As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Solução de problemas comuns em AWS Audit Manager
<a name="troubleshooting"></a>



Ao usar AWS Audit Manager, você pode encontrar certos problemas ou desafios que exijam solução de problemas. Se você está enfrentando desafios para configurar avaliações, coletar evidências ou qualquer outro aspecto do serviço, pode usar este guia de solução de problemas para encontrar recomendações que o ajudam a resolver problemas comuns com rapidez e eficiência. 

Recomendamos que você analise a lista de tópicos abaixo, encontre aquele que melhor se adapta ao seu cenário e siga as orientações fornecidas para retomar as operações. Seguindo as etapas de solução de problemas fornecidas, provavelmente você conseguirá resolver o problema de forma independente e continuar aproveitando todos os recursos do Audit Manager. No entanto, se seu problema específico não for abordado aqui ou se você não conseguir resolvê-lo após seguir as etapas recomendadas, recomendamos entrar em contato com [Suporte](https://aws.amazon.com/contact-us) para obter mais assistência.

**Topics**
+ [Solução de problemas de avaliação e coleta de evidências](evidence-collection-issues.md)
+ [Solução de problemas de relatórios de avaliação](assessment-report-issues.md)
+ [Solução de problemas de controle e conjunto de controles](control-issues.md)
+ [Solução de problemas no painel](dashboard-issues.md)
+ [Solução de problemas e AWS Organizations administradores delegados](delegated-admin-issues.md)
+ [Solução de problemas de localizador de evidências](evidence-finder-issues.md)
+ [Como solucionar problemas de framework](framework-issues.md)
+ [Solução de problemas de notificação](notification-issues.md)
+ [Solução de problemas de permissão e acesso](permissions-issues.md)

# Solução de problemas de avaliação e coleta de evidências
<a name="evidence-collection-issues"></a>



Você pode usar as informações desta página para resolver problemas comuns de avaliação e coleta de evidências no Audit Manager.

**Problemas de coleta de evidências**
+ [Eu criei uma avaliação, mas ainda não consigo ver nenhuma evidência](#no-evidence-yet)
+ [Minha avaliação não está coletando evidências de verificação de conformidade de AWS Security Hub CSPM](#no-evidence-from-security-hub)
+ [Minha avaliação não está coletando evidências de verificação de conformidade de AWS Config](#no-evidence-from-config)
+ [Minha avaliação não está coletando evidências de atividades do usuário de AWS CloudTrail](#no-evidence-from-cloudtrail)
+ [Minha avaliação não está coletando evidências de dados de configuração para uma chamada de AWS API](#no-evidence-from-aws-api-calls)
+ [Um controle comum não está coletando nenhuma evidência automatizada](#manual-common-control)
+ [Minhas evidências são geradas em intervalos diferentes e não tenho certeza sobre a frequência de coleta](#evidence-collection-frequency)
+ [Eu desativei e reativei o Audit Manager. Agora, minhas avaliações preexistentes não estão mais coletando evidências](#no-evidence-from-preexisting-assessments-after-reregistering)
+ [Na página de detalhes da minha avaliação, sou solicitado a recriar minha avaliação](#recreate-assessment-post-common-controls)
+ [Qual é a diferença entre uma fonte de dados e uma fonte de evidências?](#data-source-vs-evidence-source)

**Problemas de avaliação**
+ [Ocorreu uma falha na criação da minha avaliação](#assessment-creation-failed)
+ [O que acontece se eu remover uma conta do escopo da minha organização?](#what-happens-if-account-is-removed)
+ [Não consigo ver os serviços no escopo da minha avaliação](#unable-to-view-services)
+ [Não consigo editar os serviços no escopo da minha avaliação](#unable-to-edit-services)
+ [Qual é a diferença entre um serviço no escopo e um tipo de fonte de dados?](#data-source-vs-service-in-scope)

## Eu criei uma avaliação, mas ainda não consigo ver nenhuma evidência
<a name="no-evidence-yet"></a>

Se você não consegue ver nenhuma evidência, é provável que não tenha esperado pelo menos 24 horas depois de criar a avaliação ou que haja um erro de configuração.

Recomendamos verificar o seguinte:

1. Certifique-se de que passaram 24 horas desde que você criou a avaliação. As evidências automatizadas ficam disponíveis 24 horas após a criação da avaliação. 

1. Certifique-se de usar o Audit Manager da Região da AWS mesma forma AWS service (Serviço da AWS) que você espera ver evidências.

1. Se você espera ver evidências de verificação de conformidade de AWS Config e AWS Security Hub CSPM, certifique-se de que os consoles CSPM AWS Config e o Security Hub exibam os resultados dessas verificações. Os resultados do CSPM AWS Config e do Security Hub devem ser exibidos da mesma forma em Região da AWS que você usa o Audit Manager.

Se você ainda não consegue ver evidências em sua avaliação e o motivo não é nenhum desses problemas, verifique as outras possíveis causas descritas nesta página. 

## Minha avaliação não está coletando evidências de verificação de conformidade de AWS Security Hub CSPM
<a name="no-evidence-from-security-hub"></a>

Se você não encontrar evidências de verificação de conformidade para um AWS Security Hub CSPM controle, isso pode ser devido a um dos seguintes problemas.

**Falta de configuração no AWS Security Hub CSPM **  
Esse problema pode ser causado se você perdeu algumas etapas de configuração ao habilitar o AWS Security Hub CSPM.  
Para corrigir esse problema, certifique-se de habilitar o Security Hub CSPM com as configurações necessárias para o Audit Manager. Para instruções, consulte [Ativar e configurar AWS Security Hub CSPM](setup-recommendations.md#securityhub-recommendations).

**Um nome de controle CSPM do Security Hub foi inserido incorretamente em seu `ControlMappingSource`**  
Ao usar a API Audit Manager para criar um controle personalizado, você pode especificar um controle CSPM do Security Hub como um [mapeamento de fonte de dados](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html) para coleta de evidências. Para fazer isso, você insere uma ID de controle como o [https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_SourceKeyword.html#auditmanager-Type-SourceKeyword-keywordValue](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_SourceKeyword.html#auditmanager-Type-SourceKeyword-keywordValue).   
Se você não encontrar evidências de verificação de conformidade para um controle CSPM do Security Hub, pode ser que ele tenha `keywordValue` sido inserido incorretamente em seu. `ControlMappingSource` O `keywordValue` diferencia maiúsculas de minúsculas. Se você inseri-lo incorretamente, o Audit Manager poderá não reconhecer essa regra. Consequentemente, você não poderá coletar evidências de verificação de conformidade para esse controle, conforme esperado.  
Para corrigir esse problema, [atualize o controle personalizado](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_UpdateControl.html) e revise o `keywordValue`. O formato correto de uma palavra-chave CSPM do Security Hub varia. Para maior precisão, consulte a lista de [Controles CSPM do Security Hub suportados](control-data-sources-ash.md#security-hub-controls-for-custom-control-data-sources).

**`AuditManagerSecurityHubFindingsReceiver`Falta a EventBridge regra da Amazon**  
Quando você ativa o Audit Manager, uma regra chamada `AuditManagerSecurityHubFindingsReceiver` é criada e ativada automaticamente na Amazon EventBridge. Essa regra permite que o Audit Manager colete as descobertas do CSPM do Security Hub como evidência.  
Se essa regra não estiver listada e habilitada no local em Região da AWS que você usa o CSPM do Security Hub, o Audit Manager não poderá coletar as descobertas do CSPM do Security Hub para essa região.  
Para resolver esse problema, acesse o [EventBridge console](https://console.aws.amazon.com/events) e confirme se a `AuditManagerSecurityHubFindingsReceiver` regra existe no seu Conta da AWS. Se a regra não existir, recomendamos que você [desative o Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/disable.html) e reative o serviço. Se essa ação não resolver o problema ou se desativar o Audit Manager não for uma opção, [entre em contato com Suporte](https://aws.amazon.com/contact-us) para obter ajuda.

** AWS Config Regras vinculadas a serviços criadas pelo Security Hub CSPM**  
Lembre-se de que o Audit Manager não coleta evidências das [AWS Config regras vinculadas ao serviço que o Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-awsconfigrules.html) cria. Esse é um tipo específico de AWS Config regra gerenciada que é habilitada e controlada pelo serviço CSPM do Security Hub. O Security Hub CSPM cria instâncias dessas regras vinculadas a serviços em seu AWS ambiente, mesmo que já existam outras instâncias das mesmas regras. Como resultado, para evitar a duplicação de evidências, o Audit Manager não oferece suporte à coleta de evidências a partir das regras vinculadas ao serviço.

## Eu desativei um controle de segurança no Security Hub CSPM. O Audit Manager coleta evidências de verificação de conformidade para esse controle de segurança?
<a name="security-hub-evidence-from-disabled-controls"></a>

O Audit Manager não coleta evidências de controles de segurança desativados. 

Se você definir o status de um controle de segurança como [desativado](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-overall-status.html#controls-overall-status-values) no CSPM do Security Hub, nenhuma verificação de segurança será executada para esse controle na conta atual e na região. Como resultado, nenhuma descoberta de segurança está disponível no Security Hub CSPM e nenhuma evidência relacionada é coletada pelo Audit Manager.

Ao respeitar o status de desativado definido no Security Hub CSPM, o Audit Manager garante que sua avaliação reflita com precisão os controles e descobertas de segurança ativos que são relevantes ao seu ambiente, excluindo quaisquer controles que você tenha desativado intencionalmente. 

## Eu defini o status de uma descoberta `Suppressed` no CSPM do Security Hub. O Audit Manager coleta evidências de verificação de conformidade sobre essa descoberta?
<a name="security-hub-evidence-from-suppressed-findings"></a>

O Audit Manager coleta evidências de controles de segurança que suprimiram descobertas.

Se você definir o status do fluxo de trabalho de uma descoberta como [suprimida](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-workflow-status.html) no Security Hub CSPM, isso significa que você revisou a descoberta e não acredita que nenhuma ação seja necessária. No Audit Manager, essas descobertas suprimidas são coletadas como evidência e anexadas à sua avaliação. Os detalhes das evidências mostram o status da avaliação `SUPPRESSED` reportada diretamente do Security Hub CSPM.

Essa abordagem garante que sua avaliação do Audit Manager represente com precisão as descobertas do CSPM do Security Hub, ao mesmo tempo que fornece visibilidade de quaisquer descobertas suprimidas que possam exigir análise ou consideração adicionais em uma auditoria.

## Minha avaliação não está coletando evidências de verificação de conformidade de AWS Config
<a name="no-evidence-from-config"></a>

Se você não encontrar evidências de verificação de conformidade de uma AWS Config regra, isso pode ser devido a um dos seguintes problemas.

**O identificador da regra foi inserido incorretamente na sua `ControlMappingSource`**  
Ao usar a API Audit Manager para criar um controle personalizado, você pode especificar uma AWS Config regra como [mapeamento da fonte de dados](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html) para coleta de evidências. O [https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_SourceKeyword.html#auditmanager-Type-SourceKeyword-keywordValue](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_SourceKeyword.html#auditmanager-Type-SourceKeyword-keywordValue) que você especifica depende do tipo de regra.  
Se você não encontrar evidências de verificação de conformidade de uma AWS Config regra, pode ser que ela tenha `keywordValue` sido inserida incorretamente em sua`ControlMappingSource`. O `keywordValue` diferencia maiúsculas de minúsculas. Se você inseri-lo incorretamente, o Audit Manager poderá não reconhecer a regra. Consequentemente, você não poderá coletar evidências de verificação de conformidade para essa regra, conforme esperado.   
Para corrigir esse problema, [atualize o controle personalizado](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_UpdateControl.html) e revise o `keywordValue`.   
+ Para regras personalizadas, verifique se o `keywordValue` tem o prefixo `Custom_` seguido pelo nome da regra personalizada. O formato do nome da regra personalizada pode variar. Para fins de precisão, visite o [console do AWS Config](https://console.aws.amazon.com/config/) para verificar os nomes das regras personalizadas.
+ Para regras gerenciadas, certifique-se de que o `keywordValue` seja o identificador da regra em `ALL_CAPS_WITH_UNDERSCORES`. Por exemplo, `CLOUDWATCH_LOG_GROUP_ENCRYPTED`. Para fins de precisão, consulte a lista de [palavras-chave compatíveis para regras gerenciadas](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources-config.html#aws-config-managed-rules).
**nota**  
Para algumas regras gerenciadas, o identificador da regra é diferente do nome. Por exemplo, o identificador de regra para [restricted-ssh](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html) é `INCOMING_SSH_DISABLED`. Certifique-se de usar o identificador da regra, não o nome. Para encontrar um identificador, escolha uma regra na [lista de regras gerenciadas](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) e procure seu valor **Identificador**. 

**A regra é uma regra do AWS Config vinculada ao serviço**  
Você pode usar [regras gerenciadas](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources-config.html#aws-config-managed-rules) e [regras personalizadas](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources-config.html#aws-config-custom-rules) como mapeamento da fonte de dados para coleta de evidências. No entanto, o Audit Manager não coleta evidências da maioria das [regras vinculadas a serviços](https://docs.aws.amazon.com/config/latest/developerguide/service-linked-awsconfig-rules.html).  
Há apenas dois tipos de regras vinculadas a serviços cujas evidências o Audit Manager coleta:  
+ Regras vinculadas a serviços nos pacotes de conformidade
+ Regras vinculadas a serviços de AWS Organizations
O Audit Manager não coleta evidências de outras regras vinculadas a serviços, especificamente de quaisquer regras com um nome do recurso da Amazon (ARN) contendo o seguinte prefixo: `arn:aws:config:*:*:config-rule/aws-service-rule/...`  
O motivo pelo qual o Audit Manager não coleta evidências da maioria das regras do AWS Config vinculadas a serviços é para evitar evidências duplicadas em suas avaliações. Uma regra vinculada a serviços é um tipo específico de regra gerenciada que permite que outras Serviços da AWS pessoas criem AWS Config regras em sua conta. Por exemplo, [alguns controles CSPM do Security Hub usam uma regra AWS Config vinculada ao serviço para executar](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-awsconfigrules.html) verificações de segurança. Para cada controle CSPM do Security Hub que usa uma regra vinculada ao serviço, o CSPM do AWS Config Security Hub cria uma instância da regra necessária em seu ambiente. AWS Config AWS Isso acontece mesmo se a regra original já existir na conta. Portanto, para evitar a coleta da mesma evidência da mesma regra duas vezes, o Audit Manager ignora a regra vinculada ao serviço e não coleta evidências dela.

**AWS Config não está habilitado**  
AWS Config deve estar habilitado em seu Conta da AWS. Depois de configurar dessa AWS Config forma, o Audit Manager coleta evidências sempre que a avaliação de uma AWS Config regra ocorre. Certifique-se de que você habilitou AWS Config em seu Conta da AWS. Para obter instruções, consulte [Habilitar e configurar AWS Config](https://docs.aws.amazon.com/audit-manager/latest/userguide/setup-recommendations.html#config-recommendations). 

**A AWS Config regra avaliou a configuração de um recurso antes de você configurar sua avaliação.**  
Se sua AWS Config regra estiver configurada para avaliar as alterações de configuração de um recurso específico, você poderá ver uma incompatibilidade entre a avaliação AWS Config e a evidência no Audit Manager. Isso acontece se a avaliação da regra ocorreu antes de configurar o controle em sua avaliação do Audit Manager. Nesse caso, o Audit Manager não gera evidências até que o atributo subjacente mude de estado novamente e acione uma reavaliação da regra.  
Como solução alternativa, você pode navegar até a regra no AWS Config console e [reavaliá-la manualmente](https://docs.aws.amazon.com/config/latest/developerguide/evaluating-your-resources.html#evaluating-your-resources-console). Isso invoca uma nova avaliação de todos os atributos que pertencerem a essa regra.

## Minha avaliação não está coletando evidências de atividades do usuário de AWS CloudTrail
<a name="no-evidence-from-cloudtrail"></a>

Ao usar a API Audit Manager para criar um controle personalizado, você pode especificar um nome de CloudTrail evento como [mapeamento de fonte de dados](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html) para coleta de evidências. Para fazer isso, você insere o nome do evento como o [https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_SourceKeyword.html#auditmanager-Type-SourceKeyword-keywordValue](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_SourceKeyword.html#auditmanager-Type-SourceKeyword-keywordValue). 

Se você não vê evidências de atividade do usuário em um CloudTrail evento, pode ser que ela tenha `keywordValue` sido inserida incorretamente no seu`ControlMappingSource`. O `keywordValue` diferencia maiúsculas de minúsculas. Se você inseri-lo incorretamente, o Audit Manager poderá não reconhecer o nome do evento. Como resultado, você pode não coletar evidências das atividades dos usuários para esse evento conforme pretendido.

Para corrigir esse problema, [atualize o controle personalizado](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_UpdateControl.html) e revise o `keywordValue`. Certifique-se de que o evento esteja escrito como `serviceprefix_ActionName`. Por exemplo, .`cloudtrail_StartLogging` Para fins de precisão, analise o prefixo AWS service (Serviço da AWS) e os nomes das ações na [Referência de autorização do serviço](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html). 

## Minha avaliação não está coletando evidências de dados de configuração para uma chamada de AWS API
<a name="no-evidence-from-aws-api-calls"></a>

Ao usar a API Audit Manager para criar um controle personalizado, você pode especificar uma chamada de AWS API como [mapeamento de fonte de dados](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html) para coleta de evidências. Para fazer isso, você insere a chamada de API como o [https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_SourceKeyword.html#auditmanager-Type-SourceKeyword-keywordValue](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_SourceKeyword.html#auditmanager-Type-SourceKeyword-keywordValue). 

Se você não encontrar evidências de dados de configuração para uma chamada de AWS API, pode ser que eles tenham `keywordValue` sido inseridos incorretamente no seu`ControlMappingSource`. O `keywordValue` diferencia maiúsculas de minúsculas. Se você inseri-lo incorretamente, o Audit Manager poderá não reconhecer a chamada de API. Como resultado, talvez você não colete evidências de dados de configuração para essa chamada de API conforme pretendido.

Para corrigir esse problema, [atualize o controle personalizado](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_UpdateControl.html) e revise o `keywordValue`. Certifique-se de que a chamada de API esteja escrito como `serviceprefix_ActionName`. Por exemplo, .`iam_ListGroups` Para maior precisão, consulte a lista de [AWS Chamadas de API suportadas por AWS Audit Manager](control-data-sources-api.md).

## Um controle comum não está coletando nenhuma evidência automatizada
<a name="manual-common-control"></a>

Ao analisar um controle comum, talvez você veja a seguinte mensagem: **Esse controle comum não coleta evidências automatizadas dos controles centrais**. 

Isso significa que nenhuma fonte de evidência AWS gerenciada pode atualmente apoiar esse controle comum. Como resultado, a guia **Fontes de evidência** está vazia e nenhum controle central é exibido. 

Quando um controle comum não coleta evidências automatizadas, ele é chamado de *controle comum manual*. Os controles manuais comuns geralmente exigem o fornecimento de registros físicos e assinaturas, ou detalhes sobre eventos que ocorrem fora do seu AWS ambiente. Por esse motivo, geralmente não há fontes de AWS dados que possam produzir evidências para apoiar os requisitos do controle. 

Se um controle comum for manual, você ainda poderá usá-lo como fonte de evidência para um controle personalizado. A única diferença é que o controle comum não coletará nenhuma evidência automaticamente. Em vez disso, você precisará enviar manualmente suas próprias evidências para dar suporte aos requisitos do controle comum. 

**Para adicionar evidências a um controle comum manual**

1. **Criar um controle personalizado**
   + Siga as etapas para [criar](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html) ou [editar](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-controls.html) um controle personalizado. 
   + Ao especificar fontes de evidência na etapa 2, escolha o controle comum manual como fonte de evidência. 

1. **Criar um framework personalizado **
   + Siga as etapas para [criar](https://docs.aws.amazon.com/audit-manager/latest/userguide/custom-frameworks.html) ou [editar](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-custom-frameworks.html) um framework personalizado.
   + Ao especificar um conjunto de controles na etapa 2, inclua seu novo controle personalizado.

1. **Criar uma avaliação **
   + Siga as etapas para [criar uma avaliação](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-assessments.html) a partir de seu framework personalizado.
   + Neste ponto, o controle comum manual agora é uma fonte de evidências em um controle de avaliação ativo.

1.  **Carregar uma evidência manual** 
   + Siga as etapas para [adicionar evidências manuais](https://docs.aws.amazon.com/audit-manager/latest/userguide/upload-evidence.html#how-to-upload-manual-evidence-files) ao controle em sua avaliação.

**nota**  
À medida que mais fontes de AWS dados forem disponibilizadas no futuro, é AWS possível que isso atualize o controle comum para incluir controles principais como fontes de evidência. Nesse caso, se o controle comum for uma fonte de evidência em um ou mais de seus controles de avaliação ativos, você se beneficiará dessas atualizações automaticamente. Você não precisa configurar mais nada, e já começará a coletar evidências automatizadas que dão suporte ao controle comum.

## Minhas evidências são geradas em intervalos diferentes e não tenho certeza sobre a frequência de coleta
<a name="evidence-collection-frequency"></a>

Os controles nas avaliações do Audit Manager são mapeados para várias fontes de dados. Cada fonte de dados tem uma frequência diferente de coleta de evidências. Como resultado, não há one-size-fits-all resposta para a frequência com que as evidências são coletadas. Algumas fontes de dados avaliam a conformidade, enquanto outras apenas capturam o estado dos atributos e alteram os dados sem determinação da conformidade. 

Veja a seguir um resumo dos diferentes tipos de fontes de dados e da frequência com que coletam evidências. 


| Tipo de fonte de dados | Descrição | Frequência das coletas de evidências | Quando esse controle estiver ativo em uma avaliação | 
| --- | --- | --- | --- | 
| AWS CloudTrail |  Rastreia uma atividade específica do usuário.   | Contínuo |  O Audit Manager filtra seus CloudTrail registros com base na palavra-chave escolhida. Os logs processados são importados como evidência de **Atividade do usuário**.  | 
| AWS Security Hub CSPM |  Captura um instantâneo de sua postura de segurança de recursos relatando as descobertas do Security Hub CSPM.  | Com base na programação da verificação de CSPM do Security Hub (normalmente a cada 12 horas) |  O Audit Manager recupera a descoberta de segurança diretamente do CSPM do Security Hub. A descoberta é importada como evidência de **Verificação de conformidade**.  | 
| AWS Config |  Captura um instantâneo de sua postura de segurança de recursos relatando as descobertas de. AWS Config  | Com base nas configurações definidas na AWS Config regra | O Audit Manager recupera a avaliação da regra diretamente de AWS Config. A avaliação é importada como evidência de Verificação de conformidade. | 
| AWS Chamadas de API |  Tira um instantâneo da configuração do seu recurso diretamente por meio de uma chamada de API para o especificado AWS service (Serviço da AWS).   | Diária, semanal ou mensalmente | O Audit Manager faz a chamada de API com base na frequência que você especifica. A resposta é importada como evidência de Dados de configuração.  | 

Independentemente da frequência da coleta de evidências, novas evidências são coletadas automaticamente enquanto a avaliação estiver ativa. Para obter mais informações, consulte [Frequência das coletas de evidências](how-evidence-is-collected.md#frequency).

Para saber mais, consulte [Tipos de fontes de dados de compatíveis para evidências automatizadas](control-data-sources.md) e [Como alterar a frequência com que um controle coleta evidências](change-evidence-collection-frequency.md). 

## Eu desativei e reativei o Audit Manager. Agora, minhas avaliações preexistentes não estão mais coletando evidências
<a name="no-evidence-from-preexisting-assessments-after-reregistering"></a>

Quando você desativa o Audit Manager e opta por não excluir seus dados, suas avaliações existentes entram em um estado inativo e param de coletar evidências. Ou seja, quando você reativa o Audit Manager, as avaliações que criou anteriormente permanecem disponíveis. No entanto, elas não retomam automaticamente a coleta de evidências.

Para começar a coletar evidências novamente para uma avaliação preexistente, [edite a avaliação](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-assessment.html) e escolha **Salvar** sem fazer nenhuma alteração. 

## Na página de detalhes da minha avaliação, sou solicitado a recriar minha avaliação
<a name="recreate-assessment-post-common-controls"></a>

![\[Captura de tela da mensagem pop-up que solicita que você recrie sua avaliação.\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/images/troubleshooting-recreate-assessment-post-common-controls-console.png)


Se você vir uma mensagem que diz **Criar nova avaliação para coletar evidências mais abrangentes**, isso indica que o Audit Manager agora fornece uma nova definição de framework padrão a partir da qual sua avaliação foi criada.

Na definição do novo framework, todos os controles padrão do framework agora podem coletar evidências de [fontes gerenciadas pela AWS](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#aws-managed-source). Isso significa que sempre que houver uma atualização nas fontes de dados subjacentes para um controle comum ou central, o Audit Manager aplica automaticamente a mesma atualização a todos os controles padrão relacionados.

Para se beneficiar dessas fontes AWS gerenciadas, recomendamos que você [crie uma nova avaliação](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-assessments.html) a partir da estrutura atualizada. Depois disso, você então pode [alterar o status da avaliação antiga para inativa](https://docs.aws.amazon.com/audit-manager/latest/userguide/change-assessment-status-to-inactive.html). Essa ação ajuda a garantir que sua nova avaliação colete as evidências mais precisas e abrangentes disponíveis em fontes AWS gerenciadas. Se você não tomar nenhuma ação, sua avaliação continuará usando o framework e as definições de controle antigos para coletar evidências exatamente como fazia antes.

## Qual é a diferença entre uma fonte de dados e uma fonte de evidências?
<a name="data-source-vs-evidence-source"></a>

Uma *fonte de evidências* determina de onde as evidências são coletadas. Ela pode ser uma fonte de dados individual ou um agrupamento predefinido de fontes de dados mapeado para um controle central ou comum.

Uma *fonte de dados* é o tipo mais granular de fonte de evidência. Uma fonte de dados inclui os seguintes detalhes que informam ao Audit Manager de onde exatamente coletar dados de evidências: 
+ [Tipo de fonte de dados](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources.html) (por exemplo, AWS Config)
+ [Mapeamento da fonte de dados](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#control-data-source) (por exemplo, uma AWS Config regra específica, como`s3-bucket-public-write-prohibited`)

## Ocorreu uma falha na criação da minha avaliação
<a name="assessment-creation-failed"></a>

Se a criação da avaliação falhar, isso pode ser devido a um dos seguintes problemas.

**Você selecionou muitos Contas da AWS em seu escopo de avaliação**  
Se você estiver usando AWS Organizations, o Audit Manager pode suportar até 200 contas de membros no escopo de uma única avaliação. Se você exceder esse número, a criação da avaliação falhará.  
Como solução alternativa, você pode executar várias avaliações com contas diferentes no escopo de cada avaliação, até 250 contas de membros exclusivas em todas as avaliações.

**Uma conta em seu escopo já está sendo avaliada por outra avaliação ativa**  
Se você tentar criar uma avaliação que inclua uma conta que já esteja no escopo de outra avaliação ativa, a criação da avaliação falhará. Isso pode acontecer quando várias equipes ou organizações estão tentando avaliar a mesma conta simultaneamente.  
Você pode ver uma mensagem de erro semelhante a:`Scope: AWS Account [account-id] has assessments in progress`.  
Para resolver esse problema, você pode realizar uma das seguintes ações:  
+ **Coordene com outras equipes**: entre em contato com outras equipes da sua organização para determinar quais avaliações estão usando a conta em questão no momento. Em seguida, você pode coordenar para evitar a sobreposição de escopos de avaliação.
+ **Modifique o escopo da avaliação** - Remova a conta conflitante do escopo da avaliação e crie a avaliação com as contas restantes. Você pode avaliar a conta conflitante separadamente quando a outra avaliação for concluída.
+ **Aguarde a conclusão da outra avaliação** - Se a outra avaliação for temporária ou estiver em fase de conclusão, você pode esperar que ela termine antes de criar sua avaliação com o escopo desejado.
Essa restrição ajuda a garantir que a coleta de evidências não entre em conflito entre várias avaliações e que os resultados da auditoria permaneçam precisos e consistentes.

## O que acontece se eu remover uma conta do escopo da minha organização?
<a name="what-happens-if-account-is-removed"></a>

Quando uma conta dentro do escopo é removida da sua organização, o Audit Manager não coleta mais evidências dessa conta e ela será removida de todas as avaliações nas quais a conta está no escopo. A remoção de uma conta de membro de todas as avaliações também reduzirá o número total de contas exclusivas no escopo, permitindo que você adicione uma nova conta da sua organização.

## Não consigo ver os serviços no escopo da minha avaliação
<a name="unable-to-view-services"></a>

Se você não vê a guia **Serviços da AWS**, isso significa que os serviços no escopo são gerenciados para você pelo Audit Manager. Ao criar uma nova avaliação, o Audit Manager gerencia os serviços no escopo para você a partir desse ponto.

Se você tiver uma avaliação mais antiga, é possível que tenha visto essa guia anteriormente em sua avaliação. No entanto, o Audit Manager remove automaticamente essa guia da sua avaliação e assume o gerenciamento dos serviços no escopo quando um dos seguintes eventos ocorrer: 
+ Você edita a avaliação 
+ Você edita um dos controles personalizados usados em sua avaliação

O Audit Manager infere os serviços no escopo examinando seus controles de avaliação e suas fontes de dados e, em seguida, mapeando essas informações para o Serviços da AWS correspondente. Se uma fonte de dados subjacente mudar para sua avaliação, atualizamos automaticamente o escopo conforme necessário para refletir os serviços corretos. Isso garante que sua avaliação colete evidências precisas e abrangentes sobre todos os serviços relevantes em seu AWS ambiente.

## Não consigo editar os serviços no escopo da minha avaliação
<a name="unable-to-edit-services"></a>

O fluxo de trabalho do [Editando uma avaliação em AWS Audit Manager](edit-assessment.md) não tem mais uma etapa de **Editar serviços**. Isso ocorre porque o Audit Manager agora gerencia quais Serviços da AWS estão no escopo de sua avaliação.

Se você tiver uma avaliação mais antiga, é possível que tenha definido manualmente os serviços no escopo ao criar essa avaliação. No entanto, você não pode editar esses serviços no futuro. O Audit Manager assume automaticamente o gerenciamento dos serviços no escopo de sua avaliação quando um dos seguintes eventos ocorrer:
+ Você edita a avaliação 
+ Você edita um dos controles personalizados usados em sua avaliação

O Audit Manager infere os serviços no escopo examinando seus controles de avaliação e suas fontes de dados e, em seguida, mapeando essas informações para o Serviços da AWS correspondente. Se uma fonte de dados subjacente mudar para sua avaliação, atualizamos automaticamente o escopo conforme necessário para refletir os serviços corretos. Isso garante que sua avaliação colete evidências precisas e abrangentes sobre todos os serviços relevantes em seu AWS ambiente.

## Qual é a diferença entre um serviço no escopo e um tipo de fonte de dados?
<a name="data-source-vs-service-in-scope"></a>

Um [](concepts.md#service-in-scope) é um AWS service (Serviço da AWS) incluído no escopo da sua avaliação. Quando um serviço está no escopo, o Audit Manager coleta evidências sobre o uso desse serviço e de seus atributos.

**nota**  
O Audit Manager gerencia quais Serviços da AWS estão no escopo de suas avaliações. Se você tiver uma avaliação mais antiga, é possível que tenha especificado manualmente os serviços no escopo no passado. No futuro, você não poderá especificar ou editar serviços no escopo.

Um [tipo de fonte de dados](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources.html) indica de onde exatamente a evidência é coletada. Se você carregar sua própria evidência, o tipo de fonte de dados será *Manual*. Se o Audit Manager coletar as evidências, a fonte de dados poderá ser de um dos quatro tipos.

1. AWS Security Hub CSPM — Captura um instantâneo de sua postura de segurança de recursos relatando as descobertas do Security Hub CSPM.

1. AWS Config — Captura um instantâneo de sua postura de segurança de recursos relatando as descobertas de. AWS Config

1. AWS CloudTrail — Rastreia uma atividade específica do usuário para um recurso.

1. AWS Chamadas de API — Tira um instantâneo da configuração do seu recurso diretamente por meio de uma chamada de API para um específico AWS service (Serviço da AWS).

Confira a seguir dois exemplos para ilustrar a diferença entre um serviço no escopo e um tipo de fonte de dado.

**Exemplo 1**  
Digamos que você queira coletar evidências para um controle chamado *4.1.2: proibir o acesso público de gravação aos buckets do S3*. Esse controle verifica os níveis de acesso das suas políticas de bucket do S3. Para esse controle, o Audit Manager usa uma AWS Config regra específica ([s3- bucket-public-write-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html)) para procurar uma avaliação dos buckets do S3. Neste exemplo, o seguinte é verdadeiro:
+ O [](concepts.md#service-in-scope) é do Amazon S3
+ Os [atributos](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#resource) que estão sendo avaliados são seus buckets do S3
+ O [tipo de fonte de dados](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources.html) é AWS Config
+ O [mapeamento da fonte de dados](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#control-data-source) é uma AWS Config regra específica (`s3-bucket-public-write-prohibited`)

**Exemplo 2**  
Digamos que você queira coletar evidências para um controle HIPAA chamado *164.308(a)(5)(ii)(C)*. Esse controle requer um procedimento de monitoramento para detectar logins inadequados. Para esse controle, o Audit Manager usa CloudTrail registros para procurar todos os eventos [AWS de login do Management Console](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-aws-console-sign-in-events.html). Neste exemplo, o seguinte é verdadeiro:
+ O [](concepts.md#service-in-scope) é IAM
+ Os [atributos](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#resource) que estão sendo avaliados são seus usuários 
+ O [tipo de fonte de dados](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources.html) é CloudTrail
+ O [mapeamento da fonte de dados](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#control-data-source) é um CloudTrail evento específico (`ConsoleLogin`)

# Solução de problemas de relatórios de avaliação
<a name="assessment-report-issues"></a>



Você pode usar as informações nesta página para resolver problemas comuns de relatórios de avaliação no Audit Manager.

**Topics**
+ [Ocorreu uma falha na geração do meu relatório de avaliação](#assessment-report-checklist)
+ [Segui a lista de verificação acima e a geração do meu relatório de avaliação falhou mesmo assim](#assessment-report-failed)
+ [Recebo um erro de *acesso negado* quando tento gerar um relatório](#assessment-report-access-denied-error)
+ [Não consigo descompactar o relatório de avaliação](#cannot-unzip-assessment-report)
+ [Quando escolho o nome de uma evidência em um relatório, não sou redirecionado para os detalhes da mesma](#cannot-open-evidence-detail-links)
+ [A geração do meu relatório de avaliação está no status *Em andamento* e tenho dúvidas se isso afeta meu faturamento](#assessment-report-billing)
+ [Recursos adicionais do](#assessment-report-see-also)

## Ocorreu uma falha na geração do meu relatório de avaliação
<a name="assessment-report-checklist"></a>

Seu relatório de avaliação pode não ter sido gerado por vários motivos. Você pode começar a solucionar esse problema verificando as causas mais frequentes. Use a lista de verificação a seguir para começar.

1. Verifique se alguma das suas Região da AWS informações não coincide:

   1. **A Região da AWS chave gerenciada pelo cliente corresponde à Região da AWS da sua avaliação?** 

      Se você forneceu sua própria chave KMS para a criptografia de dados do Audit Manager, a chave deve estar na Região da AWS mesma da sua avaliação. Para resolver esse problema, altere a chave do KMS para uma que esteja na mesma região da sua avaliação. Para obter instruções sobre como alterar a chave do KMS, consulte [Como definir suas configurações de criptografia de dados](settings-KMS.md). 

   1. **A Região da AWS chave gerenciada pelo cliente corresponde à Região da AWS do seu bucket S3?**

      Se você forneceu sua própria chave KMS para a criptografia de dados do Audit Manager, a chave deve estar na mesma Região da AWS chave do bucket do S3 que você usa como destino do relatório de avaliação. Para resolver esse problema, você pode alterar a chave do KMS ou o bucket do S3 para que ambos estejam na mesma região da sua avaliação. Para obter instruções sobre como alterar a chave do KMS, consulte [Como definir suas configurações de criptografia de dados](settings-KMS.md). Para obter instruções sobre como alterar o bucket do S3, consulte [Como configurar o destino padrão do relatório de avaliação](settings-destination.md). 

1. Verifique as permissões do bucket do S3 que você está usando como destino do relatório de avaliação:

   1. **A entidade do IAM gerando o relatório de avaliação tem as permissões necessárias para o bucket do S3?** 

      A entidade do IAM deve ter as permissões de bucket do S3 necessárias para publicar relatórios nesse bucket. Fornecemos uma [política de exemplo](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#full-administrator-access-assessment-report-destination) que você pode usar.

   1. **O bucket do S3 tem uma política de bucket que exige criptografia do lado do servidor (SSE) usando [SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html#require-sse-kms)?** 

      Se tiver, a chave do KMS usada nessa política de bucket deve corresponder à chave do KMS especificada nas configurações de criptografia de dados do Audit Manager. Se você não configurou uma chave do KMS nas configurações do Audit Manager e sua política de bucket do S3 exige SSE, certifique-se de que a política de bucket permita [SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html). Para obter instruções sobre como alterar a chave do KMS, consulte [Como definir suas configurações de criptografia de dados](settings-KMS.md). Para obter instruções sobre como alterar o bucket do S3, consulte [Como configurar o destino padrão do relatório de avaliação](settings-destination.md). 

Se você ainda não conseguir gerar um relatório de avaliação com sucesso, analise os problemas a seguir nesta página.

## Segui a lista de verificação acima e a geração do meu relatório de avaliação falhou mesmo assim
<a name="assessment-report-failed"></a>

O Audit Manager limita a quantidade de evidências que você pode adicionar a um relatório de avaliação. O limite é baseado na Região da AWS sua avaliação, na região do bucket do S3 que é usada como destino do relatório de avaliação e se sua avaliação usa um cliente gerenciado AWS KMS key.

1. O limite é 22.000 para relatórios da mesma região (onde o bucket do S3 e a avaliação estão na mesma Região da AWS)

1. O limite é 3.500 para relatórios de diferentes regiões (onde o bucket do S3 e a avaliação estão em Regiões da AWS diferentes)

1. O limite será 3.500 se a avaliação usar uma chave do KMS gerenciada pelo cliente

Se tentar gerar um relatório que contenha mais evidências do que isso, a operação poderá falhar.

Como solução alternativa, você pode gerar vários relatórios de avaliação em vez de um relatório de avaliação maior. Ao fazê-lo, você pode exportar evidências de sua avaliação para lotes de tamanho mais gerenciável.

## Recebo um erro de *acesso negado* quando tento gerar um relatório
<a name="assessment-report-access-denied-error"></a>

Você receberá um erro de `access denied` se sua avaliação tiver sido criada por uma conta de administrador delegado à qual a chave do KMS especificada nas configurações do Audit Manager não pertence. Para evitar esse erro, ao designar um administrador delegado para o Audit Manager, certifique-se de que a conta do administrador delegado tenha acesso à chave do KMS que você forneceu ao configurar o Audit Manager. 

Você também pode receber um erro de `access denied` se não tiver permissões de gravação para o bucket do S3 que está usando como destino do relatório de avaliação. 

Se você receber um erro `access denied`, certifique-se de atender aos seguintes requisitos:
+ Sua chave do KMS nas configurações do Audit Manager dá permissões ao administrador delegado. Você pode configurar isso seguindo as instruções em [Permitir que usuários de outras contas usem uma chave do KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html) no *Guia do Desenvolvedor do AWS Key Management Service *. Para obter instruções sobre como analisar e alterar suas configurações de criptografia no Audit Manager, consulte [Como definir suas configurações de criptografia de dados](settings-KMS.md).
+ Você tem uma política de permissões que concede acesso de gravação para o bucket do S3 que está usando como destino do relatório de avaliação. Mais especificamente, sua política de permissões contém uma ação `s3:PutObject`, especifica o ARN do bucket do S3 e inclui a chave do KMS usada para criptografar seus relatórios de avaliação. Para ver um exemplo de política que você pode usar, consulte [Exemplo 2 (permissões de destino do relatório de avaliação)](security_iam_id-based-policy-examples.md#full-administrator-access-assessment-report-destination).

**nota**  
Se você alterar as configurações de criptografia de dados do Audit Manager, essas alterações se aplicarão às novas avaliações que forem criadas daqui para frente. Isso inclui todos os relatórios de avaliação criados a partir de suas novas avaliações.  
As alterações não se aplicam às avaliações existentes criadas antes de alterar suas configurações de criptografia. Isso inclui novos relatórios de avaliação criados a partir de avaliações existentes, além dos relatórios de avaliação existentes. As avaliações existentes, e todos os seus relatórios de avaliação, continuam usando a antiga chave do KMS. Se a identidade do IAM que está gerando o relatório de avaliação não tiver permissões para usar a antiga chave do KMS, você poderá conceder permissões no nível da política de chaves. 

## Não consigo descompactar o relatório de avaliação
<a name="cannot-unzip-assessment-report"></a>

Se você não conseguir descompactar o relatório de avaliação no Windows, é provável que o Windows Explorer não esteja conseguindo extraí-lo porque o caminho do arquivo tem várias pastas aninhadas ou nomes longos. Isso ocorre porque, no sistema de nomenclatura de arquivos do Windows, o caminho da pasta, o nome do arquivo e a extensão do arquivo não podem exceder 259 caracteres. Caso contrário, isso resultará em um erro de `Destination Path Too Long`.

Para resolver esse problema, tente mover o arquivo .zip para a pasta principal de seu local atual. Em seguida, você pode tentar descompactá-lo novamente a partir daí. Como alternativa, você também pode tentar encurtar o nome do arquivo .zip, ou extraí-lo para um local diferente que tenha um caminho de arquivo mais curto.

## Quando escolho o nome de uma evidência em um relatório, não sou redirecionado para os detalhes da mesma
<a name="cannot-open-evidence-detail-links"></a>

Esse problema pode ocorrer se você estiver interagindo com o relatório de avaliação em um navegador, ou usando o leitor de PDF padrão instalado em seu sistema operacional. Alguns leitores de PDF padrão do navegador e do sistema não permitem a abertura de links relacionados. Isso significa que, embora os hiperlinks possam funcionar no PDF de resumo do relatório de avaliação (como nomes de controle com hiperlinks no índice), os hiperlinks são ignorados quando você tenta migrar do PDF do resumo da avaliação para um PDF separado de detalhes de evidências.

Se você encontrar esse problema, recomendamos usar um leitor de PDF exclusivo para interagir com seus relatórios de avaliação. Para obter uma experiência confiável, recomendamos que você instale e use o Adobe Acrobat Reader, que pode ser baixado no [site da Adobe](https://get.adobe.com/reader/). Outros leitores de PDF também estão disponíveis, mas foi comprovado que o Adobe Acrobat Reader funciona de forma consistente e confiável com os relatórios de avaliação do Audit Manager. 

## A geração do meu relatório de avaliação está no status *Em andamento* e tenho dúvidas se isso afeta meu faturamento
<a name="assessment-report-billing"></a>

A geração do relatório de avaliação não impacta no faturamento. A cobrança ocorre apenas com base nas evidências que suas avaliações coletam. Para obter mais informações sobre precificação, consulte [Precificação do AWS Audit Manager](https://aws.amazon.com/audit-manager/pricing/).

## Recursos adicionais do
<a name="assessment-report-see-also"></a>

As páginas a seguir contêm orientações para solução de problemas sobre a geração de um relatório de avaliação a partir do localizador de evidências:
+ [Não consigo gerar vários relatórios de avaliação a partir dos meus resultados de pesquisa](evidence-finder-issues.md#cannot-generate-multiple-reports-from-search-results)
+ [Não consigo incluir evidências específicas nos resultados da minha pesquisa](evidence-finder-issues.md#cannot-add-individual-evidence)
+ [Nem todos os resultados do meu localizador de evidências estão incluídos no relatório de avaliação](evidence-finder-issues.md#not-all-results-present-in-report)
+ [Quero gerar um relatório de avaliação a partir dos resultados da minha pesquisa, mas ocorre uma falha na minha instrução de consulta](evidence-finder-issues.md#querystatement-exceptions)

# Solução de problemas de controle e conjunto de controles
<a name="control-issues"></a>



Você pode usar as informações desta página para resolver problemas comuns com controles no Audit Manager.

**Problemas gerais**
+ [Não consigo ver nenhum controle ou conjuntos de controles na minha avaliação](#cannot-view-controls)
+ [Não consigo carregar evidências manuais para um controle](#cannot-upload-manual-evidence)
+ [O que significa se um controle indicar “Substituição disponível”?](#control-replacement-available)

**AWS Config problemas de integração**
+ [Preciso usar várias AWS Config regras como fonte de dados para um único controle](#need-to-use-multiple-rules)
+ [A opção de regra personalizada não está disponível quando configuro uma fonte de dados de controle](#custom-rule-option-unavailable)
+ [A opção de regra personalizada está disponível, mas nenhuma aparece na lista suspensa](#no-custom-rules-displayed)
+ [Algumas regras personalizadas estão disponíveis, mas não consigo ver a que quero usar](#custom-rule-missing)
+ [Não consigo ver a regra gerenciada que quero usar](#managed-rule-missing)
+ [Quero compartilhar uma estrutura personalizada, mas ela tem controles que usam AWS Config regras personalizadas como fonte de dados. O destinatário pode coletar evidências para esses controles?](#shared-frameworks-with-custom-aws-config-rules)
+ [O que acontece quando uma regra personalizada é atualizada no AWS Config? Preciso desempenhar alguma ação no Audit Manager?](#a-rule-is-updated)

## Não consigo ver nenhum controle ou conjuntos de controles na minha avaliação
<a name="cannot-view-controls"></a>

Em resumo, para visualizar os controles de uma avaliação, você deve ser designado como responsável pela auditoria para essa avaliação. Além disso, você precisa das permissões necessárias do IAM para visualizar e gerenciar os atributos relacionados do Audit Manager. 

Se precisar acessar os controles em uma avaliação, peça a um dos responsáveis pela auditoria que defina você como responsável pela auditoria. Você pode especificar os responsáveis pela auditoria ao [criar](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-assessments.html#choose-audit-owners) ou [editar](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-assessment.html#edit-choose-audit-owners) uma avaliação. 

Certifique-se de que também tem as permissões necessárias para gerenciar a avaliação. Recomendamos que os proprietários da auditoria usem a [AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html)política. Se você precisar de ajuda com as permissões do IAM, entre em contato com seu administrador ou com o [Suporte da AWS](https://aws.amazon.com/contact-us/). Para obter mais informações sobre como anexar uma política a uma identidade do IAM, consulte [Adicionar permissões a um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) e [Adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) no *Guia do Usuário do IAM*.

## Não consigo carregar evidências manuais para um controle
<a name="cannot-upload-manual-evidence"></a>

Se você não conseguir carregar evidências manualmente para um controle, é provável que o status do controle esteja *Inativo*.

Para fazer upload de evidências manuais para um controle, primeiro você deve alterar o status do controle para *Em análise* ou *Analisado*. Para instruções, consulte [Alterando o status de um controle de avaliação no AWS Audit Manager](change-assessment-control-status.md).

**Importante**  
Cada um só Conta da AWS pode carregar manualmente até 100 arquivos de evidências para um controle por dia. Exceder essa cota diária faz com que qualquer carregamento manual adicional falhe nesse controle. Se você precisar carregar uma grande quantidade de evidências manuais em um único controle, carregue as evidências em lotes ao longo de vários dias.

## O que significa se um controle indicar “Substituição disponível”?
<a name="control-replacement-available"></a>

![\[Captura de tela da mensagem pop-up que solicita que você recrie sua avaliação.\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/images/troubleshooting-control-replacement-available-console.png)


Se você vir essa mensagem, isso significa que uma definição de controle atualizada está disponível para um ou mais dos controles padrão em seu framework personalizado. Recomendamos que você substitua esses controles para poder se beneficiar das fontes de evidência aprimoradas que o Audit Manager agora fornece.

Para obter instruções sobre como proceder, consulte [Na página de detalhes do meu framework personalizado, sou solicitado a recriá-lo](framework-issues.md#recreate-framework-post-common-controls).

## Preciso usar várias AWS Config regras como fonte de dados para um único controle
<a name="need-to-use-multiple-rules"></a>

Você pode usar uma combinação de regras gerenciadas e personalizadas para um único controle. Para fazer isso, defina várias fontes de evidências para o controle e selecione seu tipo de regra preferido para cada uma delas. Você pode definir até 100 fontes de dados gerenciadas pelo cliente para um único controle personalizado.

## A opção de regra personalizada não está disponível quando configuro uma fonte de dados de controle
<a name="custom-rule-option-unavailable"></a>

Isso significa que você não tem permissões para visualizar regras personalizadas para sua Conta da AWS ou organização. Mais especificamente, você não tem permissões para realizar a [DescribeConfigRules](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeConfigRules.html)operação no console do Audit Manager.

Para resolver esse problema, entre em contato com o AWS administrador para obter ajuda. Se você for administrador da AWS , poderá fornecer permissões para seus usuários ou grupos [gerenciando suas políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html).

## A opção de regra personalizada está disponível, mas nenhuma aparece na lista suspensa
<a name="no-custom-rules-displayed"></a>

Isso significa que nenhuma regra personalizada está habilitada e disponível para uso em sua Conta da AWS ou organização.

Se você ainda não tem nenhuma regra personalizada AWS Config, pode criar uma. Para obter instruções, consulte [Regras personalizadas do AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules.html) no *Guia do Desenvolvedor do AWS Config *.

Se você espera ver uma regra personalizada, verifique o item de solução de problemas a seguir.

## Algumas regras personalizadas estão disponíveis, mas não consigo ver a que quero usar
<a name="custom-rule-missing"></a>

Se você não consegue ver a regra personalizada que espera encontrar, o motivo pode um dos problemas a seguir.

**Sua conta foi excluída da regra**  
É possível que a conta de administrador delegado que você está usando esteja excluída da regra.  
A conta de gerenciamento da sua organização (ou uma das contas de administrador AWS Config delegado) pode criar regras de organização personalizadas usando o AWS Command Line Interface (AWS CLI). Ao fazer isso, é possível especificar uma [lista de contas a serem excluídas](https://docs.aws.amazon.com/config/latest/APIReference/API_PutOrganizationConfigRule.html#config-PutOrganizationConfigRule-request-ExcludedAccounts) da regra. Caso sua conta esteja nessa lista, a regra não estará disponível no Audit Manager.  
Para resolver esse problema, entre em contato com o AWS Config administrador para obter ajuda. Se você for AWS Config administrador, poderá atualizar a lista de contas excluídas executando o [put-organization-config-rule](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-organization-config-rule.html)comando.

**A regra não foi criada e habilitada com sucesso no AWS Config**  
Também é possível que a regra personalizada não tenha sido criada e ativada com êxito. Se um erro [ocorreu ao criar a regra](https://docs.aws.amazon.com/config/latest/APIReference/API_PutConfigRule.html#API_PutConfigRule_Errors) ou se a regra não estiver [ativada](https://docs.aws.amazon.com/config/latest/developerguide/setting-up-aws-config-rules-with-console.html), ela não aparecerá na lista de regras disponíveis no Audit Manager.  
Para obter ajuda relacionada a esse problema, recomendamos entrar em contato com seu administrador do AWS Config .

**A regra é gerenciada**  
Se você não conseguir encontrar a regra que está procurando na lista suspensa de regras personalizadas, é possível que ela seja gerenciada.  
Você pode usar o [console do AWS Config](https://console.aws.amazon.com/config/) para verificar se uma regra é gerenciada. Para fazer isso, escolha **Regras** no menu de navegação à esquerda e procure pela regra na tabela. Se a regra for gerenciada, a coluna **Tipo** mostrará **gerenciada pela AWS **.  

![\[Uma regra gerenciada, conforme mostrada no AWS Config console.\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/images/rules-managed-console.png)

Depois de confirmar que é uma regra gerenciada, retorne ao Audit Manager e selecione **Regra gerenciada** como o tipo de regra. Em seguida, procure a palavra-chave identificadora de regra gerenciada na lista suspensa de regras gerenciadas.  

![\[A mesma regra encontrada na lista suspensa de regras gerenciadas no console do Audit Manager.\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/images/control_data_source-managed_rule-console.png)


## Não consigo ver a regra gerenciada que quero usar
<a name="managed-rule-missing"></a>

Antes de selecionar uma regra na lista suspensa no console do Audit Manager, certifique-se de selecionar **Regra gerenciada** como o tipo de regra.

![\[A opção de regra gerenciada selecionada no console do Audit Manager.\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/images/ruletype-managed-console.png)


Se ainda não conseguiu ver a regra gerenciada que esperava encontrar, é possível que esteja procurando o *nome* da regra. Em vez disso, você deve procurar o *identificador* da regra. 

Se você estiver usando uma regra gerenciada padrão, o nome e o identificador serão semelhantes. O nome está em letras minúsculas e inclui traços (por exemplo, `iam-policy-in-use`). O identificador está em maiúsculas e inclui sublinhados (por exemplo, `IAM_POLICY_IN_USE`). Para encontrar o identificador de uma regra gerenciada padrão, revise a [lista de palavras-chave de regras AWS Config gerenciadas suportadas](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources-config.html#aws-config-managed-rules) e siga o link da regra que você deseja usar. Isso leva você à AWS Config documentação dessa regra gerenciada. A partir daqui, você pode ver o nome e o identificador. Procure a palavra-chave identificadora na lista suspensa do Audit Manager.

![\[Um nome e um identificador de regra gerenciada, conforme mostrado na documentação do AWS Config .\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/images/ruleidentifier-configdocs.png)


Se você estiver usando uma regra gerenciada personalizada, poderá usar o [console do AWS Config](https://console.aws.amazon.com/config/) para localizar o identificador da regra. Por exemplo, digamos que você deseja usar a regra gerenciada `customized-iam-policy-in-use`. Para encontrar o identificador dessa regra, acesse o AWS Config console, escolha **Regras** no menu de navegação à esquerda e escolha a regra na tabela.

![\[Uma regra gerenciada com um nome personalizado na tabela de regras do console do AWS Config .\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/images/managedrule-customname-configconsole.png)


Escolha **Editar** para abrir detalhes sobre a regra gerenciada.

![\[A opção de edição da regra no AWS Config console.\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/images/editrule-configconsole.png)


Na seção **Detalhes**, você encontra o identificador de origem a partir do qual a regra gerenciada foi criada (`IAM_POLICY_IN_USE`).

![\[Os detalhes da regra gerenciada no AWS Config console.\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/images/ruledetails-configconsole.png)


Agora você pode retornar ao console do Audit Manager e selecionar a mesma palavra-chave identificadora na lista suspensa.

![\[Um identificador de regra gerenciada, conforme mostrado no console do Audit Manager.\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/images/ruleidentifier-console.png)


## Quero compartilhar uma estrutura personalizada, mas ela tem controles que usam AWS Config regras personalizadas como fonte de dados. O destinatário pode coletar evidências para esses controles?
<a name="shared-frameworks-with-custom-aws-config-rules"></a>

Sim, o destinatário pode coletar evidências para esses controles, mas é preciso concluir algumas etapas. 

Para que o Audit Manager colete evidências usando uma AWS Config regra como mapeamento da fonte de dados, o seguinte deve ser verdadeiro. Isso se aplica às regras gerenciadas e personalizadas.

1. A regra deve existir no AWS ambiente do destinatário

1. A regra deve ser ativada no AWS ambiente do destinatário

Lembre-se de que as AWS Config regras personalizadas em sua conta provavelmente ainda não existem no AWS ambiente do destinatário. Além disso, quando o destinatário aceita a solicitação de compartilhamento, o Audit Manager não recria nenhuma de suas regras personalizadas na conta. Para que o destinatário colete evidências usando suas regras personalizadas como mapeamento da fonte de dados, ele deve criar as mesmas regras personalizadas em sua instância de AWS Config. Depois que o destinatário [cria](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules.html) e [habilitada](https://docs.aws.amazon.com/config/latest/developerguide/setting-up-aws-config-rules-with-console.html) as regras, o Audit Manager pode coletar evidências dessa fonte de dados. 

Recomendamos que você se comunique com o destinatário para informá-lo se alguma regra personalizada precisa ser criada em sua instância do AWS Config.

## O que acontece quando uma regra personalizada é atualizada no AWS Config? Preciso desempenhar alguma ação no Audit Manager?
<a name="a-rule-is-updated"></a>

**Para atualizações de regras em seu AWS ambiente**  
Se você atualizar uma regra personalizada em seu AWS ambiente, nenhuma ação será necessária no Audit Manager. O Audit Manager detecta e gerencia as atualizações de regras, conforme descrito na tabela a seguir. O Audit Manager não notifica quando uma atualização de regra é detectada.


| Cenário | O que o Audit Manager faz | O que você precisa fazer | 
| --- | --- | --- | 
|  Uma regra personalizada é **atualizada** na sua instância do AWS Config  | O Audit Manager continua relatando as descobertas dessa regra ao usar a definição de regra atualizada.  | Nenhuma ação é necessária. | 
|  Uma regra personalizada é **excluída** na sua instância do AWS Config  | O Audit Manager interrompe a notificação das descobertas da regra excluída. |  Nenhuma ação é necessária. Se quiser, você pode [editar os controles personalizados](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-controls.html) que usaram a regra excluída como mapeamento da fonte de dados. Isso ajuda a limpar as configurações da fonte de dados ao remover a regra excluída. Caso contrário, o nome da regra excluída permanecerá como um mapeamento de fonte de dados não utilizado.  | 

**Para atualizações de regras fora do seu AWS ambiente**  
Se uma regra personalizada for atualizada fora do seu AWS ambiente, o Audit Manager não detectará a atualização da regra. Você deve considerar essa possibilidade se usa estruturas personalizadas compartilhadas. Isso ocorre porque, nesse cenário, o remetente e o destinatário trabalham em AWS ambientes separados. A tabela a seguir fornece ações recomendadas para esse cenário.


| Sua função | Cenário | Ação recomendada | 
| --- | --- | --- | 
|  Remetente  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/control-issues.html)  | Informe o destinatário sobre sua atualização. Dessa forma, ele pode aplicar a mesma atualização e continuar a par da definição de regra mais recente. | 
| Destinatário |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/control-issues.html)  | Faça a atualização da regra correspondente em sua própria instância do AWS Config. | 

# Solução de problemas no painel
<a name="dashboard-issues"></a>



Você pode usar as informações nesta página para resolver problemas comuns do painel no Audit Manager.

**Topics**
+ [Não há dados no meu painel](#dashboard-no-data)
+ [A opção de download de CSV não está disponível](#dashboard-download-option-unavailable)
+ [Não vejo o arquivo baixado ao tentar baixar um arquivo CSV](#dashboard-cant-find-downloaded-file)
+ [Não há um controle ou domínio de controle específico no painel](#dashboard-no-control-domain)
+ [Vejo controles semelhantes ou duplicados aparecendo sob o mesmo domínio de controle](#dashboard-similar-or-duplicate-controls-in-the-same-control-domain)
+ [A captura de tela diária mostra quantidades variáveis de evidências a cada dia. Isto é normal?](#dashboard-varying-evidence)

## Não há dados no meu painel
<a name="dashboard-no-data"></a>

Se os números no widget [Captura de tela diária](dashboard.md#dashboard-daily-snapshot) exibirem um hífen (-), isso indica que nenhum dado está disponível. Você deve ter pelo menos uma avaliação ativa para visualizar os dados no painel. Para começar, [crie uma avaliação](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-assessments.html). Após um período de 24 horas, os dados da sua avaliação começarão a aparecer no painel. 

**nota**  
Se os números no widget de captura de tela diária exibirem zero (0), isso indica que suas avaliações ativas (ou a avaliação selecionada) não têm evidências de não conformidade.

## A opção de download de CSV não está disponível
<a name="dashboard-download-option-unavailable"></a>

Essa opção está disponível somente para avaliações individuais. Certifique-se de ter um [Filtro de avaliação](dashboard.md#dashboard-assessment-filters) aplicado ao painel e tente novamente. Lembre-se de que você só pode baixar um arquivo CSV por vez.

## Não vejo o arquivo baixado ao tentar baixar um arquivo CSV
<a name="dashboard-cant-find-downloaded-file"></a>

Se um domínio de controle possuir um grande número de controles, pode haver um pequeno atraso enquanto o Audit Manager gera o arquivo CSV. Depois que o arquivo for gerado, ele é baixado automaticamente.

Se você ainda não visualizar o arquivo baixado, verifique se sua conexão com a Internet está funcionando normalmente e se está usando a versão mais recente do seu navegador. Além disso, verifique sua pasta de downloads recentes. Os arquivos são baixados no local padrão determinado pelo seu navegador. Se isso não resolver o problema, tente baixar o arquivo usando um navegador diferente. 

## Não há um controle ou domínio de controle específico no painel
<a name="dashboard-no-control-domain"></a>

Isso provavelmente significa que suas avaliações ativas (ou avaliações especificadas) não têm dados relevantes para esse controle ou domínio de controle. 

Um domínio de controle será exibido no painel somente se os dois critérios a seguir forem atendidos:
+ Suas avaliações ativas (ou avaliação especificada) contêm pelo menos um controle relacionado a esse domínio
+ Pelo menos um controle dentro desse domínio coletou evidências na data indicada na parte superior do painel

Um controle será exibido em um domínio somente se tiver coletado evidências na data na parte superior do painel.

## Vejo controles semelhantes ou duplicados aparecendo sob o mesmo domínio de controle
<a name="dashboard-similar-or-duplicate-controls-in-the-same-control-domain"></a>

Esse problema pode ocorrer se as suas avaliações coletarem evidências de diferentes versões do mesmo controle padrão.

Isso acontece nos seguintes cenários:

**Cenário 1: você tem duas avaliações criadas a partir do mesmo framework padrão**  
+ Você criou uma avaliação a partir de um framework padrão antes do lançamento da biblioteca de controles comuns. 

  Essa avaliação coleta evidências usando controles padrão desatualizados.
+ Você também criou uma avaliação a partir do mesmo framework padrão após o lançamento da biblioteca de controles comuns. 

  Essa avaliação coleta evidências usando as novas versões dos controles padrão.
+ Como resultado, suas avaliações coletam evidências de diferentes versões dos mesmos controles padrão.

**Cenário 2: você tem duas avaliações criadas a partir de um framework personalizado que usa controles padrão**  
+ Você criou uma avaliação a partir do seu framework personalizado antes do lançamento da biblioteca de controles comuns. 

  Essa avaliação coleta evidências usando controles padrão desatualizados.
+ Você também criou uma avaliação a partir do mesmo framework personalizado após o lançamento da biblioteca de controles comuns. 

  Essa avaliação coleta evidências usando as novas versões dos controles padrão.
+ Como resultado, suas avaliações coletam evidências de diferentes versões dos mesmos controles padrão.

**Exemplo:** digamos que você tenha uma avaliação preexistente criada a partir do framework padrão do PCI DSS antes de 6 de junho de 2024. Além disso, você criou uma nova avaliação a partir do framework padrão do PCI DSS após 6 de junho de 2024. Como resultado, a primeira avaliação coleta evidências usando a versão desatualizada dos controles padrão do PCI DSS. A segunda avaliação coleta evidências usando a nova versão dos controles padrão do PCI DSS. Como as duas versões dos controles do PCI DSS estão ativamente coletando evidências em suas avaliações, você provavelmente verá os dois conjuntos de controles aparecerem no painel sob o mesmo domínio de controle. No entanto, em casos raros, o controle desatualizado e o novo controle podem aparecer em diferentes domínios de controle no painel.

Você pode continuar coletando evidências e visualizando os insights do painel de controles e frameworks padrão desatualizados. No entanto, recomendamos que você use os novos controles e frameworks fornecidos pelo Audit Manager após o lançamento da biblioteca de controles comuns em 6 de junho de 2024. Os novos controles padrão podem coletar evidências de [](concepts.md#aws-managed-source). Isso significa que sempre que houver uma atualização nas fontes de dados subjacentes para um controle comum ou central, o Audit Manager aplica automaticamente a mesma atualização a todos os controles padrão relacionados. 

## A captura de tela diária mostra quantidades variáveis de evidências a cada dia. Isto é normal?
<a name="dashboard-varying-evidence"></a>

Nem todas as evidências são coletadas diariamente. Os controles nas avaliações do Audit Manager são mapeados para diferentes fontes de dados e cada um deles pode ter um cronograma de coleta de evidências diferente. Como resultado, espera-se que a captura de tela diária exiba uma quantidade variável de evidências a cada dia. Para obter mais informações, consulte [Frequência das coletas de evidências](how-evidence-is-collected.md#frequency).

# Solução de problemas e AWS Organizations administradores delegados
<a name="delegated-admin-issues"></a>



Você pode usar as informações nesta página para resolver problemas comuns de administradores delegados no Audit Manager.

**Topics**
+ [Não consigo configurar o Audit Manager com minha conta de administrador delegado](#delegated-admin-setup)
+ [Quando eu crio uma avaliação, não consigo ver as contas da minha organização em *Contas no escopo*](#cannot-see-accounts-from-organization)
+ [Recebo uma mensagem de erro de *acesso negado* quando tento gerar um relatório de avaliação usando minha conta de administrador delegado](#delegated-admin-access-denied-error)
+ [O que acontece no Audit Manager se eu desvincular uma conta-membro da minha organização?](#delegated-admin-unlink-account)
+ [O que acontece se eu vincular novamente uma conta-membro à minha organização?](#delegated-admin-relink-account)
+ [O que acontece se eu migrar uma conta-membro de uma organização para outra?](#delegated-admin-migrate-account)

## Não consigo configurar o Audit Manager com minha conta de administrador delegado
<a name="delegated-admin-setup"></a>

Embora haja suporte para vários administradores delegados AWS Organizations, o Audit Manager permite somente um administrador delegado. Se você tentar designar vários administradores delegados no Audit Manager, receberá a seguinte mensagem de erro: 
+ Console: `You have exceeded the allowed number of delegated administrators for the delegated service`
+ CLI: `An error occurred (ValidationException) when calling the RegisterAccount operation: Cannot change delegated Admin for an active account 11111111111 from 2222222222222 to 333333333333`

Escolha a conta individual que você deseja usar como administrador delegado no Audit Manager. Primeiramente, certifique-se de registrar a conta de administrador delegado no Organizations e, em seguida, [adicione a mesma conta como administrador delegado](https://docs.aws.amazon.com/audit-manager/latest/userguide/add-delegated-admin.html) no Audit Manager.

## Quando eu crio uma avaliação, não consigo ver as contas da minha organização em *Contas no escopo*
<a name="cannot-see-accounts-from-organization"></a>

Se você quiser que sua avaliação do Audit Manager inclua várias contas da sua organização, deve especificar um administrador delegado.

Certifique-se de configurar uma conta de administrador delegado para o Audit Manager. Para instruções, consulte [Como adicionar um administrador delegado](add-delegated-admin.md). 

 Algumas questões a serem levadas em consideração:
+ Você não pode usar sua conta AWS Organizations de gerenciamento como administrador delegado no Audit Manager.
+ Se você quiser habilitar o Audit Manager em mais de uma Região da AWS, deverá designar uma conta de administrador delegada separadamente em cada região. Nas configurações do Audit Manager, designe a mesma conta de administrador delegado para todas as regiões.
+ Ao designar um administrador delegado, certifique-se de que a conta do administrador delegado tenha acesso à chave do KMS fornecida ao configurar o Audit Manager. Para saber como analisar e alterar suas configurações de criptografia, consulte [Como definir suas configurações de criptografia de dados](settings-KMS.md).

## Recebo uma mensagem de erro de *acesso negado* quando tento gerar um relatório de avaliação usando minha conta de administrador delegado
<a name="delegated-admin-access-denied-error"></a>

Você receberá um erro de `access denied` se sua avaliação tiver sido criada por uma conta de administrador delegado à qual a chave do KMS especificada nas configurações do Audit Manager não pertence. Para evitar esse erro, ao designar um administrador delegado para o Audit Manager, certifique-se de que a conta do administrador delegado tenha acesso à chave do KMS que você forneceu ao configurar o Audit Manager. 

Você também pode receber um erro de `access denied` se não tiver permissões de gravação para o bucket do S3 que está usando como destino do relatório de avaliação. 

Se você receber um erro `access denied`, certifique-se de atender aos seguintes requisitos:
+ Sua chave do KMS nas configurações do Audit Manager dá permissões ao administrador delegado. Você pode configurar isso seguindo as instruções em [Permitir que usuários de outras contas usem uma chave do KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html) no *Guia do Desenvolvedor do AWS Key Management Service *. Para obter instruções sobre como analisar e alterar suas configurações de criptografia no Audit Manager, consulte [Como definir suas configurações de criptografia de dados](settings-KMS.md).
+ Você tem uma política de permissões que lhe concede acesso de gravação para o destino do relatório de avaliação. Mais especificamente, sua política de permissões contém uma ação `s3:PutObject`, especifica o ARN do bucket do S3 e inclui a chave do KMS usada para criptografar seus relatórios de avaliação. Para ver um exemplo de política que você pode usar, consulte [Exemplo 2 (permissões de destino do relatório de avaliação)](security_iam_id-based-policy-examples.md#full-administrator-access-assessment-report-destination).

**nota**  
Se você alterar as configurações de criptografia de dados do Audit Manager, essas alterações se aplicarão às novas avaliações que forem criadas daqui para frente. Isso inclui todos os relatórios de avaliação criados a partir de suas novas avaliações.  
As alterações não se aplicam às avaliações existentes criadas antes de alterar suas configurações de criptografia. Isso inclui novos relatórios de avaliação criados a partir de avaliações existentes, além dos relatórios de avaliação existentes. As avaliações existentes, e todos os seus relatórios de avaliação, continuam usando a antiga chave do KMS. Se a identidade do IAM que está gerando o relatório de avaliação não tiver permissões para usar a antiga chave do KMS, você poderá conceder permissões no nível da política de chaves. 

## O que acontece no Audit Manager se eu desvincular uma conta-membro da minha organização?
<a name="delegated-admin-unlink-account"></a>

Quando você desvincula uma conta-membro de uma organização, o Audit Manager recebe uma notificação sobre esse evento. Em seguida, o Audit Manager remove automaticamente essa Conta da AWS das listas de *contas no escopo* de suas avaliações existentes. Quando você especifica o escopo de novas avaliações daqui em diante, a conta desvinculada não aparece mais na lista de Contas da AWS elegíveis.

Quando o Audit Manager remove uma conta-membro desvinculada das listas de *contas no escopo* de suas avaliações, você não é notificado sobre essa alteração. Além disso, a conta-membro desvinculada não é notificada de que o Audit Manager não está mais ativado em sua conta.

## O que acontece se eu vincular novamente uma conta-membro à minha organização?
<a name="delegated-admin-relink-account"></a>

Quando você revincula uma conta-membro à sua organização, essa conta não é adicionada automaticamente ao escopo de suas avaliações existentes do Audit Manager. No entanto, a conta do membro revinculada agora aparece como elegível Conta da AWS quando você especifica as *contas no escopo* de suas avaliações. 
+ Para avaliações existentes, você pode editar manualmente o escopo da avaliação a fim de adicionar a conta-membro vinculada novamente. Para instruções, consulte [Etapa 2: Editar Contas da AWS no escopo](edit-assessment.md#edit-accounts). 
+ Para novas avaliações, você pode adicionar a conta vinculada novamente durante a configuração da avaliação. Para instruções, consulte [Etapa 2: especificar Contas da AWS no escopo](create-assessments.md#specify-accounts).

## O que acontece se eu migrar uma conta-membro de uma organização para outra?
<a name="delegated-admin-migrate-account"></a>

Se uma conta-membro tiver o Audit Manager habilitado na organização 1 e, em seguida, migrar para a organização 2, o Audit Manager não será habilitado para a organização 2 como resultado da migração.

# Solução de problemas de localizador de evidências
<a name="evidence-finder-issues"></a>



Use as informações nesta página para resolver problemas comuns do localizador de evidências no Audit Manager.

**Problemas gerais do localizador de evidências**
+ [Não consigo habilitar o localizador de evidências](#cannot-enable-evidence-finder)
+ [Eu habilitei o localizador de evidências, mas não vejo evidências anteriores nos resultados da minha pesquisa](#cannot-see-past-evidence)
+ [Não consigo desabilitar o localizador de evidências](#cannot-disable-evidence-finder)
+ [Ocorre uma falha na minha consulta de pesquisa](#cannot-start-query)
+ [Vejo que um domínio de controle está marcado como “desatualizado”. O que isso significa?](#outdated-control-domains)

**Problemas no relatório de avaliação do localizador de evidências**
+  [Não consigo gerar vários relatórios de avaliação a partir dos meus resultados de pesquisa](#cannot-generate-multiple-reports-from-search-results)
+ [Não consigo incluir evidências específicas nos resultados da minha pesquisa](#cannot-add-individual-evidence)
+ [Nem todos os resultados do meu localizador de evidências estão incluídos no relatório de avaliação](#not-all-results-present-in-report)
+ [Quero gerar um relatório de avaliação a partir dos resultados da minha pesquisa, mas ocorre uma falha na minha instrução de consulta](#querystatement-exceptions)
+ [Recursos adicionais do](#evidence-finder-assessment-report-see-also)

**Problemas de exportação de CSV do localizador de evidências**
+ [Ocorreu uma falha na minha exportação do CSV](#export-checklist)
+ [Não consigo exportar evidências específicas dos meus resultados de pesquisa](#cannot-include-individual-evidence)
+ [Não consigo exportar vários arquivos CSV de uma vez](#cannot-export-multiple-files-from-search-results)

## Não consigo habilitar o localizador de evidências
<a name="cannot-enable-evidence-finder"></a>

Os motivos comuns pelos quais você não pode habilitar o localizador de evidências incluem as seguintes situações:

**Não há permissões suficientes**  
Se você estiver tentando habilitar o localizador de evidências pela primeira vez, verifique se tem as [permissões necessárias para habilitar o localizador de evidências](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#full-administrator-access-enable-evidence-finder). Essas permissões permitem que você crie e gerencie um armazenamento de dados de eventos no CloudTrail Lake, o que é necessário para apoiar as consultas de pesquisa do localizador de evidências. As permissões também viabilizam a execução de consultas de pesquisa no localizador de evidências.  
Se precisar de ajuda com as permissões, entre em contato com seu AWS administrador. Se você for AWS administrador, poderá copiar a declaração de permissão necessária e [anexá-la a uma política do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console).

**Você está usando a conta de gerenciamento do Organizations**  
Lembre-se de que não usar a conta de gerenciamento para habilitar o localizador de evidências. Faça login com a conta de administrador delegado e tente novamente.

**Você desativou o localizador de evidências anteriormente**  
A reativação do localizador de evidências não é suportada no momento. Se você desativou o localizador de evidências anteriormente, não poderá reativá-lo. 

## Eu habilitei o localizador de evidências, mas não vejo evidências anteriores nos resultados da minha pesquisa
<a name="cannot-see-past-evidence"></a>

Quando você ativa o localizador de evidências, leva até sete dias para que todos os seus dados de evidências anteriores estejam disponíveis.

Durante esse período de sete dias, um armazenamento de dados de eventos é preenchido com os dados de evidências dos últimos dois anos. Isso significa que, se usar o localizador de evidências imediatamente após ativá-lo, nem todos os resultados estarão disponíveis até que o preenchimento seja concluído.

Para obter instruções sobre como verificar o status do preenchimento de dados, consulte [Como confirmar o status do localizador de evidências ](confirm-status-of-evidence-finder.md).

## Não consigo desabilitar o localizador de evidências
<a name="cannot-disable-evidence-finder"></a>

Isso pode ser causado por um dos seguintes motivos.

**Não há permissões suficientes**  
Se você estiver tentando desabilitar o localizador de evidências, verifique se tem as [permissões necessárias para isso](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#full-administrator-access-disable-evidence-finder). Essas permissões permitem que você atualize e exclua um armazenamento de dados de eventos no CloudTrail Lake, o que é necessário para desativar o localizador de evidências.  
Se precisar de ajuda com as permissões, entre em contato com seu AWS administrador. Se você for AWS administrador, poderá copiar a declaração de permissão necessária e [anexá-la a uma política do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console).

**Uma solicitação para habilitar o localizador de evidências ainda está em andamento**  
Quando você solicita a ativação do localizador de evidências, criamos um armazenamento de dados de eventos para respaldar as consultas do localizador de evidências. Você não pode desativar o localizador de evidências enquanto o armazenamento de dados de eventos está sendo criado.  
Para continuar, aguarde até que o armazenamento de dados de eventos seja criado e tente novamente. Para obter mais informações, consulte [Como confirmar o status do localizador de evidências ](confirm-status-of-evidence-finder.md).

**Você já solicitou a desabilitação do localizador de evidências**  
Quando você solicita a desativação do localizador de evidências, excluímos o armazenamento de dados de eventos usado para consultas do localizador de evidências. Se você tentar novamente desativar o localizador de evidências enquanto o armazenamento de dados de eventos estiver sendo excluído, receberá uma mensagem de erro.  
Nesse caso, nenhuma ação é necessária. Aguarde até que o armazenamento de dados de eventos seja excluído. Assim que essa ação for concluída, o localizador de evidências será desativado. Para obter mais informações, consulte [Como confirmar o status do localizador de evidências ](confirm-status-of-evidence-finder.md).

## Ocorre uma falha na minha consulta de pesquisa
<a name="cannot-start-query"></a>

A falha em uma consulta de pesquisa pode ser causada por um dos motivos a seguir.

**Não há permissões suficientes**  
Verifique se o usuário tem as [permissões necessárias](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#evidence-finder-query-access) para executar consultas de pesquisa e acessar os respectivos resultados. Especificamente, você precisa de permissões para as seguintes CloudTrail ações:  
+ [StartQuery](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_StartQuery.html)
+ [DescribeQuery](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_DescribeQuery.html)
+ [CancelQuery](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CancelQuery.html)
+ [GetQueryResults](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetQueryResults.html)
Se precisar de ajuda com as permissões, entre em contato com seu AWS administrador. Se você for AWS administrador, poderá copiar a declaração de permissão necessária e [anexá-la a uma política do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console).

**Você está executando o número máximo de consultas**  
Você pode executar até cinco consultas por vez. Se você estiver executando o número máximo de consultas simultâneas, isso resultará em um erro de `MaxConcurrentQueriesException`. Se você receber essa mensagem de erro, aguarde um minuto até que algumas consultas sejam concluídas e execute a consulta novamente.

**Sua instrução de consulta tem um erro de validação**  
Se você estiver usando a API ou a CLI para realizar a [StartQuery](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_StartQuery.html)operação CloudTrail Lake, verifique se a sua `queryStatement` é válida. Se a instrução de consulta tiver erros de validação, sintaxe incorreta ou palavras-chave incompatíveis, isso resultará em um `InvalidQueryStatementException`.   
Para obter mais informações sobre como redigir uma consulta, confira [Criar ou editar uma consulta](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-create-edit-query.html) no *Guia do Usuário do AWS CloudTrail *.   
Para obter exemplos de sintaxe válida, analise os seguintes exemplos de instruções de consulta usados para consultar um armazenamento de dados de eventos do Audit Manager.  
**Exemplo 1: investigar evidências e seu status de conformidade**  
Este exemplo localiza evidências com qualquer status de conformidade em todas as avaliações da conta, dentro de um intervalo de datas especificado. 

```
SELECT eventData.evidenceId, eventData.resourceArn, eventData.resourceComplianceCheck FROM $EDS_ID WHERE eventTime > '2022-11-02 00:00:00.000' AND eventTime < '2022-11-03 00:00:00.000'
```
**Exemplo 2: determinar evidências de não conformidade de um controle**  
Este exemplo localiza todas as evidências de não conformidade em um intervalo de datas determinado para uma avaliação e um controle específicos. 

```
SELECT * FROM $EDS_ID WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' AND eventTime > '2022-10-27 22:05:00.000' AND eventTime < '2022-11-03 22:05:00.000' AND eventData.resourceComplianceCheck IN ('NON_COMPLIANT','FAILED','WARNING') AND eventData.controlId IN ('aa11bb22-cc33-dd44-ee55-ff66gg77hh88')
```
**Exemplo 3: contar as evidências por nome**  
Este exemplo lista o total de evidências de uma avaliação em um intervalo de datas especificado, agrupadas por nome e ordenadas pela contagem de evidências. 

```
SELECT eventData.eventName as eventName, COUNT(*) as totalEvidence FROM  $EDS_ID WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' AND eventTime > '2022-10-27 22:05:00.000' AND eventTime < '2022-11-03 22:05:00.000' GROUP BY eventData.eventName ORDER BY totalEvidence DESC
```
**Exemplo 4: explorar evidências por fonte de dados e serviço**  
Este exemplo encontra todas as evidências em um intervalo de datas determinado para uma fonte de dados e um serviço específicos. 

```
SELECT * FROM $EDS_ID WHERE eventTime > '2022-10-27 22:05:00.000' AND eventTime < '2022-11-03 22:05:00.000' AND eventData.service IN ('dynamodb') AND eventData.dataSource IN ('AWS API calls')
```
**Exemplo 5: explorar evidências de conformidade por fonte de dados e domínio de controle**  
Este exemplo localiza evidências de conformidade provenientes de uma fonte de dados diferente do AWS Config para domínios de controle específicos. 

```
 SELECT * FROM $EDS_ID WHERE eventData.resourceComplianceCheck IN ('PASSED','COMPLIANT') AND eventData.controlDomainName IN ('Logging and monitoring','Data security and privacy') AND eventData.dataSource NOT IN ('AWS Config')
```

**Outras exceções de API**  
A [StartQuery](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_StartQuery.html)API pode falhar por vários outros motivos. Para obter uma lista completa dos possíveis erros e descrições, consulte [StartQuery Erros](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_StartQuery.html#API_StartQuery_Errors) na *referência da AWS CloudTrail API.*

## Vejo que um domínio de controle está marcado como “desatualizado”. O que isso significa?
<a name="outdated-control-domains"></a>

Ao aplicar um filtro de domínio de controle no localizador de evidências, você pode notar que alguns domínios de controle disponíveis são descritos como **desatualizados**. 

![\[Captura de tela de um filtro de domínio de controle desatualizado no localizador de evidências.\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/images/troubleshooting-outdated-control-domain-filter-console.png)


A partir de 6 de junho de 2024, o Audit Manager oferece suporte a um novo conjunto de domínios de controle fornecidos pelo Catálogo de controles do AWS . Para obter uma lista desses domínios de controle, consulte [ListDomains](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListDomains.html)a Referência da *API AWS Control Catalog*. 

Se um domínio de controle estiver marcado como **Desatualizado**, isso significa que o domínio de controle que você está visualizando não é um dos novos domínios de controle fornecidos pelo Catálogo de Controles do AWS . O Audit Manager continua oferecendo suporte a esses domínios de controle desatualizados para que você ainda possa usá-los como critérios ao pesquisar evidências. 

Embora continuemos oferecendo suporte aos domínios de controle desatualizados, recomendamos que você use os novos domínios de controle. Os novos domínios de controle são mapeados para os controles padrão atualizados que foram lançados como parte da biblioteca de controles comuns em 6 de junho de 2024. Nessa data, lançamos controles padrão atualizados que podem coletar evidências de [fontes gerenciadas pela AWS](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#aws-managed-source). Isso significa que sempre que houver uma atualização nas fontes de dados subjacentes para um controle comum ou central, o Audit Manager aplica automaticamente a mesma atualização a todos os controles padrão relacionados. 

## Não consigo gerar vários relatórios de avaliação a partir dos meus resultados de pesquisa
<a name="cannot-generate-multiple-reports-from-search-results"></a>

Esse erro é causado pela execução de muitas consultas do CloudTrail Lake ao mesmo tempo. 

Esse erro poderá ocorrer se você agrupar os resultados da pesquisa e tentar gerar imediatamente relatórios de avaliação para cada item de linha nos resultados agrupados. Quando você obtém os resultados da pesquisa e gera um relatório de avaliação, cada ação invoca uma consulta. Você pode executar até cinco consultas por vez. Se você estiver executando o número máximo de consultas simultâneas, um erro `MaxConcurrentQueriesException` será retornado. 

Para evitar esse erro, verifique se você não está gerando muitos relatórios de avaliação ao mesmo tempo. Se você estiver executando o número máximo de consultas simultâneas, um erro `MaxConcurrentQueriesException` será retornado. Se você receber essa mensagem de erro, aguarde alguns minutos até que seus relatórios de avaliação em andamento sejam concluídos. 

Você pode verificar o status dos seus relatórios de avaliação na página da central de downloads no console do Audit Manager. Depois que seus relatórios forem concluídos, retorne aos resultados agrupados no localizador de evidências. Em seguida, você pode continuar obtendo os resultados e gerar um relatório de avaliação para cada item de linha.

## Não consigo incluir evidências específicas nos resultados da minha pesquisa
<a name="cannot-add-individual-evidence"></a>

Todos os resultados da sua pesquisa estão inclusos no relatório de avaliação. Você não pode adicionar seletivamente linhas individuais do seu conjunto de resultados de pesquisa. 

Se você quiser incluir apenas resultados de pesquisa específicos no relatório de avaliação, recomendamos que [edite seus filtros de pesquisa atuais](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#editing-a-search). Dessa forma, você pode restringir seus resultados para direcionar apenas as evidências que deseja incluir no relatório.

## Nem todos os resultados do meu localizador de evidências estão incluídos no relatório de avaliação
<a name="not-all-results-present-in-report"></a>

Quando você gera um relatório de avaliação, há limites para a quantidade de evidências que pode adicionar. O limite é baseado na Região da AWS sua avaliação, na região do bucket do S3 que é usada como destino do relatório de avaliação e se sua avaliação usa um cliente gerenciado AWS KMS key.

1. O limite é 22.000 para relatórios da mesma região (onde o bucket do S3 e a avaliação estão na mesma Região da AWS)

1. O limite é 3.500 para relatórios de diferentes regiões (onde o bucket do S3 e a avaliação estão em Regiões da AWS diferentes)

1. O limite será 3.500 se a avaliação usar uma chave do KMS gerenciada pelo cliente

Se você exceder esse limite, o relatório ainda será criado. No entanto, o Audit Manager adiciona somente os primeiros 3.500 ou 22.000 itens de evidência ao relatório.

Para evitar esse problema, recomendamos que você [edite seus filtros de pesquisa atuais](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#editing-a-search). Dessa forma, você pode reduzir seus resultados de pesquisa visando a uma quantidade menor de evidências. Se necessário, você pode repetir esse método e gerar vários relatórios de avaliação em vez de um relatório maior.

## Quero gerar um relatório de avaliação a partir dos resultados da minha pesquisa, mas ocorre uma falha na minha instrução de consulta
<a name="querystatement-exceptions"></a>

Se você estiver usando a [CreateAssessmentReport](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_CreateAssessmentReport.html)API e sua declaração de consulta retornar uma exceção de validação, consulte a tabela abaixo para obter orientação sobre como corrigi-la. 

**nota**  
Mesmo que uma instrução de consulta funcione CloudTrail, a mesma consulta pode não ser válida para a geração de relatórios de avaliação no Audit Manager. Isso ocorre devido a algumas diferenças na validação de consultas entre os dois serviços. 


| Cláusula | Problema | Solução | Observações | 
| --- | --- | --- | --- | 
|  `SELECT`  |  A cláusula `SELECT` contém um nome de coluna  |  Remova a cláusula `SELECT` e substitua por `SELECT eventJson`.  |  Somente `SELECT eventJson` é suportado.  Essa validação é processada pelo Audit Manager.  | 
|  `FROM`  |  A cláusula `FROM` contém uma ID de armazenamento de dados de eventos inválida ou A ID do armazenamento de dados de eventos fornecida não corresponde à ID do armazenamento de dados de eventos nas configurações do Audit Manager  |  Remova a cláusula `FROM` e substitua por `FROM edsID`, em que o valor de `edsID` corresponde à ID do armazenamento de dados de eventos especificada nas configurações do Audit Manager.  Você pode recuperar o ARN do armazenamento de dados de eventos nas configurações do Audit Manager. Para obter mais informações, consulte [GetSettings](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetSettings.html) na *Referência de APIs do AWS Audit Manager *.  | Essa validação é processada pelo Audit Manager. | 
|  `GROUP BY`  |  Uma cláusula `GROUP BY` está presente na consulta  |  Remova a cláusula `GROUP BY`.  | Essa validação é processada pelo Audit Manager. | 
|  `HAVING`  |  Uma cláusula `HAVING` está presente na consulta  |  Remova a cláusula `HAVING`.  | Essa validação é processada pelo Audit Manager. | 
|  `LIMIT`  |  A cláusula `LIMIT` contém um valor que excede o limite máximo permitido  |  Se a cláusula `LIMIT` existir, certifique-se de que seu valor seja igual ou menor que o limite máximo compatível: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/evidence-finder-issues.html)  | No console, não há limite para o número de resultados de evidências que podem ser retornados. No entanto, ao gerar um relatório de avaliação, um limite se aplica à quantidade de evidências que você pode incluir.Se nenhum valor `LIMIT` for fornecido em sua instrução de consulta, os limites máximos padrão serão aplicados.Essa validação é processada pelo Audit Manager. | 
|  `ORDER BY`  |  A cláusula `ORDER BY` contém [perfis agregados](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-limitations.html#query-aggregates-condition-operators) ou [Apelidos](https://www.w3schools.com/sql/sql_alias.asp) que não estão presentes na cláusula `SELECT`  |  Certifique-se de que a cláusula `ORDER BY` não contenha nenhuma condição usando [perfis agregados](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-limitations.html#query-aggregates-condition-operators) ou [aliases](https://www.w3schools.com/sql/sql_alias.asp).  | Essa validação é feita pela CloudTrail [StartQuery API](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_StartQuery.html). | 
|  `WHERE`  |  A cláusula `WHERE` contém mais de uma `assessmentId` or A cláusula `WHERE` contém uma `assessmentId` que não corresponde à `assessmentId` da sua solicitação `createAssessmentReport` or A cláusula `WHERE` contém um nome de coluna não suportado  |  Certifique-se de que somente uma assessmentID seja especificada e que corresponda ao [parâmetro assessmentId](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_CreateAssessmentReport.html#auditmanager-CreateAssessmentReport-request-assessmentId) que você especificou na solicitação da API `createAssessmentReport`. Remova nomes de coluna não compatíveis.  | Essa validação é feita pela CloudTrail [StartQuery API](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_StartQuery.html). | 

### Exemplos
<a name="querystatement-examples"></a>

Os exemplos a seguir mostram como você pode usar o `queryStatement` parâmetro ao chamar a [CreateAssessmentReport](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_CreateAssessmentReport.html)operação. Antes de usar essas consultas, *placeholder text* substitua a por suas próprias `edsId` e `assessmentId` valores.

**Exemplo 1: criar um relatório (aplica-se o limite para a mesma região)**  
Este exemplo cria um relatório que inclui resultados para buckets do S3 criados entre 22 e 23 de janeiro de 2022.

```
SELECT eventJson FROM 12345678-abcd-1234-abcd-123456789012 WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' AND eventTime > '2022-01-22 00:00:00.000' AND eventTime < '2022-01-23 00:00:00.000' AND eventName='CreateBucket' LIMIT 22000
```

**Exemplo 2: criar um relatório (aplica-se o limite para diferentes regiões)**  
Este exemplo cria um relatório que inclui todos os resultados para o armazenamento de dados de eventos e a avaliação especificados, sem nenhum intervalo de datas determinado.

```
SELECT eventJson FROM 12345678-abcd-1234-abcd-123456789012 WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' LIMIT 7000
```

**Exemplo 3: criar um relatório (abaixo do limite padrão)**  
Este exemplo cria um relatório que inclui todos os resultados do armazenamento e avaliação de dados de eventos especificados, com um limite abaixo do máximo padrão.

```
SELECT eventJson FROM 12345678-abcd-1234-abcd-123456789012 WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' LIMIT 2000
```

## Recursos adicionais do
<a name="evidence-finder-assessment-report-see-also"></a>

As páginas a seguir contêm orientações para solução de problemas gerais sobre relatórios de avaliação:
+ [Solução de problemas de relatórios de avaliação](assessment-report-issues.md)

## Ocorreu uma falha na minha exportação do CSV
<a name="export-checklist"></a>

A exportação do CSV pode falhar por vários motivos. Você pode solucionar esse problema verificando as causas mais frequentes.

Primeiro, certifique-se de que os pré-requisitos sejam atendidos para o uso do atributo de exportação de CSV:

**Você habilitou com sucesso o localizador de evidências**  
Se você não tiver [ativado o localizador de evidências](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder-settings-enable.html), não poderá executar uma consulta de pesquisa nem exportar os resultados da pesquisa.

**O preenchimento do seu armazenamento de dados de eventos está concluído**  
Se você usar o localizador de evidências imediatamente após ativá-lo e o [preenchimento de evidências](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html#understanding-evidence-finder) ainda estiver em andamento, alguns resultados poderão não estar disponíveis. Para verificar o status do preenchimento, consulte [Como confirmar o status do localizador de evidências ](confirm-status-of-evidence-finder.md).

**Sua consulta de pesquisa teve êxito**  
O Audit Manager não pode exportar os resultados de uma consulta na qual ocorreu uma falha. Para solucionar uma falha na consulta, confira [Ocorre uma falha na minha consulta de pesquisa](#cannot-start-query).

Depois de confirmar que você atende aos pré-requisitos, use a lista de verificação a seguir para verificar possíveis problemas:

1. Verifique o status da sua consulta de pesquisa:

   1. **A consulta foi cancelada?** O localizador de evidências exibe resultados parciais que foram processados antes do cancelamento da consulta. No entanto, o Audit Manager não exporta resultados parciais para seu bucket do S3 ou para a central de downloads.

   1. **A consulta está sendo executada há mais de uma hora?** Consultas executadas por mais de uma hora podem expirar. O localizador de evidências exibe resultados parciais que foram processados antes do tempo limite da consulta esgotar. No entanto, o Audit Manager não exporta resultados parciais. Para evitar tempo limite, você pode reduzir a quantidade de evidências digitalizadas pelo [Editar filtros de pesquisa](search-for-evidence-in-evidence-finder.md#editing-a-search) especificando um intervalo de tempo mais restrito.

1. Verifique o nome e o URI do seu bucket do S3 de destino de exportação:

   1. **O bucket especificado existe?** Se você inseriu manualmente um URI do bucket, certifique-se de não cometido erros de digitação. Um erro de digitação ou um URI incorreto pode resultar em um erro `RESOURCE_NOT_FOUND` quando o Audit Manager tenta exportar o arquivo CSV para o Amazon S3. 

1. Verifique as permissões do seu bucket do S3 de destino de exportação:

   1. **Você tem permissões de gravação para o bucket do S3?** Você deve ter acesso de gravação ao bucket do S3 usado como destino de exportação. Mais especificamente, a política de permissões do IAM deve incluir uma `s3:PutObject` ação e o ARN do bucket e listar CloudTrail como principal do serviço. Fornecemos uma [política de exemplo](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_resource-based-policy-examples.html) que você pode usar. 

1. Verifique se alguma das suas Região da AWS informações não coincide:

   1. **A Região da AWS chave gerenciada pelo cliente corresponde à Região da AWS da sua avaliação?** Se você forneceu uma chave gerenciada pelo cliente para criptografia de dados, ela deverá ser da mesma Região da AWS que a sua avaliação. Para obter instruções sobre como alterar a chave do KMS, consulte [Como definir suas configurações de criptografia de dados](settings-KMS.md). 

1. Verifique as permissões da sua conta de administrador delegado:

   1. **A chave gerenciada pelo cliente nas configurações do Audit Manager concede permissões ao administrador delegado?** Se você estiver usando uma conta de administrador delegado e tiver especificado uma chave gerenciada pelo cliente para criptografia de dados, certifique-se de que o administrador delegado tenha acesso a essa chave do KMS. Para obter instruções [Permitir que usuários de outras contas usem uma chave do KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html) no * Guia do Desenvolvedor do AWS Key Management Service *. Para analisar e alterar suas configurações de criptografia do Audit Manager, consulte [Como definir suas configurações de criptografia de dados](settings-KMS.md). 

**nota**  
Se você alterar as configurações de criptografia de dados do Audit Manager, essas alterações se aplicarão às novas avaliações que você criar daqui para frente. Isso inclui todos os arquivos CSV exportados de suas novas avaliações.  
As alterações não se aplicam às avaliações existentes criadas antes de alterar suas configurações de criptografia. Isso inclui novas exportações de CSV de avaliações existentes, além das exportações de CSV. As avaliações existentes, e todas as suas exportações CSV, continuam a usar a antiga chave do KMS. Se a identidade do IAM que está exportando o arquivo CSV não tiver permissões para usar a chave do KMS antiga, você poderá conceder permissões no nível da política de chaves. 

## Não consigo exportar evidências específicas dos meus resultados de pesquisa
<a name="cannot-include-individual-evidence"></a>

Todos os resultados da sua pesquisa estão incluídos nos resultados. 

Se desejar incluir apenas evidências específicas no arquivo CSV, recomendamos que você [edite seus filtros de pesquisa atuais](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#editing-a-search). Dessa forma, você pode restringir seus resultados para direcionar apenas as evidências que deseja exportar.

## Não consigo exportar vários arquivos CSV de uma vez
<a name="cannot-export-multiple-files-from-search-results"></a>

Esse erro é causado pela execução de muitas consultas do CloudTrail Lake ao mesmo tempo. 

Isso pode acontecer se você agrupar os resultados da pesquisa e tentar exportar imediatamente um arquivo CSV para cada item de linha nos resultados agrupados. Quando você obtém os resultados da pesquisa e exporta um arquivo CSV, cada uma dessas ações invoca uma consulta. Você pode executar até cinco consultas por vez. Se você estiver executando o número máximo de consultas simultâneas, um erro `MaxConcurrentQueriesException` será retornado. 

Para evitar esse erro, verifique se você não está exportando muitos arquivos CSV ao mesmo tempo. 

Para resolver esse erro, aguarde a conclusão das exportações de CSV em andamento. A maioria das exportações leva alguns minutos. No entanto, se estiver exportando uma quantidade muito grande de dados, a exportação pode levar até uma hora para ser concluída. Sinta-se à vontade para sair do localizador de evidências enquanto a exportação estiver em andamento. 

Você pode verificar o status da exportação na central de downloads no console do Audit Manager. Depois que os arquivos exportados estiverem prontos, retorne aos resultados agrupados no localizador de evidências. Em seguida, você pode continuar a obter os resultados e exportar um arquivo CSV para cada item de linha.

# Como solucionar problemas de framework
<a name="framework-issues"></a>



Você pode usar as informações nesta página para resolver problemas comuns de estrutura no Audit Manager.

**Problemas gerais do framework**
+ [Na página de detalhes do meu framework personalizado, sou solicitado a recriá-lo](#recreate-framework-post-common-controls)
+ [Não consigo fazer uma cópia do meu framework personalizado](#cannot-use-custom-framework)

**Problemas de compartilhamento de framework**
+ [O status da minha solicitação de compartilhamento enviada foi exibido como *Falha*](#framework-sharing-error)
+ [Minha solicitação de compartilhamento tem um ponto azul ao lado. O que isso significa?](#framework-sharing-blue-dot)
+ [Minha estrutura compartilhada tem controles que usam AWS Config regras personalizadas como fonte de dados. O destinatário pode coletar evidências para esses controles?](#framework-sharing-custom-config-rules)
+ [Atualizei uma regra personalizada usada em um framework compartilhado. Preciso desempenhar alguma ação?](#framework-sharing-what-happens-when-a-rule-is-updated)

## Na página de detalhes do meu framework personalizado, sou solicitado a recriá-lo
<a name="recreate-framework-post-common-controls"></a>

![\[Captura de tela da mensagem pop-up que solicita que você recrie sua avaliação.\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/images/troubleshooting-recreate-framework-post-common-controls-console.png)


Se você vir uma mensagem dizendo **Definições de controle atualizadas estão disponíveis**, isso indica que o Audit Manager agora fornece definições mais recentes para alguns dos controles padrão que estão no seu framework personalizado. 

Os controles padrão agora podem coletar evidências do [](concepts.md#aws-managed-source). Isso significa que sempre que o Audit Manager atualiza as fontes de dados subjacentes para um controle comum ou central, a mesma atualização é aplicada automaticamente aos controles padrão relacionados. Isso ajuda você a garantir a conformidade contínua à medida que o ambiente de conformidade na nuvem muda. Para garantir que você se beneficie dessas fontes AWS gerenciadas, recomendamos que você substitua os controles em sua estrutura personalizada.

Em seu framework personalizado, o Audit Manager indica quais controles têm substitutos disponíveis. Você precisará substituir esses controles antes de poder fazer uma cópia do seu framework personalizado. Na próxima vez que editar seu framework personalizado, solicitaremos que você substitua esses controles por outras edições que desejar fazer. 

Há duas maneiras de substituir os controles em seu framework personalizado:

**1. Recriar o framework personalizado**  
Se um grande número de controles tiver substituições disponíveis, recomendamos que você recrie o framework personalizado. É provável que essa seja a melhor opção se seu framework personalizado for baseado em um framework padrão.
+ Por exemplo, digamos que você criou seu framework personalizado usando o [NIST SP 800-53 Rev 5](NIST800-53r5.md) como ponto de partida. Esse framework padrão tem 1.007 controles padrão e você adicionou 20 controles personalizados.
+ Nesse caso, a opção mais eficiente é encontrar `NIST 800-53 (Rev. 5) Low-Moderate-High` na biblioteca do framework e [fazer uma cópia editável desse framework](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-custom-frameworks-from-existing.html). Durante esse processo, você pode adicionar os mesmos 20 controles personalizados usados anteriormente. Como agora você está usando a definição mais recente do framework padrão como ponto de partida, seu framework personalizado herda automaticamente as definições mais recentes para todos os 1007 controles padrão.

**2. Editar um framework personalizado**  
Se um pequeno número de controles tiver substituições disponíveis, recomendamos que você edite seu framework personalizado e substitua os controles manualmente.
+ Por exemplo, digamos que você criou seu framework personalizado do zero. Em seu framework personalizado, você adicionou 20 controles personalizados que você mesmo criou e oito controles padrão do framework [ACSC Essential Eight](essential-eight.md) padrão. 
+ Nesse caso, como no máximo oito controles teriam atualizações disponíveis, a opção mais eficiente é editar seu framework personalizado e substituir esses controles um por um. Para obter as instruções, consulte o procedimento a seguir.

### Para substituir manualmente os controles em seu framework personalizado
<a name="how-to-replace-controls"></a>

**Para substituir manualmente os controles em seu framework personalizado**

1. Abra o console do AWS Audit Manager em [https://console.aws.amazon.com/auditmanager/casa](https://console.aws.amazon.com/auditmanager/home).

1. No painel de navegação à esquerda, escolha **Biblioteca de frameworks** e escolha a guia **Frameworks personalizados**.

1. Selecione o framework que você deseja editar, escolha **Ações** e, depois, **Editar**.

1. Na página **Editar detalhes do framework**, escolha **Avançar**.

1. Na página **Editar conjuntos de controle**, revise o nome de cada conjunto de controles para ver se algum de seus controles tem substituições disponíveis. 

1. Escolha um conjunto de controles afetado para expandi-lo e identificar quais de seus controles precisam ser substituídos.
**dica**  
Para identificar os controles com mais rapidez, insira **Replacement available** na caixa de pesquisa.

1. Remova os controles afetados marcando a caixa de seleção e escolhendo **Remover do conjunto de controles**.

1. Adicione novamente os mesmos controles. Essa ação substitui os controles que você acabou de remover pela definição de controle mais recente.

   1. Em **Adicionar controles**, use a lista suspensa **Tipo de controle** e selecione **Controles padrão**.

   1. Encontre o substituto para o controle que você acabou de remover.
**dica**  
Em alguns casos, o nome do controle de substituição pode não ser exatamente o mesmo do original. Nesse caso, é provável que o nome do controle de substituição seja muito semelhante ao original. Em casos raros, um controle pode ser substituído por dois controles (ou vice-versa).  
Se você não conseguir encontrar um controle substituto, recomendamos que você faça uma pesquisa parcial. Para fazer isso, insira parte do nome do controle original ou uma palavra-chave que represente o que você está procurando. Você também pode pesquisar por tipo de conformidade para restringir ainda mais a lista de resultados.

   1. Marque a caixa de seleção ao lado de um controle e selecione **Adicionar ao conjunto de controles**.

   1. Na janela exibida, escolha **Adicionar** para confirmar.

1. Repita as etapas 6 a 8 conforme necessário até substituir todos os controles.

1. Escolha **Próximo**. 

1. Na página **Revisar e salvar**, escolha **Salvar alterações**.

## Não consigo fazer uma cópia do meu framework personalizado
<a name="cannot-use-custom-framework"></a>

Se o botão **Fazer uma cópia** não estiver disponível na página de detalhes do framework, isso significa que você precisa substituir alguns dos controles em seu framework personalizado. 

Para obter instruções sobre como proceder, consulte [Na página de detalhes do meu framework personalizado, sou solicitado a recriá-lo](#recreate-framework-post-common-controls).

## O status da minha solicitação de compartilhamento enviada foi exibido como *Falha*
<a name="framework-sharing-error"></a>

Se você tentar compartilhar uma estrutura personalizada e a operação falhar, recomendamos que verifique o seguinte:

1. Certifique-se de que o Audit Manager esteja ativado na região do destinatário Conta da AWS e na região especificada. Para obter uma lista das AWS Audit Manager regiões suportadas, consulte [AWS Audit Manager endpoints e cotas](https://docs.aws.amazon.com/general/latest/gr/audit-manager.html) na Referência *geral da Amazon Web Services*. 

1. Verifique se você inseriu a Conta da AWS ID correta ao especificar a conta do destinatário.

1. Verifique se você não especificou uma conta AWS Organizations de gerenciamento como destinatária. Você pode compartilhar uma estrutura personalizada com um administrador delegado, mas se tentar compartilhar uma estrutura personalizada com uma conta de gerenciamento, ocorrerá uma falha.

1. Se você usar uma chave gerenciada pelo cliente para criptografar seus dados do Audit Manager, certifique-se de que sua chave do KMS esteja ativada. Se sua chave do KMS estiver desativada e você tentar compartilhar um framework personalizada, ocorrerá uma falha. Para obter instruções sobre como ativar uma chave do KMS desativada, consulte [Ativação e desativação de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) no *Guia do Desenvolvedor do AWS Key Management Service *.

## Minha solicitação de compartilhamento tem um ponto azul ao lado. O que isso significa?
<a name="framework-sharing-blue-dot"></a>

Uma notificação de ponto azul indica que uma solicitação de compartilhamento precisa de sua atenção. 

### Notificações com pontos azuis para remetentes
<a name="sender-blue-dot"></a>

Um ponto de notificação azul aparece ao lado das solicitações de compartilhamento enviadas com status *Expirando*. O Audit Manager exibe a notificação com pontos azuis para que você possa lembrar o destinatário de agir em relação à solicitação de compartilhamento antes que ela expire.

Para que o ponto azul da notificação desapareça, o destinatário deve aceitar ou recusar a solicitação. O ponto azul também desaparece se você revogar a solicitação de compartilhamento. 

Você pode usar o procedimento a seguir para verificar se há solicitações de compartilhamento expiradas e enviar um lembrete opcional para que o destinatário desempenhe uma ação.

**Para notificações de solicitações enviadas**

1. Abra o console do AWS Audit Manager em [https://console.aws.amazon.com/auditmanager/casa](https://console.aws.amazon.com/auditmanager/home).

1. Se você tiver uma notificação de solicitação de compartilhamento, o Audit Manager exibirá um ponto vermelho ao lado do ícone do menu de navegação.  
![\[Captura de tela do ícone minimizado do menu de navegação, com um ponto vermelho que indica uma notificação.\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/images/framework_sharing-navigation_minimized_notification-console.png)

1. Expanda o painel de navegação e veja ao lado de **Solicitações de compartilhamento**. Um selo de notificação indica o número de solicitações de compartilhamento que precisam de sua atenção.   
![\[Captura de tela do menu de navegação expandido, com solicitações de framework compartilhado destacados e um selo de notificação mostrando uma notificação.\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/images/framework_sharing-navigation_expanded_notification-console.png)

1. Escolha **Compartilhar solicitações** e, em seguida, a guia **Solicitações enviadas**. 

1. Procure o ponto azul para identificar as solicitações de compartilhamento que expiram nos próximos 30 dias. Como alternativa, você também pode visualizar as solicitações de compartilhamento expirando ao selecionar **Expirando** no menu suspenso do filtro **Todos os status**.  
![\[Captura de tela de uma solicitação de compartilhamento recebida com um ponto azul próximo ao nome do framework.\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/images/framework_sharing-blue_dot_notification-sent_requests-console.png)

1. (Opcional) Lembre ao destinatário que ele precisa agir em relação à solicitação de compartilhamento antes que ela expire. Essa etapa é opcional, pois o Audit Manager envia uma notificação no console para informar ao destinatário quando uma solicitação de compartilhamento está ativa ou expirando. No entanto, você também pode enviar seu próprio lembrete ao destinatário usando seu canal de comunicação preferido.

### Notificações com pontos azuis para destinatários
<a name="recipient-blue-dot"></a>

Um ponto de notificação azul aparece próximo às solicitações de compartilhamento recebidas com status *Ativo* ou *Expirando*. O Audit Manager exibe a notificação de ponto azul para lembrá-lo de tomar medidas em relação à solicitação de compartilhamento antes que ela expire. Para que o ponto azul da notificação desapareça, você deve [aceitar ou recusar](https://docs.aws.amazon.com/audit-manager/latest/userguide/responding-to-shared-framework-requests.html#responding-to-shared-framework-requests-step-2) a solicitação. O ponto azul também desaparece se o remetente revogar a solicitação de compartilhamento. 

Você pode usar o procedimento a seguir para verificar solicitações de compartilhamento ativas e expirando.

**Para ver notificações de solicitações recebidas**

1. Abra o console do AWS Audit Manager em [https://console.aws.amazon.com/auditmanager/casa](https://console.aws.amazon.com/auditmanager/home).

1. Se você tiver uma notificação de solicitação de compartilhamento, o Audit Manager exibirá um ponto vermelho ao lado do ícone do menu de navegação.  
![\[Captura de tela do ícone minimizado do menu de navegação, com um ponto vermelho que indica uma notificação.\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/images/framework_sharing-navigation_minimized_notification-console.png)

1. Expanda o painel de navegação e veja ao lado de **Solicitações de compartilhamento**. Um selo de notificação indica o número de solicitações de compartilhamento que precisam de atenção.   
![\[Captura de tela do menu de navegação expandido, com as solicitações de compartilhamento destacadas e um selo de notificação mostrando uma notificação.\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/images/framework_sharing-navigation_expanded_notification-console.png)

1. Escolha **Solicitações de compartilhamento**. Por padrão, essa página é aberta na guia **Solicitações recebidas**. 

1. Identifique as solicitações de compartilhamento que precisem de ação procurando itens com um ponto azul.   
![\[Captura de tela de uma solicitação de compartilhamento recebida com um ponto azul próximo ao nome do framework.\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/images/framework_sharing-blue_dot_notification-console.png)

1. (Opcional) Para visualizar somente as solicitações que expiram nos próximos 30 dias, localize a lista suspensa **Todos os status** e selecione **Expirando**.

## Minha estrutura compartilhada tem controles que usam AWS Config regras personalizadas como fonte de dados. O destinatário pode coletar evidências para esses controles?
<a name="framework-sharing-custom-config-rules"></a>

Sim, o seu destinatário pode recolher provas para estes controlos, mas são necessárias algumas etapas para o conseguir. 

Para que o Audit Manager colete evidências usando uma AWS Config regra como mapeamento da fonte de dados, o seguinte deve ser verdadeiro. Esses critérios se aplicam tanto às regras gerenciadas quanto personalizadas.
+ A regra deve existir no AWS ambiente do destinatário.
+ A regra deve ser ativada no AWS ambiente do destinatário.

Lembre-se de que as AWS Config regras da sua conta provavelmente ainda não existem no AWS ambiente do destinatário. Além disso, quando o destinatário aceita a solicitação de compartilhamento, o Audit Manager não recria nenhuma de suas regras personalizadas na conta. Para que o destinatário colete evidências usando suas regras personalizadas como mapeamento da fonte de dados, ele deve criar as mesmas regras personalizadas em sua instância de AWS Config. Depois que o destinatário [cria](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules_nodejs.html) e [ativa](https://docs.aws.amazon.com/config/latest/developerguide/setting-up-aws-config-rules-with-console.html) as regras AWS Config, o Audit Manager pode coletar evidências dessa fonte de dados.

Recomendamos que você se comunique com o destinatário para informá-lo se alguma AWS Config regra personalizada deve ser criada em sua instância de AWS Config.

## Atualizei uma regra personalizada usada em um framework compartilhado. Preciso desempenhar alguma ação?
<a name="framework-sharing-what-happens-when-a-rule-is-updated"></a>

**Para atualizações de regras em seu AWS ambiente**  
Quando você atualiza uma regra personalizada em seu AWS ambiente, nenhuma ação é necessária no Audit Manager. O Audit Manager detecta e trata atualizações de regras da maneira descrita na tabela a seguir. O Audit Manager não notifica quando uma atualização de regra é detectada.


| Cenário | O que o Audit Manager faz | O que você precisa fazer | 
| --- | --- | --- | 
|  Uma regra personalizada é **atualizada** na sua instância do AWS Config.  | O Audit Manager continua relatando as descobertas dessa regra ao usar a definição de regra atualizada. | Nenhuma ação é necessária. | 
|  Uma regra personalizada é **excluída** na sua instância do AWS Config.  | O Audit Manager interrompe a notificação das descobertas da regra excluída. |  Nenhuma ação é necessária. Se quiser, você pode [editar os controles personalizados](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-controls.html) que usaram a regra excluída como mapeamento da fonte de dados. Em seguida, você pode remover a regra excluída para limpar as configurações da fonte de dados do seu controle. Caso contrário, o nome da regra excluída permanecerá como um mapeamento de fonte de dados não utilizado.  | 

**Para atualizações de regras fora do seu AWS ambiente**  
No AWS ambiente do destinatário, o Audit Manager não detecta a atualização da regra. Isso ocorre porque os remetentes e os destinatários trabalham em ambientes separados AWS . A tabela a seguir fornece ações recomendadas para esse cenário.


| Sua função | Cenário | Ação recomendada | 
| --- | --- | --- | 
|  Remetente  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/framework-issues.html)  | Entre em contato com o destinatário para informá-lo sobre a atualização. Dessa forma, ele pode fazer a mesma atualização e ficar sincronizado com a definição de regras mais recente. | 
| Destinatário |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/audit-manager/latest/userguide/framework-issues.html)  | Faça a atualização da regra correspondente em sua própria instância do AWS Config. | 

# Solução de problemas de notificação
<a name="notification-issues"></a>



Você pode usar as informações nesta página para resolver problemas comuns de notificação no Audit Manager.

**Topics**
+ [Eu especifiquei um tópico do Amazon SNS no Audit Manager, mas não estou recebendo nenhuma notificação](#missing-notifications)
+ [Especifiquei um tópico FIFO mas não estou recebendo notificações na ordem esperada](#wrong-order-notifications)

## Eu especifiquei um tópico do Amazon SNS no Audit Manager, mas não estou recebendo nenhuma notificação
<a name="missing-notifications"></a>

Se seu tópico do Amazon SNS usa criptografia do lado do servidor (SSE), você pode estar perdendo as permissões necessárias AWS KMS para sua política de chaves. AWS KMS Você também poderá deixar de receber notificações se não tiver inscrito um endpoint em seu tópico.

Caso não esteja recebendo notificações, certifique-se de ter feito o seguinte:
+ Você anexou a política de permissões necessária para sua chave do KMS. Para ver um exemplo de política que você pode usar, consulte [Exemplo 2 (permissões para a chave KMS anexada ao tópico do SNS)](security_iam_id-based-policy-examples.md#sns-key-permissions).
+ Você inscreveu um endpoint no tópico através do qual as notificações são enviadas. Ao enviar um endpoint de e-mail em um tópico, você recebe um e-mail solicitando a confirmação da inscrição. Você deve confirmar sua assinatura para começar a receber notificações por e-mail. Para obter mais informações, consulte [Conceitos básicos](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) no Guia do Desenvolvedor do Amazon SNS.

## Especifiquei um tópico FIFO mas não estou recebendo notificações na ordem esperada
<a name="wrong-order-notifications"></a>

O Audit Manager suporta o envio de notificações para tópicos FIFO do SNS. No entanto, a ordem na qual o Audit Manager envia notificações para seus tópicos FIFO não é garantida.

# Solução de problemas de permissão e acesso
<a name="permissions-issues"></a>



Você pode usar as informações nesta página para resolver problemas comuns de permissão no Audit Manager.

**Topics**
+ [Segui o procedimento de configuração do Audit Manager mas não tenho privilégios suficientes do IAM](#insufficient-iam-privileges)
+ [Eu especifiquei outra pessoa como responsável pela auditoria, mas ela pessoa ainda não tem acesso total à avaliação. Por que isso acontece??](#audit-owner-missing-access)
+ [Não consigo desempenhar uma ação no Audit Manager](#cannot-perform-action)
+ [Quero permitir que pessoas de fora da minha Conta da AWS acessem meus recursos do Audit Manager](#want-to-allow-access-to-resources)
+ [Eu vejo um erro de Acesso Negado, apesar de ter as permissões necessárias do Audit Manager](#access-denied-due-to-scp)
+ [Recursos adicionais do](#permissions-see-also)

## Segui o procedimento de configuração do Audit Manager mas não tenho privilégios suficientes do IAM
<a name="insufficient-iam-privileges"></a>

O usuário, função ou grupo usado para acessar o Audit Manager deve ter as permissões necessárias. Além disso, sua política baseada em identidade não deve ser muito restritiva. Caso contrário, o console não funcionará conforme esperado. Este guia fornece uma política de exemplo que você pode usar para [Permita as permissões mínimas necessárias para ativar o Audit Manager](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-console). Dependendo do seu caso de uso, você poderá precisar de permissões mais amplas e menos restritivas. Por exemplo, recomendamos que os responsáveis pela auditoria tenham [acesso de administrador](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html). Dessa forma, eles poderão modificar as configurações do Audit Manager e gerenciar atributos como avaliações, estruturas, controles e relatórios de avaliação. Outros usuários, como delegados, talvez precisem apenas de [acesso de gerenciamento](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#management-access) ou acesso [somente leitura](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#read-only).

Certifique-se de adicionar as permissões apropriadas para seu usuário, função ou grupo. Para proprietários de auditorias, a política recomendada é [AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html). Para delegados, você pode usar [o exemplo de política de acesso ao gerenciamento](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html#management-access) disponível na página de [exemplos de políticas do IAM](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_id-based-policy-examples.html). A partir desses exemplos de políticas, você pode fazer as alterações necessárias para atender às suas necessidades.

Recomendamos que você reserve um tempo para personalizar suas permissões a fim de atender aos seus requisitos específicos. Se você precisar de ajuda com as permissões do IAM, entre em contato com seu administrador ou com o [Suporte da AWS](https://aws.amazon.com/contact-us/).

## Eu especifiquei outra pessoa como responsável pela auditoria, mas ela pessoa ainda não tem acesso total à avaliação. Por que isso acontece??
<a name="audit-owner-missing-access"></a>

Especificar outra pessoa como responsável pela auditoria, por si só, não fornece acesso total a uma avaliação. Os responsáveis pela auditoria também devem ter as permissões necessárias do IAM para acessar e gerenciar os atributos do Audit Manager. Ou seja, além de [especificar um usuário como responsável pela auditoria](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-assessments.html#choose-audit-owners), você também deve anexar as [políticas do IAM](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_service-with-iam.html#security_iam_service-with-iam-id-based-policies-personas) necessárias para esse usuário. A justificativa para tal procedimento é que, com ambas as exigências, o Audit Manager garante que você tenha controle total sobre todas as especificidades de cada avaliação.

**nota**  
Para proprietários de auditorias, recomendamos que você use a [AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html)política. Para obter mais informações, consulte [Políticas recomendadas para personas de usuários em AWS Audit Manager](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-personas).

## Não consigo desempenhar uma ação no Audit Manager
<a name="cannot-perform-action"></a>

Se você não tiver as permissões necessárias para usar o AWS Audit Manager console ou as operações da API do Audit Manager, provavelmente encontrará um `AccessDeniedException` erro. 

Para resolver esse problema, entre em contato com o administrador para obter assistência. Caso seu administrador seja a pessoa que forneceu suas credenciais de início de sessão. 

## Quero permitir que pessoas de fora da minha Conta da AWS acessem meus recursos do Audit Manager
<a name="want-to-allow-access-to-resources"></a>

É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.

Para saber mais, consulte:
+ Para saber se o Audit Manager oferece suporte a esses atributos, consulte [Como AWS Audit Manager funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para saber a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.

## Eu vejo um erro de Acesso Negado, apesar de ter as permissões necessárias do Audit Manager
<a name="access-denied-due-to-scp"></a>

Se sua conta fizer parte de uma organização, é possível que o `Access Denied` erro seja causado por uma [política de controle de serviços (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html). SCPs são políticas usadas para gerenciar permissões para uma organização. Quando um SCP está em vigor, ele pode negar permissões específicas para todas as contas dos membros, incluindo a conta de administrador delegado que você usa no Audit Manager.

Por exemplo, se sua organização tem um SCP em vigor que nega permissões para o Catálogo de AWS Controle APIs, você não pode visualizar os recursos fornecidos pelo Catálogo de Controle. Isso é verdade mesmo se você tiver as permissões necessárias para o Audit Manager, como a [AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html)política. O SCP substitui as permissões da política gerenciada ao negar explicitamente o acesso ao Catálogo de Controle. APIs

Veja a seguir um exemplo de um SCP. Com esse SCP em vigor, sua conta de administrador delegado não tem acesso aos controles, objetivos de controle e domínios de controle comuns necessários para usar o atributo de controles comuns no Audit Manager. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "controlcatalog:ListCommonControls",
                "controlcatalog:ListObjectives",
                "controlcatalog:ListDomains"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Para resolver esse problema, recomendamos que você execute as seguintes etapas:

1. Confirme se um SCP está vinculado à sua organização. Para obter instruções, consulte [Como obter informações sobre as políticas da sua organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_info-operations.html) no *Guia do usuário do AWS Organizations*. 

1. Identifique se o SCP está causando o erro `Access Denied`.

1. Atualize o SCP para garantir que sua conta de administrador delegado tenha o acesso necessário ao Audit Manager. Para obter instruções, consulte [Como atualizar um SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html#update_policy) no *Guia do usuário do AWS Organizations*.

## Recursos adicionais do
<a name="permissions-see-also"></a>

As páginas a seguir contêm orientações de solução de outros problemas que podem ser causados pela falta de permissões:
+ [Não consigo ver nenhum controle ou conjuntos de controles na minha avaliação](control-issues.md#cannot-view-controls)
+ [A opção de regra personalizada não está disponível quando configuro uma fonte de dados de controle](control-issues.md#custom-rule-option-unavailable)
+ [Recebo um erro de *acesso negado* quando tento gerar um relatório](assessment-report-issues.md#assessment-report-access-denied-error)
+ [Recebo uma mensagem de erro de *acesso negado* quando tento gerar um relatório de avaliação usando minha conta de administrador delegado](delegated-admin-issues.md#delegated-admin-access-denied-error)
+ [Não consigo habilitar o localizador de evidências](evidence-finder-issues.md#cannot-enable-evidence-finder)
+ [Não consigo desabilitar o localizador de evidências](evidence-finder-issues.md#cannot-disable-evidence-finder)
+ [Ocorre uma falha na minha consulta de pesquisa](evidence-finder-issues.md#cannot-start-query)
+ [Eu especifiquei um tópico do Amazon SNS no Audit Manager, mas não estou recebendo nenhuma notificação](notification-issues.md#missing-notifications)