本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 合规性验证 Amazon Secrets Manager
您在使用 Secrets Manager 时的合规责任取决于您的数据的敏感度、贵公司的合规目标以及适用的法律和法规。 Amazon 提供了以下资源来帮助实现合规性:
+ [安全性与合规性快速入门指南](https://www.amazonaws.cn/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance)[安全性与合规性快速入门指南](https://www.amazonaws.cn/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) - 这些部署指南讨论了架构注意事项,并提供了在 Amazon上部署基于安全性和合规性的基准环境的步骤。
+ [HIPAA 安全与合规架构白皮书 — 本白皮书](https://docs.amazonaws.cn/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html)描述了公司如何使用来创建应用程序。 Amazon HIPAA-compliant
+ [合规资源](https://www.amazonaws.cn/compliance/resources/) — 此工作簿和指南集可能适用于您所在的行业和所在地区。
+ *Amazon Config* 会评估资源配置符合内部实践、行业指南和法规的情况。有关更多信息,请参阅 [使用以下方法监控 Amazon Secrets Manager 密钥的合规性 Amazon Config](configuring-awsconfig-rules.md)。
+ [Amazon Security Hub CSPM](https://docs.amazonaws.cn/securityhub/latest/userguide/what-is-securityhub.html)提供了您的安全状态的全面视图 Amazon ,可帮助您检查自己是否符合安全行业标准和最佳实践。有关使用 Security Hub CSPM 评估 Secrets Manager 资源的信息,请参阅*Amazon Security Hub CSPM 用户*指南中的[Amazon Secrets Manager 控件](https://docs.amazonaws.cn/securityhub/latest/userguide/secretsmanager-controls.html)。
+ *IAM Access Analyzer* 会分析允许外部实体访问密钥的策略,包括策略中的条件语句。有关更多信息,请参阅[使用 Access Analyzer 预览访问权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/access-analyzer-preview-access-apis.html)。
+ *Amazon Systems Manager* 为 Secrets Manager 提供了预定义的运行手册。有关更多信息,请参阅[适用于 Secrets Manager 的 Systems Manager 自动化运行手册参考](https://docs.amazonaws.cn/systems-manager-automation-runbooks/latest/userguide/automation-ref-asm.html)。
+ 您可以使用下载第三方审计报告 Amazon Artifact。有关更多信息,请参阅中的 “[下载报告” Amazon Artifact](https://docs.amazonaws.cn/artifact/latest/ug/downloading-documents.html)。
## 合规性标准
Amazon Secrets Manager 已经过以下标准的审计,当您需要获得合规性认证时,可以成为您的解决方案的一部分。
+ **HIPAA** [— Amazon 已扩大其《健康保险流通与责任法案》(HIPAA)合规计划,将其作为一项服务包括在内。 Amazon Secrets Manager HIPAA-eligible ](https://www.amazonaws.cn/compliance/hipaa-eligible-services-reference/)如果您与签订了商业伙伴协议 (BAA) Amazon,则可以使用 Secrets Manager 来帮助构建 HIPAA-compliant 应用程序。 Amazon 为有兴趣进一步了解如何利用 Amazon 健康信息的处理和存储的客户提供了一[HIPAA-focused 份白皮书](https://docs.amazonaws.cn/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html)。有关更多信息,请参阅 [HIPAA 合规性](https://www.amazonaws.cn/compliance/hipaa-compliance/)。
+ **PCI 参与组织** — Amazon Secrets Manager 拥有服务提供商级别 1 的支付卡行业 (PCI) 数据安全标准 (DSS) 3.2 版合规认证。使用 Amazon 产品和服务存储、处理或传输持卡人数据的客户可以在管理自己的 PCI DSS 合规性认证时使用 Amazon Secrets Manager 。有关 PCI DSS 的更多信息,包括如何申请 PCI Compliance Package 的副本,请参阅 Amazon [PCI](https://www.amazonaws.cn/compliance/pci-dss-level-1-faqs/) DSS 第 1 级。
+ **ISO** — Amazon Secrets Manager 已成功完成 ISO/IEC 27001、270 ISO/IEC 17、2 ISO/IEC 7018 和 ISO 9001 的合规认证。有关更多信息,请参阅 [ISO 27001](https://www.amazonaws.cn/compliance/iso-27001-faqs/)、[ISO 27017](https://www.amazonaws.cn/compliance/iso-27017-faqs/)、[ISO 27018](https://www.amazonaws.cn/compliance/iso-27018-faqs/)、[ISO 9001](https://www.amazonaws.cn/compliance/iso-9001-faqs/)。
+ **AICPA SOC** – 系统和组织控制(SOC)报告是独立的第三方检查报告,用于说明 Secrets Manager 如何实现关键合规性控制和目标。这些报告的目的是帮助您和您的审计师了解为支持运营和合规性而建立的 Amazon 控制措施。有关更多信息,请参阅 [SOC 合规性](https://www.amazonaws.cn/compliance/soc-faqs/)。
+ **FedRAMP** – 联邦风险与授权管理计划(FedRAMP)是一项政府层面的计划,它提供一种标准化方法来对云产品和云服务进行安全性评测、授权以及持续监控。FedRAMP计划还为服务和地区提供临时授权,允许他们使用 East/West 政府或 GovCloud 监管数据。有关更多信息,请参阅 [FedRAMP 合规性](https://www.amazonaws.cn/compliance/fedramp/)。
+ **国防部** – 国防部(DoD)云计算安全需求指南(SRG)为云服务提供商(CSP)提供了一个标准化的评测和授权流程,获得国防部临时授权,让他们能够为国防部客户服务。有关更多信息,请参阅 [DoD SRG 资源](https://www.amazonaws.cn/compliance/dod/)。
+ **IRAP** – 通过信息安全注册评估员计划(IRAP),澳大利亚政府客户能够验证适当的控制措施是否到位,并确定适当的责任模式,满足澳大利亚网络安全中心编制的《澳大利亚政府信息安全手册》(ISM)的要求(ACSC)。有关更多信息,请参阅[ IRAP 资源](https://www.amazonaws.cn/compliance/irap/)。
+ **OSPAR** — Amazon Web Services (Amazon) 获得了外包服务提供商的审计报告 (OSPAR) 认证。 Amazon 与新加坡银行协会(ABS)的《外包服务提供商控制目标和程序指南》(ABS 指南)保持一致,这向客户表明,他们 Amazon 致力于满足新加坡金融服务行业对云服务提供商设定的高期望。有关更多信息,请参阅[ OSPAR 资源](https://www.amazonaws.cn/compliance/OSPAR/)。