- 安全、身分及合規›
- AWS Artifact›
- AWS Artifact 常見問答集
AWS Artifact 常見問答集
一般問題
1.什麼是 AWS Artifact?
AWS Artifact (可從主控台存取) 是自助式稽核成品檢索入口網站,讓我們的客戶隨需存取 AWS 的合規文件與 AWS 協議。
您可使用 AWS Artifact 報告來下載 AWS 安全與合規文件,例如 AWS ISO 認證、支付卡產業 (PCI) 及系統與組織控制 (SOC) 報告。
您可使用 AWS Artifact 協議來檢閱、接受和追蹤 AWS 協議 (如商業夥伴增補合約 (BAA)) 的狀態。
2.哪些人可以存取 AWS Artifact?
所有 AWS 帳戶都能存取 AWS Artifact。根使用者及具有管理許可的 IAM 使用者同意相關的條款和條件之後,即可下載提供給其帳戶的所有稽核成品。
您需要使用 IAM 許可對 IAM 使用者授予 AWS Artifact 的非管理許可存取權。這可讓您授權使用者存取 AWS Artifact,同時限制他們存取 AWS 帳戶內的其他服務和資源。如需如何使用 IAM 授予存取權的詳細資訊,請參閱 AWS Artifact 文件中的此說明主題。
3.協議有哪些不同的狀態?每個狀態代表什麼意義?
協議有兩種狀態:
- 非作用中:如果使用者未接受協議或之前接受的協議已被使用者終止,則協議處於非作用中狀態
- 作用中:如果使用者已接受協議,則協議處於作用中狀態
4.如何將 AWS Artifact 協議的存取權提供給其他使用者?
您的管理帳戶擁有使用 AWS Artifact 所需的所有許可,但您可能需針對不同的文件與協議委派不同許可給各個使用者。您可使用 IAM 政策來委派許可。請參考來自 AWS Artifact User Guide 的以下表格,以檢視可依據 IAM 使用者所需存取層級指派的許可。
5.什麼是稽核成品?
稽核成品是證明組織遵守所記載的程序或達到特定要求的證據。我們會收集並存檔系統開發生命週期的所有稽核成品,並使用它們做為內部和/或外部稽核及評估的證明。
AWS Artifact 目前為客戶提供可做為稽核成品的報告與協議。
6.如何與稽核員共享稽核成品?
您通常需要提供稽核員存取 AWS 合規報告的存取權。為每個稽核員建立專屬的 IAM 使用者登入資料並加以設定,讓稽核員只能存取與其稽核相關的報告,就可輕鬆完成這個工作。如需詳細資訊,請參閱 AWS Artifact 文件中的此說明主題。
7.如何使用這些成品滿足稽核要求?
您可以將 AWS 稽核成品提供給稽核員或監管員,做為 AWS 安全控制的證明。
您也可以使用部分 AWS 稽核成品提供的責任指導來設計雲端架構。這個指導有助於判斷您應該放入的其他安全控制,以便支援系統的特定使用案例。
8.可下載的成品數量是否有限制?
沒有限制。您可以視需要隨時、無限次地存取和下載所有可用的成品。
AWS 報告
1.哪些人應該使用 AWS Artifact 報告?
所有 AWS 客戶均可使用 AWS Artifact 報告評估和驗證所使用之 AWS 基礎設施和服務的安全性和合規性。
如果您有下列要求,則應該使用 AWS Artifact 報告:
- 必須在系統設計、開發和稽核生命週期期間展示您的雲端架構合規。為了展示您的 AWS 基礎設施 (專對您所使用的服務) 過往及目前的合規,稽核員和監管員要求您以稽核成品的形式提出證明。
- 必須或希望使用稽核成品來證明您有效地實行 AWS 控制。
- 想要持續監控或稽核您的供應商。
- 身為建立安全雲端架構的開發團隊成員,而且需要指導以了解您在符合 ISO、PCI、SOC 及其他法規標準上所擔負的責任。通常,您團隊的工作是能讓您的企業使用 AWS 或確保您的企業能繼續使用 AWS。
您可以將 AWS 稽核成品提供給稽核員或監管員,做為 AWS 安全控制的證明。
您也可以使用部分 AWS 稽核成品提供的責任指導來設計雲端架構。這個指導有助於判斷您應該放入的其他安全控制,以便支援系統的特定使用案例。
2.我可以和客戶分享 AWS 合規報告嗎?
如果適用於特定 AWS 合規報告的條款與條件允許,則您可以直接與客戶共享 AWS 合規報告。請參閱從 AWS Artifact 下載的 AWS 合規報告首頁的適用條款與條件,以查看是否允許共享該報告。
此外,客戶可以使用自己的 AWS 帳戶存取 AWS 合規報告。如果他們尚未有帳戶,您應該指引他們建立一個。建立帳戶不會產生相關費用。
客戶登入他們的帳戶之後,在 AWS Console 中導覽至安全、身分和合規下的成品,即可存取可用的報告。
如需詳細資訊,請參閱 AWS Artifact 入門。
3.何處可存取 AWS FedRAMP 安全套件?
若要進一步了解 Federal Risk and Authorization Management Program (FedRAMP),以及如何使用 AWS Artifact 下載 AWS FedRAMP Security 套件,請瀏覽 FedRAMP 合規網頁。
第三方報告
1.誰有權存取第三方合規報告?
第三方 (AWS Marketplace 獨立軟體開發廠商 (ISV)) 合規報告僅供已獲准存取特定 ISV 的 AWS Marketplace 供應商洞察的 AWS 客戶存取。在這裡進一步了解有關如何存取第三方合規報告的資訊。
2.誰應使用第三方合規報告?
使用 AWS Marketplace 供應商洞察的 AWS 客戶應下載並使用 ISV 透過 AWS Artifact 分享的第三方合規報告,做為其第三方風險評估的一部分。
3.是否可以與我的客戶分享第三方合規報告?
與下游客戶分享第三方合規報告,應遵循下載報告封面上記錄的適用條款與條件 (T&C)。請參閱各自的條款與條件以確定是否允許分享。此外,請注意,每份報告的條款與條件可能有所差異。
4.如果我對第三方合規報告有疑問,可以與誰聯絡?
AWS 正在向客戶提供這些報告,以便更快地進行自助存取,有關報告的任何問題都應諮詢相應的第三方。
協議
1.什麼是 AWS Artifact 協議,以及為什麼應該使用該協議?
AWS Artifact 協議是 AWS Artifact 服務 (我們的稽核與合規入口網站) 的一項功能,透過這項功能,您可以檢閱、接受和管理您的個人帳戶 (以及您的組織在 AWS Organizations 中的所有帳戶) 與 AWS 之間的協議。若您已不需要先前接受的協議,也可使用 AWS Artifact 來終止。
2.AWS Artifact 協議提供哪些協議?
AWS Artifact 協議提供不同類型的協議,以滿足客戶因應特定法規的需求。例如,商業夥伴增補合約 (BAA) 適用於需符合美國健康保險隱私及責任法案 (HIPAA) 的客戶。如需您的帳戶適用協議的完整清單,請登入 AWS Artifact。
在您簽訂 AWS Artifact 協議上的協議之前,必須下載並同意 AWS Artifact 保密協議 (NDA) 的條款。每項協議均具有機密性,需對公司以外的其他人保密。
3.如果我已經與 AWS 簽署 Artifact 以外的 NDA,是否需要在 AWS Artifact 協議接受新的 NDA?
是,您需要接受 AWS Artifact NDA,才能在 Artifact 存取並下載機密文件。儘管如此,如果您已與 Amazon 簽署 NDA,而現有的 NDA 涵蓋的機密資訊與 Artifact 提供的資訊相同,則會優先採用現有 NDA 而不是 Artifact NDA。
4.誰有權使用 AWS Artifact 協議?
如果您是 AWS 帳戶的管理員,將自動擁有下載、接受和終止該帳戶協議的許可。若您是 AWS Organizations 中某個組織的管理帳戶,可以代表組織中的管理帳戶和所有成員帳戶接受和終止協議。接受協議之前,務必與您的法律、隱私權和/或合規團隊檢閱所有協議條款。您可以使用 IAM 授與協議利害關係人 (例如法務、隱私權和/或合規團隊的成員) 存取權,以便這些使用者下載、檢閱和接受協議。
若您不是管理員,您必須獲得額外的許可才能下載、接受和終止協議 (通常由管理員執行)。管理員可依據使用者的業務需求,彈性授與不同層級的許可給 IAM 使用者。
5.AWS Artifact 帳戶協議與 AWS Artifact 組織協議之間有何不同?
接受協議之後,只有您登入 AWS 所使用的個人帳戶將適用 AWS Artifact 帳戶協議 (位於帳戶協議標籤下)。
接受協議之後,透過 AWS Organizations 建立的所有組織帳戶 (包括組織的管理帳戶和所有成員帳戶) 都將適用 AWS Artifact 組織協議 (位於組織協議標籤下)。唯有組織中的管理帳戶才能接受 AWS Artifact 組織協議中的協議。
6.使用 AWS Artifact 組織協議的好處是什麼?
AWS Artifact 組織協議可讓您代表組織內的所有帳戶接受單一協議,以簡化多個 AWS 帳戶的協議管理。當管理帳戶的授權使用者接受組織協議後,所有現有與未來的成員帳戶將自動納入協議條款。
7.使用 AWS Artifact 組織協議需具備什麼條件?
若您是 AWS Organizations 中某個組織管理帳戶的使用者,可以代表組織中所有目前及未來的成員帳戶接受協議。您必須啟用所屬組織的所有功能。若您的組織僅設定合併帳單功能,請參閱在組織中啟用所有功能。
若要開始,您必須使用以下 IAM 許可登入管理帳戶:
artifact:DownloadAgreement
artifact:AcceptAgreement
artifact:TerminateAgreement
organizations:DescribeOrganization
organizations:EnableAWSServiceAccess
organizations:ListAWSServiceAccessForOrganization
iam:ListRoles
iam:CreateServiceLinkedRole
8.為什麼在使用 AWS Artifact 組織協議之前必須授與在帳戶中建立服務連結角色 (SLR) 的 AWS 許可?
AWS 需要在帳戶中建立服務連結角色的許可,在接受協議時,AWS Artifact 服務才能 ListAccounts 以識別您組織中的完整成員帳戶清單。當某個成員帳戶加入或離開您的組織時,AWS 會收到通知,並更新您接受之協議涵蓋的帳戶清單。
9.如何知道我的組織是否正在使用 AWS Artifact 組織協議?
瀏覽 AWS Artifact 協議主控台,並按一下組織協議標籤。若您組織中的管理帳戶已接受一或多個組織協議,它們將列為有效協議。您可以在以組織管理帳戶或成員帳戶身分登入時執行這個動作。
重要:登入 AWS 主控台的 IAM 使用者必須擁有 organizations:DescribeOrganization 許可,AWS Artifact 才能擷取關於帳戶組織協議的資訊。如需 AWS Artifact 許可的完整清單,請參閱 AWS Artifact 使用者指南中的控制存取和常見政策。
10.什麼是組織?
組織是一或多個成員帳戶的集合,您可透過 AWS Organizations 使用單一管理帳戶來集中管理。要進一步了解,請參閱 AWS Organizations 網站。
11.什麼是管理帳戶?
管理帳戶是在 AWS Organizations 中用來建立組織的 AWS 帳戶。登入管理帳戶之後,您可使用 AWS Organizations 在您的組織中建立成員帳戶、邀請現有帳戶加入組織,以及移除組織中的帳戶。
只有管理帳戶可使用 AWS Artifact 組織協議代表組織中的所有帳戶接受或終止協議。
12.什麼是成員帳戶?
成員帳戶是管理帳戶以外的 AWS 帳戶,在 AWS Organizations 中屬於組織的一部分。如果您是組織的管理帳戶管理員,就可以在組織中建立成員帳戶,也可邀請現有帳戶加入組織。一個成員帳戶一次只能屬於一個組織。
成員帳戶只能使用 AWS Artifact 帳戶協議代表其個人的成員帳戶接受或終止協議。成員帳戶可使用 AWS Artifact 組織協議來檢視組織管理帳戶代表成員帳戶接受的協議。
13.若我的帳戶不屬於組織,是否仍然可以使用 AWS Artifact 組織協議?
否,AWS Artifact 組織協議僅適用於使用 AWS Organizations 的帳戶。若您想建立或加入組織,請遵循 Creating and Managing an AWS Organizations 中的指示進行。
14.AWS Artifact 協議在經銷商帳戶的運作方式為何?
AWS Artifacts 協議在經銷商帳戶的運作方式並無不同。經銷商可透過 IAM 控制可下載、接受和終止協議的人員。根據預設,只有擁有管理權限的使用者可授與存取權。
15.如何為不同 AWS Organizations 中的帳戶接受協議?
若您希望協議中納入不同組織的帳戶,您必須登入每個組織的管理帳戶,然後透過 AWS Artifact 組織協議接受相關協議。
若您想將帳戶合併至單一組織,可遵循 Inviting an Account to Your Organization 中的指示,邀請 AWS 帳戶加入您的組織。
16.是否可利用 AWS Artifact 組織協議,僅為組織內的一部分成員帳戶接受協議?
否。在 AWS Artifact 組織協議 (組織協議標籤),您只能代表組織內的所有帳戶接受協議。
若您只想針對部分成員帳戶接受協議,必須個別登入各帳戶,並透過 AWS Artifact 帳戶協議 (帳戶協議標籤) 接受相關協議。
17.若我的帳戶已在 Account agreements 標籤中接受過某個協議,是否還能在 Organization agreement 標籤中接受相同類型的協議?
是,管理帳戶與成員帳戶可同時擁有相同類型的 AWS Artifact 帳戶協議 (即帳戶協議標籤下的協議) 與 AWS Artifact 組織協議 (即組織協議標籤下的協議)。
若您的帳戶同時擁有相同類型的帳戶協議和組織協議,將適用組織協議而非帳戶協議。就個人帳戶而言,若組織協議終止 (例如,從組織移除成員帳戶),該個人帳戶的帳戶協議 (可在 Account agreements 標籤下檢視) 仍然有效,且將繼續適用。
18.若我的帳戶在 Account agreements 標籤與 Organization agreements 標籤中接受了相同的協議,將適用哪一個協議?
根據組織協議條款,當組織協議與帳戶協議同時有效時,將適用組織協議而非帳戶協議。若組織協議終止,而您有相同類型的帳戶協議 (在帳戶協議標籤下),該帳戶將適用帳戶協議。注意:終止組織協議不會終止帳戶協議。
19.若從組織移除某個成員帳戶,對已代表該成員帳戶接受的組織協議有何影響?
從組織移除某個成員帳戶之後 (例如,離開組織或管理帳戶從組織移除它),該成員帳戶將不再適用代表其接受的任何組織協議。
管理帳戶管理員在從組織移除成員帳戶之前應先提醒這些帳戶,讓他們可以視需要準備新的帳戶協議。在成員帳戶擁有者離開組織之前,他們應決定 (可適時取得法務、隱私權或合規團隊的協助) 是否需準備新協議。
20.若從我的組織移除某個成員帳戶,他們是否會收到通知?
目前,從組織移除成員帳戶時,他們不會收到通知。我們正在開發成員帳戶的提醒功能,當從組織移除成員帳戶且不再適用組織協議時提醒這些帳戶。
管理帳戶管理員在從組織移除成員帳戶之前應先提醒這些帳戶,讓他們可以視需要準備新的帳戶協議。在成員帳戶擁有者離開組織之前,他們應決定 (可適時取得法務、隱私權或合規團隊的協助) 是否需準備新協議。
商業夥伴增補合約 (BAA)
1.如何使用 AWS Artifact 協議接受 AWS BAA?
AWS Artifact 協議可讓您透過 AWS 管理主控台,在 AWS Organizations 中檢閱及為您的帳戶或組織接受 AWS BAA。您可以在帳戶協議標籤下接受個人帳戶的 AWS BAA,若您是組織中的管理帳戶,則可代表組織中的所有帳戶在組織協議標籤下接受 AWS BAA。一旦於 AWS Artifact 協議中接受 AWS BAA,會立即將您的 AWS 帳戶指定用於與受保護醫療資訊 (PHI) 相關用途。此外,您可使用 AWS Artifact 協議主控台來查看您的 AWS 帳戶或組織已接受哪些協議,並檢閱相關協議的條款。
2.如何使用 AWS Artifact 協議根據 BAA 將帳戶指定為 HIPAA 帳戶?
當您在 AWS Artifact 的帳戶協議標籤內接受線上 BAA 時,會根據該線上帳戶 BAA,將您用來登入 AWS 的帳戶自動指定為 HIPAA 帳戶。若您是 AWS Organizations 中的管理帳戶,並在 AWS Artifact 的組織協議標籤下接受線上 BAA,則組織內的所有帳戶會自動指定為 HIPAA 帳戶。之後新增到該組織的成員帳戶也將自動指定為 HIPAA 帳戶。
3.使用 AWS Artifact 協議是否可在 BAA 下指定一個以上的帳戶做為 HIPAA 帳戶?
是,若您使用 AWS Organizations,組織中的管理帳戶可使用 AWS Artifact 協議中的組織協議標籤,代表組織中所有現有和未來的成員帳戶接受組織 BAA。
若您未使用 AWS Organizations 或只想指定某些成員帳戶,您必須個別登入每個帳戶並代表該帳戶接受 BAA。
4.可以帳戶協議形式接受的 AWS BAA 和可以組織協議形式接受的 AWS BAA 有何不同?
兩者的差別在於一旦接受組織協議標籤中的 BAA,所有透過 AWS Organizations 與您的管理帳戶連結的所有帳戶均適用該 BAA。相較之下,帳戶協議標籤中的 BAA 適用對象僅限您接受帳戶 BAA 所使用的個人帳戶,不包括其他帳戶。若您同時接受帳戶 BAA 與組織 BAA,將適用組織 BAA 而非帳戶 BAA。
5.若我的帳戶已接受帳戶 BAA,是否可以接受組織 BAA 以涵蓋我的所有帳戶?
是,使用組織的管理帳戶,您可以透過 AWS Artifact 協議中的組織協議標籤,代表組織中所有現有和未來的成員帳戶接受組織 BAA。同時接受帳戶和組織 BAA 時,將適用組織 BAA 而非帳戶 BAA。
6.如何使用 AWS Artifact 協議終止 BAA?
若您已不需使用與 PHI 相關的 AWS 帳戶或組織帳戶,而且是使用 AWS Artifact 協議接受 BAA,則可使用 AWS Artifact 協議終止該 BAA。
若您是以離線方式接受 BAA,請參考以下的「離線 BAA」常見問答集。
7.在 AWS Artifact 協議終止線上 BAA 會發生什麼狀況?
若您在 AWS Artifact 的帳戶協議標籤下終止線上 BAA,除非您用來登入 AWS 的帳戶也在組織 BAA 涵蓋範圍內 (組織協議標籤內),否則該帳戶將立即停止做為 HIPAA 帳戶,不再適用與 AWS 之間的 BAA。您必須確定已從該帳戶移除所有受保護醫療資訊 (PHI),而且確定不會再將該帳戶使用於 PHI 用途,才能將 BAA 終止。
若您是管理帳戶使用者,而且是在 AWS Artifact 的組織協議標籤內終止線上 BAA,則組織內的所有帳戶將立即被移除 HIPAA 帳戶資格,除非這些帳戶在個人帳戶 BAA 涵蓋範圍內 (帳戶協議標籤內),這些帳戶將不再適用與 AWS 之間的 BAA。您必須確定已從這類組織的所有帳戶移除所有受保護醫療資訊 (PHI),而且確定不會再將任一帳戶使用於 PHI 用途,才能將組織的 BAA 終止。
8.若我的 AWS 帳戶已接受帳戶 BAA 和組織 BAA,將適用哪一個 BAA?
若您同時擁有帳戶 BAA 與組織 BAA,將適用組織 BAA 條款,而非帳戶 BAA 條款。終止組織 BAA 不會終止帳戶 BAA,因此,若您終止組織 BAA,該帳戶將繼續適用帳戶 BAA。
9.若某個成員帳戶離開組織,該帳戶是否仍適用組織協議?
否。當某個成員帳戶離開組織後,該帳戶將不再適用任何已接受的組織協議。若該成員帳戶希望離開組織後仍持續適用一或多個協議,則應於離開組織前,在 AWS Artifact 的帳戶協議標籤下接受相關帳戶協議。
10.如果我與 AWS 簽署 BAA,可以在 HIPAA 帳戶使用哪些 AWS 服務?
您可以在指定為 HIPAA 帳戶的帳戶中使用任何 AWS 服務,但只能在 HIPAA 合格服務中包含 PHI。我們的 HIPAA 合格服務參考頁面包含最新的 HIPAA 合格服務清單。
11.是否可以不要使用 AWS Artifact 簽訂 BAA 協議?
是。如果您想要與 AWS 簽訂離線 BAA,請聯絡您的 AWS 客戶經理或聯絡我們提交申請。不過,我們建議您充分利用 AWS Artifact 協議提供的速度、效率和可見性。
12.如果我之前已與 AWS 簽署離線 BAA,AWS Artifact 協議中的線上 BAA 對其有何影響?
若您之前已簽署離線 BAA,則根據該離線 BAA 指定為 HIPAA 帳戶的帳戶將繼續適用該 BAA 條款。
至於尚未根據離線 BAA 指定為 HIPAA 帳戶的任何帳戶,您可使用 AWS Artifact 協議為這些帳戶接受線上 BAA。
13.如果我之前已與 AWS 簽署離線 BAA,是否可在 AWS Artifact 協議中接受線上 BAA?
是。組織中的管理帳戶可以使用 AWS Artifact 協議中的組織協議標籤,代表組織中所有現有和未來的成員帳戶接受組織 BAA。
14.如果我之前已與 AWS 簽署離線 BAA,是否可以在 AWS Artifact 協議檢視或下載該離線 BAA?
否。為了保護離線 BAA 的機密性,您無法在 AWS Artifact 協議下載該協議副本。如果想要檢視之前簽署的離線 BAA 副本,可以聯絡您的 AWS 客戶經理提出申請。
15.如果我之前已與 AWS 簽署離線 BAA,是否可使用 AWS Artifact 協議,根據該離線 BAA 將其他帳戶指定為 HIPAA 帳戶?
否。您可使用 AWS Artifact 協議,在 AWS Organizations 中為您組織內的單一帳戶或所有帳戶接受線上 BAA。但這些將受適用之線上 BAA 條款 (而非您的離線 BAA) 的約束。
如果您想在離線 BAA 下指定其他 HIPAA 帳戶,可依照離線 BAA 中所描述的程序操作 (例如,傳送電子郵件到 aws-hipaa@amazon.com)。AWS 確認之後,會根據新指定的帳戶變更 Artifact 協議界面,以反映該帳戶已在離線 BAA 下指定做為 HIPAA 帳戶。
16.如果我已與 AWS 簽署離線 BAA,是否可以在 AWS Artifact 協議界面終止我的離線 BAA?
否。您可使用 AWS Artifact 協議,根據您的離線 BAA 移除某個帳戶的 HIPAA 帳戶資格,但不會終止離線 BAA。根據離線 BAA 條款規定,要終止離線 BAA,您必須提供書面通知給 AWS。
17.如果我在之前簽署的離線 BAA 將某個帳戶指定為 HIPAA 帳戶,是否可使用 AWS Artifact 協議移除離線 BAA 下指定做為 HIPAA 帳戶的帳戶?
是。您可以依照 AWS Artifact 內提示的步驟操作,移除離線 BAA 下指定做為 HIPAA 帳戶的帳戶。您必須確定已從帳戶移除所有受保護醫療資訊 (PHI),而且確定不會再使用該帳戶連接 PHI,才能將指定為 HIPAA 帳戶的帳戶移除。
18.我想接受組織 BAA,但我只有一部分的成員帳戶在處理 PHI。只有處理 PHI 的帳戶需承擔 BAA 的義務嗎?
根據 AWS BAA 條款規定,合約的適用對象僅限「HIPAA 帳戶」,即存放或傳輸 PHI 的 AWS 帳戶、僅使用 HIPAA 合格服務存放或傳輸該 PHI 的 AWS 帳戶、您已套用 AWS BAA 中指定之必要安全組態 (例如 PHI 的靜態/傳輸加密) 的 AWS 帳戶。如需必要之安全組態的完整清單,請參閱 AWS BAA。不符合 HIPAA 帳戶定義的帳戶則不受 AWS BAA 約束。
AWS 澳洲資料洩漏通知增補合約 (ANDB 增補合約)
1.如何使用 AWS ARTIFACT 協議接受 ANDB 增補合約?
AWS Artifact 協議可讓您從 AWS 帳戶或 AWS 組織 (如果您是 AWS 組織中的管理帳戶) 的 AWS 管理主控台檢閱並接受 ANDB 增補合約。您可以在帳戶協議標籤下接受個人 AWS 帳戶的 ANDB 增補合約,若您是組織中的管理帳戶,則可代表組織中的所有現有和未來 AWS 帳戶在組織協議標籤下接受 ANDB 增補合約。此外,您可使用 AWS Artifact 協議主控台來查看您的 AWS 帳戶或 AWS 組織已接受哪些協議,並檢閱相關協議的條款。
2.可以帳戶協議形式接受的 ANDB 增補合約和可以組織協議形式接受的 ANDB 增補合約有何不同?
兩者的差別在於一旦接受組織協議標籤中的 ANDB 增補合約,所有透過 AWS Organizations 與您的管理帳戶連結的所有現有和未來 AWS 帳戶均適用該 ANDB 增補合約。相較之下,帳戶協議標籤中的 ANDB 增補合約適用對象僅限您接受帳戶 ANDB 增補合約所使用的個人 AWS 帳戶,不包括其他 AWS 帳戶。如果您已接受帳戶 ANDB 增補合約及組織 ANDB 增補合約,會適用組織 ANDB 增補合約,而不是帳戶 ANDB 增補合約。
3.若我的 AWS 帳戶已接受帳戶 ANDB 增補合約,是否可以接受組織 ANDB 增補合約以涵蓋我的所有 AWS 帳戶?
是,使用組織的管理帳戶,您可以透過 AWS Artifact 協議中的組織協議標籤,代表組織中所有現有和未來的成員帳戶接受 ANDB 增補合約。已接受帳戶 ANDB 增補合約及組織 ANDB 增補合約時,會適用組織 ANDB 增補合約,而不是帳戶 ANDB 增補合約。
4.如何使用 AWS ARTIFACT 協議終止 ANDB 增補合約?
您可以隨時使用 AWS Artifact 協議終止 ANDB 增補合約。
若要終止帳戶 ANDB 增補合約,您可以使用 AWS Artifact 中的帳戶協議標籤,然後點選「終止此帳戶的澳洲資料洩漏通知增補合約」按鈕。
若要終止組織 ANDB 增補合約,您可以使用 AWS Artifact 中的組織協議標籤,然後點選「終止此組織的澳洲資料洩漏通知增補合約」按鈕。
5.在 AWS ARTIFACT 協議終止 ANDB 增補合約會發生什麼狀況?
若您在 AWS Artifact 的帳戶協議標籤下終止帳戶 ANDB 增補合約,除非您用來登入 AWS Artifact 的 AWS 帳戶也在組織 ANDB 增補合約涵蓋範圍內 (組織協議標籤內),否則與 AWS 的 ANDB 增補合約不會涵蓋該帳戶。您應該僅於以下情況時終止帳戶 ANDB 增補合約 (a) 您確定已從 AWS 帳戶移除所有個人資訊,且 AWS 帳戶不會再進行與個人資訊有關的使用,或者 (b) 您以 AWS 組織成員帳戶的身分加入該 AWS 帳戶,且該組織已有組織 ANDB 增補合約。
若您是管理帳戶的使用者且在 AWS Artifact 的組織協議標籤下終止組織 ANDB 增補合約,除非該 AWS 組織中的 AWS 帳戶也在帳戶 ANDB 增補合約涵蓋範圍內 (帳戶協議標籤內),否則與 AWS 的 ANDB 增補合約不會涵蓋該 AWS 帳戶。您應該僅於以下情況時終止組織 ANDB 增補合約 (a) 您確定已從該 AWS 組織中的 AWS 帳戶移除所有個人資訊,且這些 AWS 不會再進行與個人資訊有關的使用,或者 (b) 您已針對進行與個人資訊相關使用的 AWS 帳戶,同意帳戶 ANDB 增補合約。
6.如果我的 AWS 帳戶已接受帳戶 ANDB 增補合約及組織 ANDB 增補合約,會適用哪一項 ANDB 增補合約?
若您同時擁有帳戶 ANDB 增補合約與組織 ANDB 增補合約,將適用組織 ANDB 增補合約條款,而非帳戶 ANDB 增補合約條款。終止組織 ANDB 增補合約不會同時終止帳戶 ANDB 增補合約,因此,如果您終止組織 ANDB 增補合約,則該 AWS 帳戶會適用帳戶 ANDB 增補合約。
7.若某個成員帳戶離開 AWS 組織,該 AWS 帳戶是否仍適用組織 ANDB 增補合約?
否。當某個成員帳戶離開 AWS 組織後,該 AWS 帳戶將不再適用任何已接受的組織協議,例如 ANDB 增補合約。若該成員帳戶希望離開組織後仍持續適用一或多個協議,則應於離開 AWS 組織前,在 AWS Artifact 的帳戶協議標籤下接受相關帳戶協議。
8.如果我與 AWS 簽署 ANDB 增補合約,可以使用哪些 AWS 服務?
您可以在與 AWS 簽署的 ANDB 增補合約涵蓋的 AWS 帳戶中,使用任何 AWS 服務。
9.我想接受組織 ANDB 增補合約,但我只有一部分的成員帳戶在處理個人資訊。組織 ANDB 增補合約的義務是否僅適用於處理個人資訊的 AWS 帳戶?
依其條款,組織 ANDB 增補合約僅適用於「ANDB 帳戶」,這類帳戶的定義為該帳戶負責的實體須遵守澳洲隱私法案的 AWS 帳戶,且該 AWS 帳戶包括 AWS 擁有或掌控的「個人資訊」(依澳洲隱私法案之定義)。不符合 ANDB 帳戶定義的帳戶則不受組織 ANDB 增補合約約束。
AWS 紐西蘭資料洩漏通知增補合約 (NZNDB 增補合約)
1.如何使用 AWS ARTIFACT 協議接受 NZNDB 增補合約?
AWS Artifact 協議可讓您從 AWS 帳戶或 AWS 組織 (如果您是 AWS 組織中的管理帳戶) 的 AWS 管理主控台檢閱並接受 NZNDB 增補合約。您可以在 Account agreements (帳戶協議) 標籤下接受個人 AWS 帳戶的 NZNDB 增補合約,若您是組織中的管理帳戶,則可代表組織中的所有現有和未來 AWS 帳戶在 Organization agreements (組織協議) 標籤下接受 NZNDB 增補合約。此外,您可使用 AWS Artifact 協議主控台來查看您的 AWS 帳戶或 AWS 組織已接受哪些協議,並檢閱相關協議的條款。
2.可以帳戶協議形式接受的 NZNDB 增補合約和可以組織協議形式接受的 NZNDB 增補合約有何不同?
兩者的差別在於一旦接受 Organization agreements 標籤中的 NZNDB 增補合約,所有透過 AWS Organizations 與您的管理帳戶連結的所有現有和未來 AWS 帳戶均適用該 ANDB 增補合約。相較之下,Account agreements 標籤中的 NZNDB 增補合約適用對象僅限您接受帳戶 NZNDB 增補合約所使用的個人 AWS 帳戶,不包括其他 AWS 帳戶。如果您已接受帳戶 NZNDB 增補合約及組織 NZNDB 增補合約,會適用組織 NZNDB 增補合約,而不是帳戶 NZNDB 增補合約。
3.若我的 AWS 帳戶已接受帳戶 NZNDB 增補合約,是否可以接受組織 NZNDB 增補合約以涵蓋我的所有 AWS 帳戶?
是,使用組織的管理帳戶,您可以透過 AWS Artifact 協議中的 Organization agreements (組織協議) 標籤,代表組織中所有現有和未來的成員帳戶接受 NZNDB 增補合約。已接受帳戶 NZNDB 增補合約及組織 NZNDB 增補合約時,會適用組織 NZNDB 增補合約,而不是帳戶 NZNDB 增補合約。
4.如何使用 AWS ARTIFACT 協議終止 NZNDB 增補合約?
您可以隨時使用 AWS Artifact 協議終止 NZNDB 增補合約。
若要終止帳戶 NZNDB 增補合約,您可以使用 AWS Artifact 中的 Account agreements (帳戶協議) 標籤,然後點選「終止此帳戶的紐西蘭資料洩漏通知增補合約」按鈕。
若要終止組織 NZNDB 增補合約,您可以使用 AWS Artifact 中的 Organization agreements (組織協議) 標籤,然後點選「終止此組織的紐西蘭資料洩漏通知增補合約」按鈕。
5.在 AWS ARTIFACT 協議終止 NZNDB 增補合約會發生什麼狀況?
若您在 AWS Artifact 的 Account agreements (帳戶協議) 標籤下終止帳戶 NZNDB 增補合約,除非您用來登入 AWS Artifact 的 AWS 帳戶也在組織 NZNDB 增補合約涵蓋範圍內 (Organization agreements (組織協議) 標籤內),否則與 AWS 的 NZNDB 增補合約不會涵蓋該帳戶。您應該僅於以下情況時終止帳戶 NZNDB 增補合約 (a) 您確定已從 AWS 帳戶移除所有個人資訊,且 AWS 帳戶不會再進行與個人資訊有關的使用,或者 (b) 您以 AWS 組織成員帳戶的身分加入該 AWS 帳戶,且該組織已有組織 NZNDB 增補合約。
若您是管理帳戶的使用者且在 AWS Artifact 的 Organization agreements (組織協議) 標籤下終止組織 NZNDB 增補合約,除非該 AWS 組織中的 AWS 帳戶也在帳戶 NZNDB 增補合約涵蓋範圍內 (Account agreements (帳戶協議) 標籤內),否則與 AWS 的 NZNDB 增補合約不會涵蓋該 AWS 帳戶。您應該僅於以下情況時終止組織 NZNDB 增補合約 (a) 您確定已從該 AWS 組織中的 AWS 帳戶移除所有個人資訊,且這些 AWS 不會再進行與個人資訊有關的使用,或者 (b) 您已針對進行與個人資訊相關使用的 AWS 帳戶,同意帳戶 NZNDB 增補合約。
6.如果我的 AWS 帳戶已接受帳戶 NZNDB 增補合約及組織 NZNDB 增補合約,會適用哪一項 NZNDB 增補合約?
若您同時擁有帳戶 NZNDB 增補合約與組織 NZNDB 增補合約,將適用組織 NZNDB 增補合約條款,而非帳戶 NZNDB 增補合約條款。終止組織 NZNDB 增補合約不會同時終止帳戶 NZNDB 增補合約,因此,如果您終止組織 NZNDB 增補合約,則該 AWS 帳戶會適用帳戶 NZNDB 增補合約。
7.若某個成員帳戶離開 AWS 組織,該 AWS 帳戶是否仍適用組織 NZNDB 增補合約?
否。當某個成員帳戶離開 AWS 組織後,該 AWS 帳戶將不再適用任何已接受的組織協議,例如 NZNDB 增補合約。若該成員帳戶希望離開組織後仍持續適用一或多個協議,則應於離開 AWS 組織前,在 AWS Artifact 的 Account agreements (帳戶協議) 標籤下接受相關帳戶協議。
8.如果我與 AWS 簽署 NZNDB 增補合約,可以使用哪些 AWS 服務?
您可以在與 AWS 簽署的 NZNDB 增補合約涵蓋的 AWS 帳戶中,使用任何 AWS 服務。
9.我想接受組織 NZNDB 增補合約,但我只有一部分的成員帳戶在處理個人資訊。組織 NZNDB 增補合約的義務是否僅適用於處理個人資訊的 AWS 帳戶?
依其條款,組織 NZNDB 增補合約僅適用於「NZNDB 帳戶」,這類帳戶的定義為該帳戶負責的實體須遵守紐西蘭隱私法案的 AWS 帳戶,且該 AWS 帳戶包括 AWS 持有的「個人資訊」(依紐西蘭隱私法案之定義)。不符合 NZNDB 帳戶定義的帳戶則不受組織 NZNDB 增補合約約束。
故障診斷
1.我嘗試下載協議,但沒看到下載的協議資料。接下來該怎麼辦?
- 確定您使用的是最新版 Web 瀏覽器且已安裝 Adobe Reader。
- 啟用瀏覽器的快顯視窗功能以下載附件。
- 檢查最近下載資料夾。
- 檢閱文件,並視需要在您的組織內傳閱。
2.我收到一則錯誤訊息,它代表什麼意義?
會出現錯誤訊息,通常是 IAM 使用者沒有在 AWS Artifact 中執行所需動作的足夠許可。如需錯誤訊息和解決方式的完整清單,請參閱下表:
AWS Artifact 主控台中的錯誤訊息
問題 | 解決方案 |
---|---|
您無接受該協議的許可 | 您需要在 AWS Artifact 中接受協議的許可。請聯絡帳戶管理員,將以下許可與您的 IAM 使用者連接:artifact:AcceptAgreement 如需 IAM 政策範例,請參閱協議許可。 |
您無終止該協議的許可 | 您需要在 AWS Artifact 中終止協議的許可。請聯絡帳戶管理員,將以下許可與您的 IAM 使用者連接:artifact:TerminateAgreement 如需 IAM 政策範例,請參閱協議許可。 |
您無下載該協議的許可 | 您需要在 AWS Artifact 中下載協議的許可。請聯絡帳戶管理員,將以下許可與您的 IAM 使用者連接:artifact:DownloadAgreement 如需 IAM 政策範例,請參閱協議許可。 |
您無下載此報告的許可。 | 您需要在 AWS Artifact 中下載報告的許可。請聯絡帳戶管理員,將以下許可與您的 IAM 使用者連接:artifact:get。 |
您的組織必須啟用所有功能 | 您的組織僅設定合併帳單。要在 AWS Artifact 中使用組織協議,您的組織必須啟用所有功能。 進一步了解 |
在您可以管理組織的協議之前,需要以下許可:organizations:EnableAWSServiceAccess 和 organizations:ListAWSServiceAccessForOrganization。這些許可使 AWS Artifact 能夠存取 AWS Organizations 中的組織資訊。 | 請聯絡帳戶管理員,將以下許可與您的 IAM 使用者連接: iam:CreateRole iam:AttachRolePolicy iam:ListRoles 如需 IAM 政策範例,請參閱協議許可。 |
您需要以下許可來列出、建立和連接 IAM 角色:iam:ListRoles、iam:CreateRole 與 iam:AttachRolePolicy,才能管理貴組織的協議。 | 請聯絡帳戶管理員,將以下許可與您的 IAM 使用者連接: organizations:EnableAWSServiceAccess organizations:ListAWSServiceAccessForOrganization 如需 IAM 政策範例,請參閱協議許可。 |
您沒有擷取有關 AWS 帳戶組織資訊的許可 |
請聯絡帳戶管理員,將以下許可與您的 IAM 使用者連接: organizations:DescribeOrganization 如需 IAM 政策範例,請參閱協議許可。 |
您的帳戶不在組織中 | 您可依照建立和管理 AWS Organizations 中的指示建立或加入組織。 |
您的組態狀態為「非作用中」 | 無法正確建立啟用您組態的一個或多個事件規則。請刪除組態,然後稍後再次嘗試建立。如果問題仍然存在,請參閱 AWS 使用者通知疑難排解。 |
您的交付通道狀態為「待處理」 | 提供給您的電子郵件尚未進行驗證。請檢查您的收件匣和垃圾郵件資料夾,以取得 AWS 使用者通知所發出的驗證電子郵件。如果您想重新傳送驗證電子郵件,可以在 AWS 使用者通知交付通道中重新傳送。 |
您無列出組態的許可 | 請聯絡帳戶管理員,將以下許可與您的 IAM 使用者連接: "artifact:GetAccountSettings", 如需 IAM 政策範例,請參閱協議許可。 |
您無建立組態的許可 | 請聯絡帳戶管理員,將以下許可與您的 IAM 使用者連接: "artifact:GetAccountSettings", 如需 IAM 政策範例,請參閱協議許可。 |
您無編輯組態的許可 |
請聯絡帳戶管理員,將以下許可與您的 IAM 使用者連接: "artifact:GetAccountSettings", 如需 IAM 政策範例,請參閱協議許可。 |
您無刪除組態的許可 |
請聯絡帳戶管理員,將以下許可與您的 IAM 使用者連接: "notifications:DeleteNotificationConfiguration", 如需 IAM 政策範例,請參閱協議許可。 |
您無檢視組態詳細資料的許可 | 請聯絡帳戶管理員,將以下許可與您的 IAM 使用者連接: "notifications:ListEventRules", 如需 IAM 政策範例,請參閱協議許可。 |
您無註冊通知中樞的許可 | 請聯絡帳戶管理員,將以下許可與您的 IAM 使用者連接: "notifications:RegisterHubRegions", 如需 IAM 政策範例,請參閱協議許可。 |
通知
1.什麼是 AWS Artifact 通知?
2.為什麼要使用 AWS Artifact 通知?
如果您有興趣主動了解 AWS Artifact 上提供的新報告或協議,就要使用 AWS Artifact 通知功能。接收通知後,您可以重新造訪 AWS Artifact 主控台,以省下手動檢查新內容是否可用所需的時間和精力。每個通知中也將包含特定新報告或協議的連結,以便您只要登入 AWS 管理主控台,即可輕鬆瀏覽至該報告或協議。
3.AWS Artifact 通知許可的運作原理為何?
您需要許可才能使用 AWS Artifact 服務和 AWS 使用者通知服務。您設定的 IAM 政策可定義誰 (使用者、群組和角色) 能對 AWS Artifact 和 AWS 使用者通知資源執行哪些動作相關的通知。您也可以在策略中指定動作與哪些資源相關。要進一步了解,請按一下這裡。
4.我在設定通知時,可以套用哪些通知篩選器?
針對報告,您可以選擇需要通知的特定類別和一系列報告來篩選通知。針對協議,目前我們並不提供細微的篩選,因為現有協議的更新次數或新增的新協議數量很少。
5.通知訂閱與通知組態有何差異?
在 AWS Artifact 主控台訂閱通知,表示您已選擇加入接收來自 AWS Artifact 服務的通知。訂閱通知是一次性動作,並且為設定通知組態的先決條件。如果您想要停止 AWS Artifact 服務所發出的通知,可以使用訂閱通知按鈕,只需按一下,就可關閉所有 AWS Artifact 通知。
訂閱後,您必須建立一個或多個組態,才能開始接收通知。建立組態時,您可以選擇是否需要所有報告和協議的通知,還是需要報告子集的通知,並提供需要接收通知之人員的電子郵件地址。
6.通知會傳送到哪裡?
建立通知組態時,系統會將通知傳送至使用者提供的電子郵件地址。請注意,系統只會將通知傳送到已驗證的電子郵件地址。此外,系統也會將通知傳送至 AWS 使用者通知中心主控台。
7.此功能如何與其他 AWS 服務關聯/搭配使用?
AWS Artifact 通知會利用 AWS 使用者通知服務,來設定通知及傳送電子郵件。您可以使用 AWS Artifact 主控台來設定通知。您也可以使用 AWS 使用者通知主控台來檢視及設定通知。
8.AWS Artifact 通知的配額是多少?
在 AWS Artifact 通知功能中,每個通知組態最多可提供 20 個電子郵件地址。此外,也適用 AWS 使用者通知服務的服務配額,請參閱這裡以取得更多詳細資訊。