact Reports は次のような場合に使用します。
- システム設計、開発、および監査のライフサイクルの中で、クラウドアーキテクチャのコンプライアンスを実証する義務がある場合。AWS インフラストラクチャ (使用しているサービスに固有) の過去および現在のコンプライアンスを実証するため、監査人や規制機関から監査アーティファクトの形式で証拠の提出を求められます。
- AWS に実装した制御が効果的に動作しているかを検証するために監査アーティファクトを使用する必要がある場合、またはそれに関心がある場合。
- サプライヤを継続的にモニタリングまたは監査することに関心がある場合。
- 安全なクラウドアーキテクチャを構築する開発チームのメンバーであり、ISO、PCI、SOC などの規制標準に準拠する責任について理解するためのガイダンスが必要な場合。多くの場合、チームでの作業により、所属するエンタープライズが AWS を使用すること、または所属するエンタープライズが AWS を使用し続けることが可能になります。
AWS 監査アーティファクトは、監査人または規制機関に AWS のセキュリティ制御の証拠として提示することができます。
また、AWS 監査アーティファクトの一部として提供される責務についてのガイダンスを使用して、クラウドアーキテクチャを設計することもできます。このガイダンスは、システムの固有のユースケースに対応するために実行すべき追加のセキュリティ制御を決定するのに役立ちます。
2.AWS コンプライアンス報告を顧客と共有できますか?
特定の AWS コンプライアンスレポートに適用される利用規約で認められている場合は、AWS コンプライアンスレポートをお客様と直接共有できます。そのレポートの共有が認められているかどうかは、AWS Artifact からダウンロードした AWS コンプライアンスレポートの 1 ページ目に記載されている利用規約をご覧のうえご確認ください。
さらに、顧客の AWS アカウントを使用して AWS コンプライアンスレポートにアクセスできます。まだアカウントを持っていない場合は、作成するように案内する必要があります。アカウントの作成は無料です。
アカウントにログイン後、AWS コンソール内の [セキュリティ、アイデンティティ、コンプライアンス] の [アーティファクト] に移動して、利用可能なレポートにアクセスできます。
詳細については、「AWS Artifact の開始方法」をご参照ください。
3.AWS FedRAMP セキュリティパッケージはどこで入手できますか?
Federal Risk and Authorization Management Program (FedRAMP) の詳細、および AWS Artifact を使用して AWS FedRAMP セキュリティパッケージをダウンロードする方法については、FedRAMP コンプライアンス のウェブページを参照してください。
サードパーティーレポート
1.サードパーティーのコンプライアンスレポートにアクセスできるのは誰ですか?
サードパーティー (AWS Marketplace の独立系ソフトウェアベンダー (ISV)) のコンプライアンスレポートは、特定の ISV の AWS Marketplace ベンダーインサイトへのアクセス権を付与された AWS の顧客のみがアクセスできます。サードパーティーのコンプライアンスレポートにアクセスする方法の詳細については、こちらをご覧ください。
2.誰がサードパーティーのコンプライアンスレポートを使用する必要がありますか?
AWS Marketplace ベンダーインサイトをご利用の AWS のお客様は、ISV が AWS Artifact を介して共有するサードパーティーのコンプライアンスレポートを、サードパーティーのリスク評価の一環としてダウンロードし、ご利用いただく必要があります。
3.サードパーティーのコンプライアンスレポートを顧客と共有できますか?
サードパーティーのコンプライアンスレポートをダウンストリームのお客様と共有するには、ダウンロードしたレポートのカバーページに記載されている利用規約 (T&C) が適用されます。共有が許可されているかどうかを判断するには、それぞれの T&C を参照してください。また、T&C は各レポートごとに異なる場合がありますのでご注意ください。
4.サードパーティーコンプライアンスレポートについて質問がある場合、誰に問い合わせればよいですか?
AWS は、これらのレポートをより迅速かつセルフサービスでアクセスできるようにお客様に提供しています。レポートに関するご質問は、それぞれのサードパーティーに直接お問い合わせください。
契約
1.AWS Artifact Agreements とは何ですか? それを使用する利点は何ですか?
AWS Artifact Agreements は AWS Artifact サービス (監査およびコンプライアンスポータル) の機能で、個々のアカウントおよび AWS Organizations で組織に含まれる全アカウントの AWS との契約を確認、受諾、管理できます。以前に受諾した契約が不要になった場合は、AWS Artifact を使用して終了することもできます。
2.AWS Artifact Agreements ではどのような契約を利用できますか?
AWS Artifact Agreements では、特定の規制の対象となる顧客のニーズに対応するために、さまざまな種類の契約が用意されています。例えば事業提携契約 ( BAA ) は、 Health Insurance Portability and Accountability Act (HIPAA) を遵守する必要がある顧客に提供されています。お使いのアカウントに対応可能な契約のすべてのリストについては、AWS Artifact にログインしてください。
AWS Artifact Agreements で契約にお進みになる前に、AWS Artifact 機密保持契約 (NDA) の規約をダウンロードして受諾する必要があります。各契約は機密で、貴社外部と共有することはできません。
3.Artifact の外部で既に NDA を締結済みである場合、AWS Artifact Agreements で新たに NDA を受諾する必要がありますか?
はい。Artifact において機密文書の閲覧とダウンロードを行うには、AWS Artifact NDA を受諾する必要があります。ただし、Amazon と締結済みの既存の NDA があり、その NDA が Artifact で提供される情報と同じ範囲を対象とする場合、Artifact NDA の代わりに既存の NDA が適用されます。
4.AWS Artifact Agreements には誰がアクセスできますか?
お客様が AWS アカウントの管理者である場合、そのアカウントには、契約のダウンロード、承諾、解約を行うアクセス権限が自動的に与えられています。AWS Organizations の組織の管理アカウント管理者は、管理アカウントおよび組織の全メンバーアカウントに代わって、契約を承諾および解約できます。契約を承諾する前に、法務、プライバシー、コンプライアンスの各チームとともに契約条項をレビューする必要があります。IAM を使用して契約関係者 (法務、プライバシー、コンプライアンスの各チーム) にアクセスを付与できるため、ユーザーは契約のダウンロード、レビュー、受諾を行うことができます。
お客様が管理者ではない場合は、契約をダウンロード、受諾、終了するためのアクセス許可を追加で付与してもら必要があります。管理者は IAM ユーザーのビジネスニーズに応じて、さまざまなレベルの権限を付与できる柔軟性があります。
AWS Artifact のアクセス許可に関する完全なリストについては、「AWS Artifact ユーザーガイド」の「アクセスの制御」と「一般的なポリシー」を参照してください。
5.AWS Artifact Account Agreements と AWS Artifact Organization Agreements の違いは何ですか?
承諾すると、AWS Artifact Account Agreements ([アカウント契約] タブの下に位置) は AWS へのログインに使用する個々のアカウントにのみ適用されます。
承諾すると、AWS Artifact Organization Agreements ([組織契約] タブの下に位置) は AWS Organizations で作成した組織のすべてのアカウントに適用されます。これには、組織の管理アカウントとすべてのメンバーアカウントが含まれます。組織の管理アカウントのみが AWS Artifact Organization Agreements で契約を承諾できます。
6.AWS Artifact Organization Agreements を使用する利点は何ですか?
AWS Artifact Organization Agreements は組織内のすべてのアカウントに代わって 1 つの契約を承諾することで、複数の AWS アカウントの契約管理を簡素化します。管理アカウントの認定ユーザーが組織の契約を承諾する際に、既存および将来的なすべてのメンバーアカウントが契約の規約に自動的に含まれます。
7.AWS Artifact Organization の契約を使用するには何を行う必要がありますか?
AWS Organizations の組織の管理アカウントユーザーは、組織の既存および将来的な全メンバーアカウントに代わって契約を承諾できます。お客様が属する組織のすべての機能を有効にする必要があります。組織の一括請求 (コンソリデーティッドビリング) 機能のみが設定されている場合は、「組織内のすべての機能の有効化」をご参照ください。
開始するには、以下の IAM のアクセス権限を使用して管理アカウントにサインインする必要があります。
artifact:DownloadAgreement
artifact:AcceptAgreement
artifact:TerminateAgreement
organizations:DescribeOrganization
organizations:EnableAWSServiceAccess
organizations:ListAWSServiceAccessForOrganization
iam:ListRoles
iam:CreateServiceLinkedRole
AWS Artifact のアクセス許可に関する完全なリストについては、「AWS Artifact ユーザーガイド」の「アクセスの制御」と「一般的なポリシー」を参照してください。
8.AWS Artifact Organization Agreements を使用する前に、アカウントでサービスにリンクされたロール (SLR) を作成するためのアクセス許可を AWS 付与する必要があるのはなぜですか?
AWS はアカウントでサービスにリンクされたロールを作成するためにアクセス許可が必要です。これにより、契約が受諾されると AWS Artifact サービスが ListAccounts を実行し、組織のメンバーアカウントの完全なリストを特定できます。メンバーアカウントが組織に参加するまたは組織を離れる場合、AWS は通知を受け、受諾した契約に含まれているアカウントのリストが更新されます。
9.組織が AWS Artifact Organization Agreements を使用していることを確認するにはどうすればよいですか?
AWS Artifact Agreements コンソール にアクセスし、[組織契約] タブをクリックします。組織の管理アカウントが組織契約を承諾すると、その契約はアクティブとしてリストに表示されます。管理アカウントまたは組織のメンバーアカウントとしてログインする際にこれを行うことができます。
重要: AWS Artifact でお客様のアカウントの組織契約についての情報を取得するには、AWS コンソールにサインインした IAM ユーザーは organizations:DescribeOrganization へのアクセス権限を持っている必要があります。AWS Artifact のアクセス許可に関する完全なリストについては、「AWS Artifact ユーザーガイド」の「アクセスの制御」と「一般的なポリシー」を参照してください。
10.組織とは何ですか?
組織は、AWS Organizations を使用して 1 つの管理アカウントで集中管理できるメンバーアカウントのコレクションのことです。詳細については、AWS Organizations ウェブサイトをご参照ください。
11.管理アカウントとは何ですか?
管理アカウントは、AWS Organizations で組織の作成に使用する AWS アカウントのことです。管理アカウントへのログイン時に、AWS Organizations を使用して組織でメンバーアカウントを作成したり、組織に参加するよう既存のアカウントを招待したり、組織からアカウントを削除したりできます。
管理アカウントのみが AWS Artifact Organization Agreements を使用し、組織のすべてのアカウントに代わって契約を承諾または解約できます。
12.メンバーアカウントとは何ですか?
メンバーアカウントは AWS Organizations で組織に含まれる AWS アカウントのうち、管理アカウントではないものです。組織の管理アカウントの管理者は、組織内にメンバーアカウントを作成することや、組織に参加するよう既存のアカウントを招待することができます。メンバーアカウントは、一度に 1 つの組織にのみ所属できます。
メンバーアカウントは AWS Artifact Account Agreements を使用し、各メンバーアカウントに代わってのみ契約を承諾または解約できます。メンバーアカウントは AWS Artifact Organization Agreements を使用し、組織の管理アカウントがメンバーアカウントのために承諾した契約を表示できます。
13.自分のアカウントが組織に含まれていない場合でも、AWS Artifact Organization Agreements を使用できますか?
いいえ。AWS Artifact Organization Agreements は AWS Organizations を使用しているアカウントのみがご利用いただけます。AWS Organizations を作成する場合や組織に参加したい場合は、「組織の作成と管理」の手順に従ってください。
14.AWS Artifacts Agreements は、リセラーアカウントに対してどのように機能しますか?
AWS Artifacts Agreements は、リセラーアカウントに対しても同じように機能します。リセラーは、IAM を使用して、契約のダウンロード、受諾、終了を行うアクセス許可を誰に与えるかを管理できます。デフォルトでは、管理者権限を持つユーザーのみアクセス権限を付与できます。
15.AWS Organizations とは別にアカウントの契約を承諾するにはどうすればよいですか?
別の組織にあるアカウントを契約に含めたい場合は、各組織の管理アカウントにログインし、AWS Artifact Organization Agreements から関連する契約を承諾する必要があります。
複数のアカウントを 1 つの組織にまとめる場合は、組織へのアカウントの招待の手順に従い、組織に参加するよう AWS アカウントを招待できます。
16.AWS Artifact Organization Agreements を使用し、組織内の一部のメンバーのみの契約を受諾することはできますか?
いいえ。AWS Artifact Organization Agreements ([組織契約] タブ) では、組織内のすべてのアカウントの代理でのみ契約を受諾することが可能です。
一部のメンバーアカウントのみの契約を受諾したい場合は、各アカウントに個別にサインインし、AWS Artifact Account Agreements ([アカウント契約] タブ) から関連する契約を受諾する必要があります。
17.アカウントの [Account agreements] (アカウント契約) タブで同じタイプの契約がすでに承諾されている場合でも、[Organization agreement] (組織契約) タブで契約を承諾できますか?
はい。管理アカウントとメンバーアカウントは AWS Artifact Account Agreements ([アカウント契約] タブにある契約) と AWS Artifact Organization Agreements ([組織契約] タブにある契約) で同じタイプの契約を同時期に所有することが可能です。
アカウントに同じタイプのアカウント契約と組織契約が同時期にある場合は、アカウント契約の代わりに組織契約が適用されます。個々のアカウントに関して言及すると、組織契約が終了した場合でも (例: 組織からメンバーアカウントを削除する)、そのアカウント ([Account agreements] タブで確認可能) はアクティブのままになり、継続して適用されます。
18.アカウントの [Account agreements] タブと [Organization agreements] タブで同じ契約が受諾されている場合、どちらの契約が適用されますか?
組織契約が適用されます。組織契約の規約には、両方の契約がアクティブの場合はアカウント契約の代わりに組織契約が適用されると記載されています。組織契約を終了し、同じタイプのアカウント契約がある場合は ([アカウント契約] タブを確認)、アカウント契約がそのアカウントに適用されます。注: 組織契約を終了しても、アカウント契約は終了しません。
19.メンバーアカウントを組織から削除した場合、代理で承諾した組織契約はどうなりますか?
メンバーアカウントを組織から削除した場合 (例: 組織を退社する、または管理アカウントが組織から削除した)、そのアカウントのために承諾した組織契約はそのメンバーアカウントには適用されなくなります。
必要に応じて、メンバーアカウントが新しいアカウント契約を締結できるよう、管理アカウント管理者はメンバーアカウントを組織から削除する前にメンバーアカウントに知らせることをお勧めします。メンバーアカウントの所有者が組織を離れる前に、(必要であれば法務、プライバシー、コンプライアンスの各チームのサポートを受けて) 新しい契約の締結が必要かどうかを判断する必要があります。
20.メンバーアカウントが組織から削除されると、メンバーアカウントには通知されますか?
現時点では、メンバーアカウントが組織から削除されても通知されません。AWS では、メンバーアカウントが組織から削除される際にその旨と組織契約に含まれなくなる旨をメンバーアカウントに通知する機能を開発しています。
必要に応じて、メンバーアカウントが新しいアカウント契約を締結できるよう、管理アカウント管理者はメンバーアカウントを組織から削除する前にメンバーアカウントに知らせることをお勧めします。メンバーアカウントの所有者が組織を離れる前に、(必要であれば法務、プライバシー、コンプライアンスの各チームのサポートを受けて) 新しい契約の締結が必要かどうかを判断する必要があります。
事業提携契約 (BAA)
1.AWS Artifact Agreements を使用して AWS の BAA を受諾するにはどうすればよいですか?
AWS Artifact Agreements では、アカウントの AWS マネジメントコンソールまたは AWS Organizations の組織から AWS の BAA をレビューおよび承諾できます。個々のアカウントの場合は [アカウント契約] タブから AWS の BAA を承諾できます。組織の管理アカウントの場合は、組織の [組織契約] タブですべてのアカウントに代わって AWS の BAA を承諾できます。AWS Artifact Agreements で AWS の BAA を承諾する際に、保護された医療情報 (PHI) と関連付けて使用する AWS アカウントをすぐに指定できます。さらに、AWS Artifact Agreements コンソールを使用し、AWS アカウントまたは組織に指定されている契約とその規約を確認できます。
2.AWS Artifact Agreements を使用して、BAA に基づき自分のアカウントを HIPAA アカウントとして指定するにはどうすればよいですか?
AWS Artifact の [アカウント契約] タブでオンライン BAA を承諾すると、そのオンラインアカウントの BAA では、AWS にサインインしたアカウントが HIPAA アカウントとして自動的に指定されます。AWS Organizations の管理アカウントをお持ちで、AWS Artifact の [組織契約] タブでオンライン BAA を承諾した場合、組織内のすべてのアカウントが HIPAA アカウントとして自動的に指定されます。その後に組織に追加されたメンバーアカウントも HIPAA アカウントとして自動的に指定されます。
3.AWS Artifact Agreements を使用して、BAA に基づき複数のアカウントを HIPAA アカウントとして指定できますか?
はい。AWS Organizations をご利用の場合、組織の管理アカウントは AWS Artifact Agreements の [組織契約] タブを使用し、組織の既存のメンバーアカウントおよび将来追加されるメンバーアカウントに代わって組織の BAA を承諾できます。
AWS Organizations を使用しない場合や、一部のメンバーアカウントのみを指定したい場合は、各アカウントに個別にサインインし、そのアカウントの代理で BAA を受諾できます。
4.アカウント契約として承諾できる AWS の BAA と組織契約として承諾できる AWS の BAA の違いは何ですか?
違いは、[組織契約] タブの BAA です。承諾すると、管理アカウントにリンクされているすべてのアカウントに AWS Organizations を通じて適用されます。比較すると、[アカウント契約] タブの BAA は、BAA を承諾したアカウントのみに適用され、その他のアカウントには適用されません。アカウントの BAA と組織の BAA の両方を受諾した場合、アカウントの BAA の代わりに組織の BAA が適用されます。
5.自分のアカウントでアカウントの BAA を既に承諾していますが、すべてのアカウントを契約に含めるために組織の BAA を承諾することはできますか?
はい。組織の管理アカウントを使用し、AWS Artifact Agreements の [組織契約] タブで、組織の既存のメンバーアカウントおよび将来追加されるメンバーアカウントに代わって組織の BAA を承諾できます。アカウントの BAA と組織の BAA の両方を受諾すると、アカウントの BAA の代わりに組織の BAA が適用されます。
6.AWS Artifact Agreements を使用して BAA を終了するにはどうすればよいですか?
PHI と関連付けて AWS アカウントまたは組織アカウントを使用する必要がなくなり、AWS Artifact Agreements を使用して BAA を受諾した場合、AWS Artifact Agreements を使用してその BAA を終了できます。
BAA をオフラインで受諾した場合、以下の「オフライン BAA」のよくある質問を参照してください。
7.AWS Artifact Agreements でオンライン BAA を終了するとどうなりますか?
AWS Artifact の [アカウント契約] タブでオンライン BAA を終了すると、AWS にサインインしたアカウントは直ちに HIPAA アカウントから解除されます。組織の BAA ([組織契約] タブ) に含まれていない限り、AWS の BAA からは解除されます。アカウントから保護医療情報 (PHI) がすべて削除されており、そのアカウントを PHI と関連付けて使用しないことが確実である場合にのみ、BAA を終了してください。
管理アカウントのユーザーがオンライン BAA を AWS Artifact の [組織契約] タブで解約した場合、組織内のすべてのアカウントが HIPAA アカウントから削除されます。個々のアカウントの BAA ([アカウント契約] タブ) に含まれていない限り、AWS の BAA からは削除されます。組織内のすべてのアカウントから保護医療情報 (PHI) がすべて削除されており、そのアカウントを PHI と関連付けて使用しないことが確実である場合にのみ、組織の BAA を終了してください。
8.AWS アカウントに受諾したアカウントの BAA と組織の BAA がある場合、どちらの BAA が適用されますか?
アカウントの BAA と組織の BAA の両方を同時期に所有している場合、アカウントの BAA の規約の代わりに組織の BAA の規約が適用されます。組織の BAA を終了してもアカウントの BAA は終了しません。そのため、組織の BAA を終了した場合でも、アカウントの BAA がそのアカウントに継続的に適用されます。
9.メンバーアカウントが組織を離れた場合、組織契約はそのアカウントに継続して適用されますか?
メンバーアカウントが組織を離れると、承諾した組織契約はそのアカウントには適用されなくなります。メンバーアカウントが組織を離れた後も契約を継続して適用する場合、メンバーアカウントは組織を離れる前に AWS Artifact の [アカウント契約] タブで関連するアカウント契約を承諾する必要があります。
10.AWS との間で BAA を結んでる場合、HIPAA アカウントでどのような AWS のサービスを使用できますか?
HIPAA アカウントとして指定されたアカウントでは、AWS のすべてのサービスを使用できます。ただし、HIPAA 対応サービスには PHI のみ含めることができます。HIPAA 対応サービスの最新のリストは、 HIPAA 対応サービスのリファレンスページに記載されています。
11.AWS Artifact を使用せずに BAA 契約を結ぶことはできますか?
はい。AWS とのオフライン BAA の締結をご希望の場合は、AWS アカウントマネージャーに問い合わせるか、依頼を送信するためにこちらからお問い合わせください。ただし、AWS Artifact Agreements によるスピード、効率性、可視性を活用することをお勧めします。
12.以前に AWS との間でオフライン BAA を締結している場合、AWS Artifact Agreements で利用可能なオンライン BAA にどのように影響しますか?
以前にオフライン BAA を締結している場合、その BAA の規約は、そのオフライン BAA で HIPAA アカウントとして指定したアカウントに引き続き適用されます。
オフライン BAA で HIPAA アカウントとして指定していないアカウントの場合は、AWS Artifact Agreements を使用し、そのアカウント向けにオンライン BAA を受諾できます。
13.以前に AWS との間でオフライン BAA を締結している場合、AWS Artifact Agreements でオンライン BAA を受諾できますか?
はい。組織の管理アカウントは AWS Artifact Agreements の [組織契約] タブを使用し、組織の既存のメンバーアカウントおよび将来追加されるメンバーアカウントに代わって組織の BAA を承諾できます。
14.AWS との間で以前にオフライン BAA を結んでいる場合、AWS Artifact Agreements でそのオフライン BAA を表示またはダウンロードできますか。
いいえ。お客様のオフライン BAA の機密を保護するため、AWS Artifact Agreements でそのオフライン BAA のコピーをダウンロードすることはできません。以前に締結したオフライン BAA のコピーの表示を希望する場合は、AWS アカウントマネージャーに依頼してください。
15.以前に AWS との間でオフライン BAA を締結している場合は、AWS Artifact Agreements を使用し、そのオフライン BAA で追加のアカウントを HIPAA アカウントとして指定できますか?
AWS Artifact Agreements で行えるのは、1 つのアカウントのオンライン BAA を受諾することです。また、AWS Organizations の組織ですべてのアカウントのオンライン BAA を受諾することもできます。これは該当するオンライン BAA の規約に基づきます (オフライン BAA ではありません)。
オフライン BAA で追加の HIPAA アカウントを指定する場合は、オフライン BAA に記載されているプロセスに従って指定できます (aws-hipaa@amazon.com にメールを送信するなど)。AWS によって承認されると、Artifact Agreements のインターフェイスが更新され、オフライン BAA に基づき新たなアカウントが HIPAA アカウントとして指定されたことが示されます。
16.AWS との間でオフライン BAA を締結している場合、AWS Artifact Agreements のインターフェイスでそのオフライン BAA を終了させることはできますか?
AWS Artifact Agreements を使用し、オフライン BAA で HIPAA アカウントとしてアカウントを削除することはできますが、オフライン BAA は終了しません。オフライン BAA を終了するには、そのオフライン BAA の規約に基づいて、書面による通知を AWS に提出する必要があります。
17.以前に締結したオフライン BAA で、あるアカウントを HIPAA アカウントとして指定した場合、AWS Artifact Agreements を使用して、オフライン BAA で HIPAA アカウントとして指定したアカウントを削除できますか?
はい。AWS Artifact の手順に従って、オフライン BAA で HIPAA アカウントとして指定したアカウントを削除できます。保護医療情報 (PHI) がアカウントからすべて削除されており、そのアカウントを PHI と関連付けて使用しないことが確実である場合にのみ、HIPAA アカウントとして指定したアカウントを削除してください。
18.組織の BAA を受諾したいのですが、一部のメンバーアカウントのみが PHI を処理しています。BAA に対する義務は PHI を処理しているアカウントにのみ適用されますか?
規約により、AWS の BAA は「HIPAA アカウント」にのみ適用されます。これは、PHI を格納または送信する AWS アカウントで、HIPAA 対応サービスのみを使用してその PHI を格納または送信し、AWS の BAA で指定されている保存時および転送中の PHI 暗号化のような必須セキュリティの設定を適用しているものとして定義されています (必須セキュリティの設定の完全なリストについては「AWS BAA」を参照)。HIPAA アカウントの定義を満たさないアカウントは、AWS の BAA の対象ではありません。
AWS Australian Notifiable Data Breach Addendum (ANDB Addendum)
1.AWS Artifact Agreements を使用して ANDB Addendum を承諾するにはどうすればよいですか?
AWS Artifact Agreements により、AWS アカウントまたは AWS 組織の管理アカウントを持っている場合は、AWS 組織として、AWS マネジメントコンソールから ANDB Addendum のレビューおよび承諾ができるようになります。個々の AWS アカウントについては、[アカウント契約] タブで ANDB Addendum を承認することができ、組織の管理アカウントであれば、[組織契約] タブで AWS 組織内の既存および将来のすべての AWS アカウントを代表して ANDB Addendum を承認することができます。さらに、AWS Artifact Agreements コンソールを使用し、AWS アカウントまたは AWS 組織に適用されている契約とその規約を確認できます。
2.アカウント契約として承諾できる ANDB の Addendum と組織契約として承諾できる ANDB の Addendum の違いは何ですか?
違いは、[組織契約] タブの ANDB Addendum が承認されると、AWS Organizations を通じて管理アカウントにリンクされた既存および将来のすべての AWS アカウントに適用されることです。これに対して、[アカウント契約] タブの ANDB Addendum は、ANDB Addendum を受け入れるために使用した個々の AWS アカウントにのみ適用され、他の AWS アカウントには適用されません。アカウントの ANDB Addendum と組織の ANDB Addendum 両方を受諾した場合、組織の ANDB Addendum が優先されます。
3.既に AWS アカウントとして承諾した ANDB Addendum がある場合に、すべての AWS アカウントをカバーするために、組織の ANDB Addendum を承諾することはできますか?
はい。組織の管理アカウントを使用し、AWS Artifact Agreements の [組織契約] タブで、組織の既存のメンバーアカウントおよび将来追加されるメンバーアカウントに代わって組織の ANDB Addendum を承諾できます。アカウントの ANDB Addendum と組織の ANDB Addendum の両方を承諾した場合、アカウントの ANDB Addendum ではなく組織の ANDB Addendum が優先されます。
4.AWS Artifact Agreements により ANDB Addendum を終了させるにはどうすればよいですか?
AWS Artifact Agreements により、いつでも ANDB Addendum を終了できます。
アカウントの ANDB Addendum を終了するには、AWS Artifact の [アカウント契約] タブで [本アカウントの AWS Australian Notifiable Data Breach Addendum の終了] ボタンをクリックします。
組織の ANDB Addendum を終了するには、AWS Artifact の [組織契約] タブで、[この組織に対する AWS Australian Notifiable Data Breach Addendum を終了する] ボタンをクリックします。
5.AWS Artifact の同意から ANDB Addendum を終了するとどうなりますか?
AWS Artifact の [アカウント契約] タブでアカウントの ANDB Addendum を終了した場合、AWS Artifact にサインインするために使用した AWS アカウントは、組織の ANDB Addendum ([組織契約] タブ内) の対象でもない限り、AWS との ANDB Addendum の対象にはなりません。アカウント ANDB Addendum の解約は以下の場合に限り行うようにしてください。(a) AWS アカウントにある個人情報をすべて削除し、以後、削除した個人情報との関連でそのアカウントを使用することがないと明確になっている場合、または (b) 組織の ANDB Addendumでカバーされた AWS 組織のメンバーアカウントに、自分の AWS アカウントを参加させている場合。
管理アカウントのユーザーで、AWS Artifact の [組織契約] タブ内で組織の ANDB Addendum を終了する場合、その AWS 組織内の AWS アカウントは、アカウントの ANDB Addendum ([アカウント契約] タブ内) でカバーされない限り、AWS との ANDB Addendum でカバーされません。組織 ANDB Addendum の解約は以下の場合に限り行うようにしてください。(a) その AWS 組織での AWS アカウントにある個人情報をすべて削除し、以後、削除した個人情報との関連でそのアカウントを使用することがないと明確になっている場合、または (b) その個人情報と関連して使用する AWS アカウントが、アカウントの ANDB Addendum を承諾している場合。
6.AWS が、アカウントと組織両方の ANDB Addendum を受諾している場合、どちらの ANDB Addendum が適用されますか?
アカウントと組織両方の ANDB Addendum を同時に受諾している場合、アカウントの ANDB Addendum に関する規約ではなく、組織の ANDB Addendum に関する規約が適用されます。組織の ANDB Addendum を停止してもアカウントの ANDB Addendum は停止されません。つまりこの場合、組織の ANDB Addendum が停止されると、アカウントの ANDB Addendum が AWS アカウントに適用されます。
7.AWS を離れたメンバーがいる場合でも、その AWS アカウントに組織の ANDB Addendum は継続して適用されますか?
いいえ。AWS 組織のメンバーが離れた場合、組織の ANDB Addendum を含む組織が行ったあらゆる受諾は、その AWS アカウントに適用されなくなります。メンバーアカウントが組織を離れた後も契約を継続して適用する場合、メンバーアカウントは AWS 組織を離れる前に AWS Artifact の [アカウント契約] タブで、関連するアカウント契約を承諾する必要があります。
8.AWS の ANDB Addendum を受諾すると、どのような AWS サービスを利用できますか?
その AWS アカウントで AWS の ANDB Addendum がカバーするすべての AWS サービスが利用できます。
9.組織の ANDB Addendum を受諾したいと考えていますが、個人情報を処理しているのはメンバーアカウントの一部だけです。組織の ANDB Addendum からの義務は、個人情報を処理する AWS アカウントだけに適用されるものですか?
規約上、ANDB Addendum が適用されるのは、そのアカウントとしての責任がオーストラリア個人情報保護法に既定され、その AWS アカウントに AWS が保持と管理を行う (オーストラリア個人情報保護法による) 個人情報が含まれている、「ANDB Accounts」のみです。この ANDB アカウントの定義に合致しないアカウントは、組織の ANDB Addendum の対象とはなりません。
AWS New Zealand Notifiable Data Breach Addendum (NZNDB Addendum)
1.AWS Artifact Agreements を使用して NZNDB Addendum を承諾するにはどうすればよいですか?
AWS Artifact Agreements により、AWS アカウントまたは AWS 組織の管理アカウントを持っている場合は、AWS 組織として、AWS マネジメントコンソールから NZNDB Addendum のレビューおよび承諾ができるようになります。個々の AWS アカウントは [Account agreements] (アカウント契約) タブから NZNDB の Addendum を承諾できます。組織の管理アカウントの場合は、組織の [Organization agreements] (組織契約) タブで既存および将来追加されるアカウントに代わって NZNDB の Addendum を承諾できます。さらに、AWS Artifact Agreements コンソールを使用し、AWS アカウントまたは AWS 組織に適用されている契約とその規約を確認できます。
2.アカウント契約として承諾できる NZNDB Addendum と組織契約として承諾できる NZNDB Addendum の違いは何ですか?
違いは、[Organization agreements] (組織契約) タブの NZNDB Addendum です。承諾すると、管理アカウントにリンクされている、既存および将来追加されるすべてのアカウントに AWS Organizations を通じて適用されます。一方、[Account agreements] (アカウント契約) タブの NZNDB Addendum を承諾した場合には、その契約は承諾した AWS アカウントのみに適用され、その他のアカウントには適用されません。アカウントの NZNDB Addendum と組織の NZNDB Addendum の両方を受諾した場合、組織の NZNDB Addendum が優先されます。
3.既に AWS アカウントとして承諾した NZNDB Addendum がある場合に、すべての AWS アカウントをカバーするために、組織の NZNDB Addendum を承諾することはできますか?
はい。組織の管理アカウントを使用し、AWS Artifact Agreements の [Organization agreements] (組織契約) タブで、組織の既存のメンバーアカウントおよび将来追加されるメンバーアカウントに代わって組織の NZNDB Addendum を承諾できます。アカウントの NZNDB Addendum と組織の NZNDB Addendum の両方を承諾した場合、アカウントの NZNDB Addendum ではなく組織の NZNDB Addendum が優先されます。
4.AWS Artifact Agreements から NZNDB Addendum を終了させるにはどうすればよいですか?
AWS Artifact Agreements により、いつでも NZNDB Addendum を終了できます。
アカウントの NZNDB Addendum を終了するには、AWS Artifact の [アカウント契約] タブで、[このアカウントの AWS New Zealand Notifiable Data Breach Addendum を終了する] ボタンをクリックします。
組織の NZNDB Addendum を終了するには、AWS Artifact の [組織契約] タブで、[この組織の AWS New Zealand Notifiable Data Breach Addendum を終了する] ボタンをクリックします。
5.AWS Artifact の同意から NZNDB Addendum を終了するとどうなりますか?
AWS Artifact の [アカウント契約] タブでアカウントの NZNDB Addendum を終了した場合、組織の NZNDB Addendum ([組織契約] タブにあります) がカバーしていない限り、その AWS Artifact にサインインした AWS アカウントには、NZNDB Addendum によるカバーはなくなります。アカウント NZNDB Addendum の解約は以下の場合に限り行うようにしてください。(a) AWS アカウントにある個人情報をすべて削除し、以後、削除した個人情報との関連でそのアカウントを使用することがないと明確になっている場合、または (b) 組織の NZNDB Addendumでカバーされた AWS 組織のメンバーアカウントに、自分の AWS アカウントを参加させている場合。
管理アカウントが組織の NZNDB Addendum を、AWS Artifact の [Organization agreements] (組織契約) タブで停止した場合、アカウントの NZNDB Addendum ([Account agreements] (アカウント契約) タブにあります) でカバーされていない限り、その AWS 組織内のアカウントは AWS での NZNDB Addendum でカバーされなくなります。組織 NZNDB Addendum の解約は以下の場合に限り行うようにしてください。(a) その AWS 組織での AWS アカウントにある個人情報をすべて削除し、以後、削除した個人情報との関連でそのアカウントを使用することがないと明確になっている場合、または (b) その個人情報と関連して使用する AWS アカウントが、アカウントの NZNDB Addendum を承諾している場合。
6.AWS が、アカウントと組織両方の NZNDB Addendum を受諾している場合、どちらの NZNDB Addendum が適用されますか?
アカウントと組織両方の NZNDB Addendum を同時に受諾している場合、アカウントの NZNDB Addendum に関する規約ではなく、組織の NZNDB Addendum に関する規約が適用されます。組織の NZNDB Addendum を停止してもアカウントの NZNDB Addendum は停止されません。つまりこの場合、組織の NZNDB Addendum が停止されると、アカウントの NZNDB Addendum が AWS アカウントに適用されます。
7.AWS を離れたメンバーがいる場合でも、その AWS アカウントに組織の NZNDB Addendum は継続して適用されますか?
いいえ。AWS 組織のメンバーが離れた場合、組織の NZNDB Addendum を含む組織が行ったあらゆる受諾は、その AWS アカウントに適用されなくなります。メンバーアカウントが組織を離れた後も契約を継続して適用する場合、メンバーアカウントは AWS 組織を離れる前に AWS Artifact の [アカウント契約] タブで、関連するアカウント契約を承諾する必要があります。
8.AWS の NZNDB Addendum を受諾すると、どのような AWS のサービスを利用できますか?
その AWS アカウントで AWS の NZNDB Addendum がカバーするすべての AWS のサービスが利用できます。
9.組織の NZNDB Addendum を受諾したいと考えていますが、個人情報を処理しているのはメンバーアカウントの一部だけです。組織の NZNDB Addendum からの義務は、個人情報を処理する AWS アカウントだけに適用されるものですか?
規約上、NZNDB Addendum が適用されるのは、そのアカウントとしての責任がニュージーランド個人情報保護法に既定され、その AWS アカウントに、AWS が保持する (ニュージーランド個人情報保護法による) 個人情報が含まれている、“NZNDB のアカウント” のみです。この NZNDB アカウントの定義に合致しないアカウントは、組織 の NZNDB Addendum の対象とはなりません。
トラブルシューティング
1.契約をダウンロードしようとしていますが、ダウンロードが表示されません。どうすればよいですか?
- ご使用のウェブブラウザが最新バージョンであること、および Adobe Reader がインストールされていることを確認します。
- ブラウザのポップアップを有効にして、添付ファイルをダウンロードできるようにします。
- ダウンロードフォルダにある最近のファイルを確認します。
- 必要に応じて、ドキュメントを確認し組織内で共有します。
2.エラーメッセージが表示されます。どういう意味ですか?
通常、エラーメッセージは、AWS Artifact でご希望のアクションを実行するための十分なアクセス許可が IAM ユーザーにないことを示しています。エラーメッセージと解決方法の完全なリストについては、以下のテーブルを参照してください。
AWS Artifact コンソールのエラーメッセージ
問題 | 解決方法 |
---|---|
契約を受諾する権限がありません | AWS Artifact でこの契約を受諾するためのアクセス許可が必要です。アカウント管理者に連絡し、次のアクセス許可を IAM ユーザーに追加してください (artifact:AcceptAgreement) IAM ポリシーの例については、「契約の許可」をご覧ください。 |
契約を終了する権限がありません | AWS Artifact でこの契約を終了するためのアクセス許可が必要です。アカウント管理者に連絡し、次のアクセス許可を IAM ユーザーに追加してください (artifact:TerminateAgreement) IAM ポリシーの例については、「契約の許可」をご覧ください。 |
契約をダウンロードする権限がありません | AWS Artifact で契約をダウンロードするためのアクセス許可が必要です。アカウント管理者に連絡し、次のアクセス許可を IAM ユーザーに追加してください (artifact:DownloadAgreement) IAM ポリシーの例については、「契約の許可」をご覧ください。 |
このレポートをダウンロードする権限がありません | AWS Artifact でレポートをダウンロードするアクセス許可が必要です。アカウント管理者に連絡し、次のアクセス許可を IAM ユーザーに追加してください (artifact:get)。 |
組織はすべての機能を有効にしている必要があります | お客様の組織では、一括請求 (コンソリデーティッドビリング) のみが設定されています。AWS Artifact で組織契約を使用するには、組織はすべての機能を有効にしている必要があります。 詳細 |
組織の契約を管理する前に、次のアクセス許可が必要です (organizations:EnableAWSServiceAccess and organizations:ListAWSServiceAccessForOrganization)。これらの権限で、AWS Artifact は AWS Organizations で組織情報にアクセスできるようになります。 | アカウント管理者に連絡し、次の権限を IAM ユーザーに追加してください。 iam:CreateRole iam:AttachRolePolicy iam:ListRoles IAM ポリシーの例については、「契約の許可」をご覧ください。 |
組織の契約を管理する前に、IAM ロールをリスト、作成、追加するために、iam:ListRoles、iam:CreateRole、および iam:AttachRolePolicy の各アクセス許可が必要です。 | アカウント管理者に連絡し、次の権限を IAM ユーザーに追加してください。 organizations:EnableAWSServiceAccess organizations:ListAWSServiceAccessForOrganization IAM ポリシーの例については、「契約の許可」をご覧ください。 |
AWS アカウントの組織に関する情報を取得する権限がありません |
アカウント管理者に連絡し、次の権限を IAM ユーザーに追加してください。 organizations:DescribeOrganization IAM ポリシーの例については、「契約の許可」をご覧ください。 |
お客様のアカウントは組織ではありません | 「AWS Organizations の作成と管理」の手順に従って、組織を作成したり、組織に参加したりできます。 |
設定ステータスは「非アクティブ」です | 設定を有効にする 1 つ以上のイベントルールが正しく作成されませんでした。設定を削除して、後でもう一度作成してみてください。問題が解決しない場合は、「AWS User Notifications のトラブルシューティング」をご覧ください。 |
配信チャネルのステータスが「保留中」です | 指定された E メールはまだ確認されていません。受信トレイとスパムフォルダをチェックして、AWS User Notifications からの確認メールを確認してください。検証メールを再送信する場合は、AWS User Notifications 配信チャネルで再送信できます。 |
設定を一覧表示するアクセス許可がありません | アカウント管理者に連絡し、次のアクセス許可を IAM ユーザーに追加してください。 "artifact:GetAccountSettings"、 IAM ポリシーの例については、「契約の許可」をご覧ください。 |
設定を作成するアクセス許可がありません | アカウント管理者に連絡し、次のアクセス許可を IAM ユーザーに追加してください。 "artifact:GetAccountSettings"、 IAM ポリシーの例については、「契約の許可」をご覧ください。 |
設定を編集するアクセス許可がありません |
アカウント管理者に連絡し、次のアクセス許可を IAM ユーザーに追加してください。 "artifact:GetAccountSettings"、 IAM ポリシーの例については、「契約の許可」をご覧ください。 |
設定を削除するアクセス許可がありません |
アカウント管理者に連絡し、次のアクセス許可を IAM ユーザーに追加してください。 "notifications:DeleteNotificationConfiguration"、 IAM ポリシーの例については、「契約の許可」をご覧ください。 |
設定の詳細を表示するアクセス許可がありません | アカウント管理者に連絡し、次のアクセス許可を IAM ユーザーに追加してください。 "notifications:ListEventRules"、 IAM ポリシーの例については、「契約の許可」をご覧ください。 |
通知ハブを登録するアクセス許可がありません | アカウント管理者に連絡し、次のアクセス許可を IAM ユーザーに追加してください。 "notifications:RegisterHubRegions"、 IAM ポリシーの例については、「契約の許可」をご覧ください。 |
通知
1.AWS Artifact 通知とは何ですか?
AWS Artifact Notifications は、新しい文書 (レポートや契約など) の入手可能性や既存の文書の更新に関する通知を購読したり購読を解除したりするためのユーザーインターフェイスをユーザーに提供します。AWS Artifact は AWS User Notifications サービスを使用して通知を送信します。通知は、通知設定のセットアップ中にユーザーが提供した E メールに送信されます。AWS Artifact 通知の詳細については、こちらをクリックしてください。AWS User Notifications の詳細については、こちらをクリックしてください。
2.AWS Artifact 通知を使用する理由を教えてください。
AWS Artifact で公開される新しいレポートや契約について積極的に知りたい場合は、AWS Artifact 通知機能を使用してください。通知を受け取ることで、AWS Artifact コンソールに再度アクセスして新しいコンテンツが入手できるかを手動で確認する時間と労力を節約できます。各通知には、特定の新しいレポートや契約へのリンクも含まれているため、AWS マネジメントコンソールにログインしていれば簡単にナビゲートできます。
3.AWS Artifact の通知許可はどのように機能しますか?
AWS Artifact サービスと AWS User Notifications サービスを使用するアクセス許可が必要です。ユーザーは、誰 (ユーザー、グループ、ロール) が AWS Artifact と AWS User Notifications リソース上でどの通知関連アクションを実行できるかを定義する IAM ポリシーをセットアップできます。アクションがどのリソースに関連するかをポリシーで指定することもできます。詳細については、こちらをクリックしてください。
4.通知の設定時に適用できる通知フィルターにはどのようなものがありますか?
レポートでは、特定のカテゴリと通知が必要な一連のレポートを選択して通知をフィルタリングできます。契約では、現在のところ、既存の契約の更新数や追加された新しい契約の数が少ないため、詳細なフィルターは提供されていません。
5.通知サブスクリプションと通知設定の違いは何ですか?
AWS Artifact コンソールで通知を購読するということは、AWS Artifact サービスからの通知を受け取ることをオプトインしたことを意味します。通知の購読は 1 回限りのアクションであり、通知設定を設定するための前提条件です。AWS Artifact サービスからの通知を停止したい場合、通知サブスクリプションボタンを使用すると、ボタンを 1 回クリックするだけですべての AWS Artifact 通知をオフにすることができます。
購読後、通知の受信を開始するには 1 つ以上の設定を作成する必要があります。設定を作成する際に、すべてのレポートと契約に関する通知が必要か、レポートのサブセットに関する通知が必要かを選択し、通知を受け取る個人の E メールアドレスを指定できます。
6.通知の送信先を教えてください。
通知は、通知設定の作成時にユーザーが指定した E メールアドレスに配信されます。通知は認証済みの E メールアドレスにのみ送信されることに注意してください。さらに、通知は AWS User Notifications センターコンソール内にも配信されます。
7.この機能では他の AWS のサービスとどのように関連付けや連携が行われていますか?
AWS Artifact 通知は、通知の設定と E メールの送信に AWS User Notifications サービスを活用しています。AWS Artifact コンソールを使用して通知を設定できます。AWS User Notifications コンソールを使用して通知を表示および設定することもできます。
8.AWS Artifact 通知のクォータとは何ですか?
AWS Artifact 通知機能では、通知設定ごとに最大 20 の E メールアドレスを指定できます。また、AWS User Notifications サービスの service quotas も適用されます。詳細はこちらをご覧ください。