AWS 合規解決方案指南

存取 AWS 合規性報告的最佳實務是藉由 AWS Artifact 透過主控台進行。AWS Artifact 為客戶提供對最新 AWS 合規性報告的隨需自助服務存取。AWS 發佈新報告時，即可在 AWS Artifact 中下載這些報告。除了按需存取之外，使用 AWS Artifact 還有三個優點：

1. 不需要輸入信用卡。建立帳戶或使用 AWS Artifact 入口網站不會產生任何費用。
2. 提供透過 IAD 為其他使用者設定帳戶的功能。
3. 點擊 NDA 更加方便。

請注意，所有第三方證明、認證、服務組織控制 (SOC) 報告和其他相關合規報告都需要 NDA。AWS ISO 27001 認證和公開提供的 AWS SOC 3 報告例外。

如果您擁有 AWS 帳戶並準備開始使用 AWS Artifact，則可以使用下列資源在主控台中熟悉此功能。如果您還沒有 AWS 帳戶，可以使用這些步驟建立帳戶。

AWS Artifact 網站 - 本網站為您提供有關 Artifact 的基本資訊，包括入門快速指南，逐步說明如何登入主控台和下載報告，以及 AWS Artifact 常見問題集頁面，其中包含所有常見問題的完整清單。

下列是一些產生問題的最常見情況：

如果您需要協助來填寫安全問卷以記錄 AWS 安全性和合規性，AWS 會提供一種建議的方法，為您提供在雲端和 AWS 業務模型環境中適當解決您安全性和合規性問題的資源。此程序可確保為所有客戶提供經過第三方稽核員驗證的一致答案。

AWS Artifact 包含所有合規性報告，是您查詢相關資料的首選資源。AWS 由第三方稽核員全年進行多次稽核，其中大部份按照國際安全標準進行，例如 ISO 27001、PCI 和 SOC。您可以使用這些報告回答安全問卷上的任何相關問題。

此外，還有幾種類型的線上資源可以為一些最常見的問題提供答案。調查問卷的兩個最常用文件是：

共識評估倡議調查問卷 - 雲端安全聯盟 (CSA) 是非營利組織，宗旨是在雲端計算中促進使用最佳實務達到安全保障。CSA 共識評估倡議調查問卷提供 CSA 預期雲端消費者和/或稽核員會向雲端供應商詢問的一系列問題。這提供一系列安全、控制和流程問題，可用於廣泛的用途，包括雲端供應商選擇和安全評估。本文件包含 AWS 對 CSA 調查問卷的答案。

風險及合規白皮書 – 本文件旨在為 AWS 客戶提供資訊，協助他們將 AWS 整合到支援其 IT 環境的現有控制架構中。包含評估 AWS 控制項的基本方法，並提供資訊以協助客戶整合控制環境。本文件還提供有關一般雲端運算合規性問題中關於 AWS 的特定資訊。有關於全部 AWS 認證、計劃、報告與第三方認證的詳細說明。CSA 調查問卷包含在本文件的附錄中。

如果您仍然需要協助回答問題，請聯絡 AWS 銷售客戶經理協助您找到適當的資源。

這些是 HIPAA BAA 遇到的一些最常見挑戰。若要取得更多 BAA 相關資源，包括 HIPAA 常見問答集、BAA 教學視訊、白皮書等等的完整清單，請造訪主要 AWS HIPAA 合規頁面。

問：我是否可以取得現有 BAA 的原始紙本？

答：Artifact 中的 BAA 版本和原始紙本毫無不同。使用 Artifact 時，您始終都能夠在接受條款之前和之後下載 BAA 的副本。如果您有現有的離線 BAA，您可以聯絡銷售代表取得副本。

問：我需要一個附錄 A 確認已經在現有 BAA 中新增帳戶，或者我需要證據證明 BAA 涵蓋某個帳戶。

答：AWS 不會在現有 BAA 涵蓋其他帳戶之後發佈更新的附錄 A。使用 Artifact 後，您就能夠在主控台中立即指定新帳戶自助服務。在 Artifact 中接受 BAA 後，您可以使用帳戶 ID 登入主控台並確認狀態為作用中。如果您想要新增帳戶，可以使用自助服務。  若要確認涵蓋狀態並與稽核員或管理者共用 BAA，可以下載 pdf。此外，該狀態也可做為涵蓋範圍的證據。

問：我無法進入 BAA，或者我無法勾選 NDA 的方塊。

答：此問題源自於權限錯誤。處理 AWS 帳戶 IAM 請求的個人或團隊可以透過調整權限來解決此問題。設定 IAM 帳戶的詳細資訊可以在此處找到。