AWS 雲端安全、治理與合規

AWS 雲端安全、治理與合規是三大支柱，共同守護 AWS 工作負載的安全性、可稽核性，並讓其符合法律義務。AWS 安全治理合規涵蓋預防性管控（誰可以做什麼）、偵測性管控（誰做了什麼），以及合規計畫（AWS 已通過哪些法規標準的稽核）。CLF-C02 考試的 Task Statement 2.2 要求你能辨識 AWS Config、AWS Organizations、AWS Control Tower、AWS CloudTrail、AWS Artifact、AWS KMS，以及主要的合規計畫（SOC、PCI DSS、HIPAA、ISO、FedRAMP、GDPR），並清楚各自的適用時機。

什麼是 AWS 雲端安全、治理與合規？

AWS 安全治理合規是 AWS 文件與 CLF-C02 考試指南中常見的統稱詞，用來描述一整套協調運作的能力。安全指的是保護資料、系統與身分。雲端治理指的是設下護欄，讓數十個（甚至數千個）AWS 帳戶能持續與政策一致。合規計畫則是把你的工作負載對應到外部已稽核的標準，讓主管機關、稽核員與客戶能信任你在 AWS 上運行的一切。

在 Cloud Practitioner 的層級，AWS 安全治理合規並不是要你寫程式，而是要能辨識「哪個 AWS 服務或合規計畫能解決哪個問題」。考題通常會以這種形式出現：「某公司需要做 X，應該採用哪一項 AWS 服務或計畫？」只要你記住 AWS Config（組態歷史）、AWS Organizations（多帳戶政策）、AWS CloudTrail（API 稽核日誌）、AWS Artifact（可下載的合規報告）與 AWS KMS（加密金鑰）彼此的分界，幾乎所有 2.2 的題目都能穩穩答對。

為什麼 AWS 安全治理合規對 CLF-C02 很重要

領域 2（「Security and Compliance」）占 CLF-C02 總權重的 30%，是單一最大的領域。在領域 2 之中，Task 2.2 是「概念性」任務，串起其餘所有安全任務的框架。由於 AWS 雲端治理觸及每一項服務，出題老師能從相同的小範圍詞彙裡產出數百道情境題。一次把這份詞彙學起來，就能解鎖不成比例的高得分率。

本主題與相鄰主題的範圍

AWS 安全治理合規與責任共擔模型（屬於 Task 2.1）、身分與存取管理（IAM，屬於 Task 2.3），以及安全服務目錄（GuardDuty、Inspector、Macie，屬於 Task 2.4）是不同範圍。本主題聚焦在治理服務（Config、Organizations、Control Tower）、稽核服務（CloudTrail）、加密原語（KMS），以及合規計畫。閱讀情境時請在腦中維持這條圍欄。

白話文解釋 AWS 雲端安全、治理與合規

白皮書式的陳述往往掩蓋了 AWS 安全治理合規其實相當直覺的本質。以下三個類比有助於把概念釘牢。

類比 1——辦公大樓（門禁、監視器、消防安檢合格證）

想像一棟共用辦公大樓。安全就像大門的門鎖與員工刷的門禁卡，對應到 AWS KMS 加密與 IAM 憑證。治理就像大樓管委會訂出的規則：「全棟樓禁菸、每位租戶都必須備妥滅火器」，對應到 AWS Organizations 的 service control policies（SCPs）與 AWS Config 規則。合規則是掛在大廳、由政府消防檢查員核發的消防安檢合格證，對應到 AWS Artifact 可下載的報告（SOC、ISO、PCI）。消防法規並不是大樓業主自己發明的，而是主管機關制定的。HIPAA 也不是 AWS 發明的，而是美國衛生及公共服務部制定的。AWS 只是接受稽核，再把合格證交給你。

類比 2——夜市廚房的監視攝影機與食材履歷本

經營一間夜市熱炒店。每一個工作檯上方都裝了一台攝影機，把廚師的每一個動作錄下來，這就是 AWS CloudTrail，記錄每一次 API 呼叫的稽核日誌。牆上還掛著溫度計與濕度計，讀數即時顯示到儀表板上，這就是 Amazon CloudWatch，負責營運監控。架子上放著一本履歷本，列出廚房目前每一件設備以及各自的版本，任何異動立刻更新，這就是 AWS Config，負責組態歷史。稽核員看錄影帶（CloudTrail）與履歷本（Config）；廚師看儀表板（CloudWatch）。把 CloudTrail 與 CloudWatch 搞混的考生通常會失分，因為他們把「誰做了什麼」和「烤箱現在幾度」混在一起。

類比 3——郵政系統與封蠟信封

把 AWS 雲端治理想像成全國郵政系統。AWS Organizations 是郵政總局：它決定有哪些分局（AWS 帳戶）存在、每一分局透過 SCP 能寄送哪些郵件。AWS Control Tower 則是新分局開張時拿到的開店組合包：預先配置好的貨架、招牌與政策告示——一個已經鋪好護欄的多帳戶 landing zone。AWS KMS 是封蠟信封服務：每一封信件（S3 object、EBS volume、RDS 欄位）都能用無法竄改的封蠟封緘，只有持有對應金鑰的收件人才能拆閱。AWS Artifact 則是大廳裡的玻璃展示櫃，放著郵局自身通過稽核的證明，證明它符合 ISO 27001、SOC 2 等郵政業標準。合規計畫本身則是外部機構制定的那些標準。

核心運作原則——AWS 合規計畫與共享治理

AWS 安全治理合規建立在三個相互重疊的原則之上：共享合規、預設安全，以及稽核優先設計。

共享合規

在 AWS 責任共擔模型下，AWS 負責雲端本身的合規，客戶負責雲端內的合規。AWS 每一個標準接受一次稽核並公布報告；你繼承了這些在實體資料中心、hypervisor 與全球網路層的管控。而你則仍需負責自己的資料分級、IAM 政策、加密選擇與應用程式碼。CLF-C02 每一道合規題都假設了這個繼承模型。

透過 AWS Control Tower 實現預設安全

AWS Control Tower 會建立一個多帳戶 landing zone，並預設啟用護欄：每個帳戶都啟動 CloudTrail、執行 AWS Config、集中式 log 封存，以及一組預防性 SCP。與其事後補上治理，不如在帳戶建立的當下就把治理烘焙進去。

稽核優先設計

在 AWS 上的每一個動作——不論是人員在 console 操作，或是 Lambda 函式透過 API 呼叫——都會經過 AWS Identity and Access Management。每一次 API 呼叫都由 AWS CloudTrail 記錄。每一項資源組態都由 AWS Config 追蹤。這代表合規計畫所需的證據鏈預設就存在，開發者無須額外寫任何程式。

AWS Artifact——在哪裡取得合規報告與協議

AWS Artifact 是一個內建於 AWS Management Console 的自助服務入口，存放 AWS 的合規報告（Artifact Reports）與法律協議（Artifact Agreements）。當稽核員向你索取 AWS 的 SOC 2 Type II 報告時，你只要登入 AWS Artifact、接受保密條款後下載 PDF 即可，完全不需要開 support ticket。

Artifact Reports

Artifact Reports 包含 SOC 1、SOC 2、SOC 3、ISO 27001、ISO 27017、ISO 27018、PCI DSS Attestation of Compliance、FedRAMP packages，以及數十份其他報告。每一份報告都由獨立稽核機構（Ernst & Young、Deloitte 等）對 AWS 基礎設施進行稽核後出具。

Artifact Agreements

Artifact Agreements 是你與 AWS 之間簽署的法律文件，例如 HIPAA Business Associate Addendum（BAA）、GDPR Data Processing Addendum（DPA），以及 PCI DSS Responsibility Summary。接受協議等於按下一個法律開關——舉例來說，接受 BAA 後，你的 AWS 帳戶才具備使用 HIPAA-eligible 服務儲存 PHI 的資格。

Artifact 在合規流程中的定位

AWS Artifact 本身並不會讓你變成合規。Artifact 只是一個文件派送服務。真正的 AWS 安全治理合規工作發生在 AWS Config（我的資源組態正確嗎？）、CloudTrail（是誰改了什麼？），以及 IAM（誰能做什麼？）。Artifact 是你拿給稽核員看的東西；Config 與 CloudTrail 才是你拿來證明自己做對的地方。

AWS 支援的合規計畫

AWS 支援 140 項以上的合規計畫，但 CLF-C02 考試只要求你認得一組核心合規計畫及其所屬產業。

SOC 1、SOC 2 與 SOC 3

SOC 是 System and Organization Controls 的縮寫，由 American Institute of Certified Public Accountants（AICPA）發行。SOC 1 涵蓋財務報表相關管控，SOC 2 涵蓋安全性、可用性、機密性、處理完整性與隱私，SOC 3 則是 SOC 2 的對外公開摘要版。AWS 將三種報告全數刊登於 AWS Artifact。

PCI DSS

Payment Card Industry Data Security Standard 適用於任何儲存、處理或傳輸信用卡資料的工作負載。AWS 是 Level 1 PCI DSS service provider——最高商家等級——並將其 Attestation of Compliance 發布於 AWS Artifact。

HIPAA

美國 Health Insurance Portability and Accountability Act 規範受保護的健康資訊（PHI）。AWS 透過 AWS Artifact 提供 HIPAA-eligible 服務清單與 Business Associate Addendum。只有 HIPAA-eligible 服務（EC2、S3、RDS、Lambda，以及數十項其他服務）才能處理 PHI。

ISO 27001、ISO 27017、ISO 27018

ISO 27001 是國際資訊安全管理標準。ISO 27017 是針對雲端延伸的專用版本。ISO 27018 則涵蓋公有雲中個人可識別資訊（PII）的保護。AWS 三者皆已通過認證。

FedRAMP

美國 Federal Risk and Authorization Management Program 是美國聯邦機構採用雲端服務的授權框架。AWS 在專屬的 AWS GovCloud（US）Regions 以及一般商用 Regions 都具備 FedRAMP Moderate 與 FedRAMP High 授權。

GDPR

歐盟 General Data Protection Regulation 規範歐盟居民的個人資料。AWS 透過 AWS Artifact 提供符合 GDPR 要求的 Data Processing Addendum，並提供工具（AWS Config、AWS Audit Manager）協助客戶履行 GDPR 義務。像 GDPR 這類合規計畫要求客戶落實適當的技術與組織措施——AWS 提供平台，客戶實作管控。

資料落地與資料主權——挑選你的 Region

資料落地指的是資料的實體所在位置；資料主權則是適用於該資料的法律管轄權。AWS 安全治理合規透過讓你明確選擇 Region 來同時兼顧兩者。

Region 層級的資料管控

你的資料會留在你選定的 Region。如果你在 eu-west-1（Ireland）建立 S3 bucket，這些 objects 不會離開位於歐盟的 AWS 資料中心，除非你主動複製到別處，或使用跨 Region 服務。這是由 AWS 強制執行，而不只是口頭承諾。

跨 Region 運作的服務

有少數服務設計上就是全球運作——IAM、Route 53、CloudFront、AWS Organizations——其 metadata 並不座落於單一 Region。若要真正做到單一 Region 部署，可結合 SCP 與 AWS Config 規則，拒絕在核准範圍外的 Region 建立資源。

AWS GovCloud 與主權雲選項

面對需要 FedRAMP High 與 ITAR 合規的美國政府工作負載，AWS 營運 AWS GovCloud（US）Regions，實體與邏輯上與商用 AWS partition 完全隔離。AWS 也啟動了 AWS European Sovereign Cloud 計畫，為歐盟客戶提供額外的資料主權保障。考試中若遇到雲端治理題目，請記住：Region 選擇就是資料落地的主要工具。

常見的落地題型

「某公司必須將客戶資料只儲存在德國。」正確答案會選擇 eu-central-1（Frankfurt）Region，並套用 SCP 禁止在其他地區建立資源。錯誤答案則會談加密——加密保護的是機密性，不是落地位置。

加密——AWS KMS 與 S3 Server-Side Encryption

加密是 AWS 安全治理合規的主力。每當 CLF-C02 情境提到「at-rest」或「in-transit」保護，答案幾乎都離不開 AWS Key Management Service（KMS）。

AWS KMS 基礎

AWS KMS 是一項受管服務，負責建立與控制用於加密資料的密碼學金鑰，橫跨超過 100 項 AWS 服務。就考試而言，KMS keys（原稱 Customer Master Keys，CMKs）分為三種：AWS-owned keys（不可見、由 AWS 管理、免費）、AWS-managed keys（在你帳戶中可見、由 AWS 自動輪替），以及客戶管理金鑰（由你建立、由你輪替、由你設定政策）。

AWS-managed keys 與客戶管理金鑰

AWS-managed keys 的名稱形如 aws/s3、aws/ebs。AWS 會為每一個服務在每一個帳戶的每一個 Region 各建立一把，每年自動輪替，且不收取金鑰儲存費。客戶管理金鑰則讓你掌控金鑰政策、輪替時程與 grants——考試要訣是：當情境提到「自訂金鑰輪替」、「跨帳戶金鑰共享」或「即時撤銷存取」時，就選擇客戶管理金鑰。

S3 server-side encryption 選項

Amazon S3 支援四種 server-side encryption。SSE-S3 使用 S3 內部的 AWS-managed keys。SSE-KMS 使用 KMS key（AWS-managed 的 aws/s3 或客戶管理金鑰），並可選擇透過 CloudTrail 稽核。SSE-C 則是你在每次請求時自行提供金鑰。DSSE-KMS 對極度敏感資料進行雙層 server-side 加密。自 2023 年起，所有新上傳的 S3 objects 預設都以 SSE-S3 加密——無需再手動啟用。

傳輸加密

傳輸加密採用 TLS（SSL）。AWS 每一個 API 端點都接受 HTTPS。AWS Certificate Manager（ACM）負責為 CloudFront、Application Load Balancer 與 API Gateway 核發與管理 TLS 憑證——當憑證搭配這些服務使用時，不另行收費。

AWS CloudHSM

AWS CloudHSM 是一項 hardware security module（HSM）服務，適用於需要 FIPS 140-2 Level 3 單一租戶硬體隔離的客戶（金融服務、國防）。大多數客戶使用 KMS 即可；CloudHSM 是進階選項。

治理服務——AWS Config

AWS Config 是組態歷史與合規評估服務。CLF-C02 雲端治理題目中，凡是提到「追蹤組態」或「強制組態規則」的情境，通通對應到 AWS Config。

AWS Config 記錄什麼

AWS Config 持續記錄你的 AWS 資源（EC2 執行個體、security groups、S3 buckets、IAM 政策等）的組態狀態，保存組態快照與完整的變更歷史。如果某個 security group 在凌晨 3 點把 port 22 開放給全世界，Config 會記錄變更前後的狀態、時間戳記，以及執行該變更的 IAM principal。

AWS Config 規則

AWS Config 規則會把你記錄到的組態對照期望狀態進行評估。AWS 內建數十項 managed rules（例如 s3-bucket-public-read-prohibited、encrypted-volumes、root-account-mfa-enabled），你也可以透過 AWS Lambda 撰寫自訂規則。當資源漂移成為不合規狀態時，Config 會在儀表板上標記，並可透過 AWS Systems Manager Automation 文件觸發修補。

AWS Config conformance packs

Conformance packs 是一組打包好的 Config 規則與修補動作，用以滿足某個合規框架（NIST 800-53、PCI DSS、HIPAA Operational Best Practices）。只要一鍵部署 conformance pack，AWS Config 就會同時開始評估數十條規則。

AWS Config 與 AWS CloudTrail 的差異

AWS Config 回答「組態當時長什麼樣子？」AWS CloudTrail 回答「是誰做了那個變更？」兩者互補。安全稽核員通常兩者都需要：CloudTrail 證明身分，Config 證明狀態。

治理服務——AWS Organizations 與 Service Control Policies

AWS Organizations 是多帳戶管理服務，位於 AWS 雲端治理堆疊的最上層。當一間公司的 AWS 帳戶數超過個位數，Organizations 就成為必備配備。

組織單位（OU）與階層

Organizations 讓你把帳戶歸類到組織單位（OU）中，以樹狀結構排列，根部是 management account。典型的 OU 配置：Security、Sandbox、Production、SDLC、Suspended。每個 OU 都能從父層繼承政策。

Service control policies（SCP）

Service control policies 是 AWS 雲端治理的重錘。一條 SCP 定義了目標帳戶裡任何 IAM principal 能行使的權限上限。即便 IAM 政策寫了「Allow s3:*」，只要 SCP 寫了「Deny s3:DeleteBucket」，Deny 就會勝出。SCP 並不授予權限；它只會限縮權限。

合併計費與量級折扣

Organizations 會自動把所有成員帳戶的帳單合併成一張送給 management account 的發票。合併計費同時彙整跨帳戶用量，讓你能享受量級門檻，並共用 Reserved Instance 與 Savings Plans 的效益。

AWS Organizations 與 IAM 的差異

IAM 控制單一帳戶內的身分與權限；Organizations 控制跨多個帳戶的政策。SCP 不是 IAM 政策——它們是位於 IAM 之上的 Organizations 政策。某個 principal 的有效權限是 SCP、IAM identity policy、resource policy、permission boundary 與 session policy 的交集。

治理服務——AWS Control Tower

AWS Control Tower 是最快速建立一個符合 AWS 最佳實務護欄的多帳戶 landing zone 的方式，它座落於 AWS Organizations 之上。

Control Tower 會配置哪些項目

新部署的 Control Tower landing zone 包含：一個 management account、一個 log archive 帳戶（集中的 CloudTrail 與 Config logs）、一個 security audit 帳戶（用於 AWS Security Hub 與 GuardDuty 匯整）、一個 shared services 帳戶，以及用來產出新帳戶的 Account Factory。它會自動啟用 AWS Config、AWS CloudTrail、AWS IAM Identity Center，並套用一組預防性與偵測性護欄目錄。

護欄

Control Tower 的護欄是預先打包的規則，以 SCP（預防性）或 AWS Config 規則（偵測性）呈現。Mandatory 護欄無法停用——例如「Disallow changes to CloudTrail」就是強制的。Strongly recommended 與 elective 護欄則可依 OU 切換。

Account Factory

Account Factory 是一個 Service Catalog product，終端使用者可以透過它產出一個已經套用所有 baseline 管控的新 AWS 帳戶。它取代了臨時起意的帳戶建立方式，確保新帳戶絕不會缺少基礎的 AWS 雲端治理覆蓋。

Control Tower 與 AWS Organizations 的差異

AWS Organizations 是原始的 API primitive；AWS Control Tower 是在其上包裝出的主見式方案——護欄加上集中 logging 再加上 Account Factory。如果考試情境說「這間公司想要一個內建最佳實務護欄的多帳戶 landing zone」，答案是 Control Tower；若情境是「這間公司想對某個特定 OU 套用 SCP」，答案則是 Organizations。

稽核與記錄——AWS CloudTrail

AWS CloudTrail 是 AWS 上最關鍵的稽核服務。每一次 AWS 安全治理合規的檢視都預設 CloudTrail 是開啟的。

CloudTrail 記錄什麼

CloudTrail 記錄你帳戶中的每一次 API 呼叫——console 操作、CLI 執行、應用程式透過 SDK 的呼叫、AWS 服務內部互呼皆然。每一筆事件都包含呼叫者身分、來源 IP、時間戳記、請求參數與回應。事件分為三類：management events（control plane——IAM 變更、security group 編輯）、data events（S3 object 讀取、Lambda 執行——需主動啟用、量較大），以及 insight events（異常 API 行為）。

CloudTrail trails

trail 是一份組態設定，把 CloudTrail 事件送往耐久儲存（Amazon S3 bucket，選配 CloudWatch Logs 與 EventBridge）。單一 trail 可以跨越全部 Regions 與 Organization 下所有帳戶——這是雲端治理的黃金標準設定。

CloudTrail Lake

CloudTrail Lake 是一個受管 data lake，會把 CloudTrail 事件建立索引，讓你可以用 SQL 進行查詢調查，不必再把資料匯出到第三方 SIEM。事件發生時的鑑識工作非常好用。

CloudTrail 與 CloudWatch——最經典的混淆

CloudTrail 與 CloudWatch 並不能互換。CloudTrail 是稽核日誌——誰、做了什麼、何時、從哪裡；CloudWatch 是營運監控平台——metrics、alarms、儀表板與應用程式 log 彙整。合規稽核員看 CloudTrail；維運工程師看 CloudWatch。在 CLF-C02 考試裡，只要題目提到「稽核」、「誰做了」、「鑑識」、「不可否認」或「合規證據」，指向 CloudTrail；只要題目提到「CPU 使用率」、「alarm」、「儀表板」、「應用程式 log」或「auto-scaling 觸發」，就指向 CloudWatch。

AWS Audit Manager——合規證據蒐集

AWS Audit Manager 自動化合規評估中的證據蒐集流程。Audit Manager 內建 SOC 2、PCI DSS、HIPAA、GDPR、ISO 27001、FedRAMP 等框架，持續從 AWS Config、CloudTrail、Security Hub 與其他來源彙整證據，並產出可交給外部稽核員的評估報告。Audit Manager 是省時工具，而非前置需求——AWS 安全治理合規沒有它也能運作，只是 Audit Manager 能加速紙上作業。

AWS Well-Architected Security Pillar 對齊

AWS Well-Architected 框架中的 Security pillar 彙整了 AWS 安全治理合規服務所支撐的設計原則。該 pillar 的七項設計原則包含「Implement a strong identity foundation」（IAM、Organizations）、「Enable traceability」（CloudTrail、Config）、「Apply security at all layers」（Security Groups、WAF、KMS）、「Automate security best practices」（Config 規則、Control Tower）、「Protect data in transit and at rest」（ACM、KMS）、「Keep people away from data」（自動化），以及「Prepare for security events」（事件回應劇本）。任何 CLF-C02 考題若問「這個情境屬於哪一個 pillar？」且情境涉及安全、治理或合規，答案就是 Security pillar。

關鍵數字與必背事實

對 CLF-C02 的 AWS 雲端治理與合規計畫來說，你不必深入背誦數字，但以下事實會反覆出現。

• AWS 支援 140 項以上的合規計畫（抓個大概即可——考試很少要求精確數字）。
• CloudTrail 的 Event history 免費保留最近 90 天的 management events，無論你是否另行設定 trail。
• AWS Config 能在數分鐘內捕捉組態變更，並將歷史存放於你指定的 S3 bucket。
• SCP 可以在 root OU、子 OU 或單一帳戶層級附掛，並向下層層作用。
• AWS Control Tower 需要 AWS Organizations；它不是獨立服務。
• KMS keys 具 Region 屬性——在 us-east-1 建立的金鑰無法在 eu-west-1 使用。
• AWS Artifact 免費。你透過 AWS Management Console 存取。

常見考試陷阱

除了 CloudTrail 與 CloudWatch 之外，AWS 安全治理合規題目還有幾個混淆點會讓 CLF-C02 考生翻車。

AWS Artifact 與 AWS Config

AWS Artifact 是下載 AWS 第三方稽核報告的地方；AWS Config 是追蹤你自己資源組態狀態的地方。這兩項常在選項裡互換。

AWS Organizations 與 AWS Control Tower

Organizations 是多帳戶的原始 primitive（帳戶、OU、SCP、合併計費）；Control Tower 是架在 Organizations 之上的主見式 landing-zone 工廠，內建護欄。若情境說「部署一個具最佳實務的新多帳戶環境」，選 Control Tower；若情境說「對現有帳戶套用一條政策」，選 Organizations。

Compliance、Security 與 Governance 詞彙

合規計畫是外部標準（SOC、PCI、HIPAA）；安全服務是落實管控的工具（KMS、IAM、WAF）；雲端治理則是協調兩者的政策層（Config、Organizations、Control Tower）。題目有時會直接測試這些詞彙。

KMS 客戶管理金鑰與 AWS-managed keys

客戶管理金鑰讓你掌握輪替與政策；AWS-managed keys 自動且不可見。有些情境要求「能稽核每一次金鑰使用」——兩者皆可做到，但客戶管理金鑰搭配 CloudTrail 更簡單、可客製化程度更高。

Root 帳戶與 SCP

SCP 甚至能限制成員帳戶的 root user；但在 AWS Organizations 中，SCP 不會套用於 management account（付款帳戶）。這是一個偶爾會出現的細緻陷阱。

安全治理 vs 存取管理——範圍界線

Task 2.2 涵蓋 AWS 雲端治理與合規計畫；Task 2.3 則涵蓋存取管理（IAM、IAM Identity Center）。這條界線對計分很重要。

AWS 安全治理合規的 Task 2.2 包含：AWS Config、AWS Organizations、SCP、AWS Control Tower、AWS CloudTrail、AWS Artifact、AWS KMS、ACM、合規計畫、資料落地。

Task 2.3 包含：IAM users、IAM groups、IAM roles、IAM 政策、MFA、root 帳戶保護、IAM Identity Center（SSO）、federated access。

兩者的重疊地帶是 AWS Organizations。Organizations 負責跨帳戶雲端治理（Task 2.2），但透過 IAM Identity Center 整合也影響身分（Task 2.3）。兩個任務下都可能看到它——不管考試把它歸到哪邊，都不會扣你的分。

練習題對照——Task 2.2 題型映射

CLF-C02 的 AWS 安全治理合規題目常以這些形態出現：

1. 「某公司要下載 AWS 的 SOC 2 報告給稽核員。」答：AWS Artifact。
2. 「某公司希望能在同一處檢視過去 90 天在 AWS 帳戶中的每一次 API 呼叫。」答：AWS CloudTrail。
3. 「某安全團隊要在 S3 bucket 被設成公開可讀時收到警示。」答：AWS Config 規則（s3-bucket-public-read-prohibited）。
4. 「某公司要部署一個具備基礎護欄的全新多帳戶環境。」答：AWS Control Tower。
5. 「某合規長希望 Production OU 下任何 AWS 帳戶都不能刪除 CloudTrail trails。」答：AWS Organizations 的 service control policy（SCP）。
6. 「哪一項服務能提供金鑰來為 AWS 各服務的資料做靜態加密？」答：AWS KMS。
7. 「某公司儲存歐盟公民資料，需要 AWS 簽署資料處理協議。」答：AWS Artifact Agreements（GDPR DPA）。
8. 「某美國醫療服務商希望在 AWS 上儲存 PHI。」答：透過 AWS Artifact 簽署 HIPAA BAA，並使用 HIPAA-eligible 服務。

FAQ——AWS 安全、治理與合規熱門問題

Q1. AWS Artifact 與 AWS Config 有何不同？

AWS Artifact 是派送 AWS 外部稽核報告與法律協議（SOC、PCI DSS、HIPAA BAA、GDPR DPA）的入口；AWS Config 則記錄你資源的組態歷史，並依合規規則評估。Artifact 談的是 AWS 這家供應商的合規態勢；Config 談的是你帳戶的合規態勢。兩者對 AWS 安全治理合規都重要，但解決的是不同問題。

Q2. AWS 會自動讓我的應用程式 HIPAA 合規嗎？

不會。AWS 是 HIPAA-eligible，代表 AWS 基礎設施通過了相關稽核。你仍需透過 AWS Artifact 簽署 HIPAA BAA、將部署限制於 HIPAA-eligible 服務、對 PHI 進行靜態與傳輸加密、嚴格限制 IAM 存取，並設定好 logging。HIPAA 跟 AWS 上其他合規計畫一樣，都是責任共擔。

Q3. 合規稽核時我該用 CloudTrail 還是 CloudWatch？

CloudTrail。CloudTrail 記錄你帳戶中每一次 AWS API 呼叫——誰、做了什麼、何時、從哪裡來。稽核員之所以看 CloudTrail，是因為它提供合規計畫所要求的、具不可否認性的稽核軌跡。CloudWatch 則是針對 metrics、alarms 與應用程式 log 的營運監控服務。兩者常常搭配使用（CloudTrail events 可以串流到 CloudWatch Logs），但並不能互換。

Q4. 何時應該選擇客戶管理 KMS 金鑰，而非 AWS-managed key？

當你需要以下任一情境時選擇客戶管理 KMS 金鑰：自訂輪替政策、跨帳戶金鑰共享、透過停用金鑰即時撤銷存取的能力、細緻的金鑰政策，或是某些要求客戶掌控金鑰材質的合規計畫。如果你只是希望預設做靜態加密、不想承擔額外維運負擔，AWS-managed keys 已經夠用。

Q5. AWS Organizations 與 AWS Control Tower 的差異為何？

AWS Organizations 是基礎的多帳戶服務，讓你建立組織單位（OU）、套用 service control policies，以及合併計費。AWS Control Tower 則座落於 AWS Organizations 之上，提供主見式 landing zone，內建最佳實務護欄、集中 logging、預先設定好的 Config 與 CloudTrail，以及產出新帳戶的 Account Factory。Organizations 是引擎；Control Tower 是圍繞引擎打造出的整車。

Q6. AWS Config 只能偵測違規，還是也能強制合規？

AWS Config 主要用來偵測組態對照宣告規則的漂移。不過，Config 規則可以透過 AWS Systems Manager Automation 文件觸發修補動作，讓 Config 變成具有自動修補的偵測性管控——等於能在數分鐘內強制回歸合規。真正的預防性管控（在違規發生前就攔下）則要透過 AWS Organizations 的 service control policies。

Q7. 針對 GDPR 合規的工作負載，我該選擇哪一個 AWS Region？

GDPR 並未強制指定 Region，但多數組織會選擇歐盟 Region（eu-west-1 Ireland、eu-central-1 Frankfurt、eu-north-1 Stockholm、eu-west-3 Paris、eu-south-1 Milan、eu-south-2 Spain，或 eu-central-2 Zurich），以確保個人資料留在 EEA 內。搭配 SCP 禁止在核准範圍外的 Region 建立資源、在 AWS Artifact 接受 GDPR Data Processing Addendum，並以 AWS KMS 加密個人資料。

延伸閱讀

• AWS Compliance Programs 概觀：https://aws.amazon.com/compliance/programs/
• AWS Config Developer Guide：https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html
• AWS Organizations User Guide：https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html
• AWS Control Tower User Guide：https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html
• AWS CloudTrail User Guide：https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html
• AWS Artifact User Guide：https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html
• AWS KMS Developer Guide：https://docs.aws.amazon.com/kms/latest/developerguide/overview.html
• AWS Well-Architected Security Pillar：https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html
• AWS Certified Cloud Practitioner Exam Guide（CLF-C02）：https://d1.awsstatic.com/training-and-certification/docs-cloud-practitioner/AWS-Certified-Cloud-Practitioner_Exam-Guide.pdf