# 共同的責任 安全和合規的責任由 AWS 和您共同承擔。這種共同模式有助減輕您的營運負擔,因為 AWS 會深入服務運作所在設施的實體安全性,操作、管理並控制主機作業系統及虛擬化層的元件。 您需負責管理訪客作業系統 (包括更新和安全修補程式) 和應用程式軟體,以及設定 AWS 提供的安全控制,如安全群組、網路存取控制清單和以及身分和存取管理。您應該仔細考慮所使用的服務,因為您的責任取決於所選擇的服務、這些服務與 IT 環境的整合,以及適用的法律和法規。[*圖 2*](#Fig2) 顯示套用至基礎設施服務 (如 Amazon Elastic Compute Cloud (Amazon EC2)) 的共同責任模式的典型表示。它將大部分責任分為兩類:雲端*本身*的安全 (由 AWS 管理) 和雲端*中*的安全 (由客戶管理)。責任歸屬可能會產生變化,具體取決於您使用的服務。若是 Amazon S3 和 Amazon DynamoDB 等抽象服務,AWS 運作基礎設施層、作業系統和平台,客戶則存取端點以存放及擷取資料。客戶負責管理其資料 (包括加密選項),對其資產進行分類,以及使用 IAM 工具來套用適當的許可。 但是,共同責任模式會隨著容器和其他服務的增加而產生變化,這些變化會將操作模式移往服務提供者。當我們移往操作模式的左側,從 IaaS 和資料中心轉向 PaaS,服務提供者的責任就會增加。當遷移到圖表左側時,客戶在雲端中的責任更少,操作時間更輕鬆。請注意下圖以及在雲端中操作或運作能力的差異。隨著您在雲端中的共同責任發生變化,您的事件回應或鑑識選項也會發生變化。身為客戶,在規劃事件回應時,您還需要確保根據操作模型中的能力進行規劃,並在所選模型中發生互動之前,先規劃好可能的互動。規劃和理解這些權衡並符合您的管控需求,是事件回應的關鍵步驟。 ![共同責任模式](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-security-incident-response-guide/images/image3.jpeg) *圖 1:共同責任模式* ![](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-security-incident-response-guide/images/image4.png) *圖 2:具有 AWS Fargate 類型共同責任模式的 Amazon Elastic Container Service (Amazon ECS)* 除了您與 AWS 的直接關係之外,可能還有其他實體在您的特定責任模型中負有責任。例如,可能有內部組織單位對操作的某些方面負責。可能還有合作夥伴或其他第三方負責開發、管理或操作您的某些雲端技術。 建立符合您操作模型的適當事件回應與鑑識執行手冊,這一點極為重要。您的成功取決於針對所選取的操作模型,您對需建立的工具類型或需購買工具的理解程度。您的組織越了解可用的工具,您就越能做好妥善的準備,以符合企業管控風險和合規 (GRC) 模式的需求。