本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 设置 AWS Marketplace 供应商见解
以下过程描述了在 AWS Marketplace 软件即服务 (SaaS) 列表上设置 “ AWS Marketplace 供应商见解” 的高级步骤。
**在你的 SaaS 列表上设置 “ AWS Marketplace 供应商见解”**
1. [创建安全配置文件](#create-security-profile).
1. (可选)[上传认证文件](#upload-certification)。
1. [上传自我评估](#upload-self-assessment).
1. (可选)[启用 AWS Audit Manager 自动评估](#enable-audit-manager-assessments)。
## 创建安全配置文件
安全配置文件可让您的买家详细了解您的软件产品的安全状况。安全配置文件使用相关的数据源,包括自我评估、认证和 AWS Audit Manager 自动评估。
**注意**
您可以创建有限数量的安全配置文件。要创建更多安全配置文件,可以请求增加限额。有关更多信息,请参阅 *AWS 一般参考* 中的 [AWS 服务限额](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)。
**要创建安全配置文件,请执行以下操作:**
1. 使用具有 AWS Marketplace 卖家账户访问权限的 IAM 用户或角色登录。
1. 选择**产品**,然后选择 **SaaS** 以导航到 **SaaS 产品**页面。
1. 选择**产品**。
1. 选择 **Vendor Insights** 选项卡,然后选择**联系支持团队以添加安全配置文件**。
1. 填写表单,然后选择**提交**。
AWS Marketplace 卖家运营团队将创建安全配置文件。安全配置文件准备就绪后,他们将向表单上标识的收件人发送电子邮件通知。
## 上传认证文件
认证是一种数据源,可在多个维度上提供产品安全状况的证据。 AWS Marketplace 供应商见解支持以下认证:
+ FedRAMP 认证 – 验证是否符合美国政府的云安全标准
+ GDPR 合规报告 – 证明遵守了《通用数据保护条例》(GDPR) 的要求,保护了个人数据和个人的隐私
+ HIPAA 合规报告 – 证明遵守了《健康保险责任与保护法》(HIPAA) 法规,保护受保护的健康信息
+ ISO/IEC 27001 audit report – Confirms compliance with International Organization for Standardization (ISO)/International电工委员会 (IEC) 27001,强调信息安全标准
+ PCI DSS 审计报告 – 证明符合 PCI 安全标准委员会制定的安全标准
+ SOC2 2 类审计报告 – 确认遵守服务组织控制 (SOC) 数据隐私和安全控制
**要上传认证文件,请执行以下操作:**
1. 在 **Vendor Insights** 选项卡上,导航至**数据来源**部分。
1. 在**认证**下,选择**上传认证文件**。
1. 在**认证详情**下,提供所需的信息并上传认证文件。
1. (可选)在**标签**下,添加新标签。
**注意**
有关标签的信息,请参阅《[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*用户指南》中的为 AWS 资源添加标签*。
1. 选择**上传认证文件**。
**注意**
该认证会自动与当前的安全配置文件关联。您还可以关联已经上传的认证文件。在产品详细信息页面上,在**认证**下选择**关联认证**,从列表中选择认证文件,然后选择**关联认证**。
上传认证文件后,可以使用产品详细信息页面上的**下载认证文件**按钮进行下载。也可以使用**更新认证文件**按钮更新认证文件详细信息。
认证状态将更改为,**ValidationPending**直到认证详细信息得到验证。在处理数据来源期间和之后,会显示另一种状态:
+ **可用** - 数据来源已上传,系统验证成功完成。
+ **AccessDenied**— AWS Marketplace 供应商见解无法再访问数据源的外部来源参考以供读取。
+ **ResourceNotFound**— 数据源的外部源引用不再可供读 VendorInsights 取。
+ **ResourceNotSupported**— 数据源已上传,但所提供的数据源尚不支持。有关验证错误的详细信息,请参阅状态消息。
+ **ValidationPending**— 数据源已上传,但系统验证仍在运行。现阶段没有适合您的操作项目。状态已更新为 “可用” ResourceNotSupported、或 ValidationFailed。
+ **ValidationFailed**— 数据源已上传,但由于一个或多个原因,系统验证失败。有关验证错误的详细信息,请参阅状态消息。
## 上传自我评估
自我评估是一种数据源,可提供产品安全状况的证据。 AWS Marketplace 供应商见解支持以下自我评估:
+ AWS Marketplace 供应商洞察自我评估
+ 共识评估调查问卷(CAIQ)。有关更多信息,请参阅云安全联盟网站上的[什么是 CAIQ](https://cloudsecurityalliance.org/blog/2021/09/01/what-is-caiq)。
**要上传自我评估,请执行以下操作:**
1. 在 [https://console.aws.amazon.com/marketplac AWS Marketplace](https://console.aws.amazon.com/marketplace) e 上打开控制台。
1. 在 **Vendor Insights** 选项卡上,导航至**数据来源**部分。
1. 在**自我评估**下,选择**上传自我评估**。
1. 在**自我评估详情**下,填写以下信息:
1. **名称** – 输入自我评估的名称。
1. **类型** – 从列表中选择评估类型。
**注意**
如果您选择了 **Vendor Insights 安全自我评估**,请选择**下载模板**以下载自我评估。为电子表格中的每个答案选择**是**、**否**或**不适用**。
1. 要上传已完成的评估,请选择**上传自我评估**。
1. (可选)在**标签**下,添加新标签。
**注意**
有关标签的信息,请参阅《[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*用户指南》中的为 AWS 资源添加标签*。
1. 选择**上传自我评估**。
**注意**
自我评估会自动与当前的安全配置文件相关联。您还可以关联已经上传的自我评估。在产品详细信息页面上,在**自我评估**下选择**关联自我评估**,从列表中选择自我评估,然后选择**关联自我评估**。
上传自我评估后,可以使用产品详细信息页面上的**下载自我评估**按钮进行下载。也可以使用**更新自我评估**按钮更新自我评估详细信息。
状态更新为以下项之一:
+ **可用** - 数据来源已上传,系统验证成功完成。
+ **AccessDenied**— 数据源的外部源引用不再可供读 VendorInsights 取。
+ **ResourceNotFound**— 数据源的外部源引用不再可供读 VendorInsights 取。
+ **ResourceNotSupported**— 数据源已上传,但所提供的数据源尚不支持。有关验证错误的详细信息,请参阅状态消息。
+ **ValidationPending**— 数据源已上传,但系统验证仍在运行。现阶段没有适合您的操作项目。状态已更新为 “可用” ResourceNotSupported、或 ValidationFailed。
+ **ValidationFailed**— 数据源已上传,但由于一个或多个原因,系统验证失败。有关验证错误的详细信息,请参阅状态消息。
## 启用 AWS Audit Manager 自动评估
AWS Marketplace Vendor Insights 使用多个 AWS 服务 来自动为您的安全配置文件收集证据。
您需要以下资源 AWS 服务 和资源才能进行自动评估:
+ **AWS Audit Manager**— 为了简化 V AWS Marketplace endor Insights 的设置 StackSets,我们使用了 CloudFormation Stacks 和,它们负责配置和配置必要的资源。堆栈集可创建包含由 AWS Config自动填充控制措施的自动评估。
有关的更多信息 AWS Audit Manager,请参阅《[AWS Audit Manager 用户指南》](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)。
+ **AWS Config**— 堆栈集部署 AWS Config 一致性包以设置必要的 AWS Config 规则。这些规则允许 Audit Manager 自动评估为其中 AWS 服务 部署的其他人收集实时证据 AWS 账户。有关 AWS Config 功能的更多信息,请参阅《[AWS Config 开发人员指南》](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)。
**注意**
您可能会注意到,与随后的几个月 AWS Config 相比,在记录的最初一个月中,您的账户活动有所增加。在最初的引导过程中, AWS Config 请查看您账户中您选择 AWS Config 要记录的所有资源。
如果您运行临时工作负载,则可能会看到活动增加, AWS Config 因为它记录了与创建和删除这些临时资源相关的配置更改。*临时工作负载* 是临时使用在需要时加载和运行的计算资源。
临时工作负载的示例包括亚马逊弹性计算云 (Amazon EC2) 竞价型实例、亚马逊 EMR 任务和。 AWS Auto Scaling AWS Lambda为了避免因运行临时工作负载而增加活动,您可以在关闭的情况下在单独的帐户中运行这些类型的工作负载。 AWS Config 这种方法可以避免增加配置记录和规则评估。
+ **Amazon S3** – 堆栈集创建以下两种 Amazon Simple Storage Service 存储桶:
+ **vendor-insights-stack-set-output-bucket-\$1账号\$1** — 此存储桶包含堆栈集运行的输出。 AWS Marketplace 卖家运营团队使用输出来完成您的自动数据源创建流程。
+ **vendor-insights-assessment-reports-bucket-\$1账号\$1** — 向此 Amazon S3 存储桶 AWS Audit Manager 发布评估报告。有关发布评估报告的更多信息,请参阅《AWS Audit Manager 用户指南》**中的[评估报告](https://docs.aws.amazon.com/audit-manager/latest/userguide/assessment-reports.html)。
有关 Amazon S3 特征的更多信息,请参阅 [Amazon S3 用户指南](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html)。
+ **IAM** — 入职堆栈集在您的账户中配置以下 AWS Identity and Access Management (IAM) 角色:
+ 部署 `VendorInsightsPrerequisiteCFT.yml` 模板后,它会创建管理员角色 `AWSVendorInsightsOnboardingStackSetsAdmin` 和运行角色 `AWSVendorInsightsOnboardingStackSetsExecution`。堆栈集使用管理员角色将所需的堆栈同时部署到多个 AWS 区域 中。作为 Vendo AWS Marketplace r Insights 设置过程的一部分,管理员角色扮演执行角色,部署必要的父堆栈和嵌套堆栈。有关自行管理权限的更多信息,请参阅《CloudFormation 用户指南》**中的[授予自行管理权限](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-prereqs-self-managed.html)。
+ 该`AWSVendorInsightsRole`角色为 V AWS Marketplace endor Insights 提供了阅读 AWS Audit Manager 资源中评估的权限。 AWS Marketplace 供应商见解会在您的 AWS Marketplace 供应商见解资料中显示评估中发现的证据。
+ 为 `AWSVendorInsightsOnboardingDelegationRole` V AWS Marketplace endor Insights 提供了列出和读取`vendor-insights-stack-set-output-bucket`存储桶中对象的权限。此功能允许 AWS Marketplace 目录运营团队协助您设置 “ AWS Marketplace 供应商见解” 档案。
+ 该`AWSAuditManagerAdministratorAccess`角色提供管理权限,用于启用或禁用 AWS Audit Manager、更新设置以及管理评估、控制和框架。您或您的团队可以代入此角色,在 AWS Audit Manager中采取措施进行自动评估。
要启用 AWS Audit Manager 自动评估,您必须部署入职堆栈。
### 部署载入堆栈
为了简化 V AWS Marketplace endor Insights 的设置 StackSets,我们使用了 CloudFormation Stacks 和,它们负责配置和配置必要的资源。如果您有多个账户或多个 AWS 区域 SaaS 解决方案, StackSets 请允许您从中央管理账户部署入职堆栈。
有关的更多信息 CloudFormation StackSets,请参阅《*AWS CloudFormation 用户指南》 CloudFormation StackSets*中的 “[使用](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)”。
AWS Marketplace 供应商见解设置要求您使用以下 CloudFormation 模板:
+ `VendorInsightsPrerequisiteCFT`— 设置在您的账户 CloudFormation StackSets 中运行所需的管理员角色和权限。在您的卖家账户中创建此堆栈。
+ `VendorInsightsOnboardingCFT` – 设置所需的 AWS 服务 并配置相应的 IAM 权限。这些权限允许 V AWS Marketplace endor Insights 收集您中运行的 SaaS 产品的数据, AWS 账户 并将这些数据显示在您的 AWS Marketplace 供应商洞察资料中。在您的卖家账户和通过托管 SaaS 解决方案的生产账户中创建此堆栈 StackSets。
#### 创建 VendorInsightsPrerequisiteCFT 堆栈
通过运行`VendorInsightsPrerequisiteCFT` CloudFormation 堆栈,您可以设置 IAM 权限以开始加载堆栈集。
**要创建 VendorInsightsPrerequisiteCFT 堆栈,请执行以下操作:**
1. 查看并从 GitHub网站上的 “[供应商见解模板AWS 样本存储库” 文件夹](https://github.com/aws-samples/aws-marketplace-vendor-assessment-onboarding)中下载最新`VendorInsightsPrerequisiteCFT.yml`文件。
1. AWS 管理控制台 使用您的 AWS Marketplace 卖家账户登录,然后在 [https://console.aws.amazon.com/cloudformat](https://console.aws.amazon.com/cloudformation/) ion 上打开 CloudFormation 控制台。
1. 在 CloudFormation 控制台导航窗格中,选择**堆栈**,然后从下拉列表中选择**创建堆栈**和**使用新资源(标准)**。(如果导航窗格不可见,请在左上角选择并展开导航窗格。)
1. 在**指定模板**下,选择**上传模板文件**。要上传您下载的 `VendorInsightsPrerequisiteCFT.yml` 文件,请使用**选择文件**。然后选择**下一步**。
1. 输入堆栈的名称,然后选择**下一步**。
1. (可选)根据需要配置堆栈选项。
选择**下一步**。
1. 在**审核**页面上,审核您的选择。要进行更改,请在要更改的区域中选择**编辑**。在创建堆栈之前,必须选中**功能**区域中的确认复选框。
选择**提交**。
1. 创建堆栈后,选择**资源**选项卡并记下已创建的以下角色:
+ `AWSVendorInsightsOnboardingStackSetsAdmin`
+ `AWSVendorInsightsOnboardingStackSetsExecution`
#### 创建 VendorInsightsOnboardingCFT 堆栈集
通过运行`VendorInsightsOnboardingCFT` CloudFormation 堆栈集,您可以设置所需的 IAM 权限 AWS 服务 并配置相应的 IAM 权限。这允许 AWS Marketplace 供应商洞察收集在您中运行的 SaaS 产品的数据, AWS 账户 并将其显示在您的 AWS Marketplace 供应商洞察资料中。
如果您有多账户解决方案,或者您有单独的卖家账户和生产账户,则必须将此堆栈部署到多个账户。 StackSets 允许您使用创建先决条件堆栈的管理帐户执行此操作。
堆栈集要使用自行管理的权限部署。有关更多信息,请参阅《AWS CloudFormation 用户指南》**中的[创建具有自行管理权限的堆栈集](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html#stacksets-getting-started-create-self-managed)。
**要创建 VendorInsightsOnboardingCFT 堆栈集,请执行以下操作:**
1. 查看并从 GitHub网站上的 “[供应商见解模板AWS 样本存储库” 文件夹](https://github.com/aws-samples/aws-marketplace-vendor-assessment-onboarding)中下载最新`VendorInsightsOnboardingCFT.yml`文件。
1. AWS 管理控制台 使用您的 AWS Marketplace 卖家账户登录,然后在 [https://console.aws.amazon.com/cloudformat](https://console.aws.amazon.com/cloudformation/) ion 上打开 CloudFormation 控制台...
1. 在 CloudFormation 控制台导航窗格中,选择**创建 StackSet**。(如果导航窗格不可见,请在左上角选择并展开导航窗格。)
1. 在 “**权限**” 下,为管理员角色选择 **IAM 角色名称**,然后从下拉列表中选择角色名称。**AWSVendorInsightsOnboardingStackSetsAdmin**
1. 输入 **AWSVendorInsightsOnboardingStackSetsExecution** 作为 **IAM 执行角色名称**。
1. 在**指定模板**下,选择**上传模板文件**。要上传您下载的 `VendorInsightsOnboardingCFT.yml` 文件,请使用**选择文件**,然后选择**下一步**。
1. 提供以下 StackSet 参数,然后选择 “**下一步**”。
+ `CreateVendorInsightsAutomatedAssessment`— 此参数在您的中设置 AWS Audit Manager 自动评估 AWS 账户。如果您有单独的管理帐户和生产帐户,则应仅为生产帐户选择此选项,而*不*应为管理帐户选择此选项。
+ `CreateVendorInsightsIAMRoles`— 此参数预置了一个 IAM 角色,允许 AWS Marketplace 供应商洞察读取您的评估数据 AWS 账户。
+ `PrimaryRegion` – 此参数为您的 SaaS 部署设置主参数 AWS 区域 。这是在您中创建 Amazon S3 存储桶的区域 AWS 账户。如果您的 SaaS 产品仅部署到一个区域,则该区域为主要区域。
1. 根据需要配置 StackSet 选项。将**执行**配置保持为**非活动**,然后选择**下一步**。
1. 配置部署选项。如果您有多账户解决方案,则可以将堆栈集配置为通过单个操作跨多个账户和区域进行部署。选择**下一步**。
**注意**
如果您有多账户解决方案,我们*不*建议将解决方案作为单个堆栈集部署到所有账户。请密切注意步骤 7 中定义的参数。您可能需要启用或禁用某些参数,具体取决于您要部署到的账户的类型。 StackSets 在单个部署中将相同的参数应用于所有指定帐户。您可以通过对堆栈集中的账户进行分组来缩短部署时间,但是对于多账户解决方案,您仍然需要多次部署。
**重要**
如果您要部署到多个区域,则列出的第一个区域必须是 `PrimaryRegion`。将**区域并发**选项保留为**顺序**的默认设置。
1. 在**审核**页面上,审核您的选择。要进行更改,请在要更改的区域中选择**编辑**。在创建堆栈集之前,必须选中**功能**区域中的确认复选框。
选择**提交**。
每个区域的堆栈集大约需要 5 分钟才能完成。