共同的責任模型

AWS 負責保護執行 AWS 雲端中所提供的所有服務的基礎設施。此基礎設施由執行 AWS 雲端服務的硬體、軟體、聯網與設施組成。

客戶的責任依客戶選擇的 AWS 雲端服務而定。這會決定客戶在安全責任中必須執行的組態工作量。例如，Amazon Elastic Compute Cloud (Amazon EC2) 等服務分類為基礎設施即服務 (IaaS)，因此，需要客戶執行所有必要的安全組態和管理任務。部署 Amazon EC2 執行個體的客戶需負責管理訪客作業系統 (包含更新和安全性修補程式)、客戶在執行個體上安裝的所有應用程式軟體或公用程式，以及 AWS 在每個執行個體提供的防火牆組態 (稱為安全群組)。若是 Amazon S3 和 Amazon DynamoDB 等抽象服務，AWS 運作基礎設施層、作業系統和平台，客戶則存取端點以儲存及擷取資料。客戶負責管理其資料（包括加密選項），對其資產進行分類，以及使用 IAM 工具來套用適當的權限。

此客戶/AWS 共同責任模式也延伸適用於 IT 控制。就像 AWS 及其客戶需共同負擔操作 IT 環境的責任一樣，IT 控制的管理、操作和驗證也是共同的責任。AWS 透過管理部署在 AWS 環境中且之前可能由客戶管理的實體基礎設施相關控制，協助客戶減輕操作控制的負擔。因為每個客戶在 AWS 中的部署情況各不相同，所以他們可利用將特定 IT 控制的管理轉移至 AWS，藉此產生 (新的) 分散式控制環境。然後，客戶便可透過可用的 AWS 控制和合規文件，視需要執行控制評估和驗證程序。以下是由 AWS、AWS 客戶及/或雙方管理的控制範例。

客戶完全沿用自 AWS 的控制。

• 實體和環境控制

同時適用於基礎設施層和客戶層，但內容或觀點完全不同的控制。在共同的控制，AWS 提供基礎設施的要求，而客戶必須在其使用 AWS 服務內提供自己的控制實作。範例包括：

• 修補程式管理 – AWS 負責基礎設施內的漏洞修補和修正，但客戶需負責修補自己的訪客作業系統和應用程式。
• 組態管理 – AWS 負責維護其基礎設施裝置的組態，而客戶負責設定自己的訪客作業系統、資料庫和應用程式。
• 感知與培訓 – AWS 訓練 AWS 員工，而客戶必須訓練自己的員工。

根據客戶在 AWS 服務內部署的應用程式，完全由客戶負責的控制。範例包括：

• 可能需要客戶在特定安全環境內路由或分區資料的服務和通訊保護或區域安全性。