的合规性验证 AWS Secrets Manager

安全性与合规性 Quick Start 指南 - 这些部署指南讨论了架构注意事项，并提供了在 AWS 上部署基于安全性和合规性的基准环境的步骤。

《设计符合 HIPAA 安全性和合规性要求的架构》白皮书 – 此白皮书介绍公司如何使用AWS创建符合 HIPAA 标准的应用程序。

AWS 合规性资源 — 此业务手册和指南集合可能适用于您的行业和地点。

AWS Config 会评估资源配置符合内部实践、行业指南和法规的情况。有关更多信息，请参阅 使用 AWS Config 监控 AWS Secrets Manager 密钥的合规性。

AWS Security Hub 全面提供了您在 AWS 中的安全状态，可帮助您检查是否符合安全行业标准和最佳实践规范。有关使用 Security Hub 评估 Secrets Manager 资源的信息，请参阅《AWS Security Hub 用户指南》中的 AWS Secrets Manager 控件。

IAM Access Analyzer 会分析允许外部实体访问密钥的策略，包括策略中的条件语句。有关更多信息，请参阅使用 Access Analyzer 预览访问权限。

AWS Systems Manager 为 Secrets Manager 提供了预定义的运行手册。有关更多信息，请参阅适用于 Secrets Manager 的 Systems Manager 自动化运行手册参考。

您可以使用 AWS Artifact 下载第三方审计报告。有关更多信息，请参阅在 AWS Artifact 中下载报告、。

HIPAA – AWS 已扩展了其健康保险可携性与责任法（HIPAA）合规性计划，将 AWS Secrets Manager 包括作为符合 HIPAA 要求的服务。如果您与 AWS 签订了业务伙伴协议 (BAA)，则可使用 Secrets Manager 帮助构建符合 HIPAA 要求的应用程序。AWS 提供了一份以 HIPAA 为主题的白皮书，供想要了解如何利用 AWS 处理和存储健康信息详情的客户查阅。有关更多信息，请参阅 HIPAA 合规性。

PCI 参与组织 – AWS Secrets Manager 已通过支付卡行业（PCI）数据安全标准（DSS）版本 3.2 一级服务提供商的合规性认证。对于使用 AWS 产品和服务来存储、处理或传输持卡人数据的客户，在管理自己的 PCI DSS 合规性认证时，可以使用 AWS Secrets Manager。有关 PCI DSS 的更多信息，包括如何请求 AWS PCI Compliance Package 的副本，请参阅 PCI DSS 第 1 级。

ISO – AWS Secrets Manager 已成功完成 ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018 和 ISO 9001 的合规性认证。有关更多信息，请参阅 ISO 27001、ISO 27017、ISO 27018、ISO 9001。

AICPA SOC – 系统和组织控制（SOC）报告是独立的第三方检查报告，用于说明 Secrets Manager 如何实现关键合规性控制和目标。这些报告的目的是帮助您和您的审计员理解旨在支持运营和合规性的 AWS 控制措施。有关更多信息，请参阅 SOC 合规性。

FedRAMP – 联邦风险与授权管理计划（FedRAMP）是一项政府层面的计划，它提供一种标准化方法来对云产品和云服务进行安全性评测、授权以及持续监控。FedRAMP 计划还为东部/西部和 GovCloud 的服务和区域提供临时授权，以便使用政府或监管数据。有关更多信息，请参阅 FedRAMP 合规性。

国防部 – 国防部（DoD）云计算安全需求指南（SRG）为云服务提供商（CSP）提供了一个标准化的评测和授权流程，获得国防部临时授权，让他们能够为国防部客户服务。有关更多信息，请参阅 DoD SRG 资源。

IRAP – 通过信息安全注册评估员计划（IRAP），澳大利亚政府客户能够验证适当的控制措施是否到位，并确定适当的责任模式，满足澳大利亚网络安全中心编制的《澳大利亚政府信息安全手册》（ISM）的要求（ACSC）。有关更多信息，请参阅 IRAP 资源。

OSPAR – Amazon Web Services（AWS）通过了外包服务提供商的审计报告（OSPAR）认证。AWS 与新加坡银行协会（ABS）关于外包服务供应商控制目标和程序的准则（ABS 准则）的一致性向客户展示 AWS 致力于满足新加坡金融服务行业对云服务提供商的高期望。有关更多信息，请参阅 OSPAR 资源。