公有云可以使一些事情变得更容易，但是开发人员在创建符合规范的应用时会遇到困难。除非IT团队知道具体的合规要求以及如何正确利用AWS，否则他们将会陷入困境。

诸如医疗保健机构这样的受管制行业，比方说，需要创建能够承受攻击，并满足法规要求的亚马逊Web服务（AWS）应用。尽管合规性可能不是AWS或其早期采用者的第一要务，该公司使他们的客户在其公有云上满足法规遵从变得更容易上取得了很大进展。

事实上，在AWS上面达到符合健康保险流通与责任法案（HIPAA）的目标并不难，根据总部位于纽约的Logicworks，一家AWS高级咨询合作伙伴及管理服务合作伙伴的高级副总裁Stephanie Tayengco的描述。“AWS提供的基础架构能够被HIPAA兼容，但使用它却让你既不安全，也不符合规范，”Tayengco指出。随着医疗IT系统变得越来越复杂，本地技术延伸到AWS云，只是简单地制定严格的安全策略并满足法规遵从已经不够。但AWS可以提供帮助。

“你需要在发展的同时重新评估，”Tayengco补充道。“在你设计了安全措施来加强安全策略后，云自动化有助于保证它们在基础设施的整个生命周期中能够被执行。”

相比之下，当医疗保健公司需要依靠人工作业以保持安全性时，手动错误的可能性会进一步加剧攻击者带来的风险。

此外，HIPAA已经在2009年被经济和临床健康之卫生信息技术法案（HITECH）所补充，现在包括了更复杂的要求以保护个人健康信息。在云的方面来说，这些规定中最关键的点是要求云服务提供商-就像在医疗保健系统中的任何其他实体一样-必须是业务伙伴协议（BAA）的一部分。

HIPAA的规则强制规定这一点，所以这些商业伙伴在妥善保障受保护的健康信息方面必须有法律协议。 AWS有一份标准的商业伙伴协议，会定期的在和那些必须符合HIPAA要求的企业打交道时使用。

“AWS的不少服务都有被BAA所覆盖，但你仍然要负责是以安全并满足合规性要求的方式来配置和使用它们，”Tayengco说道。例如，客户仍需对加密文件系统和传输中的数据负责，他们也必须确保日志被妥善保存。

AWS的合规性最近又采取了更进一步的措施，使得其数据中心设施符合ISO 27018的标准，其中包括“建立普遍接受的控制目标，以及采取保护个人身份信息（PII）措施的控制和规范方针，”根据该标准的原文描述。

有了这一配合的规则显示出，要满足AWS合规性，一家公司必须拥有一个控制系统来专门负责处理其内容的隐私保护问题。此外，这家供应商表示，其规则中固有的数据保护覆盖了所有的数据，无论它是否是PII兼容。

该云供应商在上周拉斯维加斯举行的2015 re:Invent大会上还宣布了AWS GoldBase; GoldBase旨在帮助客户创造安全并合规的工作负载。据该公司介绍，GoldBase将在一系列合规制度方面促进安全部署，不仅包括HIPAA，还有美国联邦信息安全管理法案，支付卡行业，刑事司法信息服务和联邦金融机构检查委员会。

但就目前而言，AWS客户可以依赖该公司对于联邦风险和授权管理计划（FedRAMP），一个四年前提出的联邦计划的承诺，该计划提供了一个给使用云技术产品和服务的机构所用的标准化安全评估，授权和监控方式，Luis Benavides，位于弗吉尼亚州McLean的AWS经销商Day1 Solutions公司的CEO说道。

FedRAMP如此成功和广泛的应用已经成为事实上的业界标准，使用范围远远超出了联邦政府。所有这些因素让AWS合规向前迈进了一步，他补充道。