AWS Secrets Manager의 규정 준수 확인

보안 및 규정 준수 빠른 시작 안내서 – 이 배포 안내서에서는 아키텍처 고려 사항에 관해 설명하고 AWS에서 보안 및 규정 준수에 중점을 둔 기본 환경을 배포하기 위한 단계를 제공합니다.

HIPAA 보안 및 규정 준수 아키텍팅 백서 - 이 백서는 기업에서 AWS를 사용하여 HIPAA를 준수하는 애플리케이션을 생성하는 방법을 설명합니다.

AWS 규정 준수 리소스 - 고객 조직이 속한 산업 및 위치에 적용될 수 있는 워크북 및 안내서 콜렉션 입니다.

AWS Config으로 리소스 구성이 내부 관행, 업계 지침 및 규정을 준수하는 정도를 평가할 수 있습니다. 자세한 내용은 AWS Config를 사용하여 AWS Secrets Manager 보안 암호의 규정 준수 모니터링 단원을 참조하십시오.

AWS Security Hub은 보안 산업 표준 및 모범 사례 규정 준수 여부를 확인하는 데 도움이 되도록 AWS 내 보안 상태를 종합적으로 보여줍니다. Security Hub를 사용하여 Secrets Manager 리소스를 평가하는 방법에 대한 자세한 내용은 AWS Security Hub 사용 설명서의 AWS Secrets Manager 제어를 참조하세요.

IAM Access Analyzer는 외부 엔터티가 보안 암호에 액세스할 수 있도록 허용하는 정책의 조건 문을 비롯해 정책을 분석합니다. 자세한 내용은 Access Analyzer를 사용하여 액세스 미리 보기를 참조하세요.

AWS Systems Manager은 Secrets Manager에 대해 미리 정의된 실행서를 제공합니다. 자세한 내용은 Secrets Manager에 대한 Systems Manager Automation 실행서 참조를 참조하세요.

AWS Artifact(을)를 사용하여 타사 감사 보고서를 다운로드할 수 있습니다. 자세한 내용은 AWS Artifact에서 보고서 다운로드를 참조하세요.

HIPAA - AWS는 AWS Secrets Manager를 HIPAA 적격 서비스로 포함시켜 HIPAA(건강 보험 이전 및 책임법) 규정 준수 프로그램의 폭을 넓혔습니다. AWS와 비즈니스 제휴 계약(BAA)을 체결한 경우 Secrets Manager를 사용하여 HIPAA 준수 애플리케이션을 개발할 수 있습니다. AWS는 건강 정보의 처리 및 저장에 AWS를 활용할 수 있는 방법에 대해 자세히 알고 싶어 하는 고객에게 HIPAA 중심의 백서를 제공합니다. 자세한 내용은 HIPAA 규정 준수를 참조하세요.

PCI 참여 조직 – AWS Secrets Manager 은 서비스 공급자 레벨 1에서 PCI DSS(지불 결제 산업 데이터 보안 표준) 버전 3.2의 규정 준수 증명을 보유하고 있습니다. AWS 제품 및 서비스를 사용하여 카드 소지자 데이터를 저장, 처리 또는 전송하는 고객은 자체 PCI DSS 규정 준수 인증을 관리할 때 AWS Secrets Manager를 사용할 수 있습니다. AWS PCI 규정 준수 패키지의 사본을 요청하는 방법 등 PCI DSS에 대해 자세히 알아보려면 PCI DSS 레벨 1을 참조하세요.

ISO - AWS Secrets Manager는 ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 및 ISO 9001에 대한 규정 준수 인증을 성공적으로 획득했습니다. 자세한 정보는 ISO 27001, ISO 27017, ISO 27018, ISO 9001을 참조하세요.

AICPA SOC – 시스템 및 조직 제어(SOC) 보고서는 Secrets Manager가 주요 규정 준수 제어 기능을 어떻게 확보하고 목표를 어떻게 달성하고 있는지 입증하는 독립적 서드 파티 검사 기관의 심사 보고서입니다. 이러한 보고서의 목적은 운영 및 규정 준수를 뒷받침하는 AWS 제어 기능을 고객과 고객 측 감사 기관이 이해하도록 도움을 주는 데 있습니다. 자세한 내용은 SOC 규정 준수를 참조하세요.

FedRAMP – FedRAMP(연방정부 위험 및 권한 부여 관리 프로그램)는 클라우드 제품 및 서비스의 보안 평가, 권한 부여 및 지속적인 모니터링에 대한 표준화된 접근 방식을 제공하는 정부 차원의 프로그램입니다. 또한 FedRAMP 프로그램은 동부/서부 및 GovCloud에서 정부 또는 규제 데이터를 사용할 수 있도록 서비스 및 리전에 대한 잠정 권한을 제공합니다. 자세한 내용은 FedRAMP 규정 준수를 참조하세요.

국방부 – 국방부(DoD) 클라우드 컴퓨팅 보안 요구 사항 안내서(SRG)에서는 DoD 고객에게 서비스를 제공하기 위해 클라우드 서비스 제공업체(CSP)가 DoD 임시 인증을 획득할 수 있도록 표준화된 평가 및 인증 프로세스를 제공합니다. 자세한 내용은 DoD SRG 리소스를 참조하세요.

IRAP – IRAP(Information Security Registered Assessors Program)를 통해 호주 정부 고객은 적절한 제어가 되는지 검증하고 호주 사이버 보안 센터(ACSC)에서 제작한 호주 정부 ISM(Information Security Manual)의 요구 사항을 해결하기 위한 적절한 책임 모델을 결정할 수 있습니다. 자세한 내용은 IRAP 리소스를 참조하세요.

OSPAR – Amazon Web Services(AWS)는 아웃소싱 서비스 공급자의 감사 보고서(OSPAR) 인증을 획득했습니다. 아웃소싱 서비스 공급자를 위한 제어 목표 및 절차에 대한 싱가포르 은행 협회(ABS) 지침(ABS 가이드라인)에 대한 AWS의 준수는 고객에게 싱가포르의 금융 서비스 업계에서 설정한 클라우드 서비스 공급자에 대한 높은 기대치를 충족하려는 AWS의 의지를 보여줍니다. 자세한 내용은 OSPAR 리소스를 참조하세요.