但是,我希望该架构符合HIPAA。因此,我想到了这个主意:
一旦我的S3存储桶获取了文件,
启动Lambda函数,该函数会对文件进行哈希/名称加扰,并复制到另一个S3存储桶(通过
aws cp
)将具有散列/加扰名称的存储桶连接到SQS队列
,这是一种好的安全方法吗?还是有更好的解决方法? (如果我可以将S3的加密密钥发送到SQS,将感到非常高兴。但是不确定是否可以,或者可能)。
#1 楼
根据Amazon AWS,客户可以在指定为HIPAA
帐户的帐户中使用任何AWS服务,但他们只能在
BAA中定义的符合HIPAA要求的服务。今天有十种符合HIPAA要求的服务,包括AWS Snowball,Amazon
DynamoDB,Amazon EBS,Amazon EC2,Amazon Elastic MapReduce(EMR),
Amazon Elastic Load Balancing(ELB),Amazon Glacier,Amazon Relational
数据库服务(RDS)[仅适用于MySQL,Oracle和PostgreSQL引擎],
Amazon Aurora [仅适用于MySQL兼容版本],Amazon Redshift和
Amazon S3。
来源:https://aws.amazon.com/compliance/hipaa-compliance/
这意味着只要您不存储或传输PHI,在SQS中,仅提供有关此PHI存储位置的信息-您可能可以通过审核规则。符合HIPAA。
在您描述的体系结构中,SQS队列不需要包含任何PHI内容。这将使其符合上述声明。
有关此白皮书的更多信息,请参阅2017年1月发布的白皮书-https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper。 pdf
在HIPAA常见问题解答中特别提到并解释了SQS-https://aws.amazon.com/blogs/security/frequently-asked-questions-about-hipaa-compliance-in-the- aws-cloud-part-two /。
更新:截至2017年5月1日,SQS现在符合HIPAA。 https://aws.amazon.com/about-aws/whats-new/2017/05/amazon-simple-queue-service-sqs-is-now-a-hipaa-eligible-service/