Вопросы и ответы по AWS Artifact

Общие вопросы

AWS Artifact – это доступный из консоли и работающий по принципу самообслуживания портал извлечения артефактов аудита, который по требованию предоставляет нашим клиентам доступ к документации AWS, касающейся соответствия требованиям, и соглашениям AWS.

Сервис AWS Artifact Reports можно использовать для загрузки документов о безопасности и соответствии AWS требованиям, например сертификации AWS по стандартам ISO, индустрии платежных карт (PCI) и отчетов System and Organization Control (SOC).

Сервис AWS Artifact Agreements можно использовать для просмотра, принятия и отслеживания статуса соглашений с AWS, например Договора делового партнерства (BAA).

Доступ к порталу AWS Artifact есть у всех аккаунтов AWS. Согласившись с соответствующими условиями и положениями, пользователи с правами root и пользователи IAM с правами администратора могут загружать все артефакты аудита, доступные для их аккаунта.

Чтобы пользователи IAM без прав администратора могли получить доступ к порталу AWS Artifact, необходимо дать им разрешение IAM. Таким образом вы предоставите им возможность пользоваться AWS Artifact, ограничив доступ к другим сервисам и ресурсам в своем аккаунте AWS. Информацию о предоставлении доступа с помощью IAM см. в этом разделе справки в документации по AWS Artifact.

Соглашение может находиться в одном из двух состояний.

  • Неактивно. В неактивном состоянии находятся соглашения, еще не принятые пользователем, или ранее принятые соглашения, расторгнутые пользователем. 
  • Активно. В активном состоянии находятся соглашения, принятые пользователем.

Административный аккаунт AWS имеет все необходимые разрешения для использования AWS Artifact, однако для различных документов и соглашений может потребоваться особое делегирование разрешений для других пользователей. Разрешения можно делегировать с помощью политик IAM. Разрешения, которые можно назначить пользователям IAM на основе нужного уровня доступа, приведены в следующих таблицах руководства пользователя AWS Artifact.

Артефакт аудита – это доказательство, демонстрирующее, что организация соблюдает документированный процесс или соответствует определенным требованиям. Артефакты аудита собираются и архивируются на протяжении всего жизненного цикла разработки системы и используются в качестве доказательства в ходе внутренних и/или внешних аудитов и оценок.

В настоящее время AWS Artifact предоставляет клиентам отчеты и соглашения, которые можно использовать в качестве артефактов аудита.

Вам нередко придется предоставлять своим аудиторам доступ к отчетам по соответствию AWS требованиям. Это легко можно сделать, создав для каждого из аудиторов данные для доступа пользователя IAM и настроив их таким образом, чтобы аудитор мог получить доступ только к тем отчетам, которые имеют отношение к проводимому аудиту. Дополнительную информацию см. в этом разделе справки в документации по AWS Artifact.

Артефакты аудита AWS можно представить аудиторам или регулирующим органам в качестве доказательства наличия средств управления безопасностью AWS.

Кроме того, при проектировании собственной облачной архитектуры можно воспользоваться руководством по ответственности, которое предоставляется некоторыми из артефактов аудита AWS. Это руководство поможет определить дополнительные средства управления безопасностью, которые необходимо реализовать в рамках особых сценариев применения системы.

Нет. Вы можете просматривать и скачивать все доступные артефакты в любое время и с любой частотой.

Отчеты AWS

Порталом AWS Artifact Reports могут пользоваться все клиенты AWS. Он позволяет оценить и проверить инфраструктуру AWS, а также задействованные сервисы на предмет безопасности и соответствия требованиям.

Сервис AWS Artifact Reports необходим в следующих случаях.

  • Если вы обязаны продемонстрировать соответствие своей облачной архитектуры требованиям на этапах системного проектирования, разработки и аудита. Желая убедиться, что ваша инфраструктура AWS (связанная с используемыми сервисами) соответствовала и соответствует требованиям, аудиторы и регулирующие органы требуют представить доказательства в виде артефактов аудита.
  • Если существует необходимость или потребность использовать артефакты аудита для подтверждения эффективной работы реализованных средств управления AWS.
  • Если требуется выполнять постоянный мониторинг или аудит своих поставщиков.
  • Если вы входите в команду разработчиков, которая создает безопасные облачные архитектуры и нуждается в инструкциях для понимания собственной ответственности за выполнение требований ISO, PCI, SOC и прочих нормативных стандартов. Во многих случаях от работы такой команды зависит, сможет ли компания работать с AWS или продолжить использование этих сервисов.

Артефакты аудита AWS можно представить аудиторам или регулирующим органам в качестве доказательства наличия средств управления безопасностью AWS.

Кроме того, при проектировании собственной облачной архитектуры можно воспользоваться руководством по ответственности, которое предоставляется некоторыми из артефактов аудита AWS. Это руководство поможет определить дополнительные средства управления безопасностью, которые необходимо реализовать в рамках особых сценариев применения системы.

Отчеты AWS по соответствию требованиям вы можете предоставлять клиентам напрямую, если это допускается условиями и положениями, действующими для конкретного отчету AWS по соответствию требованиям. Чтобы определить возможность передачи конкретного отчета, вы можете найти соответствующие условия и положения на первой странице этого отчета AWS по соответствию требованиям, который вы скачали из AWS Artifact.

Кроме того, доступ к отчетам AWS по соответствию требованиям клиенты могут получить через аккаунты AWS. Если у них еще нет аккаунта, попросите их создать его. Плата за создание аккаунта не взимается.

После входа в аккаунт клиенты смогут получить доступ к существующим отчетам из консоли AWS. Для этого нужно перейти к пункту Артефакт в разделе Безопасность, идентификация и соответствие требованиям.

Дополнительную информацию см. в разделе Начало работы с AWS Artifact.

 

Дополнительную информацию о Федеральной программе управления рисками и авторизацией (FedRAMP) и о том, как скачать пакеты безопасности AWS FedRAMP, используя AWS Artifact, см. на веб-странице соответствия требованиям FedRAMP.

Отчеты третьих сторон

Отчеты о соблюдении требований третьей стороны (вендора ПО (ISV) Торговой площадки AWS) будут доступны только тем клиентам AWS, которые получили доступ к Анализу поставщиков Торговой площадки AWS для конкретного ISV. Подробнее о том, как получить доступ к отчетам о соблюдении требований третьих сторон, см. здесь.

Клиенты AWS, использующие Анализ поставщиков Торговой площадки AWS, должны загружать и использовать отчеты о соблюдении требований третьих сторон, предоставленные независимыми поставщиками услуг через AWS Artifact, в рамках оценки рисков третьих сторон.

Передача отчета о соблюдении требований третьей стороны последующим клиентам регулируется применимыми Условиями и положениями (T&C), которые документируются на титульной странице загруженного отчета. Ознакомьтесь с соответствующими T&C, чтобы определить, разрешено ли совместное использование или нет. Кроме того, обратите внимание, что условия и положения могут отличаться для каждого отчета.

AWS предоставляет эти отчеты клиентам для более быстрого и самостоятельного доступа, а любые вопросы, касающиеся отчетов, следует направлять соответствующим третьим сторонам.

AWS Artifact Agreements

AWS Artifact Agreements — это особая возможность, предоставляемая сервисом AWS Artifact (нашим порталом аудита и обеспечения соответствия требованиям), которая позволяет просматривать, принимать соглашения с AWS и управлять ими для отдельного аккаунта, а также для всех аккаунтов организации в Организациях AWS. AWS Artifact можно использовать также для расторжения ранее принятых соглашений, если они больше не требуются.

Для клиентов, которым требуется соблюдать определенные требования, в AWS Artifact Agreements доступны различные типы соглашений. Например, для клиентов, которым необходимо соблюдать требования Акта о передаче и защите данных учреждений здравоохранения (HIPAA), доступен Договор делового партнерства (BAA). Чтобы просмотреть полный список соглашений, доступных для аккаунта, войдите в AWS Artifact.

Перед принятием соглашения по использованию AWS Artifact Agreements требуется загрузить соглашение AWS Artifact о неразглашении (NDA) и принять его условия. Все соглашения конфиденциальны. Просмотр соглашений лицами, не являющимися сотрудниками компании, не допускается.

Да, для доступа к конфиденциальным документам в Artifact и их загрузки потребуется подписать еще одно соглашение NDA в портале AWS Artifact. Однако если у вас есть действующее NDA с Amazon и ваше существующее NDA распространяется на ту же конфиденциальную информацию, что и информация, представленная в Artifact, тогда вместо NDA, заключенного в Artifact, будет применяться ваше существующее NDA.

Администратору аккаунта AWS автоматически предоставляется разрешение загружать, принимать и расторгать соглашения для данного аккаунта. Если вы являетесь администратором управляющего аккаунта организации в AWS Organizations, вы можете принимать и расторгать соглашения от имени управляющего аккаунта и всех аккаунтов-участников. Перед подписанием рекомендуется просматривать условия любых соглашений совместно с юридическим отделом или специалистами по конфиденциальности и/или обеспечению соответствия требованиям. Можно использовать IAM для предоставления доступа заинтересованным сторонам соглашения (например, юридическому отделу или специалистам по конфиденциальности и/или обеспечению соответствия требованиям), чтобы эти пользователи смогли загружать, просматривать и принимать соглашения.

Если вы не являетесь администратором, для загрузки, просмотра и расторжения соглашений вам потребуется получить дополнительные разрешения (обычно такие разрешения выдает администратор). У администраторов имеются возможности для предоставления различных уровней разрешений пользователям IAM на основе рабочих потребностей пользователей.

Полный список разрешений AWS Artifact см. в разделах Управление доступом и Общие политики Руководства пользователя AWS Artifact.

Соглашения AWS Artifact Account Agreements (на вкладке Соглашения аккаунта) после их принятия применяются только к отдельному аккаунту, под которым выполнен вход в AWS.

Соглашения AWS Artifact Organization Agreements (на вкладке Соглашения организации) после их принятия применяются ко всем аккаунтам организации, созданным через Организации AWS, в том числе к управляющему аккаунту организации и всем аккаунтам-участникам. Принимать соглашения в AWS Artifact Organization Agreements можно только под управляющим аккаунтом организации.

AWS Artifact Organization Agreements упрощает управление соглашениями для множества аккаунтов AWS, позволяя принимать одно соглашение от имени всех аккаунтов в организации. Когда авторизованный пользователь управляющего аккаунта принимает соглашение для организации, все существующие и будущие аккаунты-участники автоматически подпадают под условия соглашения.

Если вы являетесь пользователем управляющего аккаунта организации в AWS Organizations, вы можете принимать соглашение от имени всех текущих и будущих аккаунтов-участников. Для вашей организации должны быть включены все функции. Если для вашей организации включены только возможности консолидированной оплаты, см. раздел Включение всех возможностей в организации.

Для начала работы необходимо войти в управляющий аккаунт со следующими разрешениями IAM.

artifact:DownloadAgreement
artifact:AcceptAgreement
artifact:TerminateAgreement
organizations:DescribeOrganization
organizations:EnableAWSServiceAccess
organizations:ListAWSServiceAccessForOrganization
iam:ListRoles
iam:CreateServiceLinkedRole

Полный список разрешений AWS Artifact см. в разделах Управление доступом и Общие политики Руководства пользователя AWS Artifact.

AWS требуется разрешение для создания связанной с сервисом роли в аккаунте, чтобы сервис AWS Artifact мог выполнять операцию ListAccounts для получения полного списка аккаунтов-участников при принятии соглашения. Когда аккаунт-участник присоединяется к организации или покидает ее, AWS получает соответствующее уведомление и обновляет список аккаунтов, подпадающих под условия принятых соглашений.

Перейдите в консоль AWS Artifact Agreements, а затем щелкните вкладку Organization Agreements(Соглашения организации). Если управляющий аккаунт организации принял одно или несколько соглашений для организации, они отобразятся как активные. Это можно сделать, войдя под управляющим аккаунтом или аккаунтом-участником.

Важно: чтобы AWS Artifact предоставил информацию о соглашениях для аккаунтов организации, пользователь IAM, авторизовавшийся в консоли AWS, должен иметь разрешение organizations:DescribeOrganization. Полный список разрешений AWS Artifact см. в разделах Управление доступом и Общие политики Руководства пользователя AWS Artifact.

Организация — это набор из одного или нескольких аккаунтов-участников, которыми можно централизованно управлять из одного управляющего аккаунта с помощью сервиса Организации AWS. Подробности см. на странице «Организации AWS».

Управляющий аккаунт — это аккаунт AWS, используемый для создания организации в сервисе Организации AWS. Войдя под управляющим аккаунтом, можно использовать AWS Organizations для создания аккаунтов-участников, приглашать существующие аккаунты присоединиться к организации и удалять аккаунты из организации.

Только управляющий аккаунт может использовать AWS Artifact Organization Agreements для принятия или расторжения соглашений от имени всех аккаунтов организации.

Аккаунт-участник — это аккаунт AWS, входящий в Организации AWS, но не являющийся управляющим аккаунтом. Администратор управляющего аккаунта организации может создавать в ней аккаунты-участники и приглашать существующие аккаунты присоединиться к ней. Аккаунт-участник может принадлежать только одной организации.

Аккаунты-участники могут использовать AWS Artifact Account Agreements для принятия или расторжения соглашений только от имени отдельного аккаунта-участника. Аккаунты-участники могут использовать AWS Artifact Organization Agreements для просмотра соглашений, принятых управляющим аккаунтом организации от имени аккаунтов-участников.

Нет, AWS Artifact Organization Agreements доступен только для аккаунтов, использующих AWS Organizations. Если вы хотите создать организацию или присоединиться к ней, следуйте указаниям в разделе Создание Организаций AWS и управление ими.

AWS Artifact Agreements для торговых посредников работает аналогичным образом. Торговые посредники могут использовать IAM, чтобы управлять предоставлением разрешений на загрузку, принятие и расторжение соглашений. По умолчанию предоставлять права доступа могут только пользователи с административными привилегиями.

Если требуется принять соглашение для аккаунтов отдельных организаций, требуется войти в управляющий аккаунт каждой организации и принять соответствующие соглашения через AWS Artifact Organization Agreements.

Если требуется объединить аккаунты в единую организацию, можно пригласить аккаунты AWS вступить в организацию, как описано в инструкциях в разделе Приглашение аккаунта в организацию.

Нет. В AWS Artifact Organization Agreements (вкладка Соглашения организации) можно принять соглашения только от имени всех аккаунтов в организации.

Если требуется принять соглашения только для части аккаунтов-участников, необходимо отдельно войти в каждый аккаунт и принять соответствующие соглашения через AWS Artifact Account Agreements (вкладка Соглашения аккаунта).

Да, управляющие аккаунты и аккаунты-участники могут одновременно заключать соглашения аккаунтов AWS Artifact (соглашения на вкладке Соглашения аккаунта) и соглашения организаций AWS Artifact (соглашения на вкладке Соглашения организации) одинакового типа.

Если у аккаунта одновременно имеется соглашение для аккаунта и соглашение для организации того же типа, вместо соглашения уровня аккаунта будет применяться соглашение уровня организации. Если в отношении отдельного аккаунта соглашение для организации расторгнуто (например, путем удаления аккаунта-участника из организации), соглашение в отношении этого отдельного аккаунта (которое можно просмотреть на вкладке «Account agreements») останется в силе.

Будет действовать соглашение на уровне организации, так как оно, согласно условиям, применяется вместо соглашения уровня аккаунта в случае их одновременного использования. Если соглашение для организации расторгнуто и имеется соглашение для аккаунта того же типа (на вкладке Соглашения аккаунта), к аккаунту будет применяться соглашение уровня аккаунта. Примечание. Расторжение соглашения для организации не означает расторжения соглашения для аккаунта.

При удалении аккаунта-участника из организации (например, при выходе из организации или удалении из организации с помощью управляющего аккаунта) к этому аккаунту перестанут применяться все соглашения для организации, принятые от его имени.

Администраторы управляющего аккаунта должны предупредить аккаунты-участники об их предстоящем удалении из организации, чтобы при необходимости такие аккаунты-участники могли принять новые соглашения на уровне аккаунта. Владельцы аккаунтов-участников до ухода из организации должны определиться (с помощью юридического отдела или специалистов по конфиденциальности и/или обеспечению соответствия требованиям), требуется ли принимать новые соглашения.

В настоящее время оповещение аккаунтов-участников при их удалении из организации не производится. Мы работаем над возможностью оповещения аккаунтов-участников при их удалении из организации и нераспространении на них соглашений уровня организации.

Администраторы управляющего аккаунта должны предупредить аккаунты-участники об их предстоящем удалении из организации, чтобы при необходимости такие аккаунты-участники могли принять новые соглашения на уровне аккаунта. Владельцы аккаунтов-участников до ухода из организации должны определиться (с помощью юридического отдела или специалистов по конфиденциальности и/или обеспечению соответствия требованиям), требуется ли принимать новые соглашения.

Договор делового партнерства (BAA)

AWS Artifact Agreements позволяет просматривать и принимать AWS BAA из консоли управления AWS для аккаунта или организации в Организациях AWS. Для отдельного аккаунта AWS BAA можно принять на вкладке Соглашения аккаунта, а для управляющего аккаунта организации AWS BAA можно принять от имени всех аккаунтов организации на вкладке Соглашения организации. После принятия AWS BAA в AWS Artifact Agreements вы сразу же получаете возможность использовать аккаунты AWS для работы с закрытой медицинской информацией (PHI). Кроме того, можно использовать консоль AWS Artifact Agreements для просмотра соглашений, применяющихся к аккаунту или организации AWS, и условий этих соглашений.

При принятии онлайн-договора BAA на вкладке Соглашения аккаунта в AWS Artifact использованный для входа в аккаунт AWS автоматически получает статус аккаунта HIPAA в рамках этого договора BAA на уровне аккаунта. Если управляющий аккаунт в Организациях AWS принимает онлайн-договор BAA на вкладке Соглашения организации в AWS Artifact, все аккаунты в организации автоматически становятся аккаунтами HIPAA. Аккаунты-участники, добавленные в организацию в дальнейшем, автоматически станут аккаунтами HIPAA.

Да, при использовании Организаций AWS управляющий аккаунт организации может использовать вкладку Соглашения организации в AWS Artifact Agreements, чтобы принимать BAA организации от имени всех существующих и будущих аккаунтов-участников организации.

Если вы не используете AWS Organizations или хотите назначить статус только для некоторых аккаунтов-участников, необходимо войти в каждый аккаунт отдельно и принять BAA от имени этого аккаунта.

Разница в том, что при принятии BAA на вкладке Соглашения организации он применяется ко всем аккаунтам, связанным с управляющим аккаунтом через Организации AWS. Для сравнения, BAA на вкладке Соглашения аккаунта применяется только к отдельному аккаунту, через который был принят BAA уровня аккаунта. В случае принятия BAA для аккаунта и BAA для организации вместо BAA уровня аккаунта будет применяться BAA уровня организации.

Да, при использовании управляющего аккаунта организации можно воспользоваться вкладкой Соглашения организации в AWS Artifact Agreements, чтобы принять BAA для организации от имени всех существующих и будущих аккаунтов-участников. В случае принятия BAA для аккаунта и BAA для организации, вместо BAA уровня аккаунта будет применен BAA уровня организации.

Если больше не требуется использовать аккаунт AWS или аккаунты организации для работы с PHI и BAA был принят с использованием AWS Artifact Agreements, можно расторгнуть BAA с помощью AWS Artifact Agreements.

Если был принят офлайн-договор BAA, см. ниже вопросы и ответы в разделе «Офлайн-договор BAA».

Если вы расторгаете онлайн-договор BAA на вкладке Соглашения аккаунта AWS Artifact, использованный для входа в AWS аккаунт сразу же теряет статус аккаунта HIPAA и, если на него не распространяется BAA для организации (на вкладке Соглашения организации), на него не будет распространяться действие BAA с AWS. Перед расторжением BAA необходимо убедиться, что вы удалили из данного аккаунта всю закрытую медицинскую информацию (PHI) и больше не планируете использовать его для обработки информации такого рода.

При использовании управляющего аккаунта для расторжения онлайн-договора BAA на вкладке Соглашения организации в AWS Artifact, все аккаунты в организации незамедлительно теряют статус аккаунтов HIPAA, и если на них не распространяются BAA для отдельных аккаунтов (на вкладке Соглашения аккаунта), на них не будет распространяться действие BAA с AWS. Перед расторжением BAA для организации необходимо убедиться, что вы удалили из ВСЕХ аккаунтов для организации всю закрытую медицинскую информацию (PHI) и больше не планируете использовать их для обработки информации такого рода.

Если одновременно приняты BAA для аккаунта и BAA для организации, вместо условий BAA уровня аккаунта будут применяться условия BAA уровня организации. Расторжение BAA для организации не означает расторжения BAA для аккаунта: в случае расторжения BAA уровня организации к аккаунту будут применяться условия BAA уровня аккаунта.

Нет. При выходе аккаунта-участника из организации все принятые соглашения уровня организации для этого аккаунта становятся недействительными. Если для аккаунта-участника требуется применение соглашений после выхода из организации, перед выходом из организации такой аккаунт должен принять соответствующие соглашения на уровне аккаунта на вкладке Соглашения аккаунта в AWS Artifact.

В аккаунте HIPAA можно использовать любые сервисы AWS, но закрытую медицинскую информацию можно обрабатывать только с использованием сервисов, соответствующих требованиям HIPAA. См. страницу с актуальным списком сервисов, соответствующих требованиям HIPAA.

Да. Если вы предпочитаете заключить BAA с AWS офлайн, обратитесь к менеджеру по работе с клиентами AWS или свяжитесь с нами, чтобы отправить запрос. Однако мы рекомендуем воспользоваться преимуществами скорости, эффективности и наглядности, которые предлагает сервис AWS Artifact Agreements.

Если вы уже подписывали BAA офлайн, условия данного договора по-прежнему будут применяться к аккаунтам, которые вы обозначили в качестве аккаунтов HIPAA в рамках подписанного BAA.

Для всех аккаунтов, не получивших статус аккаунта HIPAA по офлайн-договору BAA, возможно использование AWS Artifact Agreements, чтобы принять онлайн-договор BAA для этих аккаунтов.

Да. При использовании управляющего аккаунта организации можно воспользоваться вкладкой Соглашения организации в AWS Artifact Agreements, чтобы принять BAA для организации от имени всех ее существующих и будущих аккаунтов-участников.

Нет. В целях сохранения конфиденциальности BAA, подписанного офлайн, возможность загрузить его копию в AWS Artifact Agreements не предоставляется. Если вы хотите просмотреть копию подписанного ранее офлайн-договора BAA, можно обратиться с запросом к персональному менеджеру AWS.

Нет. AWS Artifact Agreements можно использовать, чтобы принять онлайн-договор BAA для одного аккаунта или всех аккаунтов организации в AWS Organizations. На аккаунты будут распространяться требования онлайн-договора BAA, а не BAA, подписанного офлайн.

Если требуется назначить дополнительным аккаунтам статус аккаунта HIPAA в рамках офлайн-договора BAA, следует выполнить действия, описанные в данном BAA (например, отправить электронное письмо на адрес aws-hipaa@amazon.com). После подтверждения со стороны AWS для только что назначенного аккаунта изменится интерфейс Artifact Agreements, чтобы отметить его новый статус аккаунта HIPAA по условиям офлайн-договора BAA.

Нет. AWS Artifact Agreements можно использовать, чтобы снять статус аккаунта HIPAA с аккаунта в рамках офлайн-договора BAA, но такое действие не расторгнет сам офлайн-договор. Для завершения действия такого договора требуется представить AWS письменное уведомление, как того требуют условия BAA, заключенного офлайн.

Да. Чтобы снять с конкретного аккаунта статус аккаунта HIPAA в рамках офлайн-договора BAA, можно выполнить пошаговую инструкцию в интерфейсе AWS Artifact. Перед изменением статуса аккаунта HIPAA необходимо убедиться, что вы удалили из данного аккаунта всю закрытую медицинскую информацию (PHI) и больше не планируете использовать его для обработки информации такого рода.

По условиям AWS BAA он применяется только к «аккаунтам HIPAA» – аккаунтам AWS, которые хранят или передают данные PHI, используют для хранения или обработки данных PHI только сервисы, соответствующие требованиям HIPAA, и к которым применены конфигурации безопасности, указанные в AWS BAA, например шифрование данных PHI во время хранения и передачи (полный список требуемых конфигураций безопасности указан в договоре BAA AWS). Аккаунты, не подходящие под определение аккаунтов HIPAA, не регулируются положениями AWS BAA.

Дополнение AWS о подлежащих регистрации взломах данных в Австралии (Дополнение ANDB)

AWS Artifact Agreements позволяет прочесть и принять Дополнение ANDB в Консоли управления AWS либо для аккаунта AWS, либо для организации AWS, если вы являетесь владельцем ее управляющего аккаунта. Дополнение ANDB для отдельного аккаунта AWS можно принять на вкладке Соглашения аккаунта, а для управляющего аккаунта организации его можно принять от имени всех имеющихся и будущих аккаунтов организации AWS на вкладке Соглашения организации. Кроме того, можно использовать консоль AWS Artifact Agreements для просмотра соглашений, применяющихся к аккаунту или организации AWS, и условий этих соглашений.

Разница в том, что при принятии Дополнения ANDB на вкладке Соглашения организации он применяется ко всем имеющимся и будущим аккаунтам, связанным с управляющим через Организации AWS. Для сравнения, Дополнение ANDB на вкладке Соглашения аккаунта применяется только к отдельному аккаунту AWS, через который было принято Дополнение ANDB, но не для остальных аккаунтов AWS. Если Дополнения ANDB приняты и на уровне отдельного аккаунта, и организации, то вместо Дополнения ANDB уровня аккаунта будет принято Дополнение ANDB уровня организации.

Да, при использовании управляющего аккаунта организации можно воспользоваться вкладкой Соглашения организации в AWS Artifact Agreements, чтобы принять Дополнение ANDB для организации от имени всех существующих и будущих аккаунтов-участников. Если приняты Дополнения ANDB на уровне аккаунта и организации, то вместо Дополнения ANDB уровня отдельного аккаунта будет принято дополнение уровня организации.

С помощью AWS Artifact Agreements можно в любой момент расторгнуть Дополнение ANDB.

Чтобы расторгнуть Дополнение ANDB для отдельного аккаунта, откройте вкладку Соглашения аккаунта в AWS Artifact и нажмите кнопку «Расторгнуть Дополнение AWS о подлежащих регистрации нарушениях безопасности данных в Австралии для данного аккаунта».

Чтобы расторгнуть Дополнение ANDB уровня организации, откройте вкладку Соглашения организации в AWS Artifact и нажмите кнопку «Расторгнуть Дополнение AWS о подлежащих регистрации нарушениях безопасности данных в Австралии для данной организации».

Если вы расторгаете Дополнение ANDB на вкладке Соглашения аккаунта в AWS Artifact, то действие Дополнения ANDB AWS перестанет распространяться на использованный для входа в AWS аккаунт, если на него не распространяется действие Дополнения ANDB для организации, которое принимается на вкладке Соглашения организации. Расторгать Дополнение ANDB уровня аккаунта следует лишь: a) если вы уверены, что все персональные данные удалены из аккаунта AWS и вы больше не будете использовать для взаимодействия с персональными данными, или б) если это аккаунт-участник организации AWS, которая приняла Дополнение ANDB уровня организации.

Если вы пользуетесь управляющим аккаунтом и расторгаете Дополнение ANDB уровня организации на вкладке Соглашения организации в AWS Artifact, то действие Дополнения ANDB перестанет распространяться на все аккаунты AWS этой организации, если для них не принято Дополнение ANDB уровня аккаунта на вкладке Соглашения аккаунта. Расторгать Дополнение ANDB уровня организации следует лишь: a) если вы уверены, что все персональные данные удалены из аккаунтов AWS этой организации и ими больше не будут пользоваться для взаимодействия с персональными данными, или б) если для аккаунтов, которые обрабатывают персональные данные, приняты Дополнения ANDB уровня аккаунта.

Если одновременно приняты Дополнения ANDB для аккаунта и организации, будут применяться условия Дополнения ANDB уровня организации, а не уровня аккаунта. Расторжение Дополнения ANDB уровня организации не означает, что дополнение на уровне аккаунта также не перестанет применяться, поэтому по расторжении первого на аккаунт AWS будут распространяться условия Дополнения ANDB уровня аккаунта.

Нет. При выходе аккаунта-участника из организации AWS все принятые соглашения уровня организации для этого аккаунта, такие как Дополнение ANDB, становятся недействительными. Если для аккаунта-участника требуется применение соглашений после выхода из организации AWS, прежде чем выйти, такой аккаунт должен принять соответствующие соглашения на уровне аккаунта на вкладке Соглашения аккаунта в AWS Artifact.

В аккаунте, для которого принято Дополнение ANDB AWS, вы можете пользоваться любыми сервисами AWS.

По условиям Дополнения ANDB уровня организации, оно распространяется только на «аккаунты ANDB» – принадлежащие или контролируемые AWS аккаунты AWS, на ответственное лицо которых распространяется Закон Австралии о конфиденциальности и которые содержат «персональные данные» (в соответствии с определением в Законе Австралии о конфиденциальности). На аккаунты, которые не соответствуют определению Аккаунта ANDB, не распространяются условия Дополнения ANDB уровня организации.

Дополнение AWS о подлежащих регистрации взломах данных в Новой Зеландии (Дополнение NZNDB)

AWS Artifact Agreements позволяет прочесть и принять Дополнение NZNDB в Консоли управления AWS либо для аккаунта AWS, либо для организации AWS, если вы являетесь владельцем ее управляющего аккаунта. Дополнение NZNDB для отдельного аккаунта AWS можно принять на вкладке «Соглашения аккаунта», а для управляющего аккаунта организации его можно принять от имени всех имеющихся и будущих аккаунтов организации AWS на вкладке «Соглашения организации». Кроме того, можно использовать консоль AWS Artifact Agreements для просмотра соглашений, применяющихся к аккаунту или организации AWS, и условий этих соглашений.

Разница в том, что при принятии Дополнения NZNDB на вкладке «Соглашения организации» он применяется ко всем имеющимся и будущим аккаунтам, связанным с управляющим через AWS Organizations. Для сравнения, Дополнение NZNDB на вкладке «Соглашения аккаунта» применяется только к отдельному аккаунту AWS, через который было принято Дополнение NZNDB, но не для остальных аккаунтов AWS. Если Дополнения NZNDB приняты и на уровне отдельного аккаунта, и организации, то вместо Дополнения NZNDB уровня аккаунта будет принято Дополнение NZNDB уровня организации.

Да, при использовании управляющего аккаунта организации можно воспользоваться вкладкой «Соглашения организации» в AWS Artifact Agreements, чтобы принять Дополнение NZNDB для организации от имени всех существующих и будущих аккаунтов-участников. Если приняты Дополнения NZNDB на уровне аккаунта и организации, то вместо Дополнения NZNDB уровня отдельного аккаунта будет принято дополнение уровня организации.

С помощью AWS Artifact Agreements можно в любой момент прекратить действие Дополнения NZNDB.
Чтобы прекратить действие Дополнения NZNDB для отдельного аккаунта, откройте вкладку Account agreements (Соглашения аккаунта) в AWS Artifact и нажмите кнопку Terminate the AWS New Zealand Data Breach Addendum for this Account (Прекратить действие Дополнения AWS о подлежащих регистрации взломах данных в Новой Зеландии для данного аккаунта).

Чтобы прекратить действие Дополнения NZNDB уровня организации, откройте вкладку Organization agreements (Соглашения организации) в AWS Artifact и нажмите кнопку Terminate AWS New Zealand Notifiable Data Breach Addendum for this Organization (Прекратить действие Дополнения AWS о подлежащих регистрации взломах данных в Новой Зеландии для данной организации).

Если вы прекращаете действие Дополнения NZNDB на вкладке Account agreements (Соглашения аккаунта) в AWS Artifact, то действие Дополнения NZNDB AWS перестанет распространяться на использованный для входа в AWS аккаунт, если на него не распространяется действие Дополнения NZNDB для организации, которое принимается на вкладке Organization agreements (Соглашения организации). Прекращать действие Дополнения NZNDB уровня аккаунта следует лишь: a) если вы уверены, что все персональные данные удалены из аккаунта AWS и вы больше не будете использовать его для взаимодействия с персональными данными, или б) если это аккаунт-участник организации AWS, которая приняла Дополнение NZNDB уровня организации.

Если вы пользуетесь управляющим аккаунтом и прекращаете действие Дополнения NZNDB уровня организации на вкладке «Соглашения организации» в AWS Artifact, то действие Дополнения NZNDB перестанет распространяться на все аккаунты AWS этой организации, если для них не принято Дополнение NZNDB уровня аккаунта на вкладке «Соглашения аккаунта». Прекращать действие Дополнения NZNDB уровня организации следует лишь: a) если вы уверены, что все персональные данные удалены из аккаунтов AWS этой организации и ими больше не будут пользоваться для взаимодействия с персональными данными, или б) если для аккаунтов, которые обрабатывают персональные данные, приняты Дополнения NZNDB уровня аккаунта.

Если одновременно приняты Дополнения NZNDB для аккаунта и организации, будут применяться условия Дополнения NZNDB уровня организации, а не уровня аккаунта. Прекращение действия Дополнения NZNDB уровня организации не означает, что дополнение на уровне аккаунта также не перестанет применяться, поэтому по расторжении первого на аккаунт AWS будут распространяться условия Дополнения NZNDB уровня аккаунта.

Нет. При выходе аккаунта-участника из организации AWS все принятые соглашения уровня организации для этого аккаунта, такие как Дополнение NZNDB, становятся недействительными. Если для аккаунта-участника требуется применение соглашений после выхода из организации AWS, прежде чем выйти, такой аккаунт должен принять соответствующие соглашения на уровне аккаунта на вкладке Account agreements (Соглашения аккаунта) в AWS Artifact.

В аккаунте, для которого принято Дополнение NZNDB AWS, вы можете пользоваться любыми сервисами AWS.

По условиям Дополнения NZNDB уровня организации, его положения применяются к «аккаунтам NZNDB» (аккаунты AWS, закрепленные за юридическими лицами, на которые распространяется действие Закона Новой Зеландии «О конфиденциальности потребителей»), содержащие «персональные данные» (в соответствии с определением в Законе Новой Зеландии «О конфиденциальности потребителей»), хранение которых осуществляет AWS. На аккаунты, которые не соответствуют определению Аккаунта NZNDB, условия Дополнения NZNDB уровня организации не распространяются.

Поиск и устранение неполадок

  • Убедитесь, что вы используете самую последнюю версию своего веб-браузера и у вас установлен Adobe Reader.
  • Для загрузки вложенных файлов необходимо разрешить в браузере всплывающие окна.
  • Проверьте папку с недавними загрузками.
  • Просмотрите документ и предоставьте к нему нужный уровень доступа в рамках организации.

Сообщения об ошибке обычно возникают, когда пользователь IAM не имеет достаточных разрешений для выполнения запрошенных действий в AWS Artifact. В таблице ниже приведен полный список сообщений об ошибке и способы их устранения.

Сообщение об ошибке в консоли AWS Artifact

Проблемы Разрешение
You don’t have the permissions to accept the agreement (Отсутствуют разрешения для принятия соглашения) Чтобы принимать соглашения в AWS Artifact, требуются соответствующие разрешения. Обратитесь к администратору аккаунта, чтобы он предоставил вашему пользователю IAM следующее разрешение: artifact:AcceptAgreement 

Примеры соответствующих политик IAM см. в разделе Разрешения управлять соглашениями.
You don’t have the permissions to terminate the agreement (Отсутствуют разрешения для расторжения соглашения) Чтобы расторгать соглашения в AWS Artifact, требуются соответствующие разрешения. Обратитесь к администратору аккаунта, чтобы он предоставил вашему пользователю IAM следующее разрешение: artifact:TerminateAgreement 

Примеры соответствующих политик IAM см. в разделе Разрешения управлять соглашениями.
You don’t have the permissions to download the agreement (Отсутствуют разрешения для загрузки соглашения) Чтобы загружать соглашения в AWS Artifact, требуются соответствующие разрешения. Обратитесь к администратору аккаунта, чтобы он предоставил вашему пользователю IAM следующее разрешение: artifact:DownloadAgreement 

Примеры соответствующих политик IAM см. в разделе Разрешения управлять соглашениями.
You don't have the permissions to download this report (Отсутствуют разрешения для загрузки этого отчета)

Чтобы загружать отчеты в AWS Artifact, требуются соответствующие разрешения. Обратитесь к администратору аккаунта, чтобы он предоставил вашему пользователю IAM следующее разрешение: artifact:get.

Your organization must be enabled for all features (Для организации должны быть включены все возможности) Для вашей организации включена только консолидированная оплата. Чтобы использовать соглашения уровня организации в AWS Artifact, для организации нужно включить все возможности. Подробнее
Before you can manage agreements for your organization, you need the following permissions: organizations:EnableAWSServiceAccess and organizations:ListAWSServiceAccessForOrganization. (Для управления соглашениями организации требуются следующие разрешения: EnableAWSServiceAccess и organizations:ListAWSServiceAccessForOrganization.) These permissions enable AWS Artifact to access organization information in AWS Organizations. (Эти разрешения позволят AWS Artifact получить доступ к информации в AWS Organizations.) Обратитесь к администратору аккаунта, чтобы он предоставил пользователю IAM следующие разрешения.

iam:CreateRole
iam:AttachRolePolicy
iam:ListRoles

Примеры соответствующих политик IAM см. в разделе Разрешения управлять соглашениями.
Before you can manage agreements for your organization, you need the following permissions to list, create, and attach IAM roles: iam:ListRoles, iam:CreateRole, and iam:AttachRolePolicy. (Для управления соглашениями организации требуются следующие разрешения для перечисления, создания и подключения ролей IAM: iam:ListRoles, iam:CreateRole и iam:AttachRolePolicy.) Обратитесь к администратору аккаунта, чтобы он предоставил пользователю IAM следующие разрешения.

organizations:EnableAWSServiceAccess
organizations:ListAWSServiceAccessForOrganization

Примеры соответствующих политик IAM см. в разделе Разрешения управлять соглашениями.

You don’t have the permissions to retrieve information about your AWS account’s organization (Отсутствуют разрешения для получения информации об организации, которой принадлежит аккаунт AWS)

Обратитесь к администратору аккаунта, чтобы он предоставил пользователю IAM следующие разрешения.

organizations:DescribeOrganization

Примеры соответствующих политик IAM см. в разделе Разрешения управлять соглашениями.
Your account isn’t in an organization (Аккаунт не входит в организацию) Вы можете создать организацию или присоединиться к ней, выполнив указания из раздела Создание Организаций AWS и управление ими.
Статус вашей конфигурации – «Неактивно» Не удалось правильно создать одно или несколько правил событий, позволяющих настроить конфигурацию. Удалите конфигурацию и попробуйте создать ее позже. Если проблема не будет устранена, обратитесь к разделу Устранение неполадок с уведомлениями для пользователей AWS.
Ваш канал доставки имеет статус «В ожидании» Указанный адрес электронной почты еще не подтвержден. Проверьте папку «Входящие» и «Спам» на наличие письма с подтверждением от уведомлений для пользователей AWS. Если вы хотите повторно отправить электронное письмо с подтверждением, вы можете сделать это в Каналах доставки уведомлений для пользователей AWS.
У вас нет разрешения на перечисление конфигураций

Обратитесь к администратору аккаунта, чтобы он предоставил пользователю IAM следующие разрешения.

 "artifact:GetAccountSettings",
                "notifications:ListChannels",
                "notifications:ListEventRules",
                "notifications:ListNotificationConfigurations",
                "notifications:ListNotificationHubs",
                "notifications-contacts:GetEmailContact"

Примеры соответствующих политик IAM см. в разделе Разрешения управлять соглашениями.

У вас нет разрешения на создание конфигурации

Обратитесь к администратору аккаунта, чтобы он предоставил пользователю IAM следующие разрешения.

                "artifact:GetAccountSettings",
                "artifact:PutAccountSettings",
                "notifications:AssociateChannel",
                "notifications:CreateEventRule",
                "notifications:TagResource",
                "notifications:CreateNotificationConfiguration",
                "notifications-contacts:CreateEmailContact",
                "notifications-contacts:SendActivationCode",
                "notifications:ListNotificationHubs",
                "notifications:ListEventRules",
                "notifications-contacts:ListEmailContacts"

Примеры соответствующих политик IAM см. в разделе Разрешения управлять соглашениями.

У вас нет разрешения на редактирование конфигурации

Обратитесь к администратору аккаунта, чтобы он предоставил пользователю IAM следующие разрешения.

               "artifact:GetAccountSettings",
                "artifact:PutAccountSettings",
                "notifications:AssociateChannel",
                "notifications:DisassociateChannel",
                "notifications:ListChannels",
                "notifications:GetNotificationConfiguration",
                "notifications:ListTagsForResource",
                "notifications:TagResource",
                "notifications:UntagResource",
                "notifications:UpdateEventRule",
                "notifications:ListEventRules",
                "notifications:UpdateNotificationConfiguration",
                "notifications-contacts:GetEmailContact",
                "notifications-contacts:ListEmailContacts"

Примеры соответствующих политик IAM см. в разделе Разрешения управлять соглашениями.

У вас нет разрешения на удаление конфигурации

Обратитесь к администратору аккаунта, чтобы он предоставил пользователю IAM следующие разрешения.

"notifications:DeleteNotificationConfiguration",
"notifications:ListEventRules"

Примеры соответствующих политик IAM см. в разделе Разрешения управлять соглашениями.

У вас нет разрешения на просмотр сведений о конфигурации

Обратитесь к администратору аккаунта, чтобы он предоставил пользователю IAM следующие разрешения.

"notifications:ListEventRules",
"notifications:ListChannels",
"notifications:GetNotificationConfiguration",
"notifications:ListTagsForResource",
"notifications-contacts:GetEmailContact"

Примеры соответствующих политик IAM см. в разделе Разрешения управлять соглашениями.

У вас нет разрешения на регистрацию центров уведомлений

Обратитесь к администратору аккаунта, чтобы он предоставил пользователю IAM следующие разрешения.

"notifications:RegisterHubRegions",
"notifications:DeregisterHubRegions"

Примеры соответствующих политик IAM см. в разделе Разрешения управлять соглашениями.

Уведомления

Уведомления AWS Artifact предоставляют пользователям интерфейс для подписки и отмены подписки на уведомления о доступности новых документов (например, отчетов или соглашений) или обновлениях существующих документов. AWS Artifact использует сервис уведомлений пользователей AWS для отправки уведомлений. Уведомления рассылаются на электронные адреса, указанные пользователем при настройке конфигурации уведомлений. Чтобы узнать больше об уведомлениях AWS Artifact, нажмите здесь, а чтобы узнать больше об уведомлениях для пользователей AWS, нажмите здесь.

Вам следует использовать функцию уведомлений AWS Artifact, если вы хотите заранее узнавать о новых отчетах или соглашениях, доступных в AWS Artifact. Получая уведомления, вы сэкономите время и усилия, необходимые для проверки доступности нового контента вручную путем повторного посещения консоли AWS Artifact. Каждое уведомление также будет содержать ссылку на конкретный новый отчет или соглашение, по которой вы сможете легко перейти к нему, войдя в Консоль управления AWS.

Для использования сервиса AWS Artifact и сервиса уведомлений для пользователей AWS понадобятся разрешения. Можно настроить политику IAM, определяющую, кто (пользователи, группы и роли) может выполнять какие действия, связанные с уведомлениями, на ресурсах AWS Artifact и в сервисе уведомлений для пользователей AWS. Можно также указать, с какими ресурсами связаны действия в политике. Подробнее см. здесь.

В отношении отчетов можно отфильтровать уведомления, выбрав конкретные категории и серии, уведомления по которым необходимы. Для соглашений в настоящее время мы не предоставляем детальных фильтров, поскольку количество обновлений существующих соглашений или количество добавленных новых соглашений невелико.

Подписка на уведомления в консоли AWS Artifact означает, что вы подписались на получение уведомлений от сервиса AWS Artifact. Подписка на уведомления – это одноразовое действие, необходимое для настройки конфигураций уведомлений. В случае если необходимо прекратить получение уведомлений от сервиса AWS Artifact, вы можете отключить все уведомления AWS Artifact одним нажатием на кнопку подписки на уведомления.

После оформления подписки необходимо создать одну или несколько конфигураций, чтобы начать получать уведомления. При создании конфигурации можно выбрать, нужны ли вам уведомления по всем отчетам и соглашениям или по некоторому подмножеству отчетов, а также указать адреса электронной почты лиц, которые хотели бы получать уведомления.

Уведомления будут доставляться на адреса электронной почты, указанные пользователем при создании конфигурации уведомлений. Обратите внимание, что уведомления будут отправляться только на проверенные адреса электронной почты. Кроме того, уведомления также будут доставляться через центральную консоль уведомлений для пользователей AWS.

Уведомления AWS Artifact используют сервис уведомлений для пользователей AWS для настройки уведомлений и отправки электронных писем. Настроить уведомления можно с помощью консоли AWS Artifact. Также можно просматривать и настраивать уведомления с помощью консоли уведомлений для пользователей AWS.

В функции уведомлений AWS Artifact можно указать до 20 адресов электронной почты для каждой конфигурации уведомлений. Кроме того, будут действовать квоты на обслуживание сервиса уведомлений для пользователей AWS, подробности см. здесь.