本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 无服务器开户
<a name="serverless-onboarding"></a>

本节重点介绍客户开户使用案例。其提供的是一个示例，说明如何重用无服务器模式来实现关键客户旅程的现代化。

## 开户解决方案
<a name="onboarding-solution"></a>

开户解决方案通常不是独立存在的，而是更大情形的一部分。集成所需的组件和服务包括：

1. 潜在客户开发（CRM 系统）

1. 功能调查（AML、风险和合规性）

1. 中央客户端数据文件（核心银行系统）

1. 数字签名管理（使用第三方工具，例如 DocuSign） 

1. 生物验证

1. 数字合同管理生命周期

1. 流程和运营模型自动化

**备注**  
这些组件与外部应用程序的集成不属于该策略的范围。

下图说明了通过云端聊天机器人与客户交互的无服务器架构： AWS 

![使用 ADR 验证软件组件更改](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/strategy-banking-modernization-clm/images/aws-serverless-architecture.png)


**备注**  
该架构基于 QnA Bot 的 AWS 解决方案和 Amazon Rekognition 的更新。有关更多信息，请参阅 AWS 解决方案库 AWS中的 [QnA Bot](https://aws.amazon.com//solutions/implementations/aws-qnabot/)，[Amazon Rekognition 在 Machine Learning 博客中宣布其人脸检测、分析和识别功能的更新](https://aws.amazon.com//blogs/machine-learning/amazon-rekognition-announces-updates-to-its-face-detection-analysis-and-recognition-capabilities/)。 AWS 

图表显示了以下工作流程：

1. 客户访问前端组件与自动程序进行交互。在这种情况下，可以通过多种方式将前端库包含在现有资产中。例如，您可以将这些组件集成到企业网站中，或者将它们链接到主要的聊天应用程序。这些组件使用亚马逊简单存储服务 (Amazon S3) Service JavaScript 和亚马逊通过静态资产管理交付和提供服务。 CloudFront

1. 前端组件嵌入了与后端组件的连接，以通过 Amazon Cognito 验证凭证。获得授权后，客户服务可以与开户解决方案的服务进行通信。

1. 客户使用 Amazon Lex 自动程序与该服务进行互动。通过使用调用必要的服务来完成流程 AWS Step Functions ，运行预定义的入职场景。您可以根据银行系统的需求（例如，满足摄影要求、多语言翻译以及自然语言处理以满足客户意图）量身定制此场景。您可以使用 AWS Lambda 函数向客户执行 Amazon Lex 机器人的操作，并根据入门阶段呼叫服务。

1. Step Functions 的输出通过亚马逊分批发送到银行内部系统 EventBridge，亚马逊使用您的首选方法连接到银行内部系统。您可以通过对等其他 AWS 账户或通过虚拟专用网络 (VPN) 与银行系统进行网络对等来处理此通信。

1. 整个架构都是通过使用 AWS Config Amazon Macie 和来实现安全性和合规性而设计的 AWS Artifact。 AWS Security Hub CSPM

## 安全性与合规性注意事项
<a name="security-compliance"></a>

维护安全和处理敏感信息是无服务器开户方法的核心。无服务器开户设计为了无状态，不存储任何 PII 或关键业务数据。为确保持续的安全性和合规性，您必须准备好以下服务并正确加以配置：
+ AWS AppConfig 通过为合规性量身定制的规则，确保服务的完整性和机密性。准备好的控制措施将验证整体合规性，并防止配置出现偏差。
+ Macie 会在整个过程中检测并标记任何 PII。
+ Security Hub CSPM 确保所有服务都是在安全范围内定义和使用的。
+ AWS Artifact 为 AWS 服务的合规性提供审计证据。

可以使用客户托管式密钥或为审计目的密封的专用硬件安全模块（HSM）来对交易和不可否认性证据进行存储和加密。您还可以使用 Amazon Glacier 以低成本封存数据，同时确保完整性和安全性。

**注意**  
从 2025 年 12 月 15 日起，Amazon Glacier（最初基于独立文件库的服务）将不再接受新客户，对现有客户不存在任何影响。  
Amazon Glacier 是一项独立的服务 APIs ，拥有自己的服务，可将数据存储在文件库中，不同于亚马逊 S3 和 Amazon S3 Glacier 存储类别。在 Amazon Glacier 中，您现有的数据将确保安全，并且可以无限期地访问。无需进行迁移。对于低成本、长期的存档存储， AWS 建议[使用 Amazon S3 Glacier 存储类别，这些存储类别](https://aws.amazon.com/s3/storage-classes/glacier/)基于S3存储桶、完全 AWS 区域 可用性 APIs、更低的成本和集成，可提供卓越的客户体验。 AWS 服务 如果您希望加强功能，可以考虑使用我们的 [AWS 将数据从 Amazon Glacier 文件库传输到 Amazon S3 Glacier 存储类别的解决方案指南](https://aws.amazon.com/solutions/guidance/data-transfer-from-amazon-s3-glacier-vaults-to-amazon-s3/)，迁移到 Amazon S3 Glacier 存储类别。

仅应允许操作团队访问环境。任何开发活动都应通过自动持续交付进行简化，以防止任何人访问生产环境。出于审计目的，应预置一个额外的角色来访问平台上的构件和合规性报告。

AWS 可以帮助确保您符合监管和合规标准。有关更多信息，请参阅文档中的 FINMA ISAE 3000 第 2 类报告。 AWS 您也可以直接从中下载相关的银行文件 AWS Artifact，包括FINMA第2008/21号通告、FINMA ISAE 3000 Type 2、FINMA第2018/03号通告和全球金融服务监管原则。