AWS Audit Manager 不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS Audit Manager 可用性变更](https://docs.aws.amazon.com/audit-manager/latest/userguide/audit-manager-availability-change.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 理解 AWS Audit Manager 概念和术语
为了帮助您开始使用,此页面定义了 AWS Audit Manager的术语并介绍了一些主要概念。
## A
[A](#auditmanager-concepts-A)\| B \| [C](#auditmanager-concepts-C) \| [D](#auditmanager-concepts-D) \| [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \| G \| H \| J [I](#auditmanager-concepts-I) \| K \| L \| M \| N \| O \| P \| Q \| \| [R](#auditmanager-concepts-R) \| T [S](#auditmanager-concepts-S) \| U \| V \| W \| X \| Y \| Z \|
**评测**
您可以使用 Audit Manager 评测功能,自动收集与审计相关的证据。
此评测基于一个框架,该框架是一组与您的审计相关的控件。您可以通过标准框架或自定义框架创建评测。标准框架包含支持特定合规标准或法规的预先构建控件。相比之下,自定义框架包含控件,您可以根据具体的审计要求对这些控件进行自定义和分组。使用框架作为起点,您可以创建评估,指定要包含在审计范围内的内容。 AWS 账户
创建评估时,Audit Manager 会自动开始 AWS 账户 根据框架中定义的控制来评估您的资源。接下来,它会收集相关证据,并将其转换为便于审计师使用的格式。完成此操作后,它会将证据附加至您的评测控件。当需要进行审计时,您(或您选择的委托人)可以查看收集的证据,然后将其添加至评测报告。此评测报告可帮助您证明您的控件是否按预期运行。
证据收集是一个持续的过程,从您创建评测时开始。您可以通过将评测状态更改为*非活动*,以停止证据收集。或者,您可在控制层停止证据收集。为此,您可以将评测中特定控件的状态更改为*非活动*。
有关如何创建和管理评测的说明,请参阅 [在中管理评估 AWS Audit Manager](assessments.md)。
**评测报告**
评测报告是通过 Audit Manager 评测生成的最终文档。这些报告汇总了为审计所收集的相关证据。它们链接至相关的证据文件夹。这些文件夹是根据评测中指定的控件命名和组织的。对于每项评测,您可以查看 Audit Manager 收集的证据,并决定要在评测报告中包含的证据。
要了解有关评测报告的更多信息,请参阅[评测报告](assessment-reports.md)。若要了解如何生成评测报告,请参阅[在中准备评估报告 AWS Audit Manager](generate-assessment-report.md)。
**评测报告目标**
评测报告目标是 Audit Manager 保存评测报告的默认 S3 桶。要了解更多信息,请参阅[配置默认评测报告目标](settings-destination.md)。
**审核**
审计是指对贵组织的资产、运营或业务诚信的独立审核。信息技术 (IT) 审计专门检查贵组织信息系统内部的控件。IT 审计旨在确定信息系统是否能保护资产、有效运行和维护数据完整性。所有这些对于满足合规标准或法律规定的监管要求很重要。
** 审计负责人**
根据上下文,*审计负责人*一词有两种不同的含义。
在 Audit Manager 环境中,审计负责人是管理评测及其相关资源的用户或角色。Audit Manager 角色的职责包括创建评测、审核证据和生成评测报告。Audit Manager 是一项协作服务,当其他利益相关者参与评测,审计负责人将从中受益。例如,您可以将其他审计负责人添加至评测中以共享管理任务。或者,如果您是审计负责人,并且需要帮助解读为控件收集的证据,则可以[将控件委托](https://docs.aws.amazon.com/audit-manager/latest/userguide/delegate.html)至在此领域有专长的利益相关者。这样的人被称为*委托人*角色。
从业务角度来看,审计负责人负责协调和监督其公司的审计准备工作,并向审计师提供证据。通常是指治理、风险和合规 (GRC) 专业人员,例如合规官或 GDPR 数据保护专员。GRC 专业人员拥有管理审计准备工作的专长和权力。更具体地说,他们了解合规性要求,可以分析、解释和编制报告数据。但是,其他业务角色也可以客串 Audit Manager 的审计负责人角色,不仅是负责此角色的 GRC 专业人员。例如,您可以选择由来自以下团队的技术专家设置和管理 Audit Manager 评测:
+ SecOps
+ IT/ DevOps
+ 安全运营 Center/Incident 响应
+ 拥有、开发、修复和部署云资产、并了解贵组织云基础架构的类似团队
您在 Audit Manager 评测中选择的指定审计负责人,在很大程度上取决于您的组织。这还取决于您的安全运营架构及审计的具体细节。在 Audit Manager 中,同一个人可以在一项评测中客串审计负责人角色,在另一项评测中客串委托人角色。
无论您选择如何使用 Audit Manager,您都可以使用审计 owner/delegate 角色并向每个用户授予特定的 IAM 策略来管理整个组织的职责分工。通过这种两步方法,Audit Manager 可确保您完全控制个人评测的所有细节。有关更多信息,请参阅 [中针对用户角色的推荐策略 AWS Audit Manager](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-personas)。
** AWS 托管来源**
AWS 托管来源是为您 AWS 维护的证据来源。
每个 AWS 托管源都是一组预定义的数据源,这些数据源映射到特定的通用控件或核心控件。当您使用通用控件作为证据来源时,您就会自动收集支持该通用控件的所有核心控件的证据。您也可以使用单个核心控件作为证据来源。
每当更新 AWS 托管源时,相同的更新都会自动应用于使用该 AWS 托管源的所有自定义控件。这就表示您的自定义控件会根据该证据来源的最新定义收集证据。此举有助于您确保在云合规性环境发生变化时持续保持合规。
另请参阅:[](#customer-managed-source)、[](#evidence-source)。
## C
[A](#auditmanager-concepts-A)\| B \| [C](#auditmanager-concepts-C) \| [D](#auditmanager-concepts-D) \| [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \| G \| H \| J [I](#auditmanager-concepts-I) \| K \| L \| M \| N \| O \| P \| Q \| \| [R](#auditmanager-concepts-R) \| T [S](#auditmanager-concepts-S) \| U \| V \| W \| X \| Y \| Z \|
**更改日志**
对于评测中的每个控件,Audit Manager 都会跟踪该控件的用户活动。然后,您可以审核与特定控件相关活动的审计跟踪记录。有关变更日志中捕获的用户活动的更多信息,请参阅[更改日志选项卡](review-controls.md#review-changelog)。
**云合规性**
云合规性是一般性原则,即云交付的系统必须符合云客户所面临的标准。
**通用控件**
请参阅[](#control)。
**合规法规**
合规法规是由机构规定的法律、规则或者其他命令,通常用于规范行为。示例为 GDPR。
**合规性标准**
合规性标准是一套结构化的指导方针,详细说明了该组织遵守既定法规、规范或立法的流程。示例包括 PCI DSS 和 HIPAA。
**控件**
控件是为信息系统或组织规定的保障措施或对策。控件旨在保护您信息的机密性、完整性和可用性,并满足一系列既定要求。它们可以确保您的资源按预期运行,您的数据可靠,并且您的组织遵守适当的法律和法规。
在 Audit Manager 中,控件也可以提出供应商风险评测问卷。在这种情况下,控件一个特定的问题,它询问有关组织安全与合规状况的信息。
当您的 Audit Manager 评测中处于活动状态时,控件会持续收集证据。您还可以手动将证据添加到任何控件中。每份证据都是一份记录,方便您证明遵守了控件要求。
Audit Manager 提供以下类型的控件:
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/concepts.html)
**控件域**
您可以将控件域视为一类控件,这类控件并不特定于任何合规性标准。控件域的一个例子就是*数据保护*。
出于简单的组织目的,控件通常按域分组。每个域都有多个目标。
控件域分组是 [Audit Manager 控制面板](https://docs.aws.amazon.com/audit-manager/latest/userguide/dashboard.html)最强大的功能之一。Audit Manager 会突出显示评测中存在不合规证据的控件,并按控件域对它们进行分组。这使您能够在准备审计时将补救工作重点放在特定主题域。
**控件目标**
控件目标描述了属于其下的通用控件的目标。每个目标可以有多个通用控件。如果这些通用控件成功实施,它们将有助于您实现目标。
每个控件目标都属于一个控件域。例如,*数据保护*控件域可能有一个名为 *数据分类和处理*的控件目标。为支持这一控件目标,您可以使用一种名为 *访问控制*的通用控件,来监控和检测未经授权访问您资源的行为。
** 核心控件**
请参阅[](#control)。
** 自定义控件**
请参阅[](#control)。
**客户管理型来源**
客户管理型来源是您定义的证据来源。
在 Audit Manager 中创建自定义控件时,可以使用此选项创建自己的单个数据来源。这使您可以灵活地从特定于业务的资源(例如自定义 AWS Config 规则)收集自动证据。如果要向自定义控件中添加手动证据,也可以使用此选项。
当您使用客户管理型来源时,您负责维护自己创建的所有数据来源。
另请参阅:[](#aws-managed-source)、[](#evidence-source)。
## D
[A](#auditmanager-concepts-A)\| B \| [C](#auditmanager-concepts-C) \| [D](#auditmanager-concepts-D) \| [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \| G \| H \| J [I](#auditmanager-concepts-I) \| K \| L \| M \| N \| O \| P \| Q \| \| [R](#auditmanager-concepts-R) \| T [S](#auditmanager-concepts-S) \| U \| V \| W \| X \| Y \| Z \|
**数据来源**
Audit Manager 使用*数据来源*为控件收集证据。数据来源具有以下属性:
+ **数据来源类型**定义了 Audit Manager 从中收集证据的数据来源类型。
+ 对于自动证据,类型可以是 *AWS Security Hub CSPM*、*AWS Config、 AWS CloudTrail* 或 *AWS API 调用*。
+ 如果您上传自己的证据,则类型为 *手动*。
+ Audit Manager API 将数据来源类型称为 [sourceType](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html#auditmanager-Type-ControlMappingSource-sourceType)。
+ **数据来源映射**是一个关键字,用于指出从何处收集给定数据来源类型的证据。
+ 例如,这可能是 CloudTrail 事件的名称或 AWS Config 规则的名称。
+ Audit Manager API 将数据来源映射称为 [sourceKeyword](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_SourceKeyword.html)。
+ **数据来源名称**标记了一对数据来源类型和映射。
+ 对于标准控件,Audit Manager 提供了默认名称。
+ 对于自定义控件,您可以提供自己的名称。
+ Audit Manager API 将数据来源命名为[sourceName](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html#auditmanager-Type-ControlMappingSource-sourceName)。
单个控件可包含多种数据来源类型和多个映射。例如,一个控件可能会从混合数据源类型(例如 AWS Config 和 Security Hub CSPM)中收集证据。另一个控件可能 AWS Config 将多个规则作为其唯一的数据源类型,并以多个 AWS Config 规则作为映射。
下表列出了自动数据来源类型,并显示了一些相应映射的示例。
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/concepts.html)
**委托人**
委托人是权限有限的 AWS Audit Manager 用户。委托人通常具有专业的业务或技术专长。例如,这些专长可能涉及数据留存政策、培训计划、网络基础设施或身份管理。委托人可以帮助审计负责人审核收集到的证据,以了解属于其专长的控件。委托人可以审核控件集及其相关证据、添加评论、上传其他证据,以及更新各个控件的状态(您分配给它们以供审核)。
审计负责人将特定的控件分配给委托人,而非整个评测。因此,委托人的评测访问权限有限。有关如何委托控件集的说明,请参阅[代表团进来 AWS Audit Manager](delegate.md)。
## E
[A](#auditmanager-concepts-A)\| B \| [C](#auditmanager-concepts-C) \| [D](#auditmanager-concepts-D) \| [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \| G \| H \| J [I](#auditmanager-concepts-I) \| K \| L \| M \| N \| O \| P \| Q \| \| [R](#auditmanager-concepts-R) \| T [S](#auditmanager-concepts-S) \| U \| V \| W \| X \| Y \| Z \|
**证据**
证据是一种记录,其中包含遵守控件要求所需的信息。证据示例包括用户调用变更活动和系统配置快照。
Audit Manager 主要包含两类证据:*自动证据*和*手动证据*。
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/concepts.html)
自动收集证据从您创建评测开始。这是一个持续的进程,Audit Manager 根据证据类型和基础数据来源,以不同的频率收集证据。有关更多信息,请参阅 [了解如何 AWS Audit Manager 收集证据](how-evidence-is-collected.md)。
有关如何审核评测证据的说明,请参阅[审查证据 AWS Audit Manager](review-evidence.md)。
**证据来源**
证据来源定义控件从何处收集证据。它可以是单个数据来源,也可以是与通用控件或核心控件对应的一组预定义的数据来源。
创建自定义控件时,您可以从 AWS 托管式来源和/或客户管理型来源中收集证据。
我们建议您使用 AWS 托管来源。每当更新 AWS 托管源时,相同的更新都会自动应用于使用这些源的所有自定义控件。这就表示您的自定义控件会始终根据该证据来源的最新定义收集证据。此举有助于您确保在云合规性环境发生变化时持续保持合规。
另请参阅:[](#aws-managed-source)、[](#customer-managed-source)。
** 证据收集方法**
控件可以通过两种方式收集证据。
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/concepts.html)
您可以将手动证据附加至任何自动控件中。在许多情况下,需要将自动和手动证据相结合,以证明完全遵守控件。尽管 Audit Manager 可以提供有用且关联的自动证据,但有些自动证据可能只能证明部分合规。在这种情况下,您可以用自己的证据补充 Audit Manager 提供的自动证据。
例如:
+ [AWS 生成式 AI 最佳实践框架 v2](aws-generative-ai-best-practices.md)包含一个名为 `Error analysis` 的控件。此控件要求您识别何时在模型使用中检测到不准确之处。它还要求您进行彻底的错误分析,以了解根本原因并采取纠正措施。
+ 为了支持这种控制,Audit Manager 会自动收集证据,以显示您的评估运行 AWS 账户 位置是否启用了 CloudWatch警报。您可以使用这些证据证明您的警报和检查配置正确,从而证明部分遵守了控件。
+ 为了证明完全合规,您可以用手动证据补充自动证据。例如,您可以上传显示错误分析流程、上报和报告的阈值、以及根本原因分析结果的策略或程序。您可以使用此手动证据证明既定政策已经到位,并且在出现提示时已采取纠正措施。
有关更详细的示例,请参阅[具有混合数据来源的控件](https://docs.aws.amazon.com/audit-manager/latest/userguide/examples-of-controls.html#mixed)。
**导出目的地**
导出目标为默认 S3 桶,Audit Manager 会保存您从证据查找器中导出的文件。有关更多信息,请参阅 [为证据查找器配置默认导出目标](settings-export-destination.md)。
## F
[A](#auditmanager-concepts-A)\| B \| [C](#auditmanager-concepts-C) \| [D](#auditmanager-concepts-D) \| [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \| G \| H \| J [I](#auditmanager-concepts-I) \| K \| L \| M \| N \| O \| P \| Q \| \| [R](#auditmanager-concepts-R) \| T [S](#auditmanager-concepts-S) \| U \| V \| W \| X \| Y \| Z \|
**框架**
Audit Manager 框架用于组织和自动执行特定标准或风险治理原则的评测。这些框架包括一系列预建或客户定义的控件,它们可以帮助您将 AWS 资源与这些控制的要求对应起来。
Audit Manager 中有两种类型的框架。
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/concepts.html)
有关如何创建和管理框架的说明,请参阅[使用框架库管理中的框架 AWS Audit Manager](framework-library.md)。
AWS Audit Manager 协助收集与核实特定合规标准和法规的遵守情况相关的证据。但是,它本身并不能评测您的合规情况。 AWS Audit Manager 因此,通过收集的证据可能不包括审计所需的有关您的 AWS 使用情况的所有信息。 AWS Audit Manager 不能代替法律顾问或合规专家。
**框架共享**
您可以使用该[在中共享自定义框架 AWS Audit Manager](share-custom-framework.md)功能在各个 AWS 账户 地区之间快速共享您的自定义框架。若要共享自定义框架,请创建*共享请求*。然后,接收者有 120 天的时间接受或拒绝此请求。当他们接受时,Audit Manager 会将共享自定义框架复制到其框架库中。除了复制自定义框架外,Audit Manager 还会复制该框架中包含的、所有自定义控件。这些自定义控件已添加至收件人的控件库。Audit Manager 不复制标准框架或控件。这是因为默认情况下,这些资源已可用于每账户和区域。
## I
[A](#auditmanager-concepts-A)\| B \| [C](#auditmanager-concepts-C) \| [D](#auditmanager-concepts-D) \| [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \| G \| H \| J [I](#auditmanager-concepts-I) \| K \| L \| M \| N \| O \| P \| Q \| \| [R](#auditmanager-concepts-R) \| T [S](#auditmanager-concepts-S) \| U \| V \| W \| X \| Y \| Z \|
**尚无定论的证据**
AWS Audit Manager 当无法进行自动合规性评估时,将证据标记为无定论。这会在以下情况下发生:
+ 您尚未启用 AWS Config 或 AWS Security Hub CSPM,它们是关键数据源。
+ 证据是通过 API 调用、 AWS CloudTrail 日志或手动上传直接从 AWS 服务中收集的。
当没有自动评估这些证据的机制时, AWS Audit Manager 无法提供评估细节。因此,这标志着证据*尚无定论*。
尚无定论的证据并不表明失败。相反,它表明您需要手动评估合规证据。
## R
[A](#auditmanager-concepts-A)\| B \| [C](#auditmanager-concepts-C) \| [D](#auditmanager-concepts-D) \| [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \| G \| H \| J [I](#auditmanager-concepts-I) \| K \| L \| M \| N \| O \| P \| Q \| \| [R](#auditmanager-concepts-R) \| T [S](#auditmanager-concepts-S) \| U \| V \| W \| X \| Y \| Z \|
**资源**
资源是在审计过程中评测的有形资产或信息资产。 AWS 资源示例包括亚马逊 EC2 实例、亚马逊 RDS 实例、亚马逊 S3 存储桶和亚马逊 VPC 子网。
**资源评测**
资源评测是评测单个资源的进程。该评测基于控件要求。当评测处于活动状态时,Audit Manager 会对评测范围内的每个资源进行资源评测。资源评测运行以下一系列任务:
1. 收集证据,包括资源配置、事件日志和调查结果
1. 转换证据并将其映射至控件
1. 存储和追踪证据谱系以实现完整性
**资源合规性**
资源合规性是指在收集合规性检查证据时评测的资源评测状态。
Audit Manager 收集使用 AWS Config 和 Security Hub CSPM 作为数据源类型的控件的合规性检查证据。在这个收集证据期间,可能需要评测多种资源。因此,一份合规性检查证据可包含一个或多个资源。
您可以使用证据查找器中的**资源合规性**筛选条件来浏览资源级别的合规状态。搜索完成后,您可以预览与您的搜索查询匹配的资源。
在证据查找器中,资源合规性包含三个可能得值:
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/concepts.html)
## S
[A](#auditmanager-concepts-A)\| B \| [C](#auditmanager-concepts-C) \| [D](#auditmanager-concepts-D) \| [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \| G \| H \| J [I](#auditmanager-concepts-I) \| K \| L \| M \| N \| O \| P \| Q \| \| [R](#auditmanager-concepts-R) \| T [S](#auditmanager-concepts-S) \| U \| V \| W \| X \| Y \| Z \|
** 范围内的服务**
Audit Manager 管理 AWS 服务 哪些属于您的评估范围。如果您之前有过评测,则您过去可能手动指定了范围内的服务。2024 年 6 月 4 日之后,您无法再手动指定或编辑范围内的服务。
*范围内的服务*是 AWS 服务 指您的评估收集相关证据的服务。当您将某项服务纳入评测范围后,Audit Manager 会评测此服务的资源。一些资源示例包括下面这些:
+ 一个 Amazon EC2 实例
+ 一个 S3 存储桶
+ IAM 用户或角色
+ 一个 DynamoDB 表
+ 网络组件,如 Amazon 虚拟私有云(VPC)、安全组,或网络访问控制列表 (ACL)
例如,如果 Amazon S3 属于范围内的服务,则 Audit Manager 可收集有关您 S3 存储桶的证据。收集的确切证据由控件的[](#control-data-source)决定。例如,如果数据源类型为 AWS Config,而数据源映射是 AWS Config 规则(例如`s3-bucket-public-write-prohibited`),则 Audit Manager 会收集该规则评估的结果作为证据。
请记住,范围内的服务不同于*数据源类型*,后者 AWS 服务 也可以是其他类型。有关更多信息,请参阅本指南*疑难解答*部分的[范围内的服务和数据来源类型有什么区别?](evidence-collection-issues.md#data-source-vs-service-in-scope)。
** 标准控件**
请参阅[](#control)。