AWS Artifact 常见问题

一般性问题

控制台中提供的 AWS Artifact 是一个自助式审核工件检索门户,能够按需向客户提供对 AWS 合规性文档和 AWS 协议的访问权限。

您可以使用 AWS Artifact Reports 下载 AWS 安全性与合规性报告,例如 AWS ISO 认证、支付卡行业 (PCI) 以及系统和组织控制 (SOC) 报告。

可以使用 AWS Artifact Agreements 查看、接受 AWS 协议并跟踪其状态,如商业伙伴附录 (BAA)。

所有 AWS 账户的用户都可以访问 AWS Artifact。具有管理员权限的根用户和 IAM 用户在同意相关条款和条件后,即可下载其账户中提供的所有审核工件。

您将需要使用 IAM 权限向 IAM 用户授予对 AWS Artifact 的非管理员权限。这使您可以向用户授予对 AWS Artifact 的访问权限,同时限制对您 AWS 账户中的其他服务和资源的访问权限。有关如何使用 IAM 授予访问权限的信息,请参阅 AWS Artifact 文档中的此帮助主题。

协议可以有两个状态:

  • 无效:如果用户未接受协议或之前接受的协议已被用户终止,则协议处于无效状态 
  • 有效:如果用户已接受协议,则协议处于有效状态

您的管理账户具有使用 AWS Artifact 所需的全部权限,但是不同的文档和协议可能要求您为不同的用户以不同的方式委派权限。您可以通过使用 IAM 策略委派权限。请参考 AWS Artifact 用户指南中的以下表格查看权限,您可以根据 IAM 用户需要的访问级别进行分配。

审计构件是一份能够证明组织正在遵循记录在案的流程或满足特定要求的证明。审核工件会在系统开发生命周期内进行收集和归档,并用作内部和/或外部审核和评估中的证据。

AWS Artifact 当前为客户提供可用作审核工件的报告和协议。

您通常需要向审计人员提供对 AWS 合规性报告的访问权限。通过创建专门针对每位审计人员的 IAM 用户凭证并配置该凭证,以使审计人员仅可访问与其执行的审计相关的报告,您可以轻松完成此项任务。有关更多信息,请参阅 AWS Artifact 文档 中的此帮助主题。

您可以向审核人员或监管人员提供 AWS 审核工件,以作为 AWS 安全控制的证据。

您还可以使用某些 AWS 审计构件提供的责任指导来设计云架构。该指导可帮助确定您应该部署的其他安全控制,以便为系统的特定使用案例提供支持。

不存在。您可以根据需要随时并多次访问并下载所有可用构件。

AWS 报告

所有 AWS 客户均可使用 AWS Artifact Reports 来评估和验证他们所使用的 AWS 基础设施和服务的安全性和合规性。

如果您符合以下条件,则应使用 AWS Artifact Reports:

  • 需要在系统设计、开发和审计生命周期内证明云架构的合规性。为了证明您的 AWS 基础设施 (特定于您所使用的服务) 在过去和现在的合规性,审核人员和监管人员会要求您以审核工件的形式提供证据。
  • 需要或有意使用审核工件来验证 AWS 所实施的控制是否能够有效运行。
  • 有意持续监控或审核您的供应商。
  • 开发团队成员,负责构建安全云架构,并且需要获得相关指导以了解您在遵循 ISO、PCI、SOC 和其他法规标准方面的责任。通常,您的团队工作是为您的企业使用 AWS 提供支持,或确保您的企业能够持续使用 AWS。

您可以向审核人员或监管人员提供 AWS 审核工件,以作为 AWS 安全控制的证据。

您还可以使用某些 AWS 审计构件提供的责任指导来设计云架构。该指导可帮助确定您应该部署的其他安全控制,以便为系统的特定使用案例提供支持。

如果适用于特定 AWS 合规性报告的条款和条件允许,您可以直接与客户分享 AWS 合规性报告。请参考从 AWS Artifact 下载的 AWS 合规性报告首页的适用条款和条件,以确认是否允许共享该报告。

您的客户可以使用他们的 AWS 账户访问 AWS 合规性报告。如果他们还没有账户,则您应该引导其创建一个。创建账户不会产生任何相关费用。

登录账户后,客户可以通过导航到安全性、身份与合规性下的 Artifact 来访问 AWS 管理控制台中的可用报告。

有关更多信息,请参阅 AWS Artifact 入门

 

要详细了解联邦风险与授权管理计划(FedRAMP)以及如何使用 AWS Artifact 下载 AWS FedRAMP 安全包,请访问 FedRAMP 合规性网页。

第三方报告

第三方(AWS Marketplace 独立软件供应商(ISV))合规性报告仅可供已获得授权访问特定 ISV 的 AWS Marketplace 供应商详情的 AWS 客户访问。在此处了解有关如何访问第三方合规性报告的更多信息。

使用 AWS Marketplace 供应商详情的 AWS 客户应下载并使用 ISV 通过 AWS Artifact 共享的第三方合规性报告,作为其第三方风险评测的一部分。

与下游客户共享第三方合规性报告受下载报告封面上记录的适用条款和条件(T&C)的约束。请参考相应的 T&C 以确定是否允许共享。此外,请注意,每份报告的 T&C 可能有所不同。

AWS 正在向客户提供这些报告,以便更快地自助访问,有关报告的任何问题都应直接向相应的第三方提出。

协议

AWS Artifact Agreements 是 AWS Artifact 服务(我们的审计与合规门户)的一项功能,允许您查看、接受和管理与 AWS 签订的协议,适用于您的个人账户,也适用于 AWS Organizations 中属于贵组织的所有账户。如果不再需要您以前接受的协议,还可以使用 AWS Artifact 终止它们。

AWS Artifact Agreements 中提供各种类型的协议,满足受特定法规约束的客户的需求。例如,商业伙伴附录 (BAA) 适用于需要遵守 Health Insurance Portability and Accountability Act (HIPAA) 的客户。如果需要适用于您账户的协议的完整列表,请登录 AWS Artifact

在签订 AWS Artifact Agreements 中的协议之前,您必须下载并同意遵守 AWS Artifact 保密协议 (NDA) 的条款。每份协议都是保密的,不能与您公司外的人员共享。

是的,您需要接受 AWS Artifact NDA,以访问和下载 Artifact 中的机密文档。也就是说,如果您已和 Amazon 签订了 NDA,并且此 NDA 涵盖与 Artifact 中提供的信息相同的机密信息,则适用您原有的 NDA 而非 Artifact NDA。

如果您是 AWS 账户管理员,您自然拥有为该账户下载、接受和终止协议的权限。如果您是 AWS Organizations 中某组织的管理账户管理员,则可以代表组织中的管理账户和所有成员账户接受和终止协议。在接受协议之前,您应始终与法律、隐私和/或合规性团队一起审阅所有协议条款。您可以使用 IAM 授予协议利益相关者(例如法律、隐私和/或合规团队的成员)访问权限,以便这些用户可以下载、查看和接受协议。

如果您不是管理员,您将需要获得额外权限才能下载、接受和终止协议(通常由您的管理员授予)。管理员可以根据用户的业务需要,灵活授予 IAM 用户各级权限。

如需 AWS Artifact 权限的完整列表,请参阅 AWS Artifact 用户指南中的控制访问通用策略

接受后,AWS Artifact 账户协议(账户协议选项卡下)将仅适用于您登录 AWS 的个人账户。

接受后,AWS Artifact 组织协议(组织协议选项卡下)将适用于通过 AWS Organizations 创建的组织内的所有账户,包括组织管理账户和所有成员账户。只有组织内的管理账户可以接受 AWS Artifact 组织协议中的协议。

AWS Artifact 组织协议允许您代表组织内的所有账户接受单个协议,简化了多个 AWS 账户的协议管理。如果管理账户的授权用户接受组织协议,所有现有和未来的成员账户都将自动包含在该协议条款下。

如果您是 AWS Organizations 中某组织的管理账户用户,则可以代表组织中所有当前和未来的成员账户接受协议。必须为您所属的组织启用所有功能。如果您的组织仅配置了整合账单功能,请参阅启用组织中的所有功能

要开始使用,您必须使用以下 IAM 权限登录到管理账户:

artifact:DownloadAgreement
artifact:AcceptAgreement
artifact:TerminateAgreement
organizations:DescribeOrganization
organizations:EnableAWSServiceAccess
organizations:ListAWSServiceAccessForOrganization
iam:ListRoles
iam:CreateServiceLinkedRole

如需 AWS Artifact 权限的完整列表,请参阅 AWS Artifact 用户指南中的控制访问通用策略

AWS 需要相应权限才能在您的账户中创建与服务关联的角色,以便 AWS Artifact 服务可以在协议接受时通过 ListAccounts 识别组织中成员账户的完整列表。成员账户加入或离开组织时,AWS 将收到通知,并且接受协议涵盖的账户列表将更新。

访问 AWS Artifact Agreements 控制台,然后单击组织协议选项卡。如果组织中的管理账户已接受一个或多个组织协议,将它们列为活动状态。您可以作为组织中的管理账户或者成员账户登录时执行此操作。

重要事项:登录到 AWS 控制台的 IAM 用户必须具有 organizations:DescribeOrganization 权限,AWS Artifact 才能检索有关账户的组织协议的信息。如需 AWS Artifact 权限的完整列表,请参阅 AWS Artifact 用户指南中的控制访问通用策略

组织是一个或多个成员账户的集合,您可以使用 AWS Organizations 通过单个管理账户集中管理这些账户。请参阅 AWS Organizations 网站了解更多信息。

管理账户是用于在 AWS Organizations 中创建组织的 AWS 账户。登录到管理账户后,您可以使用 AWS Organizations 在组织中创建成员账户,邀请现有账户加入组织以及从组织中删除账户。

只有管理账户才可以使用 AWS Artifact 组织协议,代表组织中的所有账户接受或终止协议。

成员账户是管理账户以外的 AWS 账户,属于 AWS Organizations 中的某个组织。如果您是某组织的管理账户管理员,则您可以在该组织内创建成员账户,也可以邀请现有账户加入该组织。一个成员账户一次只能属于一个组织。

成员账户可以使用 AWS Artifact 账户协议,仅代表个人成员账户接受或终止协议。成员账户可以使用 AWS Artifact 组织协议,查看组织管理账户代表成员账户接受的协议。

不可以,AWS Artifact 组织协议仅适用于使用 AWS Organizations 的账户。如果您希望创建或加入组织,请遵循创建和管理 AWS Organizations 中的说明。

AWS Artifacts Agreements 为经销商账户提供相同的服务。经销商可以使用 IAM 来控制哪些人员有权限下载、接受和终止协议。默认情况下,只有具有管理权限的用户才能授予访问权限。

如果您在单独的组织中拥有希望协议涵盖的账户,则必须登录到每个组织的管理账户并通过 AWS Artifact 组织协议接受相关协议。

如果您希望将账户合并到一个组织中,则可以按照邀请账户加入组织中的说明,邀请 AWS 账户加入您的组织。

不可以。在 AWS Artifact 组织协议(组织协议选项卡)中,您可以仅代表组织内的所有账户接受协议。

如果您希望仅为某些成员账户接受协议,则必须单独登录每个账户,通过 AWS Artifact 账户协议(账户协议选项卡)接受相关协议。

可以,管理账户和成员账户可以同时具有相同类型的 AWS Artifact 账户协议(即账户协议选项卡下的协议)和 AWS Artifact 组织协议(即组织协议选项卡下的协议)。

如果您的账户同时具有同一类型的账户协议和组织协议,则将应用组织协议而不是账户协议。如果在个人账户方面终止了组织协议(例如,通过从组织中删除成员账户),该个人账户的账户协议(可在“账户协议”选项卡下查看)保持活动状态,并将继续适用。

组织协议将适用,因为根据其条款,当两者都出于活动状态时,组织协议适用,而不是账户协议。如果组织协议终止,并且您有一个相同类型的账户协议(账户协议选项卡下),则账户协议将适用于该账户。注意:终止组织协议不会终止账户协议。

从组织中删除一个成员账户时(例如离开组织,或管理账户从组织中删除),代表它接受的任何组织协议将不再适用于该成员账户。

从组织中删除成员账户之前,管理账户管理员应提醒这些账户,以便成员账户可以根据需要制定新的账户协议。在成员账户所有者离开组织前,应确定(在法律、隐私或合规团队的协助下,如果适用)是否有必要制定新的协议。

目前,从组织中删除成员账户时,不会通知他们。我们正在开发此项功能,从组织中删除成员账户并且组织协议不再涵盖他们时,提醒成员账户。

从组织中删除成员账户之前,管理账户管理员应提醒这些账户,以便成员账户可以根据需要制定新的账户协议。在成员账户所有者离开组织前,应确定(在法律、隐私或合规团队的协助下,如果适用)是否有必要制定新的协议。

商业伙伴附录 (BAA)

对于您在 AWS Organizations 中的账户或组织,AWS Artifact Agreements 允许您从 AWS 管理控制台中查看并接受 AWS BAA。您可以接受 AWS BAA,用于您在账户协议选项卡下的个人账户,或者如果您是组织的管理账户,可以在组织协议选项卡下代表组织中的所有账户接受 AWS BAA。在接受 AWS Artifact Agreements 中的 AWS BAA 后,您将立即指定 AWS 账户用于连接受保护的健康信息 (PHI)。另外,您还可以使用 AWS Artifact Agreements 控制台查看哪些协议可用于 AWS 账户或组织,并查看这些协议的条款。

如果您接受 AWS Artifact 账户协议选项卡中的在线 BAA,您用于登录 AWS 的账户将自动被指定为该在线账户 BAA 下的 HIPAA 账户。如果您是 AWS Organizations 中的管理账户,并且接受 AWS Artifact 组织协议选项卡下的在线 BAA,则您组织中的所有账户都将自动指定为 HIPAA 账户。后来添加到该组织中的成员账户也将自动被指定为 HIPAA 账户。

可以,如果您使用 AWS Organizations,则您组织中的管理账户可以使用 AWS Artifact Agreements 中的组织协议选项卡,代表组织中所有现有和未来的成员账户接受组织 BAA。

如果您不使用 AWS Organizations,或者仅希望指定某些成员账户,则您必须单独登录到每个账户并代表该账户接受 BAA。

区别在于,接受组织协议选项卡中的 BAA 时,它适用于通过 AWS Organizations 链接到管理账户的所有账户。相比之下,账户协议选项卡中的 BAA 仅适用于您用于接受账户 BAA 的个人账户,不适用于其他账户。如果您同时接受了账户 BAA 和组织 BAA,则组织 BAA 将适用,而账户 BAA 不适用。

可以,使用组织的管理账户,您可以使用 AWS Artifact Agreements 中的组织协议选项卡,代表组织中所有现有和未来的成员账户接受组织 BAA。同时接受账户和组织 BAA 时,组织 BAA 将适用,而账户 BAA 不适用。

如果您不再需要使用与 PHI 相关的 AWS 账户或组织账户,并且如果您使用 AWS Artifact Agreements 接受了 BAA,则可以使用 AWS Artifact Agreements 终止该 BAA。

如果您接受了离线 BAA,请参考下面的“离线 BAA”常见问题。

如果您在 AWS Artifact 的组织协议选项卡下终止了在线 BAA,则您用于登录 AWS 的账户将立即停止用作 HIPAA 账户,除非该账户也包含在组织 BAA 中(组织协议选项卡中),否则它将不再包含在与 AWS 签订的 BAA 中。仅在您确定已从账户中删除了所有受保护的健康信息 (PHI),并且将不再使用该账户与 PHI 相关联的情况下,您才可以终止 BAA。

如果您是管理账户用户,并且在 AWS Artifact 的组织协议选项卡中终止了在线 BAA,则您组织中的所有账户都将立即作为 HIPAA 账户被删除,除非这些账户也包含在个人账户 BAA 中(账户协议选项卡中),否则它们将不再包含在与 AWS 签订的 BAA 中。仅在您确定已从组织的所有账户中删除了所有受保护的健康信息 (PHI),并且将不再使用与 PHI 相关的任何账户时,才可以终止该组织的 BAA。

如果您同时具有一个账户 BAA 和一个组织 BAA,则组织 BAA 的条款适用,而非账户 BAA 的条款。终止组织 BAA 不会终止账户 BAA,所以如果您终止组织 BAA,账户 BAA 将继续适用于该账户。

不适用。成员账户离开组织时,任何接受的组织协议将不再适用于该账户。如果成员账户离开组织后希望一个或多个协议继续适用,则该成员账户应在离开组织之前,在 AWS Artifact 的账户协议选项卡中接受相关账户协议。

您可以在被指定为 HIPAA 账户的账户中使用任何 AWS 服务,但您只能在符合 HIPAA 要求的服务中包含 PHI。我们的符合 HIPAA 要求的服务参考页面提供了符合 HIPAA 要求的服务的最新列表。

符合。如果您想与 AWS 签订离线 BAA,请联系您的 AWS 客户经理或联系我们提交申请。但我们鼓励您使用 AWS Artifact Agreements,以体验它带来的速度、效率和可见性优势。

如果您之前已经签订了离线 BAA,此 BAA 的条款将继续适用于您已在离线 BAA 下指定为 HIPAA 账户的账户。

对于尚未在离线 BAA 下指定为 HIPAA 账户的账户,您可以使用 AWS Artifact Agreements 为这些账户接受在线 BAA。

符合。组织的管理账户可以使用 AWS Artifact Agreements 中的组织协议选项卡,代表您组织中所有当前和未来成员账户接受组织 BAA。

不可以。为了保护离线 BAA 的机密性,您将无法在 AWS Artifact Agreements 中下载其副本。如果想查看之前签订的离线 BAA 的副本,您可以联系您的 AWS 客户经理提出申请。

不可以。使用 AWS Artifact Agreements,您可以为您在 AWS Organizations 中的组织的单个账户或所有账户接受在线 BAA。这些账户将受适用的在线 BAA 的条款约束,而不是离线 BAA。

如果希望在离线 BAA 下指定额外的 HIPAA 账户,您可以按照离线 BAA 中所述的流程(例如,发送电子邮件至 aws-hipaa@amazon.com)来执行这一操作。经 AWS 确认之后,Artifact Agreements 界面将更改为新指定的账户,以表明它已在您的离线 BAA 下被指定为 HIPAA 账户。

不可以。使用 AWS Artifact Agreements,您可以删除离线 BAA 下作为 HIPAA 账户的账户,但是这不会终止离线 BAA 本身。要终止离线 BAA,您需要按照离线 BAA 的条款向 AWS 提供书面通知。

符合。您可以按照 AWS Artifact 内提示的步骤,删除离线 BAA 下被指定为 HIPAA 账户的账户。仅在您确定已从账户中删除了所有受保护的健康信息 (PHI),并且将不再使用该账户与 PHI 相关联的情况下,您才可以将该账户作为 HIPAA 账户删除。

根据其条款,AWS BAA 仅适用于“HIPAA 账户”,即定义为存储或传输 PHI 的 AWS 账户,它们仅使用符合 HIPAA 要求的服务来存储或传输该 PHI,并且您已对其应用了 AWS BAA 中指定的所需安全配置,例如静态和传输中 PHI 加密(请参阅 AWS BAA,获取所需安全配置的完整列表)。不符合 HIPAA 账户定义的账户不受 AWS BAA 的约束。

AWS 澳大利亚数据泄漏通报附录(ANDB 附录)

通过 AWS Artifact Agreements,您可以从 AWS 管理控制台为自己的 AWS 账户审核并接受 ANDB 附录,如果您使用的是 AWS 组织的管理账户,也可以为您的 AWS 组织执行此操作。您可以在账户协议选项卡下为您的个人 AWS 账户接受 ANDB 附录,如果您使用的是组织的管理账户,也可以在组织协议选项卡下代表 AWS 组织中的所有现有和未来 AWS 账户接受 ANDB 附录。另外,您还可以使用 AWS Artifact Agreements 控制台查看哪些协议可用于 AWS 账户或 AWS 组织,并查看这些协议的条款。

区别在于,接受组织协议选项卡中的 ANDB 附录后,它适用于通过 AWS Organizations 链接到管理账户的所有现有和未来 AWS 账户。相比之下,账户协议选项卡中的 ANDB 附录仅适用于您用于接受 ANDB 附录的个人 AWS 账户,不适用于其他 AWS 账户。如果您已接受了账户 ANDB 附录和组织 ANDB 附录,则将适用组织 ANDB 附录,而非账户 ANDB 附录。

可以,使用组织的管理账户,您可以使用 AWS Artifact Agreements 中的组织协议选项卡,代表组织中所有现有和未来的成员账户接受 ANDB 附录。如果您既接受了账户 ANDB 附录又接受了组织 ANDB 附录,则将适用组织 ANDB 附录,而非账户 ANDB 附录。

您可以随时使用 AWS Artifact Agreements 终止 ANDB 附录。

要终止账户 ANDB 附录,您可以在 AWS Artifact 的账户协议选项卡中,单击“终止此账户的 AWS 澳大利亚数据泄漏通报附录”按钮。

要终止组织 ANDB 附录,您可以在 AWS Artifact 的组织协议选项卡中,单击“终止此组织的 AWS 澳大利亚数据泄漏通报附录”按钮。

如果您在 AWS Artifact 的账户协议选项卡下终止了账户 ANDB 附录,则您用于登录 AWS Artifact 的 AWS 账户将不再包含在与 AWS 之间的 ANDB 附录中,除非该账户也包含在组织 ANDB 附录中(组织协议选项卡中)。只有当 (a) 您确定已从 AWS 账户删除了所有个人信息且您不再使用与个人信息关联的 AWS 账户,或 (b) 您将该 AWS 账户作为成员账户加入已有 ANDB 附录的 AWS 组织中时,才应终止账户 ANDB 附录。

如果您是管理账户的用户且在 AWS Artifact 的账户协议选项卡中终止了组织 ANDB 附录,则该 AWS 组织中的 AWS 账户都将不再包含在与 AWS 之间的 ANDB 附录中,除非它们也包含在账户 ANDB 附录中(账户协议选项卡中)。只有当 (a) 您确定已从该 AWS 组织中的 AWS 账户删除了所有个人信息且这些账户不再与这些个人信息共用,或 (b) 您已针对与这些个人信息共用的 AWS 账户签订了账户 ANDB 附录时,才应终止组织 ANDB 附录。

如果您同时有账户 ANDB 附录和组织 ANDB 附录,则将适用组织 ANDB 附录的条款,而非账户 ANDB 附录的条款。终止组织 ANDB 附录不会终止账户 ANDB 附录,因此如果您终止了组织 ANDB 附录,则随后账户 ANDB 附录将适用于该 AWS 账户。

不适用。成员账户离开 AWS 组织时,任何接受的组织协议(例如,组织 ANDB 附录)都将不再适用于该 AWS 账户。如果成员账户离开组织后希望一个或多个协议继续适用,则该成员账户应在离开 AWS 组织之前,在 AWS Artifact 的账户协议选项卡中接受相关账户协议。

您可以使用与 AWS 之间的 ANDB 附录所包含的 AWS 账户中的任何 AWS 服务。

按其条款,组织 ANDB 附录仅适用于“ANDB 账户”,它定义为负责该账户的实例受《澳大利亚隐私法》约束且该 AWS 账户在 AWS 的处理或控制中包含“个人信息”(在《澳大利亚隐私法》中定义)的 AWS 账户。不符合 ANDB 账户定义的账户不受组织 ANDB 附录约束。

AWS 新西兰数据泄漏通报附录(NZNDB 附录)

通过 AWS Artifact Agreements,您可以从 AWS 管理控制台为自己的 AWS 账户审核并接受 NZNDB 附录,如果您使用的是 AWS 组织的管理账户,也可以为您的 AWS 组织执行此操作。您可以在 Account agreements(账户协议)选项卡下为您的个人 AWS 账户接受 NZNDB 附录,如果您使用的是组织的管理账户,也可以在 Organization agreements(组织协议)选项卡下代表 AWS 组织中的所有现有和未来 AWS 账户接受 NZNDB 附录。另外,您还可以使用 AWS Artifact Agreements 控制台查看哪些协议可用于 AWS 账户或 AWS 组织,并查看这些协议的条款。

区别在于,接受 Organization agreements(组织协议)选项卡中的 NZNDB 附录后,它适用于通过 AWS Organizations 链接到管理账户的所有现有和未来 AWS 账户。相比之下,Account agreements(账户协议)选项卡中的 NZNDB 附录仅适用于您用于接受 NZNDB 附录的个人 AWS 账户,不适用于其他 AWS 账户。如果您已接受了账户 NZNDB 附录和组织 NZNDB 附录,则将适用组织 NZNDB 附录,而非账户 NZNDB 附录。

可以,使用组织的管理账户,您可以使用 AWS Artifact Agreements 中的 Organization agreements(组织协议)选项卡,代表组织中所有现有和未来的成员账户接受 NZNDB 附录。如果您既接受了账户 NZNDB 附录也接受了组织 NZNDB 附录,则将适用组织 NZNDB 附录,而非账户 NZNDB 附录。

您可以随时使用 AWS Artifact Agreements 终止 NZNDB 附录。
要终止账户 NZNDB 附录,您可以在 AWS Artifact 的账户协议选项卡中,单击“终止此账户的 AWS 新西兰数据泄漏通报附录”按钮。

要终止组织 NZNDB 附录,您可以在 AWS Artifact 的组织协议选项卡中,单击“终止此组织的 AWS 新西兰数据泄漏通报附录”按钮。

如果您在 AWS Artifact 的账户协议选项卡下终止了账户 NZNDB 附录,则您用于登录 AWS Artifact 的 AWS 账户将不再包含在与 AWS 之间的 NZNDB 附录中,除非该账户也包含在组织 NZNDB 附录中(组织协议选项卡中)。只有当 (a) 您确定已从 AWS 账户删除了所有个人信息且您不再使用与个人信息关联的 AWS 账户,或 (b) 您将该 AWS 账户作为成员账户加入已有 NZNDB 附录的 AWS 组织中时,才应终止账户 NZNDB 附录。

如果您是管理账户的用户且在 AWS Artifact 的 Organization agreements(组织协议)选项卡中终止了组织 NZNDB 附录,则该 AWS 组织中的 AWS 账户都将不再包含在与 AWS 之间的 NZNDB 附录中,除非它们也包含在账户 NZNDB 附录中(Account agreements(账户协议)选项卡中)。只有当 (a) 您确定已从该 AWS 组织中的 AWS 账户删除了所有个人信息且这些账户不再与这些个人信息共用,或 (b) 您已针对与这些个人信息共用的 AWS 账户签订了账户 NZNDB 附录时,才应终止组织 NZNDB 附录。

如果您同时有账户 NZNDB 附录和组织 NZNDB 附录,则将适用组织 NZNDB 附录的条款,而非账户 NZNDB 附录的条款。终止组织 NZNDB 附录不会终止账户 NZNDB 附录,因此如果您终止了组织 NZNDB 附录,则随后账户 NZNDB 附录将适用于该 AWS 账户。

不适用。成员账户离开 AWS 组织时,任何接受的组织协议(例如,组织 NZNDB 附录)都将不再适用于该 AWS 账户。如果成员账户离开组织后希望一个或多个协议继续适用,则该成员账户应在离开 AWS 组织之前,在 AWS Artifact 的账户协议选项卡中接受相关账户协议。

您可以使用与 AWS 之间的 NZNDB 附录所包含的 AWS 账户中的任何 AWS 服务。

按其条款,组织 NZNDB 附录仅适用于“NZNDB 账户”,它定义为负责该账户的实体受《新西兰隐私法》约束且该 AWS 账户包含 AWS 持有的“个人信息”(在《新西兰隐私法》中定义)的 AWS 账户。不符合 NZNDB 账户定义的账户不受组织 NZNDB 附录约束。

故障排除

  • 确保您使用的是最新版本的 Web 浏览器并安装了 Adobe Reader。
  • 启用浏览器的弹出窗口功能后,就能下载附件了。
  • 查看您的最近下载文件夹。
  • 查看文档,并在必要时在组织内共享。

您的 IAM 用户没有足够权限在 AWS Artifact 中执行所需操作时通常会出现错误消息。请参见下表,查看错误消息的完整列表及其解决办法:

AWS Artifact 控制台中的错误消息

问题 解决方法
您没有权限接受协议 您需要相应权限才可以接受 AWS Artifact 中的协议。请联系您的账户管理员,为您的 IAM 用户附加以下权限:artifact:AcceptAgreement 

有关 IAM 策略的示例,请参阅协议权限
您没有权限终止协议 您需要相应权限才可以终止 AWS Artifact 中的协议。请联系您的账户管理员,为您的 IAM 用户附加以下权限:artifact:TerminateAgreement 

有关 IAM 策略的示例,请参阅协议权限
您没有权限下载协议 您需要权限才能下载 AWS Artifact 中的协议。请联系您的账户管理员,为您的 IAM 用户附加以下权限:artifact:DownloadAgreement 

有关 IAM 策略的示例,请参阅协议权限
您没有权限下载此报告

您需要相应权限才可以下载 AWS Artifact 中的报告。请联系您的账户管理员,为您的 IAM 用户附加以下权限:artifact:get。

必须为您的组织启用所有功能 您的组织只配置了整合账单功能。要使用 AWS Artifact 中的组织协议,必须为您的组织启用所有功能。 了解更多
您需要先获得以下权限,然后才能管理您组织的协议:organizations:EnableAWSServiceAccess 和 organizations:ListAWSServiceAccessForOrganization。通过这些权限,AWS Artifact 能够访问 AWS Organizations 中的组织信息。 请联系您的账户管理员,为您的 IAM 用户附加以下权限:

iam:CreateRole
iam:AttachRolePolicy
iam:ListRoles

有关 IAM 策略的示例,请参阅协议权限
您需要先获得列出、创建和附加 IAM 角色的以下权限,然后才能管理您组织的协议:iam:ListRoles、iam:CreateRole 和 iam:AttachRolePolicy。 请联系您的账户管理员,为您的 IAM 用户附加以下权限:

organizations:EnableAWSServiceAccess
organizations:ListAWSServiceAccessForOrganization

有关 IAM 策略的示例,请参阅协议权限

您没有权限检索有关 AWS 账户组织的信息

请联系您的账户管理员,为您的 IAM 用户附加以下权限:

organizations:DescribeOrganization

有关 IAM 策略的示例,请参阅协议权限
您的账户不在组织中 通过遵循创建和管理 AWS Organizations中的说明,您可以创建或加入组织。
您的配置状态为 “非活动” 未能正确创建启用您的配置的一个或多个事件规则。请删除该配置,稍后再尝试创建。如果问题仍然存在,请参阅 AWS 用户通知服务疑难解答
您的交付渠道状态为“待处理” 给定的电子邮件尚未经过验证。请查看您的收件箱和垃圾邮件文件夹,查看来自 AWS 用户通知服务的验证电子邮件。如果您想重新发送验证电子邮件,可以在 AWS 用户通知服务交付渠道中重新发送验证电子邮件。
您无权列出配置

请联系您的账户管理员,为您的 IAM 用户附加以下权限:

 "artifact:GetAccountSettings",
                "notifications:ListChannels",
                "notifications:ListEventRules",
                "notifications:ListNotificationConfigurations",
                "notifications:ListNotificationHubs",
                "notifications-contacts:GetEmailContact"

有关 IAM 策略的示例,请参阅协议权限

您无权创建配置

请联系您的账户管理员,为您的 IAM 用户附加以下权限:

                "artifact:GetAccountSettings",
                "artifact:PutAccountSettings",
                "notifications:AssociateChannel",
                "notifications:CreateEventRule",
                "notifications:TagResource",
                "notifications:CreateNotificationConfiguration",
                "notifications-contacts:CreateEmailContact",
                "notifications-contacts:SendActivationCode",
                "notifications:ListNotificationHubs",
                "notifications:ListEventRules",
                "notifications-contacts:ListEmailContacts"

有关 IAM 策略的示例,请参阅协议权限

您无权编辑配置

请联系您的账户管理员,为您的 IAM 用户附加以下权限:

               "artifact:GetAccountSettings",
                "artifact:PutAccountSettings",
                "notifications:AssociateChannel",
                "notifications:DisassociateChannel",
                "notifications:ListChannels",
                "notifications:GetNotificationConfiguration",
                "notifications:ListTagsForResource",
                "notifications:TagResource",
                "notifications:UntagResource",
                "notifications:UpdateEventRule",
                "notifications:ListEventRules",
                "notifications:UpdateNotificationConfiguration",
                "notifications-contacts:GetEmailContact",
                "notifications-contacts:ListEmailContacts"

有关 IAM 策略的示例,请参阅协议权限

您无权删除配置

请联系您的账户管理员,为您的 IAM 用户附加以下权限:

"notifications:DeleteNotificationConfiguration",
"notifications:ListEventRules"

有关 IAM 策略的示例,请参阅协议权限

您无权查看配置的详细信息

请联系您的账户管理员,为您的 IAM 用户附加以下权限:

"notifications:ListEventRules",
"notifications:ListChannels",
"notifications:GetNotificationConfiguration",
"notifications:ListTagsForResource",
"notifications-contacts:GetEmailContact"

有关 IAM 策略的示例,请参阅协议权限

您无权注册通知中心

请联系您的账户管理员,为您的 IAM 用户附加以下权限:

"notifications:RegisterHubRegions",
"notifications:DeregisterHubRegions"

有关 IAM 策略的示例,请参阅协议权限

通知

AWS Artifact 通知为用户提供了一个用户界面,用于订阅和取消订阅有关新文档(即报告或协议)可用性或现有文档更新的通知。AWS Artifact 使用 AWS 用户通知服务发送通知。通知将发送到用户在设置通知配置期间提供的电子邮件地址。要了解有关 AWS Artifact 通知的更多信息,请单击此处,要了解有关 AWS 用户通知服务的更多信息,请单击此处

如果您有兴趣主动了解 AWS Artifact 上提供的新报告或协议,则应使用 AWS Artifact 通知功能。通过接收通知,您可以重新访问 AWS Artifact 控制台,节省手动检查新内容可用性所需的时间和精力。每条通知还将包含一个指向特定新报告或协议的链接,这样只要您登录 AWS 管理控制台,就可以轻松导航到该报告或协议。

您需要权限才能使用 AWS Artifact 服务和 AWS 用户通知服务。您可以设置一个 IAM policy 来定义谁(用户、组和角色)可以对 AWS Artifact 和 AWS 用户通知服务资源执行哪些与通知相关的操作。您还可以在策略中指定操作与哪些资源相关。要了解更多信息,请单击此处

对于报告,您可以通过选择需要接收相关通知的特定报告类别和系列来筛选通知。对于协议,由于现有协议的更新数量或新增协议数量很少,我们目前不提供精细筛选条件。

在 AWS Artifact 控制台上订阅通知意味着您已选择接收来自 AWS Artifact 服务的通知。订阅通知是一次性操作,是设置通知配置的先决条件。如果您想停止来自 AWS Artifact 服务的通知,只需单击一下通知订阅按钮即可关闭所有 AWS Artifact 通知。

订阅后,必须创建一项或多项配置才能开始接收通知。创建配置时,可以选择是需要接收有关所有报告和协议的通知,还是需要接收有关部分报告的通知,并提供想要接收通知的个人的电子邮件地址。

通知将发送到用户在创建通知配置时提供的电子邮件地址。请注意,通知将仅发送到经过验证的电子邮件地址。此外,还会在 AWS 用户通知服务中心控制台中发送通知。

AWS Artifact 通知利用 AWS 用户通知服务来配置通知和发送电子邮件。您可以使用 AWS Artifact 控制台配置通知。也可以使用 AWS 用户通知服务控制台查看和配置通知。

在 AWS Artifact 通知功能中,每个通知配置最多可以提供 20 个电子邮件地址。此外,AWS 用户通知服务的服务限额也适用,请参阅此处了解更多详细信息。