安全性和合規(guī)性是 AWS 和客戶的共同責任。這種共擔模式可以減輕客戶的運營負擔，因為 AWS 負責運行、管理和控制從主機操作系統(tǒng)和虛擬層到服務運營所在設施的物理安全性的組件?？蛻糌撠煿芾韥碣e操作系統(tǒng)（包括更新和安全補丁）、其他相關應用程序軟件以及 AWS 提供的安全組防火墻的配置?？蛻魬撟屑毧紤]自己選擇的服務，因為他們的責任取決于所使用的服務、，這些服務與其 IT 環(huán)境的集成以及適用的法律法規(guī)。責任共擔還為客戶提供了部署需要的靈活性和控制力。如下圖所示，這種責任區(qū)分通常涉及云“本身”的安全和云“內部”的安全。

AWS 負責“云本身的安全” – AWS 負責保護運行所有 AWS 云服務的基礎設施。該基礎實施由運行 AWS 云服務的硬件、軟件、網絡和設備組成。

客戶負責“云內部的安全” – 客戶責任由客戶所選的 AWS 云服務確定。這決定了客戶在履行安全責任時必須完成的配置工作量。例如，Amazon Elastic Compute Cloud (Amazon EC2) 等服務被歸類為基礎設施即服務 (IaaS)，因此要求客戶執(zhí)行所有必要的安全配置和管理任務。部署 Amazon EC2 實例的客戶需要負責來賓操作系統(tǒng)（包括更新和安全補丁）的管理、客戶在實例上安裝的任何應用程序軟件或實用工具，以及每個實例上 AWS 提供的防火墻（稱為安全組）的配置。 對于抽象化服務，例如 Amazon S3 和 Amazon DynamoDB，AWS 運營基礎設施層、操作系統(tǒng)和平臺，而客戶通過訪問終端節(jié)點存儲和檢索數(shù)據(jù)?？蛻糌撠煿芾砥鋽?shù)據(jù)（包括加密選項），對其資產進行分類，以及使用 IAM 工具分配適當?shù)臋嘞蕖?/p>

客戶/AWS 責任共擔模式還涵蓋 IT 控制體系。正如 AWS 與客戶共擔 IT 環(huán)境的運行責任一樣，IT 控制體系的管理、運行和驗證也由二者共擔。AWS 可以管理與 AWS 環(huán)境中部署的物理基礎架構相關聯(lián)的控制體系（以前可能由客戶管理），從而幫助客戶減輕運行控制體系的負擔。每個客戶在 AWS 中的部署方式都不相同，因此將某些 IT 控制體系的管理工作轉移給 AWS 之后會形成（新的）分布式控制環(huán)境，為客戶帶來優(yōu)勢。然后，客戶可以使用可用的 AWS 控制和合規(guī)性文檔，根據(jù)需要執(zhí)行控制體系評估和驗證流程。以下是由 AWS、AWS 客戶和/或兩者共同管理的控制機制示例。

繼承控制體系 – 客戶完全繼承自 AWS 的控制體系。

• 物理和環(huán)境控制體系

共享控制體系 – 同時適用于基礎設施層和客戶層，但位于完全獨立的上下文或環(huán)境中的控制體系。在共享控制體系中，AWS 會提出基礎設施方面的要求，而客戶必須在使用 AWS 服務時提供自己的控制體系實施。示例包括：

• 補丁管理 – AWS 負責修補和修復基礎設施內的缺陷，而客戶負責修補其來賓操作系統(tǒng)和應用程序。

• 配置管理 – AWS 負責維護基礎設施設備的配置，而客戶負責配置自己的來賓操作系統(tǒng)、數(shù)據(jù)庫和應用程序。

• 認知和培訓 – AWS 負責培訓 AWS 員工，而客戶必須負責培訓自己的員工。

特定于客戶的控制體系 – 完全由客戶負責（基于其部署在 AWS 服務中的應用程序）的控制體系。示例包括：

• 需要客戶在特定安全環(huán)境中路由數(shù)據(jù)或對數(shù)據(jù)進行分區(qū)的服務和通信保護或分區(qū)安全性。