安全

使用 AWS Artifact 获取合规报告 - 审计应对与合同管理

按需获取 SOC、PCI DSS、ISO 审计报告,并将 BAA 和 GDPR DPA 一键应用到整个 Organizations 的操作步骤。

約 2 分で読めます

Artifact 概述

Artifact 是一项按需获取 AWS 合规报告和合同文件的服务。当自身的合规审计要求提供「AWS 安全管理体系的证据」时,可从 Artifact 下载 SOC 报告或 ISO 认证书提交给审计人员。BAA 和 GDPR DPA 等合同也可一键应用到整个 Organizations。Artifact 支持通过 AWS 管理控制台直接访问,也支持通过 AWS CLI 或 API 以编程方式获取报告。

报告与合同管理

Artifact Reports 提供 50 多种合规报告,可获取 SOC 1(财务报告相关内部控制)、SOC 2(安全性、可用性、机密性)、PCI DSS AOC(支付卡行业合规证明)、ISO 27001 认证书等。报告以 PDF 格式下载,SOC 报告通常为 200〜400 页的详细文档。Artifact Agreements 可电子签署 BAA(HIPAA 合规所需的业务伙伴协议)和 NDA。从 Organizations 管理账户签署组织协议后,会自动应用到所有成员账户。也可按单个账户签署合同,但在多账户环境中,组织级合同可大幅降低运维负担。

报告的活用与审计应对

Artifact Reports 可获取的报告涵盖 SOC 1/2/3、PCI DSS、ISO 27001/27017/27018、FedRAMP、HIPAA 等多种类型。当审计人员要求提供「AWS 安全管理措施的证据」时,下载相应报告提交即可。部分报告需要同意 NDA(保密协议),下载时进行电子同意。通过 Artifact Agreements 可将 BAA(Business Associate Agreement)和 GDPR DPA(Data Processing Addendum)一键应用到整个 Organizations,无需逐个账户管理合同。报告会定期更新,建议在审计时期获取最新版本。SOC 2 Type II 报告证明控制措施在规定期间(通常 12 个月)内的运行有效性,由审计事务所发布。获取后与审计团队共享,确认报告中的例外事项和管理层回复,评估对自身组织的影响。 如需深入了解 Artifact,也可参考Amazon 上的相关书籍

Artifact 的定价与运维

Artifact 免费使用。报告下载和合同管理不产生额外费用。可从 Organizations 管理账户或委托管理员账户统一管理所有成员账户的合同。作为审计应对的工作流,建议根据年度审计计划制定所需报告清单,从 Artifact 下载最新版本提供给审计团队,并将此流程标准化。在 AWS 责任共担模型中,Artifact 的报告是 AWS 侧管理措施的证据,用户侧的管理措施需另行文档化。通过 IAM 策略控制 artifact:Get 和 artifact:DownloadAgreement 操作,将访问权限限制在审计团队和 GRC 人员范围内,防止 NDA 保护的报告被不必要地传播。

设计最佳实践与常见陷阱

有效活用 Artifact 需要注意几个设计要点。首先,使用 Organizations 的委托管理员功能,可以在减少管理账户直接访问的同时,将报告获取权限委派给 GRC 团队。其次,报告获取历史会记录在 CloudTrail 中,自动确保「谁在何时获取了哪份报告」的审计证据。常见的陷阱是 SOC 报告覆盖期间与自身审计期间的错位。SOC 2 Type II 报告通常以 4 月〜3 月或 10 月〜9 月为期间发布,如果与公司的会计年度不一致,需要向 AWS 申请过渡函(Gap Letter)。此外,Artifact 仅提供 AWS 侧的控制证据,EC2 上运行的应用和用户管理的数据库等需要自行准备审计证据。

与其他服务的组合活用

Artifact 虽然是独立使用的服务,但与其他 AWS 安全服务组合可以构建全面的合规态势。AWS Config 持续评估资源配置是否符合合规规则(PCI DSS、CIS Benchmark 等),与 Artifact 报告证明的「AWS 侧管理措施」配合,覆盖责任共担模型的两侧。Security Hub 将 Config 规则的合规状态聚合到统一的仪表板中,Audit Manager 负责自动收集证据和生成审计报告。在实际操作中,向外部审计事务所提交时将 Artifact 的 SOC 报告与自身的 Audit Manager 报告配套提供,可全面覆盖 AWS 侧和自身侧的控制证据。金融行业中,除 PCI DSS AOC 外还需提交自身的安全管控文档,Artifact 与 Audit Manager 的联合使用已成为事实上的标准做法。

总结

Artifact 是一项按需提供 AWS 合规报告和合同文件的免费服务。可下载 SOC 1/2/3、PCI DSS、ISO 27001 等审计报告提交给审计人员,并将 BAA 和 GDPR DPA 一键应用到整个 Organizations,大幅减少审计应对的工作量。合理设计委托管理员的使用、CloudTrail 访问证据和 SOC 报告覆盖期间的差异管理,可高效地标准化年度审计工作流。

相关服务

AWS Artifact按需获取 AWS 合规报告和协议的服务AWS Organizations集中管理多个 AWS 账户的服务AWS Config记录和评估 AWS 资源配置变更并持续监控合规性的服务

相关文章

使用 AWS Config 实现持续合规监控 - 规则评估与自动修复详解 AWS Config 的资源配置记录、Config 规则的合规评估以及自动修复操作的设置。使用 AWS Control Tower 构建多账户环境 - 着陆区与护栏通过着陆区的自动构建和护栏的策略应用,建立多账户环境的治理。介绍 Account Factory 的账户自动创建。使用 AWS Organizations 实现多账户管理 - OU 设计与 SCP 治理通过 OU 层级设计和 SCP 访问控制建立多账户环境的治理。同时介绍统一计费的成本管理。

本主题的更多内容

使用 IAM Access Analyzer 检测过度访问权限 - 外部访问与未使用权限分析基于 CloudTrail 检测 IAM 角色的未使用权限,并自动生成最小权限策略。本文涵盖外部访问检测以及将自定义策略检查集成到 CI/CD 流水线的完整流程。使用 AWS Certificate Manager 自动化 SSL/TLS 证书管理 - 从签发到轮换详解 ACM 免费签发公共证书、DNS 验证、自动续期,以及部署到 ALB 和 CloudFront 的完整流程。审计自动化 - 使用 AWS Audit Manager 持续收集合规证据详解使用 AWS Audit Manager 自动收集审计证据。介绍基于框架(SOC 2、PCI DSS、GDPR 等)的自动评估、证据统一管理和审计报告生成。AWS 账户 ID 12 位数字背后的结构 - 为什么是 12 位,能读取哪些信息从趣味知识角度解析 AWS 账户 ID 为何是 12 位数字、ARN 结构中蕴含的设计意图,以及从账户 ID 可推测的信息和安全注意事项。AWS 账户根用户为何如此危险 - 权限分离的设计思想与封印实践解析 AWS 根用户拥有 IAM 无法限制的特权的原因,列举仅根用户可执行的操作,介绍 MFA 设置方法以及通过 Organizations 根访问管理实现的封印策略。证书管理与 HTTPS 化 - 使用 AWS Certificate Manager 自动运维 TLS 证书介绍使用 AWS Certificate Manager(ACM)进行 TLS/SSL 证书的签发、自动续期和部署。包括与 CloudFront、ALB、API Gateway 的集成、DNS 验证以及 Private CA 的应用。通过 AWS CloudHSM 实现专用密钥管理 - 符合 FIPS 140-2 Level 3 的加密通过专有 HSM 实例实现符合 FIPS 140-2 Level 3 的密钥管理。介绍与 KMS 的区分使用以及通过 KMS 自定义密钥存储实现两者集成的方法。CloudTrail 看到一切 - API 调用记录机制与取证调查实践详细介绍 CloudTrail 记录 AWS API 调用的机制、管理事件与数据事件的区别、CloudTrail Lake 的 SQL 分析以及安全事件发生时的取证调查方法。

相似的文章与服务

审计自动化 - 使用 AWS Audit Manager 持续收集合规证据详解使用 AWS Audit Manager 自动收集审计证据。介绍基于框架(SOC 2、PCI DSS、GDPR 等)的自动评估、证据统一管理和审计报告生成。AWS Audit Manager自动化合规审计的证据收集,持续评估 SOC 2、PCI DSS、HIPAA 等框架合规状况的服务AWS 143 项以上合规认证的全面覆盖 - 从 ISMAP 到 PCI DSS 压倒性的取得实绩以 ISMAP、SOC、PCI DSS、HIPAA 为轴解析 AWS 取得的 143 项以上合规认证,并与 Azure 和 GCP 的认证覆盖度进行对比。AWS Audit Manager自动化合规审计的证据收集和评估的服务