问题描述
在使用AWS SQS时,遇到了HIPAA合规性的问题。他的使用场景是将S3中的数据排队到AWS SQS,然后连接到CloudWatch,CloudWatch的指标将触发AWS Lambda。然而,他希望这个架构能够符合HIPAA合规性。因此,他提出了以下解决方案:
1. 当S3存储桶接收到文件时,
2. 启动一个Lambda函数,对文件进行哈希/名称混淆,并通过aws cp
命令将文件复制到另一个S3存储桶
3. 将具有哈希/混淆名称的存储桶连接到SQS队列
用户想知道这是否是一个好的安全实践,或者是否有更好的解决方案。他还想知道是否可以将S3的加密密钥发送到SQS,但他不确定是否可以实现或是否可行。
解决方案
请注意以下操作注意版本差异及修改前做好备份。
根据Amazon AWS的官方文档,只有在符合HIPAA合规性的服务中处理、存储和传输PHI(受保护的健康信息)时,才能在HIPAA账户中使用任何AWS服务。目前有十个符合HIPAA合规性的服务,包括AWS Snowball、Amazon DynamoDB、Amazon EBS、Amazon EC2、Amazon Elastic MapReduce (EMR)、Amazon Elastic Load Balancing (ELB)、Amazon Glacier、Amazon Relational Database Service (RDS) [仅限MySQL、Oracle和PostgreSQL引擎]、Amazon Aurora [仅限MySQL兼容版本]、Amazon Redshift和Amazon S3。
这意味着只要您不在SQS中存储或传输PHI,而只是存储有关PHI存储位置的信息,您可能可以通过HIPAA合规性审核。在您描述的架构中,SQS队列不需要包含任何PHI内容,这将使其符合上述声明。
关于AWS上的HIPAA合规性的更多信息,请参阅2017年1月的白皮书 – https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf。
在HIPAA FAQ中详细介绍了SQS并对其进行了解释 – https://aws.amazon.com/blogs/security/frequently-asked-questions-about-hipaa-compliance-in-the-aws-cloud-part-two/。
更新:截至2017年5月1日,SQS现在符合HIPAA合规性 – https://aws.amazon.com/about-aws/whats-new/2017/05/amazon-simple-queue-service-sqs-is-now-a-hipaa-eligible-service/