本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon CloudFront 的合規驗證
<a name="compliance"></a>

在多個合規計畫中，第三方稽核人員會評估 Amazon CloudFront 的安全與 AWS 合規。這些包括 SOC、PCI、HIPAA 等。

如需特定合規計劃範圍內 AWS 的服務清單，請參閱[AWS 合規計劃範圍內的服務](https://aws.amazon.com/compliance/services-in-scope/)。如需一般資訊，請參閱 [AWS 合規計劃](https://aws.amazon.com/compliance/programs/)。

您可以使用 下載第三方稽核報告 AWS Artifact。如需詳細資訊，請參閱[在 中下載報告 AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)。

您使用 CloudFront 時的合規責任，取決於資料的機密性、您公司的合規目標，以及適用的法律和法規。 AWS 會提供以下資源協助您處理合規事宜：
+ [ 安全與合規快速入門指南](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) – 這些部署指南討論架構考量，並提供在其中部署以安全與合規為重心的基準環境的步驟 AWS。
+ [上的 HIPAA 安全與合規架構 AWS](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html) – 此白皮書說明公司如何使用 AWS 來建立符合 HIPAA 規範的應用程式。

  HIPAA AWS 合規計劃包含 CloudFront （不包括透過 CloudFront Embedded POPs交付的內容） 作為符合 HIPAA 資格的服務。如果您有已執行的商業夥伴增補合約 (BAA) AWS，您可以使用 CloudFront （不包括透過 CloudFront Embedded POPs交付內容） 來交付包含受保護醫療資訊 (PHI) 的內容。如需詳細資訊，請參閱 [HIPAA 合規](https://aws.amazon.com/compliance/hipaa-compliance/)。
+ [AWS 合規資源](https://aws.amazon.com/compliance/resources/) – 此工作手冊和指南集合可能適用於您的產業和位置。
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) – AWS 此服務會評估資源組態符合內部實務、產業準則和法規的程度。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) – AWS 此服務使用安全控制來評估資源組態和安全標準，以協助您遵守各種合規架構。如需使用 Security Hub CSPM 評估 CloudFront 資源的詳細資訊，請參閱*AWS Security Hub CSPM 《 使用者指南*》中的 [ Amazon CloudFront 控制項](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudfront-controls.html)。

## CloudFront 合規最佳實務
<a name="compliance-best-practices"></a>

本節可在您使用 Amazon CloudFront 提供內容時，提供最佳實務和建議。

如果您根據 [AWS 共同的責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)來執行 PCI 合規或 HIPAA 合規的工作負載，我們建議您記錄過去 365 天的 CloudFront 用量資料，以供將來稽核之用。若要記錄用量資料，您可以執行以下操作：
+ 啟用 CloudFront 存取日誌。如需詳細資訊，請參閱[存取日誌 （標準日誌）](AccessLogs.md)。
+ 擷取傳送到 CloudFront API 的請求。如需詳細資訊，請參閱[使用 記錄 Amazon CloudFront API 呼叫 AWS CloudTrail](logging_using_cloudtrail.md)。

此外，請參閱以下有關 CloudFront 如何符合 PCI DSS 和 SOC 標準的詳細資訊。

### 支付卡產業資料安全標準 (PCI DSS)
<a name="compliance-pci"></a>

CloudFront (不包括透過 CloudFront 嵌入式 POP 交付的內容) 支援處理、儲存、傳輸商家或服務供應商的信用卡資料，並且已驗證符合支付卡產業 (PCI) 資料安全標準 (DSS)。如需 PCI DSS 的詳細資訊，包括如何請求 AWS PCI 合規套件的副本，請參閱 [PCI DSS 第 1 級](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)。

為了安全性最佳實務，我們建議您不要在 CloudFront 節點快取中快取信用卡資訊。例如，您可以將原始伺服器設定為在包含信用卡資訊 (例如信用卡號碼的最後四碼及持卡人聯絡資訊) 的回應中包含 `Cache-Control:no-cache="`*欄位名稱*`"` 標題。

### 系統和組織控制 (SOC)
<a name="compliance-soc"></a>

CloudFront (不包括透過 CloudFront 嵌入式 POP 交付的內容) 符合系統和組織控制 (SOC) 措施的規範，包括 SOC 1、SOC 2 和 SOC 3。SOC 報告是獨立的第三方檢查報告，示範 如何 AWS 實現關鍵合規控制和目標。這些稽核可確保執行恰當得宜的安全防禦措施與程序，以針對可能影響到客戶與公司資料安全性、機密性和可用性的風險，提供安全防護。這些第三方稽核的結果可在 [AWS SOC 合規網站上](https://aws.amazon.com/compliance/soc-faqs/)取得，您可以在其中檢視已發佈的報告，以取得支援 AWS 操作和合規之控制項的詳細資訊。