資料治理、備份與合規控制

AWS 上的資料治理是一套管控實務，核心在於：哪些資料需要保留、存放在哪裡、保留多久、誰可以存取，以及如何向稽核人員舉證。在 SAA-C03 考試中，資料治理與合規控制出現在 Task Statement 1.3（「決定適當的資料安全控制」），並以情境題的形式考核——題目會給出一項法規要求（HIPAA、PCI DSS、GDPR、ISO 27001、財務記錄保留）並請你選出正確的 AWS 服務組合。你必須熟練掌握的核心服務包括：Amazon S3 Object Lock、AWS Backup、AWS CloudTrail、AWS Config、Amazon Macie、AWS Audit Manager、AWS Artifact，以及 S3 Versioning 和 S3 Replication 等基礎功能。這些服務共同實現了資料保留、不可竄改性、可稽核性、資料分類、持續合規以及稽核證據收集——也就是資料治理合規的五大支柱。

本指南以平易近人的語言完整解說每個概念，並點出考試陷阱（治理模式 vs. 合規模式、Versioning vs. Object Lock、AWS Backup vs. 手動快照、管理事件 vs. 資料事件），同時搭配生活化的類比讓記憶更牢固。掌握這個主題，你就能攻克 SAA-C03 上所有的資料治理合規題，以及與資料加密、多帳號治理重疊的延伸情境。

什麼是 AWS 上的資料治理？

資料治理是一套整體框架，決定組織的資料如何產生、儲存、分類、保護、保留、刪除與稽核。在 AWS 上，資料治理從來不是單一服務——而是一組 AWS 服務各自負責框架的一個層次。保留與不可竄改性由 Amazon S3 Object Lock 負責。集中式備份政策由 AWS Backup 負責。稽核日誌由 AWS CloudTrail 負責。持續設定合規由 AWS Config 負責。自動化資料分類由 Amazon Macie 負責。為稽核人員收集證據由 AWS Audit Manager 負責。可下載的合規認證文件（SOC 報告、ISO 認證、PCI DSS AOC）由 AWS Artifact 負責。

SAA-C03 上的資料治理合規，主要考你能否針對給定的法規或業務需求選出正確的 AWS 服務。法規本身（HIPAA、PCI DSS、GDPR、ISO 27001、SEC 17a-4、FINRA、CJIS）不會深入考核——你只需要識別題目情境的線索，並知道哪個 AWS 服務組合能滿足需求。大多數題目都落在以下五種原型之一：

1. 「我們需要連管理員都無法刪除、保留 7 年的 WORM 儲存。」→ Amazon S3 Object Lock 合規模式（compliance mode）。
2. 「我們需要一個儀表板和一個政策，統一備份 EBS、RDS、DynamoDB 和 EFS。」→ AWS Backup。
3. 「我們需要知道上週二凌晨 02:13 是誰對我們的敏感 bucket 呼叫了 DeleteObject。」→ AWS CloudTrail 資料事件。
4. 「我們需要持續評估所有 S3 bucket 是否封鎖了公開存取。」→ AWS Config 規則。
5. 「我們需要自動找出 S3 bucket 中的 PII。」→ Amazon Macie。

為什麼資料治理與合規對 SAA-C03 很重要

SAA-C03 考試指南 Task 1.3 要求你「決定適當的資料安全控制」，而合規驅動的情境題占該主題分題預算中相當大的比例。你會看到這樣的題目：「某醫療公司必須將病患記錄不可竄改地保留 6 年」或「某金融服務公司必須證明沒有管理員能夠刪除稽核日誌」——兩者都指向 S3 Object Lock 合規模式加上 CloudTrail 日誌檔案完整性驗證。在第一次閱讀題目時就能辨識這些線索，是在這個主題快速得分的最短路徑。

白話文解釋 AWS 上的資料治理與合規

將抽象的政策語言與日常情境連結，就能變得具體易懂。以下用三個不同的類比，涵蓋 SAA-C03 上所有主要的資料治理合規概念。

類比一：醫院的藥品冷藏庫

想像一間大型醫院的藥品管理中心。每一格藥品冷藏格都貼有效期標籤，規定「此藥品須保存至 XX 日期前不得丟棄」——這直接對應 Amazon S3 Object Lock compliance mode 的 retain-until-date。冷藏格的門一旦依規定鎖上，連院長也無法提前打開，因為鎖的機制是由外部法規機構認證的，不存在任何萬能鑰匙。

藥品管理中心門口的電子刷卡記錄是 AWS CloudTrail 管理事件——誰進了門、什麼時間；每次從格中取出特定藥品的領用單是 CloudTrail 資料事件——誰拿了哪瓶藥。大多數醫院記錄門禁，但不一定記錄每次取藥（因為成本高）——CloudTrail 也一樣：管理事件預設開啟且免費保留 90 天；資料事件需要手動啟用並依事件計費，因為大型 bucket 的資料事件量極為龐大。

每天早上在中心內巡查的藥事法規合規專員（「冷藏門鎖了嗎？溫度設定是否符合規定？每格都貼了標籤嗎？」）是 AWS Config。自動掃描所有藥品批號、辨識哪些屬於管制藥品的系統是 Amazon Macie。定期將所有藥品清冊備份至院外異地倉庫的作業是 AWS Backup。當衛生局稽查員拿著清單到訪時，醫院整理出來的完整稽核證據包——記錄、政策文件、事件報告——就是 AWS Audit Manager 自動彙整的成果；而掛在院長辦公室牆上的各項認證（JCI、ISO、衛生局核准文件）則來自 AWS Artifact。

治理模式在這個類比中是冷藏格有緊急覆蓋機制——院長在有正當理由的情況下可以授權開鎖，但每次操作都有記錄。合規模式是格子的時間鎖根本沒有緊急開鎖選項——任何人都必須等時鐘歸零。這種不可逆性正是合規模式能滿足 SEC 17a-4(f)、FINRA Rule 4511 等 WORM 儲存法規的關鍵。

類比二：博物館檔案室

博物館檔案室完整呈現了 AWS 資料治理合規的全貌。恆溫恆濕的保存庫是 Amazon S3 加上靜態加密。封有防竄改封條的典藏箱是 compliance mode 下的 S3 Object Lock 物件——封條一旦貼上就無法在保留期結束前移除，任何嘗試都會留下明顯痕跡。記錄每位進出人員的監控攝影機是 CloudTrail。每週的典藏清冊盤點——「每件文物是否在正確位置、正確儲存類別、正確的保存條件下？」——是 AWS Config。新入藏文物的學術評估，標記哪些需要特殊處理，是 Amazon Macie 對敏感資料進行分類。每逢新一輪認證審查，策展團隊用 AWS Audit Manager 跨所有控制框架（ISO 27001、NIST CSF、SOC 2）蒐集證據並產出報告；而館長辦公室牆上裱框的認證書則從 AWS Artifact 下載取得。

類比三：稅務申報的層層憑證

想像一家企業的稅務申報流程。每張發票都依法規規定保存 N 年且不得銷毀——這是 S3 Object Lock。帳冊記錄誰在何時存取了哪份文件——這是 CloudTrail。每季由會計師事務所執行的合規查核——「財務政策是否落實到每個部門？」——是 AWS Config conformance pack。年度查稅時提交給國稅局的完整憑證包是 AWS Audit Manager。國際會計準則委員會對這套申報系統的認證書是 AWS Artifact。

資料分類與保留——法規框架概覽

每一個資料治理合規決策都從分類（搞清楚你有什麼資料）和保留（決定要保存多久、以及多久之內不得刪除）開始。

資料分類類別

SAA-C03 不會考特定的分類分類法，但大多數實務框架都使用三個等級：公開、內部、受限／機密。受限資料——PHI（受保護健康資訊）、PCI（持卡人資料）、PII（個人識別資訊）、財務記錄、出口管制資料、學生記錄——幾乎驅動了你在考試中會看到的所有合規需求。Amazon Macie 是透過機器學習掃描 Amazon S3 bucket，自動辨識這些類別的 AWS 服務。

保留 vs. 刪除

保留有兩個方向。最低保留期要求你至少保存資料 N 年（SEC 17a-4 要求券商記錄保留 6 年；HIPAA 要求稽核日誌保留 6 年）。最長保留期要求你在某個時間點前刪除資料（GDPR 要求在處理個人資料的合法依據消失後刪除）。AWS 服務對應兩者：

• 最低保留期 → S3 Object Lock 搭配 retain-until-date；S3 Versioning + MFA Delete；AWS Backup vault lock。
• 最長保留期／定期刪除 → S3 Lifecycle 規則搭配 expiration action；AWS Backup lifecycle 轉至冷儲存後刪除。

為什麼法規框架很重要

常見的合規框架，以情境題層次考核：

• HIPAA（醫療）——要求靜態與傳輸中加密、稽核日誌、存取控制、最低 6 年稽核日誌保留期。對應 S3 SSE-KMS + CloudTrail + S3 Object Lock。
• PCI DSS（付款卡）——要求網路隔離、加密、每季弱點掃描、日誌記錄、1 年線上日誌保留期。對應 VPC 隔離 + KMS + CloudTrail + AWS Config PCI DSS conformance pack。
• GDPR（歐盟個人資料）——要求合法依據、資料主體權利、違反通知、資料駐留。對應 region 選擇 + Macie 探索 + CloudTrail 可稽核性 + 加密。
• ISO 27001（通用資訊安全管理系統）——廣泛的控制目錄；對應 AWS Config ISO 27001 conformance pack + Audit Manager 框架。
• SEC 17a-4(f) / FINRA 4511（金融記錄）——要求 WORM 不可竄改儲存。對應 S3 Object Lock 合規模式。

Amazon S3 Object Lock——WORM 模式、保留期間與法律封存

Amazon S3 Object Lock 是 AWS 資料治理功能，在 Amazon S3 中提供 Write-Once-Read-Many（WORM） 儲存。物件一旦鎖定，在鎖定期間內就無法被覆寫或刪除。這是 SAA-C03 上最常考的資料治理控制，因為它是 AWS 原生回應所有「不可竄改日誌」、「不可竄改財務記錄」以及「抵抗勒索軟體的備份」情境的答案。

前提條件

S3 Object Lock 有兩個硬性前提：

• S3 bucket 必須在建立時就啟用 Object Lock（對新 bucket 而言），或對現有 bucket 透過 support 工作流程事後啟用。
• 該 bucket 必須啟用 S3 Versioning——Object Lock 在物件版本層級運作，而非物件名稱層級。對同一個 key 執行新的 PUT 會產生一個新的未鎖定版本；已鎖定的舊版本不受影響。

保留模式：治理模式 vs. 合規模式

S3 Object Lock 有兩種保留模式，兩者之間的差異是這個主題的第一大考試陷阱。

• 治理模式（Governance mode） 保護物件版本不被刪除，除非呼叫方擁有 s3:BypassGovernanceRetention IAM 權限。這適合用在內部變更管控工作流程中，目的是防止意外刪除，但對於有正當理由的特權使用者保留逃生出口。
• 合規模式（Compliance mode） 提供絕對的物件版本保護——就連 AWS 帳號的 root 使用者也無法在 retain-until-date 到期前刪除物件版本或縮短保留期間。保留期間可以延長，但一旦設定就永遠無法縮短或移除。這是唯一能滿足 SEC 17a-4(f) 等嚴格法規 WORM 要求的模式。

保留期間

保留期間是與物件版本相關聯的特定天數或年數，或特定的 retain-until-date。每個 PUT 都可以帶有明確的保留設定，或者 bucket 可以設定預設保留（模式 + 天數/年數），自動套用到每個新物件。常見的 SAA-C03 模式：

• 在專用稽核日誌 bucket 上設定 2555 天（約 7 年）的合規模式預設保留期。
• 在發票 bucket 上設定 365 天的治理模式預設保留期，搭配計畫中的覆蓋工作流程。
• 由應用程式為保留期間各異的個別記錄逐一寫入保留設定。

法律封存（Legal hold）

法律封存是一個獨立的無限期保護旗標。它與保留期間相互獨立——物件可以只有法律封存而無保留期、只有保留期而無法律封存，或兩者並存。法律封存會持續生效，直到擁有 s3:PutObjectLegalHold 權限的使用者明確解除為止。當情境描述「訴訟、調查或傳票要求資料保存超過正常保留期，且無法預知何時結束」，法律封存就是正確答案——因為無法預測結束時間，固定的 retain-until-date 是錯誤答案。

S3 Object Lock 與勒索軟體防護

常見的 SAA-C03 情境是「保護備份不受勒索軟體侵害」。答案是建立一個專用備份 bucket，啟用 Object Lock 合規模式並設定合理的保留期間（30–90 天）。即使攻擊者取得了帶有 s3:* 權限的 AWS 憑證，也無法刪除或就地加密現有的已鎖定物件版本。這正是 AWS Backup 支援 Object Lock 備份保險庫的原因，也是為什麼許多 WORM 合規情境與 SAA-C03 上的勒索軟體復原情境相互重疊。

AWS Backup——跨服務的集中式政策驅動備份

AWS Backup 是 AWS 的集中式備份服務，透過單一儀表板跨多個 AWS 服務統一管理備份政策、執行、監控與還原。它取代了各服務各自為政的快照腳本，提供單一的、可稽核的控制平面。

AWS Backup 支援的服務（SAA-C03 範圍）

你不需要記住完整清單，但要知道 AWS Backup 涵蓋了 SAA-C03 考試中所有主要的有狀態 AWS 服務：

• Amazon EBS（Volume 快照）
• Amazon RDS（DB 快照，含 Aurora）
• Amazon DynamoDB（隨需和持續 PITR 備份）
• Amazon EFS（檔案系統備份）
• Amazon FSx（Windows File Server、Lustre、NetApp ONTAP、OpenZFS）
• Amazon EC2（機器映像）
• AWS Storage Gateway（Volume 備份）
• Amazon S3（bucket 層級備份，支援時間點復原）
• Amazon Redshift（serverless 快照）

備份計畫、保險庫與政策

備份計畫（Backup plan） 是可重複使用的排程與保留範本——例如「每天 01:00 UTC 備份、保留 35 天，加上每月 1 日備份、保留 7 年」。備份保險庫（Backup vault） 是儲存復原點的加密容器，擁有自己的 AWS KMS 金鑰和存取政策。標籤式資源指派（Tag-based resource assignment） 是不需要逐一列舉資源、就能將資源對應到計畫的方式——只要為所有生產環境 RDS 執行個體加上 Backup=daily-prod 標籤，計畫就會自動納入。

AWS Backup Vault Lock

Vault Lock 之於 AWS Backup，就如同 Object Lock 合規模式之於 Amazon S3：它在保險庫上強制執行最低和最高保留政策，一旦以合規模式鎖定就無法修改或刪除。這是 AWS Backup 對「連 root 使用者都無法刪除」情境的答案。鎖定後有 3 天的冷卻期，在此期間仍可中止；冷卻期結束後鎖定就永久生效。因此實務部署會刻意安排等待期再完成鎖定。

AWS Backup vs. 手動快照

SAA-C03 常見陷阱是「啟用 AWS Backup」與「撰寫 Lambda 函數呼叫各服務快照 API」並列為選項。只要情境強調跨多個服務的單一政策、集中監控、跨帳號和跨 region 複製、保險庫層級不可竄改性或合規報告，AWS Backup 就是正確答案。自製快照腳本是考試干擾選項，因為它缺少上述所有需求。

S3 Versioning 與跨 Region 複製（用於資料復原）

S3 Versioning

S3 Versioning 是 bucket 層級的設定，保留每個物件的所有版本。DELETE 操作會變成「刪除標記」，隱藏最新版本而非實際刪除——移除刪除標記即可還原。覆寫 PUT 會建立新版本而非取代舊版本。

Versioning 是以下功能的前提條件：

• S3 Object Lock（要求 versioning，因為鎖定是在版本層級運作）。
• S3 Replication（來源和目的地 bucket 都需要啟用 versioning）。
• MFA Delete（選用功能，要求提供 MFA token 才能永久刪除特定版本或關閉 versioning）。

單獨啟用 Versioning 並不足以作為合規控制——擁有 s3:DeleteObjectVersion 的使用者仍可永久刪除任何版本。真正的不可竄改性需要結合 Versioning、Object Lock、MFA Delete 和 IAM deny 政策。

S3 跨 Region 複製（CRR）與同 Region 複製（SRR）

S3 Replication 會非同步地將物件從來源 bucket 複製到目的地 bucket。複製預設為單向，但支援雙向複製規則。常見使用案例：

• 跨 Region 複製（CRR）——災難復原、法規要求的地理隔離副本、降低其他 region 讀取者的延遲。
• 同 Region 複製（SRR）——將多個 bucket 的日誌彙整到一個中央帳號、分離生產與分析 bucket、符合要求獨立帳號副本的合規規定。

啟用複製之前就存在的物件不會被複製（對歷史物件使用 S3 Batch Replication）；預設情況下 lifecycle 到期刪除不會被複製。來源和目的地都必須啟用 versioning。

AWS CloudTrail——稽核日誌、日誌完整性與治理

AWS CloudTrail 是記錄 AWS 帳號中每次 API 呼叫的資料治理合規服務。它是 SAA-C03 上所有「誰做了什麼、何時、從哪裡」問題的首要答案。

管理事件 vs. 資料事件

CloudTrail 區分兩類事件，兩者的差異是重點考題。

• 管理事件（又稱控制平面事件）是管理資源的 API 呼叫——RunInstances、CreateBucket、PutBucketPolicy、AttachRolePolicy、CreateUser。管理事件預設開啟，且在 CloudTrail Event history 主控台可免費查看最近 90 天的記錄。長期儲存需要建立 trail 並寫入 Amazon S3。
• 資料事件（又稱資料平面事件）是與資源內容互動的 API 呼叫——S3 物件上的 GetObject、PutObject、DeleteObject；Lambda 函數的 Invoke；DynamoDB 資料表的項目層級操作。資料事件預設關閉，因為量大，且啟用後依事件計費。

對於 S3，CloudTrail 資料事件可以針對特定 bucket 或前綴啟用，讓你只為真正在意的資料付費。經典的 SAA-C03 情境：「安全團隊必須記錄特定含敏感資料 bucket 上的每次 GetObject 和 PutObject 呼叫」——答案是對該 bucket 啟用 CloudTrail S3 資料事件，而不是「啟用 CloudTrail」（預設 CloudTrail 已涵蓋管理事件，但不涵蓋資料事件）。

多 Region Trail 與 Organizations Trail

單一 CloudTrail trail 可以設定為多 Region，意即它捕捉來自每個 AWS region 的事件並寫入同一個 S3 bucket。這是資料治理合規的強烈建議設定，因為可以防止你的團隊未積極使用的 region 出現稽核盲點。在多 Region 之上，AWS Organizations trail 可以捕捉組織中每個 AWS 帳號的事件，並寫入單一中央 S3 bucket——這是中央安全帳號的標準模式。

日誌檔案完整性驗證

CloudTrail 可以選擇性地對日誌檔案進行簽署和雜湊，在 S3 中產生摘要檔案，讓你可以密碼學驗證沒有任何日誌檔案在交付後被竄改、刪除或修改。對於稽核日誌本身的完整性必須可證明的使用案例，這是關鍵控制。CloudTrail CLI 指令 aws cloudtrail validate-logs 可以依照摘要鏈驗證某個時間範圍的日誌檔案。

CloudTrail Lake

AWS CloudTrail Lake 是專為 CloudTrail 事件設計的受管資料湖，支援**長期保留（最多 10 年）**以及直接對事件執行 SQL 查詢，無需先載入 Athena。可以把它理解為 CloudTrail 事件 + 內建查詢引擎 + 長期保留。當情境說「保留 CloudTrail 資料 7 年，並支援安全團隊臨時 SQL 查詢」，CloudTrail Lake 就是正確答案——它取代了舊模式（寫入 S3、建立 Glue 資料表、用 Athena 查詢）。

交付目標

CloudTrail trail 可以將事件交付至：

• Amazon S3——耐久的長期儲存（必要）；這是長期保留的所在地。
• Amazon CloudWatch Logs——選用，用於透過 metric filter 和 alarm 進行即時告警。
• Amazon EventBridge——選用，用於在特定事件上觸發 Lambda 函數或 Step Functions。

AWS Config——持續合規評估與修復

AWS Config 是持續記錄 AWS 資源設定並持續依你定義的規則評估的資料治理合規服務。CloudTrail 回答「誰做了什麼」，Config 回答「現在的狀況是什麼，是否合規？」。

設定項目與設定歷史

每個受支援的資源（EC2 執行個體、EBS volume、S3 bucket、安全群組、IAM 角色等）每次變更時都會產生一個設定項目（configuration item）。特定資源的設定項目串流就是它的設定歷史——你可以回溯查看三週前某個安全群組的規則是什麼樣子。

Config 規則

Config 規則是針對目標類型的每個資源執行的評估函數，傳回 COMPLIANT（合規）、NON_COMPLIANT（不合規）或 NOT_APPLICABLE（不適用）。兩種來源：

• AWS 受管規則——AWS 提供數百條預建規則：s3-bucket-public-read-prohibited、ec2-instance-no-public-ip、iam-user-mfa-enabled、rds-storage-encrypted、cloudtrail-enabled 等。
• 自訂規則——你撰寫 Lambda 函數（或 AWS Config 以 Guard DSL 撰寫的自訂政策）來實作評估邏輯。

Config 規則可以是定期執行（按排程執行）或變更觸發（每次設定項目變更時執行）。大多數受管規則預設為變更觸發。

Conformance Pack

Conformance pack 是將多個 Config 規則（以及選用的修復動作）打包成單一可部署單元的集合。AWS 提供預建 conformance pack 對應常見合規框架：

• HIPAA Security 的操作最佳實踐
• PCI DSS 3.2.1 的操作最佳實踐
• GDPR 的操作最佳實踐
• NIST 800-53 的操作最佳實踐
• ISO 27001 的操作最佳實踐
• CIS AWS Foundations Benchmark 的操作最佳實踐
• AWS Well-Architected Security Pillar 的操作最佳實踐

部署一個 conformance pack，一步就能獲得框架層級的合規儀表板——AWS Config 對 pack 中的每條規則評估每個資源，彙整合規百分比，並產出框架對齊的報告。這是 SAA-C03 對「安全團隊要如何快速查看我們對 HIPAA 的合規狀態？」的答案——在 AWS Config 中部署 HIPAA conformance pack。

修復

Config 支援在資源不合規時自動執行的修復動作。修復動作是 AWS Systems Manager 的自動化文件（SSM documents）——例如「如果發現 S3 bucket 設為公開，就套用 PutBucketPolicy 封鎖公開存取」。修復可以是自動（在發現不合規時立即觸發）或手動（在主控台顯示，供人工點擊執行）。這讓偵測（Config）與動作（SSM Automation）形成閉環，無需撰寫自訂 Lambda 函數。

Config vs. CloudTrail

兩個服務都記錄 AWS 活動，但回答不同的問題：

大多數架構良好的工作負載會同時執行 CloudTrail（稽核日誌）和 AWS Config（設定合規）作為資料治理的基礎。

Amazon Macie——PII 探索與資料分類

Amazon Macie 是 AWS 受管服務，使用機器學習和模式比對，自動探索、分類並保護 Amazon S3 中的敏感資料。Macie 是 AWS 對「我們需要知道哪些 S3 bucket 含有 PII、PHI 或 PCI 資料」的答案，無需撰寫自訂掃描器。

受管資料識別符

Macie 內建受管資料識別符，涵蓋常見敏感資料類型：姓名、電子郵件地址、電話號碼、郵寄地址、信用卡號、美國 SSN、護照號碼、駕照號碼、AWS Access Key、原始碼中的憑證、醫療代碼等。你也可以用正規表示式 + 關鍵字視窗 + 最大符合距離，為組織的專有格式建立自訂資料識別符。

敏感資料探索任務

你可以對一個或多個 S3 bucket 執行探索任務（一次性或排程執行）。任務對物件取樣，套用受管和自訂識別符，並依嚴重性和敏感性類型發出發現項目（findings）。發現項目會串流至 AWS Security Hub、Amazon EventBridge 和 Macie 主控台。

自動化敏感資料探索

Macie 也提供自動化敏感資料探索，以輕量持續採樣的方式掃描帳號（和組織）中的所有 S3 bucket，無需明確設定任務。這會產生持續的風險評分和 S3 足跡的敏感性地圖——通常是 SAA-C03 對「CISO 想要持續的跨所有 S3 bucket PII 清單」的答案。

Macie vs. GuardDuty vs. Inspector

考試陷阱：三個「安全 AI」服務聽起來類似，但各有不同功能。

AWS Audit Manager——合規稽核的證據收集

AWS Audit Manager 自動化了針對合規框架的稽核證據收集流程。AWS Config 持續評估規則；Audit Manager 將評估結果連同其他證據（CloudTrail 片段、資源設定、手動認證）打包成稽核就緒的報告。

框架與評估

Audit Manager 內建 HIPAA、PCI DSS、GDPR、NIST 800-53、SOC 2、ISO 27001、FedRAMP、GxP 等預建框架。你從框架建立評估（assessment），設定稽核範圍涵蓋的 AWS 帳號和服務，Audit Manager 就會持續收集對應到每個控制項的證據。

證據類型

證據可以是：

• 從 AWS 服務自動取得——AWS Config 規則評估、CloudTrail 事件、AWS Security Hub 發現項目、資源設定快照。
• 手動上傳——政策文件、訪談記錄、教育訓練記錄、實體存取日誌。

輸出是每個控制項的受控證據資料夾，可直接交給稽核人員，以及 PDF 評估報告。

Audit Manager vs. Config vs. Artifact

這三個合規服務常讓考生混淆。它們實際上是分層的：

• AWS Artifact——AWS 自身關於 AWS 的合規認證（SOC 1/2/3、ISO 27001 認證、PCI DSS AOC）。你下載這些文件給稽核人員，以證明 AWS 是合規的次服務組織。
• AWS Config（+ conformance pack）——持續評估你的資源是否符合框架對齊的規則。輸出：當前合規百分比和不合規資源清單。
• AWS Audit Manager——持續收集並打包來自 Config、CloudTrail、Security Hub 和手動來源的證據，針對框架中每個控制項產出稽核就緒的報告。輸出：給稽核人員的 PDF/ZIP 交付物。

AWS Artifact——隨需合規報告

AWS Artifact 是讓你隨需下載 AWS 自身合規報告與協議的 AWS 服務。它與你的工作負載無關——它關於的是作為次服務組織的 AWS。

Artifact 中有什麼

• AWS SOC 1、SOC 2、SOC 3 報告——由獨立稽核機構出具的服務組織控制報告。
• PCI DSS 合規認證（AOC） 和責任摘要。
• ISO 27001、ISO 27017、ISO 27018、ISO 9001、ISO 22301 認證。
• FedRAMP 報告（中等和高等基準）。
• HIPAA / HITECH 合規文件，包括在 AWS 服務上儲存 PHI 前必須簽署的業務夥伴附加條款（BAA）。
• GDPR 資料處理附加條款（DPA）。
• 各國家地區特定認證（IRAP、C5、MTCS、OSPAR 等）。

如何在 SAA-C03 情境中使用 Artifact

當考試情境說「稽核人員要求提供 AWS 的 SOC 2 報告」或「我們在儲存 PHI 前需要簽署的業務夥伴附加條款」，答案就是 AWS Artifact——這字面上就是唯一對應的服務。Artifact 報告在接受適用的保密協議後可一鍵下載，且 AWS 不額外收費。

資料生命週期政策——S3 Lifecycle 規則與到期

S3 Lifecycle 規則自動化 Amazon S3 物件的儲存類別轉換和刪除。它是核心的資料治理控制，因為它同時實現成本優化和 GDPR／資料最小化的自動刪除。

轉換動作

轉換動作在 N 天後將物件從一個儲存類別移至另一個：

• Standard → Standard-IA（至少 30 天後）
• Standard → Intelligent-Tiering
• Standard → One Zone-IA
• Standard → Glacier Instant Retrieval
• Standard → Glacier Flexible Retrieval
• Standard → Glacier Deep Archive

到期動作

到期動作在 N 天後刪除當前物件版本，或永久刪除非當前版本。結合 versioning，這提供了兩階段刪除：DELETE 時當前版本變成非當前版本，非當前版本在設定的期間後永久到期。到期動作是「依 GDPR 資料最小化要求在 7 年後刪除 PII」的正確答案。

Lifecycle 與 Object Lock 的互動

重要的治理注意事項：S3 Lifecycle 無法刪除被 Object Lock 鎖定的物件，直到保留期間到期且任何法律封存被移除為止。Lifecycle 和 Object Lock 和平共存——任何會違反鎖定的 Lifecycle 提案都會被靜默跳過。

Lifecycle 用於資料最小化

典型的 GDPR 情境：「公司必須在帳號關閉 2 年後刪除個人資料」。實作方式：

1. 在資料入庫時為物件加上客戶帳號 ID 標籤。
2. 按標籤過濾的 Lifecycle 規則在 730 天後刪除物件。
3. CloudTrail 資料事件記錄每次 PutObject（用於溯源）和每次 Lifecycle 驅動的刪除（用於稽核證明）。
4. AWS Config 驗證 Lifecycle 規則仍在附加且符合政策。

實施資料存取與保護政策

資料治理不只是儲存功能——也涉及誰被允許存取資料。以下控制在 SAA-C03 上與資料治理層相交。

S3 Bucket 政策與 IAM 政策

以資源為基礎的 S3 bucket 政策結合以身份為基礎的 IAM 政策，強制規範誰可以讀取、寫入和刪除物件。治理等級的 bucket 通常有 bucket 政策，拒絕除特定角色外的任何人執行 s3:DeleteObject、拒絕未加密的上傳、以及拒絕非 TLS 的請求。

S3 Block Public Access

S3 Block Public Access 是帳號層級和 bucket 層級的控制，會覆蓋任何原本會讓物件公開的 ACL 或 bucket 政策。它在新 bucket 上預設啟用，非有充分理由不得停用。AWS Config 有受管規則（s3-account-level-public-access-blocks），會標記任何已關閉此功能的帳號。

AWS KMS 與治理情境中的加密

加密本身是獨立的主題（資料加密與金鑰管理），但每個資料治理框架都要求靜態加密。治理等級的 bucket 使用含客戶受管 CMK 的 SSE-KMS，讓金鑰層級的存取稽核記錄在 CloudTrail 中（Decrypt、GenerateDataKey）——你不只能證明誰存取了物件，還能證明誰存取了解密該物件的金鑰。

資源標籤與資料分類標籤

為物件、bucket 和資源加上資料分類標籤（data-classification: restricted），讓 AWS Config 規則、Macie 和 Audit Manager 能依敏感性過濾。常見模式：「每個標記為 data-classification: restricted 的 bucket 都必須啟用 Object Lock」——以自訂 AWS Config 規則實作。

將 AWS 服務對齊合規框架（HIPAA、PCI DSS、GDPR、ISO 27001）

與其死背每個框架的每個控制項，不如記住對應模式：「這個框架要求 X；AWS 透過服務 Y 和 Z 提供 X」。然後將這個模式套用到任何情境。

HIPAA（健康保險可攜性和責任法案）

HIPAA 管轄美國醫療保健中的受保護健康資訊（PHI）。

• 需要 BAA（從 AWS Artifact 取得），才能儲存 PHI。
• 靜態加密——S3 SSE-KMS、EBS 加密、RDS 加密。
• 傳輸中加密——透過 ACM 使用 TLS 1.2+；使用拒絕非 TLS 的 bucket 政策。
• 稽核日誌——含日誌檔案完整性驗證的 CloudTrail 多 Region trail；透過 S3 Lifecycle 轉至 Glacier Deep Archive 達最低 6 年保留期。
• 存取控制——IAM 最小權限、MFA、IAM Identity Center。
• 持續合規——AWS Config HIPAA conformance pack。
• 敏感資料探索——Amazon Macie 掃描 S3 中的 PHI 模式。

PCI DSS（支付卡行業資料安全標準）

PCI DSS 管轄持卡人資料。

• AOC 可從 AWS Artifact 取得，作為 AWS 端認證。
• 網路隔離——持卡人資料環境（CDE）的專用 VPC；嚴格的安全群組和 NACL。
• 加密——KMS 用於靜態資料；TLS 用於傳輸中資料。
• 日誌記錄——含資料事件的 CloudTrail 用於儲存持卡人資料的 S3 bucket；1 年線上 + 1 年封存。
• 弱點管理——Amazon Inspector 用於 EC2 和 ECR 掃描；AWS Systems Manager Patch Manager。
• 持續合規——AWS Config PCI DSS conformance pack。

GDPR（通用資料保護規範）

GDPR 管轄歐盟居民的個人資料。

• DPA 可從 AWS Artifact 取得。
• 資料駐留——為處理選擇歐盟 AWS region；使用 S3 region 限制。
• 資料主體權利——具備匯出、修改和刪除個人資料的能力；使用標籤 + lifecycle + Macie 探索。
• 違反通知——GuardDuty + Security Hub + EventBridge → 72 小時內自動通知。
• 處理活動記錄——CloudTrail + Config 捕捉歷史記錄。
• 資料最小化——S3 Lifecycle 到期動作。

ISO 27001（資訊安全管理）

ISO 27001 定義了 ISMS（資訊安全管理系統）。

• 憑證可從 AWS Artifact 取得，作為 AWS 端合規。
• 控制目錄——附件 A 控制項對應 AWS 服務；AWS Config ISO 27001 conformance pack 評估技術控制。
• 稽核——AWS Audit Manager ISO 27001 框架彙整證據。

資料治理 vs. 資料加密——相關但有所區別

兩個主題都在 SAA-C03 考試指南的 Task 1.3 之下，但它們是互補的，不是重疊的：

• 資料加密與金鑰管理（姊妹主題）涵蓋 KMS、CloudHSM、信封加密、SSE-S3 vs. SSE-KMS vs. SSE-C、TLS 和 ACM——密碼學層。
• 資料治理、備份與合規控制（本主題）涵蓋 Object Lock、Versioning、Backup、CloudTrail、Config、Macie、Audit Manager、Artifact 和合規框架對齊——政策、稽核與保留層。

許多實際的合規需求同時需要兩者：HIPAA 要求加密（加密主題涵蓋）以及稽核日誌（這裡涵蓋）。SAA-C03 題目通常會透過強調「加密」（加密主題）或「保留／不可竄改／可稽核／分類」（治理主題）來暗示哪個主題是主要的。

資料治理合規的關鍵數字記憶

這份精簡清單涵蓋了最可能在 SAA-C03 干擾選項中出現的數字和分類事實。

常見考試陷阱——資料治理與合規

每次 SAA-C03 考試中，預期至少會遇到其中兩個。

陷阱一：S3 Versioning vs. S3 Object Lock

Versioning 保留已刪除和已覆寫的版本，但任何擁有 s3:DeleteObjectVersion 的主體仍可永久刪除特定版本。單獨的 Versioning 不等於不可竄改性，無法滿足 WORM 合規。「沒有人能刪除這份資料」的正確答案是在 versioning 之上啟用 S3 Object Lock（合規模式），而非單獨使用 versioning。

陷阱二：治理模式 vs. 合規模式

混合治理模式和合規模式的選項是刻意讓人混淆的。情境提到「管理員可以有正當理由覆蓋」，是治理模式。情境提到「在完整保留期間內不可竄改」、「連 root 使用者」、「SEC 17a-4」或「WORM」，是合規模式。

陷阱三：AWS Backup vs. 手動快照

情境強調跨多個 AWS 服務的集中化政策、跨帳號複製、vault lock 或合規儀表板，答案是 AWS Backup。按排程執行的 Lambda 快照腳本是干擾選項。

陷阱四：CloudTrail 管理事件 vs. 資料事件

「誰建立了 bucket」= 管理事件（預設開啟）。「誰下載了特定物件」= 資料事件（必須明確啟用）。費用模型是另一個線索：資料事件依事件計費，而管理事件是內含的。

陷阱五：Macie vs. GuardDuty vs. Inspector

Macie = S3 中的敏感資料探索。GuardDuty = 透過日誌進行威脅偵測。Inspector = EC2／ECR／Lambda 的弱點掃描。混淆三者是 Domain 1 的經典陷阱。

陷阱六：AWS Config vs. AWS CloudTrail

口頭上兩者都是「日誌記錄」服務，但 Config 回答「我的資源目前狀態是什麼」，CloudTrail 回答「發出了哪些 API 呼叫」。大多數治理架構會同時執行兩者。

陷阱七：AWS Artifact vs. Audit Manager

Artifact = 下載 AWS 自身的認證報告。Audit Manager = 將你的客戶端證據整理成稽核人員就緒的套件。不要混淆兩者。

陷阱八：Object Lock bucket 必須在 bucket 建立時啟用（歷史限制）

歷史上 S3 Object Lock 只能在 bucket 建立時啟用。近期 AWS 增加了透過 support 工作流程在現有 bucket 上啟用的路徑——但考試題目可能仍將其視為建立時的前提條件。當不確定且情境說「新 bucket」時，假設它是在建立時啟用的。

資料治理架構模式——五大支柱堆疊

一個架構良好的 AWS 資料治理部署，將上述所有服務組合成單一堆疊。記住這個模式——它能解鎖 SAA-C03 的複合題。

1. 具備不可竄改性的儲存——S3 含 Versioning + Object Lock 合規模式用於稽核關鍵資料；AWS Backup Vault Lock 用於備份。
2. 集中式稽核日誌——CloudTrail 組織 trail（多 Region、日誌檔案完整性驗證）寫入專用封存帳號；敏感 bucket 啟用資料事件；CloudTrail Lake 用於 7–10 年保留和 SQL 查詢。
3. 持續合規——跨所有帳號的 AWS Config 彙整；每個所需框架的 conformance pack；透過 SSM Automation 進行修復。
4. 資料分類——Amazon Macie 對每個 S3 bucket 進行自動化敏感資料探索；發現項目送至 Security Hub。
5. 證據與報告——每個框架的 AWS Audit Manager 評估；AWS Artifact 下載 AWS 端認證文件。

這個堆疊可同時滿足 HIPAA、PCI DSS、GDPR、ISO 27001、SOC 2 和 FedRAMP——這就是為什麼它是「在 AWS 上運行的受監管企業」的 SAA-C03 參考架構。

FAQ——資料治理與合規最常問問題

Q1：S3 Object Lock 治理模式和合規模式有什麼差別？

治理模式保護物件版本不被刪除，除非呼叫方擁有 s3:BypassGovernanceRetention IAM 權限——它防止意外或未授權的刪除，但為有正當理由的特權管理員保留受控的逃生出口。合規模式提供絕對不可竄改性：任何人——包括 AWS 帳號 root 使用者——都無法在 retain-until-date 到期前刪除物件版本或縮短保留期間。合規模式的保留期可以延長，但一旦設定就永遠無法縮短或移除。合規模式是唯一能滿足 SEC 17a-4(f) 和 FINRA Rule 4511 等嚴格法規 WORM 要求的模式，也是 SAA-C03 情境說「連管理員都無法刪除」或「法規 WORM」時的正確答案。

Q2：什麼時候應該用 AWS Backup 而非各服務各自的快照？

當情境強調跨多個 AWS 服務的集中化政策（EBS + RDS + DynamoDB + EFS + FSx）、跨帳號和跨 region 複製、保險庫層級不可竄改性（Vault Lock）、標籤式資源指派或整個備份範圍的合規報告，就使用 AWS Backup。各服務個別的快照（EBS 快照、RDS 自動備份、DynamoDB PITR）對單一服務的工作負載仍然有效，但缺少 SAA-C03 情境中常見要求的集中化政策和 vault lock 功能。如果題目是「一個儀表板、一個政策、多個服務」，AWS Backup 永遠是答案。

Q3：CloudTrail 預設記錄什麼？哪些需要另外啟用？

CloudTrail 預設記錄管理事件，並可在 CloudTrail Event history 主控台免費查看最近 90 天。長期保留需要建立 trail 並寫入 S3。資料事件（S3 的 GetObject／PutObject／DeleteObject、Lambda 的 Invoke、DynamoDB 的項目層級操作）預設關閉，因為量大——你按 bucket、函數或資料表啟用，並依事件付費。對 SAA-C03 來說，記住：「誰建立了 bucket」→ 預設開啟；「誰讀取了這個特定檔案」→ 需要資料事件。同時為任何治理等級的 trail 啟用日誌檔案完整性驗證，如果需要長期保留加上內建 SQL 查詢，考慮 CloudTrail Lake。

Q4：AWS Config 如何協助合規，什麼是 conformance pack？

AWS Config 持續記錄每個受支援資源的設定，並持續依 Config 規則（AWS 受管或自訂）評估資源。Conformance pack 是對應特定合規框架、預建的 Config 規則集合——AWS 發布了 HIPAA、PCI DSS、GDPR、NIST 800-53、ISO 27001、CIS 等的套件。部署 conformance pack 可一步獲得框架對齊的合規儀表板。搭配 AWS Systems Manager Automation 修復動作，Config 可以自動修復不合規的資源（例如，重新套用 S3 Block Public Access）。Config 是持續合規層；CloudTrail 是稽核日誌層；兩者合用可回答「我的環境目前是否合規，以及它是如何變成這樣的？」。

Q5：什麼時候用 Amazon Macie vs. AWS Audit Manager vs. AWS Artifact？

它們在三個不同的層次運作。Amazon Macie 是資料層服務，使用 ML 在 Amazon S3 bucket 中找出 PII、PHI 和 PCI 資料並分類敏感性——當情境說「探索敏感資料」、「識別信用卡號」或「分類 S3 內容」時使用 Macie。AWS Audit Manager 是控制層服務，跨 AWS 服務持續收集證據（Config 規則結果、CloudTrail 事件、設定快照、手動上傳），並將其打包成框架對齊的稽核交付物——當情境說「為 HIPAA／PCI DSS／ISO 27001 準備稽核證據」時使用 Audit Manager。AWS Artifact 是供應商層服務，讓你下載 AWS 自身的合規認證（SOC 報告、ISO 憑證、PCI AOC、HIPAA BAA、GDPR DPA）——當情境說「稽核人員需要 AWS 的 SOC 2 報告」或「我們在儲存 PHI 前必須簽署 BAA」時使用 Artifact。

Q6：如何在 AWS 上整體滿足 HIPAA、PCI DSS 或 GDPR？

遵循四步驟模式：（1）透過 AWS Artifact 取得 AWS 端認證（HIPAA 的 BAA、PCI DSS 的 AOC、GDPR 的 DPA）。（2）實作技術控制——KMS 靜態加密、ACM／TLS 傳輸中加密、IAM 最小權限和 MFA、VPC 隔離、含日誌檔案完整性驗證的 CloudTrail、稽核關鍵資料的 S3 Object Lock、資料最小化／GDPR 刪除的 S3 Lifecycle。（3）使用 AWS Config 和框架特定 conformance pack 持續評估合規（HIPAA、PCI DSS、GDPR 套件均預建）。（4）使用 AWS Audit Manager 和對應的評估框架收集並打包證據。這個相同的模式——Artifact → 技術控制 → Config → Audit Manager——幾乎能滿足 SAA-C03 上的所有合規情境。

Q7：S3 Versioning、Replication 和 Object Lock 之間的關係是什麼？

S3 Versioning 是保留 bucket 中每個物件所有版本的基礎功能——DELETE 變成刪除標記，覆寫建立新版本。S3 Replication（跨 Region 或同 Region）非同步地將物件版本複製到另一個 bucket，用於 DR 和合規；它需要來源和目的地都啟用 versioning。S3 Object Lock 在物件版本層級提供 WORM 不可竄改性（治理或合規模式），且需要 versioning 作為前提條件。治理等級的 bucket 通常三者兼備：啟用 versioning、Lifecycle 規則用於成本優化、稽核關鍵資料的 Object Lock 合規模式，以及複製到地理隔離 region 的 CRR 用於災難復原。每一層解決不同的問題——歷史記錄（versioning）、地理冗餘（replication）和不可竄改性（Object Lock）——你根據情境的需求選擇對應的組合。

延伸閱讀

• Using S3 Object Lock（AWS 文件）
• S3 Object Lock Overview — Retention Modes and Legal Holds
• AWS CloudTrail User Guide
• Logging Management and Data Events with CloudTrail
• AWS CloudTrail Lake
• What is AWS Config
• AWS Config Conformance Packs
• What is Amazon Macie
• What is AWS Audit Manager
• What is AWS Artifact
• What is AWS Backup
• Amazon S3 Replication
• AWS SAA-C03 Exam Guide（PDF）