クライアント/サーバー アプリケーション - 1 サーバー - [0-N] クライアントを実装します。
クライアントとサーバー間の通信を整理するために、Amazon SQS などを使用する予定です。
現在、2 つの質問があります。
Amazon SQS は HIPAA に準拠していますか?
Amazon SQS キューに基づいてマルチテナンシー サポートを編成する方法は?
クライアント間でデータを共有してはなりません。各クライアントは、このクライアントのみに送信されたデータのみを処理できます。
単一の Amazon SQS キューに実装することは可能ですか、それともクライアントごとに個別のキューを作成する必要がありますか?
個別のキューを作成するコストはかからないため、データを混同する必要がない場合は、これが明らかに最適なオプションです。各「クライアント」がキューをポーリングすると仮定すると、メッセージの内容に基づいてアクセスを分離する良い方法はありません。複数のキューを使用することが最善の解決策です。また、キューからの要求メッセージがなく、適切なクライアント向けでない場合にそれらを破棄するという点で、よりパフォーマンスが向上します。
Amazon の HIPAA コンプライアンスについて説明しているこのページをお読みください: https://aws.amazon.com/compliance/hipaa-compliance/
(現時点では) SQS は、AWS HIPAA 契約の対象となるサービスのリストに含まれていないことに注意してください。HIPAA コンプライアンス リストにない AWS サービスを使用できますが、PHI データをそれらのサービスに保存することはできません。そのため、SQS メッセージに PHI を保存しないようにするか、EC2 にインストールできる RabitMQ や ActiveMQ などの別のキュー システムを使用する必要があります。
HIPAA に準拠するには、次のことを忘れないでください。
Rob が前述したように、PHI データはリレーショナル データベースまたは S3 バケットに保存できます。状況によっては、マルチテナンシーに関する限り、S3 バケットの方が優れたソリューションになる場合があります。より大きなペイロードも簡単に利用できます。履歴メッセージは、異なる S3 バケット パス上の異なるクライアントに簡単に表示できます。
同様に、このアプローチはラムダ サーバーレス ソリューションや、暗号化後でも PHI データを保持することが想定されていないその他の HIPAA に準拠していない AWS サービスに適用できます。