Kiro 作为 AWS 托管服务，其合规范围由 AWS 合规计划决定。用户可通过 AWS Artifact 下载第三方审计报告，但使用 GitHub 或 Google 登录的用户无法访问 AWS Artifact。AWS 提供 Security Hub、GuardDuty、Audit Manager 等工具帮助持续监控合规状态。本文汇总了验证 Kiro 合规覆盖范围的主要资源和工具。

确认合规范围

要了解 Kiro 是否在特定合规计划的覆盖范围内，请访问 AWS services in Scope by Compliance Program，选择你关注的合规计划。通用信息请参阅 AWS Compliance Programs。

下载第三方审计报告

你可以通过 AWS Artifact 下载第三方审计报告。详情请参阅 Downloading Reports in AWS Artifact。

注意：如果你使用 GitHub 或 Google 登录 Kiro，则无法通过 AWS Artifact 下载第三方审计报告。

合规责任

使用 AWS 服务时，你的合规责任由以下因素决定：数据敏感性、公司合规目标，以及适用的法律法规。

AWS 合规资源

AWS 提供以下资源帮助你满足合规要求：

• Security Compliance & Governance：解决方案实施指南，涵盖安全合规功能的架构考量与部署步骤。

• HIPAA Eligible Services Reference：列出符合 HIPAA 要求的 AWS 服务（并非所有 AWS 服务都符合 HIPAA）。

• AWS Compliance Resources：工作手册和指南集合，适用于不同行业和地区。

• AWS Customer Compliance Guides：通过合规视角理解共享责任模型，汇总 AWS 服务安全最佳实践，并映射到 NIST、PCI、ISO 等多个框架的安全控制项。

• AWS Config — Evaluating Resources with Rules：评估资源配置是否符合内部规范、行业准则和法规要求。

• AWS Security Hub：提供 AWS 内安全状态的全面视图，使用安全控制项评估资源并检查是否符合安全行业标准和最佳实践。支持的服务和控制项列表请参阅 Security Hub controls reference。

• Amazon GuardDuty：通过监控可疑和恶意活动，检测 AWS 账号、工作负载、容器和数据的潜在威胁。可帮助满足 PCI DSS 等合规框架规定的入侵检测要求。

• AWS Audit Manager：持续审计 AWS 使用情况，简化风险和法规合规管理。

常见问题

Q：我用 Google 账号登录 Kiro，是否影响合规审计能力？

A：会有一定影响。使用 GitHub 或 Google 社交账号登录的用户无法访问 AWS Artifact 下载第三方审计报告。如果所在组织有严格的合规审计需求，建议评估是否通过 AWS IAM Identity Center 登录，以获得完整的合规工具访问权限。

Q：Kiro 是否支持 HIPAA 合规场景？

A：需要确认 Kiro 当前是否在 HIPAA Eligible Services 列表中。请访问 HIPAA Eligible Services Reference 查询最新状态。处理受保护健康信息（PHI）前，务必与 AWS 合规团队确认。

Q：如何持续监控 Kiro 相关资源的合规状态？

A：建议结合使用 AWS Config（资源配置合规检查）、AWS Security Hub（安全状态总览）和 AWS Audit Manager（持续审计）构建合规监控体系。对于威胁检测，可额外启用 Amazon GuardDuty。