AWS Audit Manager 不再開放給新客戶。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[AWS Audit Manager 可用性變更](https://docs.aws.amazon.com/audit-manager/latest/userguide/audit-manager-availability-change.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 了解 AWS Audit Manager 概念和術語
為了協助您入門,本頁面定義了術語和解釋了 AWS Audit Manager的一些重要概念。
## A
[A](#auditmanager-concepts-A) \| B \| [C](#auditmanager-concepts-C) [D](#auditmanager-concepts-D) \| [E](#auditmanager-concepts-E) \| [F](#auditmanager-concepts-F) \| G \| H \| [I](#auditmanager-concepts-I) \| J \| K \| L \| M \| N \| O \| P \| Q [R](#auditmanager-concepts-R) \| [S](#auditmanager-concepts-S) \| \| T \| U \| V \| W \| X \| Y \| Z
** 評估**
您可以使用 Audit Manager 評估來自動收集與稽核相關的證據。
評估是以架構為基礎,架構是與稽核相關的一組控制項。您可以從標準架構或自訂架構建立評估。標準架構包含支援特定合規標準或法規的預建控制集。相反地,自訂架構包含您可以根據特定稽核需求自訂和分組的控制項。使用架構做為起點,您可以建立評估,指定您要包含在稽核範圍中的 AWS 帳戶 。
當您建立評估時,Audit Manager AWS 帳戶 會根據架構中定義的控制項,自動開始評估 中的資源。接著,收集相關證據並將其轉換為易於稽核的格式。執行此操作後,它會將證據附加到評估中的控制項中。當需要進行稽核時,您或您選擇的委派代表可以檢閱收集的證據,然後將其新增至評估報告中。此評估報告可協助您證明您的控制項如期運作。
證據收集程序為持續過程,會在您建立評估時開始。您可以將評估狀態變更為*非作用中*,以停止證據收集。或者,您可以在控制層級停止證據收集。您可以將評估中的特定控制項狀態變更為*非作用中*來執行此操作。
如需有關建立與管理評估的說明,請參閱 [在 中管理評估 AWS Audit Manager](assessments.md)。
**評估報告**
評估報告是由 Audit Manager 評估產生的最終文件。這些報告為您總結稽核收集的相關證據。它們連結到相關證據文件夾。資料夾會根據評估中所指定的控制項來命名和組織。對於每項評估,您可以檢閱 Audit Manager 收集的證據,並決定要在評估報告中包含哪些證據。
如需進一步了解評估報告,請參閱 [評估報告](assessment-reports.md)。如需了解如何產生評估報告,請參閱 [在 中準備評估報告 AWS Audit Manager](generate-assessment-report.md)。
**評估報告目的地**
評估報告目的地是 Audit Manager 儲存您的評估報告的預設 S3 儲存貯體。如需詳細資訊,請參閱 [設定您的預設評估報告目的地](settings-destination.md)。
**稽核**
稽核是對您組織的資產、營運或業務完整性進行獨立檢查。資訊技術 (IT) 稽核會特別檢查組織資訊系統內的控制項。IT 稽核的目標是判斷資訊系統是否保護資產並有效運作,以及維護資料完整性。所有這些對於滿足合規標準或法規規定的監管要求至關重要。
**稽核擁有者**
*稽核擁有者*一詞會根據前後關聯性而有兩種不同的意義。
在 Audit Manager 的前後關聯性中,稽核擁有者是管理評估及其相關資源的使用者或角色。此 Audit Manager 角色的職責包括建立評估、檢閱證據以及產生評估報告。Audit Manager 是一項協作服務,當其他利益關係者參與其評估時,稽核擁有者將受益匪淺。例如,您可以將其他稽核擁有者新增至您的評估,以共享管理任務。或者,如果您是稽核擁有者,且需要協助解譯為控制項所收集的證據,您可以[將該控制集委派](https://docs.aws.amazon.com/audit-manager/latest/userguide/delegate.html)給在該領域擁有專業知識的利益關係者。這樣的人被稱為*委派代表*角色。
在商業術語中,稽核擁有者是協調和監督其公司的稽核準備工作,並向稽核人員提供證據的人。一般而言,這是控管、風險和合規 (GRC) 專業人員,例如合規官員或 GDPR 資料保護官。GRC 專業人員擁有管理稽核準備的專業知識和權力。具體來說,他們了解合規需求,並可以分析、解譯和準備報告資料。不過,其他業務角色也可以承擔稽核擁有者的 Audit Manager 角色,不僅是由 GRC 專業人員來擔任。例如,您可以選擇由以下團隊之一的技術專家進行設定和管理 Audit Manager 評估:
+ SecOps
+ IT/DevOps
+ 安全營運中心/事件回應
+ 相關團隊負責擁有、開發、修復和部署雲端資產,以及了解組織雲端基礎架構
您在 Audit Manager 評估中,選擇指定誰作為稽核擁有者,這很大程度上取決於您的組織。這同時取決於您如何架構安全性作業,以及其稽核細節。在 Audit Manager 中,同一個人可以在一項評估中擔任稽核擁有者角色,在另一個評估中擔任委派代表角色。
無論您選擇如何使用 Audit Manager,都可以使用稽核擁有者/委派角色管理整個組織的職責分離,並將特定的 IAM 政策授予每位使用者。透過這兩個步驟的方法,Audit Manager 可確保您完全掌控個別評估的所有細節。如需詳細資訊,請參閱[中使用者角色的建議政策 AWS Audit Manager](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-personas)。
** AWS 受管來源**
AWS 受管來源是為您 AWS 維護的證據來源。
每個 AWS 受管來源都是預先定義的資料來源群組,對應至特定的常見控制項或核心控制項。當您使用通用控制項做為證據來源時,會自動收集支援該通用控制項之所有核心控制項的證據。您也可以使用個別核心控制項做為證據來源。
每當 AWS 受管來源更新時,相同的更新會自動套用到使用該 AWS 受管來源的所有自訂控制項。這表示您的自訂控制項會根據該證據來源的最新定義收集證據。這可協助您在雲端合規環境變更時確保持續合規。
另請參閱:[](#customer-managed-source)、[](#evidence-source)。
## C
[A](#auditmanager-concepts-A) \| B \| [C](#auditmanager-concepts-C) [D](#auditmanager-concepts-D) \| [E](#auditmanager-concepts-E) \| [F](#auditmanager-concepts-F) \| G \| H \| [I](#auditmanager-concepts-I) \| J \| K \| L \| M \| N \| O \| P \| Q [R](#auditmanager-concepts-R) \| [S](#auditmanager-concepts-S) \| \| T \| U \| V \| W \| X \| Y \| Z
**Changelog**
針對評估中的每個控制項,Audit Manager 會追蹤該控制項的使用者活動。您可以檢閱與特定控制項相關之活動的稽核記錄。如需變更日誌中擷取哪些使用者活動的詳細資訊,請參閱 [Changelog 索引標籤](review-controls.md#review-changelog)。
**雲端合規**
雲端合規是雲端交付的系統必須符合雲端客戶所面臨的標準的一般原則。
**常見控制項**
請參閱 [](#control)。
**合規監管**
合規監管是由當局規定的法律、規則或其他命令,通常用於規範行為。一個範例是 GDPR。
**合規標準**
合規標準是一套結構化的準則,詳細說明組織維持與既定法規、規範或立法一致的過程。範例包括 PCI DSS 和 HIPAA。
**控制項**
控制項是為資訊系統或組織規定的保護或對策。控制項旨在保護您的資訊的機密性、完整性和可用性,並符合一組定義的要求。它們可確保您的資源如預期般運作、您的資料可靠,而且您的組織符合適用的法律和法規。
在 Audit Manager 中,控制項還可以代表供應商風險評估問卷中的一個問題。在這種情況下,控制項是一個特定的問題,詢問有關組織的安全性和合規性狀況的資訊。
控制項會在 Audit Manager 評估中處於有效狀態時持續收集證據。您也可以手動將證據新增至任何控制項。每個證據都是記錄,可協助您證明符合控制項的要求。
Audit Manager 提供下列類型的控制項:
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/concepts.html)
**控制網域**
您可以將控制網域視為不是任何合規標準特有的控制類別。控制網域的範例是*資料保護*。
基於簡單的組織用途,控制項通常會依網域分組。每個網域都有多個目標。
控制項網域群組是 [Audit Manager 儀表板](https://docs.aws.amazon.com/audit-manager/latest/userguide/dashboard.html)最強大的功能之一。Audit Manager 會強調顯示評估中具有不合規證據的控制項,並依控制項網域進行分組。這可讓您在準備稽核時,將修復工作集中在特定主題領域上。
**控制目標**
控制目標說明其下的常見控制項的目標。每個目標可以有多個常見控制項。如果成功實作這些常見控制項,它們將協助您實現目標。
每個控制目標都位於控制網域下。例如,*資料保護*控制網域可能有名為*資料分類和處理的控制目標。*若要支援此控制目標,您可以使用稱為*存取控制的常見控制項*來監控和偵測未經授權的資源存取。
** 核心控制**
請參閱 [](#control)。
** 自訂控制**
請參閱 [](#control)。
** 客戶受管來源**
客戶受管來源是您定義的證據來源。
當您在 Audit Manager 中建立自訂控制項時,您可以使用此選項來建立您自己的個別資料來源。這可讓您靈活地從業務特定資源收集自動化證據,例如自訂 AWS Config 規則。如果您想要將手動證據新增至自訂控制項,也可以使用此選項。
當您使用客戶受管來源時,您必須負責維護您建立的所有資料來源。
另請參閱:[](#aws-managed-source)、[](#evidence-source)。
## D
[A](#auditmanager-concepts-A) \| B \| [C](#auditmanager-concepts-C) [D](#auditmanager-concepts-D) \| [E](#auditmanager-concepts-E) \| [F](#auditmanager-concepts-F) \| \| G \| H \| [I](#auditmanager-concepts-I) \| J \| K \| L \| M \| N \| O \| P \| Q [R](#auditmanager-concepts-R) \| [S](#auditmanager-concepts-S) \| \| T \| U \| V \| W \| X \| Y \| Z
**資料來源**
Audit Manager 使用*資料來源*來收集控制項的證據。資料來源具有下列屬性:
+ **資料來源類型**定義 Audit Manager 收集證據的資料來源類型。
+ 對於自動化證據,類型可以是 *AWS Security Hub CSPM*、、 *AWS Config AWS CloudTrail*或 *AWS API 呼叫。*
+ 如果您上傳自己的證據,則類型為*手動*。
+ Audit Manager API 將資料來源類型稱為 [sourceType](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html#auditmanager-Type-ControlMappingSource-sourceType)。
+ **資料來源映射**是關鍵字,可精確指出特定資料來源類型從 收集證據的位置。
+ 例如,這可能是 CloudTrail 事件的名稱或 AWS Config 規則的名稱。
+ Audit Manager API 將資料來源映射稱為 [sourceKeyword](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_SourceKeyword.html)。
+ **資料來源名稱**會標記資料來源類型和映射的配對。
+ 針對標準控制項,Audit Manager 會提供預設名稱。
+ 對於自訂控制項,您可以提供自己的名稱。
+ Audit Manager API 會將資料來源名稱稱為 [sourceName](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html#auditmanager-Type-ControlMappingSource-sourceName)。
單一控制項可以有多個資料來源類型和多個映射項目。例如,一個控制項可能會從資料來源類型 (例如 AWS Config 和 Security Hub CSPM) 的混合收集證據。另一個控制項可能具有 AWS Config 作為其唯一的資料來源類型,具有多個 AWS Config 規則作為映射。
下表列出自動化資料來源類型,並顯示一些映射項目的範例。
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/concepts.html)
**委派代表**
委派代表是具有有限許可 AWS Audit Manager 的使用者。委派代表通常在多個不同領域具備專業的業務或技術專長。例如,這些專業知識可能涵蓋資料保留政策、培訓計劃、網路基礎結構或身分管理等領域。委派代表可幫助稽核擁有者檢閱其專業領域內的控制項所收集到的證據。委派代表可以檢閱控制集及其相關證據,以及新增評論、上傳其他證據,並更新您指派給他們檢閱的各控制項狀態。
稽核擁有者會指派特定控制集給委派代表,而非整個評估。因此,委派代表對評估的存取權限有限。如需關於委派控制集的說明,請參閱 [中的委派 AWS Audit Manager](delegate.md)。
## E
[A](#auditmanager-concepts-A) \| B \| [C](#auditmanager-concepts-C) [D](#auditmanager-concepts-D) \| [E](#auditmanager-concepts-E) \| [F](#auditmanager-concepts-F) \| \| G \| H \| [I](#auditmanager-concepts-I) \| J \| K \| L \| M \| N \| O \| P \| Q [R](#auditmanager-concepts-R) \| [S](#auditmanager-concepts-S) \| \| T \| U \| V \| W \| X \| Y \| Z
**證據**
證據是包含證明是否符合控制項要求所需資訊的記錄。證據的範例包括使用者調用的變更活動,以及系統組態快照集。
Audit Manager 中主要分為兩種證據類型:*自動化證據*和*手動證據*。
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/concepts.html)
自動化證據收集會在您建立評估時啟動。這是一個持續的程序,Audit Manager 會根據證據類型和基礎資料來源,以不同的頻率收集證據。如需詳細資訊,請參閱[了解 如何 AWS Audit Manager 收集證據](how-evidence-is-collected.md)。
如需關於檢閱評估中證據的說明,請參閱[在 中檢閱證據 AWS Audit Manager](review-evidence.md)。
**證據來源**
證據來源定義控制項從何處收集證據。它可以是個別資料來源,或映射至常見控制項或核心控制項的預先定義資料來源群組。
建立自訂控制項時,您可以從受管來源、客戶受管來源或兩者收集證據 AWS 。
我們建議您使用 AWS 受管來源。每當 AWS 受管來源更新時,相同的更新會自動套用至使用這些來源的所有自訂控制項。這表示您的自訂控制項一律會針對該證據來源的最新定義收集證據。這可協助您在雲端合規環境變更時確保持續合規。
另請參閱:[](#aws-managed-source)、[](#customer-managed-source)。
**證據收集方法**
控制項可以透過兩種方式收集證據。
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/concepts.html)
您可以將手動證據附加到任何自動化控制項。在許多情況下,需要結合自動化和手動證據來證明控制項完全合規。雖然 Audit Manager 可以提供有用且相關的自動化證據,但某些自動化證據可能只會顯示部分合規性。在這種情況下,您可以用自己的證據來補充 Audit Manager 提供自動化證據。
例如:
+ [AWS 生成式 AI 最佳實務架構 v2](aws-generative-ai-best-practices.md) 包含名為 的控制項`Error analysis`。此控制項需要您分辨在模型使用中何時偵測到不準確性。並要求您進行徹底的錯誤分析,以了解根本原因並採取糾正措施。
+ 為了支援此控制項,Audit Manager 會收集自動證據,顯示是否針對執行評估 AWS 帳戶 的 啟用 CloudWatch 警示。您可以使用此證據來證明對控制項的部分合規,以證明您的警報和檢查已正確配置。
+ 為了證明完全合規,您可以用手動證據補充自動化證據。例如,您可以上傳顯示錯誤分析過程、升級和報告的閾值,以及根本原因分析結果的策略或程序。您可以使用此手動證據來證明建立的策略已到位,並在出現提示時採取了糾正措施。
如需更詳細的範例,請參閱[混合資料來源的控制項](https://docs.aws.amazon.com/audit-manager/latest/userguide/examples-of-controls.html#mixed)。
**匯出目的地**
匯出目的地是預設 S3 儲存貯體,Audit Manager 會儲存您從證據搜尋工具匯出的檔案。如需詳細資訊,請參閱[設定證據搜尋工具的預設匯出目的地](settings-export-destination.md)。
## F
[A](#auditmanager-concepts-A) \| B \| [C](#auditmanager-concepts-C) [D](#auditmanager-concepts-D) \| [E](#auditmanager-concepts-E) \| [F](#auditmanager-concepts-F) \| \| G \| H \| [I](#auditmanager-concepts-I) \| J \| K \| L \| M \| N \| O \| P \| Q [R](#auditmanager-concepts-R) \| [S](#auditmanager-concepts-S) \| \| T \| U \| V \| W \| X \| Y \| Z
**架構**
Audit Manager 架構會針對特定標準或風險控管原則建立並自動化評估。這些架構包含預先建置或客戶定義的控制項集合,可協助您將 AWS 資源對應至這些控制項的要求。
Audit Manager 中的架構有兩種類型。
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/concepts.html)
如需有關建立與管理架構的說明,請參閱 [使用架構程式庫在 中管理架構 AWS Audit Manager](framework-library.md)。
AWS Audit Manager 協助收集與驗證特定合規標準和法規合規性相關的證據。不過,這不會評估您的合規狀態。 AWS Audit Manager 因此,透過 收集的證據可能不會包含稽核所需的所有 AWS 用量資訊。 AWS Audit Manager 無法取代法律顧問或合規專家。
**架構共享**
您可以使用 [在 中共用自訂架構 AWS Audit Manager](share-custom-framework.md)功能快速跨 AWS 帳戶 和 區域共用自訂架構。如果共享自訂架構,您可以建立*共享要求*。然後,收件人有 120 天的時間接受或拒絕請求。當他們接受時,Audit Manager 會將共享的自訂架構複寫到其架構程式庫中。除了複寫自訂架構之外,Audit Manager 也會複寫該架構中包含的所有自訂控制集和控制項。這些自訂控制項會新增至收件者的控制項程式庫。Audit Manager 不會複寫標準架構或控制項。這是因為這些資源在每個帳戶和區域中,已預設為可用。
## I
[A](#auditmanager-concepts-A) \| B \| [C](#auditmanager-concepts-C) [D](#auditmanager-concepts-D) \| [E](#auditmanager-concepts-E) \| [F](#auditmanager-concepts-F) \| \| G \| H \| [I](#auditmanager-concepts-I) \| J \| K \| L \| M \| N \| O \| P \| Q [R](#auditmanager-concepts-R) \| [S](#auditmanager-concepts-S) \| \| T \| U \| V \| W \| X \| Y \| Z
**不確定的證據**
AWS Audit Manager 當自動化合規評估無法進行時, 會將證據標記為不確定。這會發生在以下情況:
+ 您尚未啟用 AWS Config 或 AWS Security Hub CSPM,也就是關鍵資料來源。
+ 證據是透過 API 呼叫 AWS CloudTrail 、日誌或手動上傳直接從 AWS 服務收集。
當沒有自動評估此證據的機制時, AWS Audit Manager 無法提供評估詳細資訊。因此,它會將證據標記為*不確定*。
不確定的證據不表示失敗。反之,它會發出訊號,指出您需要手動評估證據以確保合規。
## R
[A](#auditmanager-concepts-A) \| B \| [C](#auditmanager-concepts-C) [D](#auditmanager-concepts-D) \| [E](#auditmanager-concepts-E) \| [F](#auditmanager-concepts-F) \| \| G \| H \| [I](#auditmanager-concepts-I) \| J \| K \| L \| M \| N \| O \| P \| Q [R](#auditmanager-concepts-R) \| [S](#auditmanager-concepts-S) \| \| T \| U \| V \| W \| X \| Y \| Z
**資源**
資源是在稽核中評估的實體或資訊資產。 AWS 資源的範例包括 Amazon EC2 執行個體、Amazon RDS 執行個體、Amazon S3 儲存貯體和 Amazon VPC 子網路。
**資源評估**
資源評估是評估個別資源的程序。此評估基於控制項的需求。當評估處於有效狀態時,Audit Manager 會針對評估範圍內的每個獨立資源執行資源評估。資源評估會執行下列任務:
1. 收集證據,包括資源配置,事件日誌和調查結果
1. 將證據轉換並映射到控制項
1. 儲存和追蹤證據的歷程,以實現完整性
**資源合規性**
資源合規性是指在收集合規檢查證據時,對資源進行評估的狀態。
Audit Manager 會收集使用 AWS Config 和 Security Hub CSPM 作為資料來源類型的控制項的合規檢查證據。證據收集期間,可能會評估多個資源。因此,單一合規檢查證據可以包含一或多個資源。
您可以使用證據搜尋工具中的**資源合規性**篩選器來搜索資源層級的合規狀態。搜尋完成後,您就可以預覽符合搜尋條件的資源。
在證據搜尋工具中,資源合規有三種可能的值:
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/concepts.html)
## S
[A](#auditmanager-concepts-A) \| B \| [C](#auditmanager-concepts-C) [D](#auditmanager-concepts-D) \| [E](#auditmanager-concepts-E) \| [F](#auditmanager-concepts-F) \| \| G \| H \| [I](#auditmanager-concepts-I) \| J \| K \| L \| M \| N \| O \| P \| Q [R](#auditmanager-concepts-R) \| [S](#auditmanager-concepts-S) \| \| T \| U \| V \| W \| X \| Y \| Z
**服務範圍**
Audit Manager 會管理哪些 AWS 服務 在您的評估範圍內。如果您有較舊的評估,您可以在過去手動指定範圍內的服務。2024 年 6 月 4 日之後,您無法手動指定或編輯範圍內的服務。
*範圍內的服務*是您的評估收集證據 AWS 服務 的 。當您的評估範圍包含服務時,Audit Manager 會評估該服務的資源。一些範例資源包括如下:
+ Amazon EC2 執行個體
+ S3 儲存貯體
+ IAM 使用者或角色
+ DynamoDB 資料表
+ 網路元件,例如 Amazon 虛擬私有雲端 (VPC)、安全群組或網路存取控制清單 (ACL) 表
例如,如果 Amazon S3 是範圍內的服務,Audit Manager 可以收集有關 S3 儲存貯體的證據。收集的確切證據取決於控制項的 [](#control-data-source)。例如,如果資料來源類型為 AWS Config,且資料來源映射為 AWS Config 規則 (例如 `s3-bucket-public-write-prohibited`),Audit Manager 會收集該規則評估的結果做為證據。
請記住,範圍內的服務與*資料來源類型*不同,也可以是 AWS 服務 或其他類型。如需詳細資訊,請參閱本指南[範圍內的服務和資料來源類型有什麼不同?](evidence-collection-issues.md#data-source-vs-service-in-scope)*疑難排解*一節中的 。
** 標準控制**
請參閱 [](#control)。