AWS Audit Manager 不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 AWS Audit Manager 可用性变更。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Audit Manager 可用性变更
AWS Audit Manager 是一项服务,使您能够通过 PCI DSS 和 HIPAA 等 SOC2控制框架查看和报告 AWS 资源的合规状态。Audit Manager正在过渡到维护模式,从2026年4月30日起,客户将无法再在新账户中设置该服务。在某个地区内为单个账户设置了 Audit Manager 的现有客户可以继续在该地区使用该账户的服务,包括创建新的评估;但他们将无法为其他地区或新账户设置 Audit Manager。在组织的管理账户中设置了 Audit Manager 的客户可以将该组织的账户添加到评估中;但他们将无法将使用范围扩展到其他区域,也无法为新组织设置 Audit Manager。
在维护模式下,服务团队将继续为服务提供支持。这包括代码修复和维护当前支持的框架的数据源映射。但是,服务团队不会开发新功能,也不会增加对新框架或现有框架的新版本的支持,也不会添加新的区域支持。
鼓励寻求合规管理解决方案的客户浏览中的合规包。 AWS Config Conformance Packs 提供了一种以配置规则的形式跨多个账户和地区部署和监控侦探控件的方法。他们为常用框架(如 HIPAA、NIST、PCI-DSS)提供预先构建的模板,并允许创建自定义规则。Conformance Packs 可以在单个账户级别进行管理,也可以跨组织中的 AWS Organizations所有成员账户进行管理。
部署一致性包后,您可以在关联的仪表板中查看资源的合规性状态。或者,您可以使用 Config 资源合规性控制面板查看多个 AWS 账户和地区的 AWS 资源清单及其合规状态。
Audit Manager 客户合规包的局限性
AWS Config 目前没有为 Audit Manager 支持的所有框架(包括 SOC2 和 GDPR)提供一致性包模板。下表提供了映射图,突出显示了当今存在差距的地方。有关可用一致性包模板的更新,请参阅产品文档。
AWS Config 不提供直接等同于 Audit Manager 导出的审计报告功能。但是,客户可以使用以下部分所述的一种或多种机制导出支持合规状态的证据。 AWS Config
在 Conformance Pack 控制面板中,客户可以查看每条关联的 Config 规则的合规性状态。客户可以深入研究规则,并以该资源的配置项目形式查看每个资源的状态和证据。
AWS Config 仅记录配置项目 (CIs) 作为合规性证据。与 Audit Manager 不同,它不收集 AWS CloudTrail 日志、 AWS Security Hub 控件或对目标服务进行 API 调用。收集的证据不 AWS Config 那么详尽,但更易于浏览。通过 Config AWS Config Rule,收集的所有证据都映射到 AWS 资源的合规状态。因此,与Audit Manager不同, AWS Config 它不提供 “尚无定论” 的证据。
将 AWS Audit Manager 框架映射到 AWS Config 一致性包
| AWS Audit Manager 框架 | AWS Config 一致性包模板 |
|---|---|
| ACSC 八大要点 | ACSC Essential 8 操作最佳实践 |
| ACSC ISM 02 March 2023 | ACSC ISM 操作最佳实践——第 1 部分;ACSC ISM 操作最佳实践——第 2 部分 |
| Audit Manager 示例框架 | --没有等效物-- |
| AWS Control Tower 护栏 | AWS Control Tower Detective Guardrails 一致性包 |
| AWS 生成式 AI 最佳实践框架 v2 | 人工智能和机器学习操作最佳实践 |
| AWS License Manager | --没有等效物-- |
| AWS 基础安全最佳实践 | Well-Architec AWS ted Framework 安全支柱的运营最佳实践,以及针对多个单独服务的安全最佳实践包 |
| AWS 最佳运营实践 | --没有等效物-- |
| AWS WellArchitected Framework WAF v10 | Well-Architect AWS ed 框架可靠性支柱的运营最佳实践;Well-Architected Framework 安全支柱的 AWS 运营最佳实践 |
| CCCS Medium Cloud Control | CCCS-Medium 的运营最佳实践 |
| CIS AWS 基准测试 v1.2.0 | --没有等效物-- |
| CIS AWS 基准测试 v1.3.0 | --没有等效物-- |
| CIS AWS 基准测试 v1.4.0 | cis-aws-v1.4-level1 的操作最佳实践;-cis-aws-v1.4-Level2 Operational-Best-Practices-for |
| CIS Controls v7.1, IG1 | --没有等效物-- |
| CIS 关键安全控制版本 8.0, IG1 | CIS-关键安全控制的操作最佳实践-v8-IG1 |
| FedRAMP Security Baseline Controls r4 | FedRamp 的操作最佳实践(低);-fedRamp(中等);-fedRamp(高部分 1); Operational-Best-Practices-for-FedRAMP(高部分 2); Operational-Best-Practices-for-FedRAMP(高部分 2) Operational-Best-Practices-for |
| GDPR 2016 | --没有等效物-- |
| Gramm-Leach-Bliley 法案 | Gramm-Leach-bliley-Act 的运营最佳实践 |
| Title 21 CFR Part 11 | FDA-21CFR-第 11 部分的运营最佳实践 |
| EU GMP Annex 11 v1 | gxp-eu-Annex-11 的运营最佳实践 |
| HIPAA Security Rule: Feb 2003 | HIPAA 安全运营最佳实践 |
| HIPAA Omnibus Final Rule | HIPAA 安全运营最佳实践 |
| ISO/IEC 27001:2013 附录 A | --没有等效物-- |
| NIST SP 800-53 Rev 5 | NIST-800-53-Rev-5 的运营最佳实践 |
| NIST Cybersecurity Framework v1.1 | NIST-CSF 的操作最佳实践 |
| NIST SP 800-171 Rev 2 | NIST-800-171 的操作最佳实践 |
| PCI DSS V3.2.1 | PCI DSS 3.2.1 操作最佳实践 |
| PCI DSS V4.0 | PCI-dss-v4.0 的操作最佳实践 |
| SSAE-18 SOC 2 | --没有等效物-- |
从中导出证据 AWS Config
- AWS Config 高级查询(建议导出单个资源配置项目作为证据)
-
您可以在 AWS Config 控制台中使用 SQL 查询来选择特定资源,并以 CSV 或 JSON 格式导出其当前配置。
-
操作方法:前往 AWS Config > 高级查询。
-
查询示例:
SELECT resourceId, resourceType, configuration, tags, compliance WHERE resourceType = 'AWS::EC2::Instance' AND resourceId = 'i-xxxxxxxxx' -
导出:选择 “运行”,然后选择 “导出结果” 到 CSV。
-
最适合:有关资源子集的精选报告。
-
- GetResourceConfigHistory API(建议查看完整历史记录)
-
如果审计员需要查看特定时间段内的资源合规状态(而不仅仅是当前状态),请使用 CLI/API。
-
操作方法:使用中的
get-resource-config-history命令 AWS CLI。 -
命令示例:
aws configservice get-resource-config-history \ --resource-typeAWS::EC2::Instance\ --resource-idi-xxxxxxxxx\ --regionus-east-1 -
输出:返回配置更改的详细 JSON 对象,包括每次更改时的合规性状态。
-
- Amazon Athena 和 Amazon Quick(推荐用于跨多个资源的筛选查询)
-
客户可以使用 Amazon Athena 针对记录的资源配置数据构建和运行基于 SQL 的查询。 AWS Config客户还可以将数据导入 Amazon Quick 以创建分析和控制面板。有关更多信息,请参阅使用 Amazon Athena 和 Amazon Quick 实现 AWS Config 数据可视化
。
比较合规解决方案
| 功能 | AWS Audit Manager | AWS Config — 一致性包 |
|---|---|---|
| 托管控件 | 提供 35 个托管框架,包括监管和行业框架,例如 PCI DSS 和 HIPAA,以及 AWS 最佳实践框架。 SOC2 | 提供 100 多个预定义的 Conformance Pack 模板,包括监管和行业包,例如 PCI DSS 和 HIPAA,以及运营最佳实践包。 AWS |
| 自定义 | 创建自定义控件和自定义框架。 | 创建自定义规则和自定义模板。 |
| 设置 | 基于框架创建评估。 | 部署一致性包。 |
| 收集证据 | 从四个数据源收集证据:(1) 服务 API 调用、(2) AWS Security Hub 控件、(3) AWS CloudTrail 事件、(4) Config 规则。客户必须首先使用 AWS Config 或部署规则 AWS Control Tower。 | 将证据记录为支持 Config 规则评估的配置项目。 |
| 合规仪表板 | 评估仪表板提供带有不合规证据的控制措施的每日快照和视图。 | Conformance Pack 仪表板提供总体合规性分数、合规性时间表和按规则查看。按资源和支持证据(以 “配置项目” 的形式深入查看合规状态)。 |
| 补救不合规的资源 | 不支持。 | 客户可以定义和启动补救计划。 |
| 证据格式 | Config Rule 评估结果;单个 API 调用的结果,例如 iam.getPolicy;调查结果。 AWS Security Hub | Config Rule 评估结果;配置项目。 |
| 审计报告 | 可以选择要包含在审计报告中的证据,该报告可以以 PDF 格式导出。此外,还支持从证据查找器工具导出 CSV 格式。 | 可以通过 Config 高级查询工具导出单个配置项目。客户可以创建 CLI 脚本以通过该服务导出证据 APIs。 |
正在禁用 AWS Audit Manager
禁用 Audit Manager 会停止收集新证据,但除非您明确选择此选项,否则它不会删除您的现有证据。证据将自收集之日起保留两年。作为现有客户,您可以重新启用该服务以获取证据并重新开始证据收集。
客户可以通过控制台中的设置选项卡或 CLI 为账户禁用 Audit Manager。
已为组织部署 Audit Manager 的客户应从该组织的管理帐户中禁用该服务。默认情况下,委派的管理员帐户没有为组织禁用 Audit Manager 所需的权限。
其他资源
常见问题解答
- AWS Audit Manager 服务是否已关闭?
-
不是。 Audit Manager 服务正在进入维护模式。现有客户可以继续正常使用该服务。
- 为什么要将 Audit Manager AWS 移至维护模式?
-
通过投资合规管理,我们可以提供更好、更整合 AWS Config 的客户体验。
- 我现在可以 AWS Config 用于合规性管理吗?
-
可以。中的 Conformance Packs AWS Config 可用作管理 AWS 资源合规性的工具,例如 PCI DSS、FedRAMP 和 HIPAA。Conformance Packs 允许客户为不同的框架共同部署侦测控件,并提供显示资源级别合规性的仪表板。
- 迁移到使用 AWS Config 合规性管理有什么好处?
-
对于寻求通过诸如 PCI DSS 等框架监控 AWS 资源合规性的解决方案的客户,其中的一致性包 AWS Config 提供了更完整、更具可操作性的解决方案。客户可以 (1) 为个人账户或整个组织部署侦探控制,(2) 访问显示合规性分数的仪表板,(3) 向下钻取并查看各个资源的合规性状态,(4) 访问显示合规性状况如何随时间变化的资源时间表,(4) 以配置项目的形式提取证据,以支持控制资源的合规性状态。
- 一致性包可以直接取代 AWS Config Audit Manager 中的框架吗?
-
不是。 Conformance Packs 是一款强大的工具,客户可以使用它来管理其 AWS 资源的合规状况。但是,一致性包并不等同于 Audit Manager 框架。为 PCI DSS 等框架提供的 Conformance Pack 模板仅包含可以作为 Config 规则进行评估的技术核心控件。Conformance Pack 模板不包含组织通过 PCI DSS 审计必须满足的全套审计控制措施;也没有 Config 规则可以验证组织是否已记录其安全策略和操作程序。尽管 Config Pack 仪表板可以清楚地表明由 Config Rules 评估的 AWS 资源的合规状态,但它并 AWS Config 未提供一般的合规管理解决方案来捕获、组织和共享 PCI DSS 等框架所需的全套控制措施的证据。鼓励寻求此问题解决方案的客户考虑合作伙伴解决方案,例如Vanta和Drata的解决方案,这些解决方案可以与之配合使用, AWS Config 以提供 end-to-end合规性自动化解决方案。
- Audit Manager 支持的所有框架都有一致性包吗?
-
不是,Audit Manager 中目前有许多框架中没有相应的一致性包。 AWS Config上表提供了从 Audit Manager 框架到配置一致性包的映射。最明显的差距是 SOC2 和 GDPR。请关注 AWS Config “最新消息” 公告,了解有关新发布的 Conformance Pack 的最新信息。除了 AWS 提供的预定义一致性包模板外,客户还可以定义自己的 Conformance Pack 模板,这些模板与 Config 规则组合在一起,允许客户定义针对不合规资源的补救措施。
- 客户可以导出证据供审计师使用 AWS Config吗?
-
AWS Config 提供了一些用于导出资源合规性证据的工具。有关使用此工具的指导,请参阅可用性变更页面。
- 作为现有客户,我能否继续照常使用 Audit Manager?
-
可以。作为现有客户,您可以继续照常使用 Audit Manager,包括创建和维护评估、审查证据以及生成审计报告。已在整个组织中部署 Audit Manager 的客户可以将评估范围扩大到包括来自组织的新客户。
- 作为部署单一账户的现有客户,我能否为我的组织部署 Audit Manager?
-
不是。 自 2026 年 4 月 30 日起,部署单一账户的客户将无法在整个组织中部署 Audit Manager。
- 如何检查账户中是否设置了 Audit Manager?
-
对于单账户部署,客户可以登录账户并在控制台中导航到 Audit Manager 服务,以查看该账户中是否设置了 Audit Manager。对于 Organizations,客户应在管理账户中执行此操作。
- 如何禁用 Audit Manager?
-
客户可以通过控制台中的设置选项卡或 CLI 为账户禁用 Audit Manager。已为组织部署 Audit Manager 的客户应从该组织的管理帐户中禁用该服务;默认情况下,Audit Manager 的委派管理员帐户没有必要的权限。禁用 Audit Manager 会停止收集新证据,但除非您明确选择此选项,否则它不会删除您的现有证据。证据将自收集之日起保留两年。作为现有客户,您可以重新启用该服务以获取证据并重新开始证据收集。
- 禁用 Audit Manager 后,如何才能继续访问证据?
-
要继续访问 Audit Manager 收集的证据,最简单的方法是先启用证据查找器,然后再禁用该服务。启用 Evidence Finder 后,Audit Manager 会将证据导出到 CloudTrail 数据湖,禁用 Audit Manager 后,您将能够继续访问该数据湖。
- 如何 AWS Control Tower 用于合规性管理?
-
AWS Control Tower 提供了由框架键控的预防、主动和侦查控制(作为 Config 规则实现)的目录。它允许您将与这些框架相关的所有控件部署到组织 OUs 内的一个或多个框架中。有了新的仅限控件的体验,将组织创建为着陆区不再是先决条件。的好处 AWS Control Tower 是,它为您提供了不合规资源的 OU 级视图。 AWS Control Tower 不使用一致性包来部署配置规则,因此除非您同时部署一致性包,否则您将看不到一致性包。它也不支持修复工作流程。
- 如何 AWS Security Hub CSPM 用于合规性管理?
-
对于那些映射到安全标准的框架, AWS Security Hub CSPM 提供了在单个账户中 AWS Config 进行合规管理和补救的替代方案。在 Security Hub CSPM 控制台中启用该标准会为关联框架部署一组与服务相关的规则。客户可以查看合规性控制面板,该仪表板显示了总体合规性分数和每项控制的状态,还可以选择向下钻到各个资源的级别。Security Hub CSPM 允许客户以 json 格式下载规则的调查结果,并为控件添加严重性评级,以帮助客户确定补救计划的优先级。通过集中配置,您可以跨多个区域、账户和组织单位配置 Security Hub CSPM()OUs。但是,Security Hub CSPM仅为有限数量的框架提供安全标准,包括NIST 800-53和PCI-DSS。
