本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 什麼是 AWS Audit Manager? 歡迎使用 AWS Audit Manager 使用者指南。 AWS Audit Manager 可協助您持續稽核 AWS 用量,以簡化您管理風險的方式,以及符合法規和業界標準的方式。Audit Manager 會自動化證據收集,讓您更容易評估您的政策、程序和活動 (也稱為*控制項*) 是否有效運作。進行稽核時,Audit Manager 可協助您管理控制項的利益相關者檢閱。這意味著您能在減少手動工作情況下,將稽核報告準備就緒。 Audit Manager 提供預建架構,可針對特定的合規標準或法規來建構和自動化評估。架構包括一個預組的控制集,其中包含說明和測試程序。這些控制項會根據指定的合規標準或法規的要求進行分組。您也可以根據特定需求自訂架構和控制項,以支援內部稽核。 您可以從任何架構建立評估。建立評估時,Audit Manager 會自動執行資源評估。這些評估會針對您定義為稽核範圍內的 AWS 帳戶 收集資料。所收集的資料會自動轉換為易於稽核的證據。然後會附加到相關控制項,以協助您證明安全性、變更管理、業務持續性和軟體授權方面的合規性。證據收集程序為持續過程,並從您建立評估時開始。完成稽核後,不再需要 Audit Manager 來收集證據,您可以停止收集證據。如需執行此操作,請將評估狀態變更為*非作用中*。 ## Audit Manager 功能 使用 AWS Audit Manager,您可以執行下列任務: + **快速入門** — 從支援各種合規標準和法規的預建架構中進行選擇,以[建立您的第一個評估](https://docs.aws.amazon.com/audit-manager/latest/userguide/tutorial-for-audit-owners.html)。然後,啟動自動證據收集以稽核您的 AWS 服務 用量。 + **上傳和管理來自混合式或多雲端環境的證據** — 除了 Audit Manager 從您的 AWS 環境收集的證據之外,您還可以[上傳](https://docs.aws.amazon.com/audit-manager/latest/userguide/upload-evidence.html)並集中管理來自內部部署或多雲端環境的證據。 + **支援常見的合規標準和法規** — 選擇其中一個 [AWS Audit Manager 標準架構](https://docs.aws.amazon.com/audit-manager/latest/userguide/framework-overviews.html)。這些架構為常見的合規標準和法規提供預建的控制項映射。其中包括 CIS Foundation Benchmark、PCI DSS、GDPR、HIPAA、SOC2、GxP 和 AWS 操作最佳實務。 + **監控您的有效評估** — 使用 Audit Manager [儀表板](https://docs.aws.amazon.com/audit-manager/latest/userguide/dashboard.html)來檢視有效評估的分析資料,並快速分辨需要修正的不合規證據。 + **搜尋證據** — 使用 [證據搜尋工具](evidence-finder.md)功能快速尋找與您的搜尋查詢相關的證據。您可以從搜尋結果中產生評估報告,或以 CSV 格式匯出搜尋結果。 + **建立自訂控制項** — [從頭開始建立您自己的控制項](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html)[,或建立現有標準控制項或自訂控制項的可編輯複本](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-existing.html)。您也可以使用自訂控制項功能來建立風險評估問題,並將這些問題的回覆儲存為手動證據。 + **將企業控制項映射至預先定義的資料來源群組 AWS ** — 選擇代表您目標的常見控制項,並使用它們來[建立自訂控制項](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html),以收集您合規需求產品組合的證據。 + **建立自訂架構** — 根據內部稽核的特定需求,使用標準或自訂控制項[建立您自己的架構](https://docs.aws.amazon.com/audit-manager/latest/userguide/custom-frameworks.html)。 + **共用自訂架構** — 與另一個架構[共用自訂 Audit Manager 架構](https://docs.aws.amazon.com/audit-manager/latest/userguide/share-custom-framework.html) AWS 帳戶,或在您自己的帳戶 AWS 區域 下將其複寫到另一個架構。 + **支援跨團隊協同** — 將[控制集委派](https://docs.aws.amazon.com/audit-manager/latest/userguide/delegate-for-audit-owners.html)給主題專家,他們可以檢閱相關證據、新增評論,並更新各控制項狀態。 + **為稽核者建立報告** — [產生評估報告](https://docs.aws.amazon.com/audit-manager/latest/userguide/generate-assessment-report.html),摘要針對稽核收集的相關證據,並連結至包含詳細證據的資料夾。 + **確保證據完整性** — 將[證據存放](https://docs.aws.amazon.com/audit-manager/latest/userguide/settings-destination.html)在安全的位置,保持不變。 **注意** AWS Audit Manager 協助收集與驗證特定合規標準和法規合規性相關的證據。不過,這不會評估您的合規狀態。 AWS Audit Manager 因此,透過 收集的證據可能不會包含稽核所需的所有 AWS 用量資訊。 AWS Audit Manager 不能取代法律顧問或合規專家。 ## Audit Manager 定價 如需定價的詳細資訊,請參閱[AWS Audit Manager 定價](https://aws.amazon.com/audit-manager/pricing/)。 ## 您第一次使用 Audit Manager 嗎? 若您是第一次使用 Audit Manager,建議您閱讀以下章節: 1. [了解 AWS Audit Manager 概念和術語](concepts.md) – 了解 Audit Manager 中使用的重要概念和術語,例如評估、架構和控制項。 1. [了解 如何 AWS Audit Manager 收集證據](how-evidence-is-collected.md) – 了解 Audit Manager 如何收集資源評估的證據。 1. [AWS Audit Manager 使用建議的設定進行設定](setting-up.md) – 了解 Audit Manager 的設定需求。 1. [入門 AWS Audit Manager](getting-started.md) – 依照教學課程建立您的第一個 Audit Manager 評估。 1. [AWS Audit Manager API 參考](https://docs.aws.amazon.com/audit-manager/latest/APIReference/Welcome.html) – 熟悉 Audit Manager API 動作和資料類型。 ## 相關 AWS 服務 AWS Audit Manager 與多個 整合 AWS 服務 ,以自動收集您可以在評估報告中包含的證據。 **AWS Security Hub CSPM** AWS Security Hub CSPM 會使用以 AWS 最佳實務和業界標準為基礎的自動化安全檢查來監控您的環境。Audit Manager 會直接從 Security Hub CSPM 報告安全檢查結果,以擷取資源安全狀態的快照。如需 Security Hub CSPM 的詳細資訊,請參閱*AWS Security Hub CSPM 《 使用者指南*》中的[什麼是 AWS Security Hub CSPM?](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)。 **AWS CloudTrail** AWS CloudTrail 可協助您監控對帳戶中 AWS 資源進行的呼叫。這包括由 AWS 管理主控台、CLI AWS 和其他 進行的呼叫 AWS 服務。Audit Manager 會直接從 CloudTrail 收集日誌資料,並將已處理的記錄檔轉換為使用者有效證據。如需 CloudTrail 的詳細資訊,請參閱*AWS CloudTrail 《 使用者指南*》中的[什麼是 AWS CloudTrail?](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)。 **AWS Config** AWS Config 提供 中 AWS 資源組態的詳細檢視 AWS 帳戶。這包含資源彼此之間的關係和之前的組態方式的資訊。Audit Manager 會直接從中報告問題清單,以擷取資源安全狀態的快照 AWS Config。如需詳細資訊 AWS Config,請參閱*AWS Config 《 使用者指南*》中的[什麼是 AWS Config?](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)。 **AWS License Manager** AWS License Manager 簡化將軟體廠商授權帶到雲端的程序。當您在 上建置雲端基礎設施時 AWS,您可以重新利用現有的授權庫存來與雲端資源搭配使用,以節省成本。Audit Manager 提供 License Manager 架構,協助您準備稽核。此架構與 License Manager 整合,可根據客戶定義的授權規則彙總授權使用資訊。如需 License Manager 的詳細資訊,請參閱*AWS License Manager 《 使用者指南*》中的[什麼是 AWS License Manager?](https://docs.aws.amazon.com/license-manager/latest/userguide/license-manager.html)。 **AWS Control Tower** AWS Control Tower 為雲端基礎設施強制執行預防性和偵測性防護機制。Audit Manager AWS Control Tower 提供 Guardrails 架構,協助您進行稽核準備。此架構包含以護欄為基礎的所有 AWS Config 規則 AWS Control Tower。如需詳細資訊 AWS Control Tower,請參閱*AWS Control Tower 《 使用者指南*》中的[什麼是 AWS Control Tower?](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)。 **AWS Artifact** AWS Artifact 是一種自助式稽核成品擷取入口網站,可讓您隨需存取 AWS 基礎設施的合規文件和認證。 AWS Artifact 提供證據來證明 AWS 雲端基礎設施符合合規要求。相反地, AWS Audit Manager 可協助您收集、檢閱和管理證據,以證明您的 使用情況 AWS 服務 符合規範。如需詳細資訊 AWS Artifact,請參閱*AWS Artifact 《 使用者指南*》中的[什麼是 AWS Artifact?](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)。您可以在 中下載[AWS 報告清單](https://console.aws.amazon.com/artifact/reports) AWS 管理主控台。 **Amazon EventBridge** Amazon EventBridge 可協助您自動化您的 AWS 服務 ,並自動回應系統事件,例如應用程式可用性問題或資源變更。您可以使用 EventBridge 規則來偵測並對 Audit Manager 事件做出反應。當事件符合您在規則中指定的值時,EventBridge 會根據您建立的規則,調用一個或多個目標動作。如需詳細資訊,請參閱[AWS Audit Manager 使用 Amazon EventBridge 監控](automating-with-eventbridge.md)。 如需特定合規計劃 AWS 服務 範圍內的 清單,請參閱[AWS 服務 合規計劃範圍內的 ](https://aws.amazon.com/compliance/services-in-scope/)。如需更多一般資訊,請參閱 [AWS 合規計劃](https://aws.amazon.com/compliance/programs/)。 ## 更多 Audit Manager 資源 探索下列資源以進一步了解 Audit Manager。 + 影片:使用 收集證據和管理稽核資料 AWS Audit Manager [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/G4yRj4nLwFI/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/G4yRj4nLwFI) + [整合三行模型 (第 AWS Config 2 部分):從 管理和治理部落格將一致性套件轉換為 AWS Audit Manager 評估](https://aws.amazon.com/blogs/mt/integrate-across-the-three-lines-model-part-2-transform-aws-config-conformance-packs-into-aws-audit-manager-assessments/) *AWS * # 了解 AWS Audit Manager 概念和術語 為了協助您入門,本頁面定義了術語和解釋了 AWS Audit Manager的一些重要概念。 ## A [A](#auditmanager-concepts-A) \$1 B \$1 [C](#auditmanager-concepts-C) [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z ** 評估** 您可以使用 Audit Manager 評估來自動收集與稽核相關的證據。 評估是以架構為基礎,架構是與稽核相關的一組控制項。您可以從標準架構或自訂架構建立評估。標準架構包含支援特定合規標準或法規的預建控制集。相反地,自訂架構包含您可以根據特定稽核需求自訂和分組的控制項。使用架構做為起點,您可以建立評估,指定您要包含在稽核範圍中的 AWS 帳戶 。 當您建立評估時,Audit Manager AWS 帳戶 會根據架構中定義的控制項,自動開始評估 中的資源。接著,收集相關證據並將其轉換為易於稽核的格式。執行此操作後,它會將證據附加到評估中的控制項中。當需要進行稽核時,您或您選擇的委派代表可以檢閱收集的證據,然後將其新增至評估報告中。此評估報告可協助您證明您的控制項如期運作。 證據收集程序為持續過程,會在您建立評估時開始。您可以將評估狀態變更為*非作用中*,以停止證據收集。或者,您可以在控制層級停止證據收集。您可以將評估中的特定控制項狀態變更為*非作用中*來執行此操作。 如需有關建立與管理評估的說明,請參閱 [在 中管理評估 AWS Audit Manager](assessments.md)。 **評估報告** 評估報告是由 Audit Manager 評估產生的最終文件。這些報告為您總結稽核收集的相關證據。它們連結到相關證據文件夾。資料夾會根據評估中所指定的控制項來命名和組織。對於每項評估,您可以檢閱 Audit Manager 收集的證據,並決定要在評估報告中包含哪些證據。 如需進一步了解評估報告,請參閱 [評估報告](assessment-reports.md)。如需了解如何產生評估報告,請參閱 [在 中準備評估報告 AWS Audit Manager](generate-assessment-report.md)。 **評估報告目的地** 評估報告目的地是 Audit Manager 儲存您的評估報告的預設 S3 儲存貯體。如需詳細資訊,請參閱 [設定您的預設評估報告目的地](settings-destination.md)。 **稽核** 稽核是對您組織的資產、營運或業務完整性進行獨立檢查。資訊技術 (IT) 稽核會特別檢查組織資訊系統內的控制項。IT 稽核的目標是判斷資訊系統是否保護資產並有效運作,以及維護資料完整性。所有這些對於滿足合規標準或法規規定的監管要求至關重要。 **稽核擁有者** *稽核擁有者*一詞會根據前後關聯性而有兩種不同的意義。 在 Audit Manager 的前後關聯性中,稽核擁有者是管理評估及其相關資源的使用者或角色。此 Audit Manager 角色的職責包括建立評估、檢閱證據以及產生評估報告。Audit Manager 是一項協作服務,當其他利益關係者參與其評估時,稽核擁有者將受益匪淺。例如,您可以將其他稽核擁有者新增至您的評估,以共享管理任務。或者,如果您是稽核擁有者,且需要協助解譯為控制項所收集的證據,您可以[將該控制集委派](https://docs.aws.amazon.com/audit-manager/latest/userguide/delegate.html)給在該領域擁有專業知識的利益關係者。這樣的人被稱為*委派代表*角色。 在商業術語中,稽核擁有者是協調和監督其公司的稽核準備工作,並向稽核人員提供證據的人。一般而言,這是控管、風險和合規 (GRC) 專業人員,例如合規官員或 GDPR 資料保護官。GRC 專業人員擁有管理稽核準備的專業知識和權力。具體來說,他們了解合規需求,並可以分析、解譯和準備報告資料。不過,其他業務角色也可以承擔稽核擁有者的 Audit Manager 角色,不僅是由 GRC 專業人員來擔任。例如,您可以選擇由以下團隊之一的技術專家進行設定和管理 Audit Manager 評估: + SecOps + IT/DevOps + 安全營運中心/事件回應 + 相關團隊負責擁有、開發、修復和部署雲端資產,以及了解組織雲端基礎架構 您在 Audit Manager 評估中,選擇指定誰作為稽核擁有者,這很大程度上取決於您的組織。這同時取決於您如何架構安全性作業,以及其稽核細節。在 Audit Manager 中,同一個人可以在一項評估中擔任稽核擁有者角色,在另一個評估中擔任委派代表角色。 無論您選擇如何使用 Audit Manager,都可以使用稽核擁有者/委派角色管理整個組織的職責分離,並將特定的 IAM 政策授予每位使用者。透過這兩個步驟的方法,Audit Manager 可確保您完全掌控個別評估的所有細節。如需詳細資訊,請參閱[中的使用者角色建議政策 AWS Audit Manager](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-personas)。 ** AWS 受管來源** AWS 受管來源是為您 AWS 維護的證據來源。 每個 AWS 受管來源都是預先定義的資料來源群組,對應至特定的常見控制項或核心控制項。當您使用通用控制項做為證據來源時,會自動收集支援該通用控制項之所有核心控制項的證據。您也可以使用個別核心控制項做為證據來源。 每當 AWS 受管來源更新時,相同的更新會自動套用到使用該 AWS 受管來源的所有自訂控制項。這表示您的自訂控制項會根據該證據來源的最新定義收集證據。這可協助您在雲端合規環境變更時確保持續合規。 另請參閱:[](#customer-managed-source)、[](#evidence-source)。 ## C [A](#auditmanager-concepts-A) \$1 B \$1 [C](#auditmanager-concepts-C) [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z **Changelog** 針對評估中的每個控制項,Audit Manager 會追蹤該控制項的使用者活動。您可以檢閱與特定控制項相關之活動的稽核記錄。如需變更日誌中擷取哪些使用者活動的詳細資訊,請參閱 [Changelog 索引標籤](review-controls.md#review-changelog)。 **雲端合規** 雲端合規是雲端交付的系統必須符合雲端客戶所面臨的標準的一般原則。 **常見控制項** 請參閱 [](#control)。 **合規監管** 合規監管是由當局規定的法律、規則或其他命令,通常用於規範行為。一個範例是 GDPR。 **合規標準** 合規標準是一套結構化的準則,詳細說明組織維持與既定法規、規範或立法一致的過程。範例包括 PCI DSS 和 HIPAA。 **控制項** 控制項是為資訊系統或組織規定的保護或對策。控制項旨在保護您的資訊的機密性、完整性和可用性,並符合一組定義的要求。它們可確保您的資源如預期般運作、您的資料可靠,而且您的組織符合適用的法律和法規。 在 Audit Manager 中,控制項還可以代表供應商風險評估問卷中的一個問題。在這種情況下,控制項是一個特定的問題,詢問有關組織的安全性和合規性狀況的資訊。 控制項會在 Audit Manager 評估中處於有效狀態時持續收集證據。您也可以手動將證據新增至任何控制項。每個證據都是記錄,可協助您證明符合控制項的要求。 Audit Manager 提供下列類型的控制項: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/concepts.html) **控制網域** 您可以將控制網域視為不是任何合規標準特有的控制類別。控制網域的範例是*資料保護*。 基於簡單的組織用途,控制項通常會依網域分組。每個網域都有多個目標。 控制項網域群組是 [Audit Manager 儀表板](https://docs.aws.amazon.com/audit-manager/latest/userguide/dashboard.html)最強大的功能之一。Audit Manager 會強調顯示評估中具有不合規證據的控制項,並依控制項網域進行分組。這可讓您在準備稽核時,將修復工作集中在特定主題領域上。 **控制目標** 控制目標說明其下的常見控制項的目標。每個目標可以有多個常見控制項。如果成功實作這些常見控制項,它們將協助您實現目標。 每個控制目標都位於控制網域下。例如,*資料保護*控制網域可能有名為*資料分類和處理的控制目標。*若要支援此控制目標,您可以使用稱為*存取控制的常見控制項*來監控和偵測未經授權的資源存取。 ** 核心控制** 請參閱 [](#control)。 ** 自訂控制** 請參閱 [](#control)。 ** 客戶受管來源** 客戶受管來源是您定義的證據來源。 當您在 Audit Manager 中建立自訂控制項時,您可以使用此選項來建立您自己的個別資料來源。這可讓您靈活地從業務特定資源收集自動化證據,例如自訂 AWS Config 規則。如果您想要將手動證據新增至自訂控制項,也可以使用此選項。 當您使用客戶受管來源時,您必須負責維護您建立的所有資料來源。 另請參閱:[](#aws-managed-source)、[](#evidence-source)。 ## D [A](#auditmanager-concepts-A) \$1 B \$1 [C](#auditmanager-concepts-C) [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z **資料來源** Audit Manager 使用*資料來源*來收集控制項的證據。資料來源具有下列屬性: + **資料來源類型**定義 Audit Manager 收集證據的資料來源類型。 + 對於自動化證據,類型可以是 *AWS Security Hub CSPM*、、 *AWS Config AWS CloudTrail*或 *AWS API 呼叫。* + 如果您上傳自己的證據,則類型為*手動*。 + Audit Manager API 將資料來源類型稱為 [sourceType](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html#auditmanager-Type-ControlMappingSource-sourceType)。 + **資料來源映射**是關鍵字,可精確指出特定資料來源類型從 收集證據的位置。 + 例如,這可能是 CloudTrail 事件的名稱或 AWS Config 規則的名稱。 + Audit Manager API 將資料來源映射稱為 [sourceKeyword](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_SourceKeyword.html)。 + **資料來源名稱**會標記資料來源類型和映射的配對。 + 針對標準控制項,Audit Manager 會提供預設名稱。 + 對於自訂控制項,您可以提供自己的名稱。 + Audit Manager API 會將資料來源名稱稱為 [sourceName](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html#auditmanager-Type-ControlMappingSource-sourceName)。 單一控制項可以有多個資料來源類型和多個映射項目。例如,一個控制項可能會從資料來源類型 (例如 AWS Config 和 Security Hub CSPM) 的混合收集證據。另一個控制項可能具有 AWS Config 作為其唯一的資料來源類型,具有多個 AWS Config 規則作為映射。 下表列出自動化資料來源類型,並顯示一些映射項目的範例。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/concepts.html) **委派代表** 委派代表是具有有限許可 AWS Audit Manager 的使用者。委派代表通常在多個不同領域具備專業的業務或技術專長。例如,這些專業知識可能涵蓋資料保留政策、培訓計劃、網路基礎結構或身分管理等領域。委派代表可幫助稽核擁有者檢閱其專業領域內的控制項所收集到的證據。委派代表可以檢閱控制集及其相關證據,以及新增評論、上傳其他證據,並更新您指派給他們檢閱的各控制項狀態。 稽核擁有者會指派特定控制集給委派代表,而非整個評估。因此,委派代表對評估的存取權限有限。如需關於委派控制集的說明,請參閱 [中的委派 AWS Audit Manager](delegate.md)。 ## E [A](#auditmanager-concepts-A) \$1 B \$1 [C](#auditmanager-concepts-C) [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z **證據** 證據是包含證明是否符合控制項要求所需資訊的記錄。證據的範例包括使用者調用的變更活動,以及系統組態快照集。 Audit Manager 中主要分為兩種證據類型:*自動化證據*和*手動證據*。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/concepts.html) 自動化證據收集會在您建立評估時啟動。這是一個持續的程序,Audit Manager 會根據證據類型和基礎資料來源,以不同的頻率收集證據。如需詳細資訊,請參閱[了解 如何 AWS Audit Manager 收集證據](how-evidence-is-collected.md)。 如需關於檢閱評估中證據的說明,請參閱[在 中檢閱證據 AWS Audit Manager](review-evidence.md)。 **證據來源** 證據來源定義控制項從何處收集證據。它可以是個別資料來源,或映射至常見控制項或核心控制項的預先定義資料來源群組。 建立自訂控制項時,您可以從受管來源、客戶受管來源或兩者收集證據 AWS 。 我們建議您使用 AWS 受管來源。每當 AWS 受管來源更新時,相同的更新會自動套用至使用這些來源的所有自訂控制項。這表示您的自訂控制項一律會針對該證據來源的最新定義收集證據。這可協助您在雲端合規環境變更時確保持續合規。 另請參閱:[](#aws-managed-source)、[](#customer-managed-source)。 **證據收集方法** 控制項可以透過兩種方式收集證據。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/concepts.html) 您可以將手動證據附加到任何自動化控制項。在許多情況下,需要結合自動化和手動證據來證明控制項完全合規。雖然 Audit Manager 可以提供有用且相關的自動化證據,但某些自動化證據可能只會顯示部分合規性。在這種情況下,您可以用自己的證據來補充 Audit Manager 提供自動化證據。 例如: + [AWS 生成式 AI 最佳實務架構 v2](aws-generative-ai-best-practices.md) 包含名為 的控制項`Error analysis`。此控制項需要您分辨在模型使用中何時偵測到不準確性。並要求您進行徹底的錯誤分析,以了解根本原因並採取糾正措施。 + 為了支援此控制項,Audit Manager 會收集自動證據,顯示是否針對執行評估 AWS 帳戶 的 啟用 CloudWatch 警示。您可以使用此證據來證明對控制項的部分合規,以證明您的警報和檢查已正確配置。 + 為了證明完全合規,您可以用手動證據補充自動化證據。例如,您可以上傳顯示錯誤分析過程、升級和報告的閾值,以及根本原因分析結果的策略或程序。您可以使用此手動證據來證明建立的策略已到位,並在出現提示時採取了糾正措施。 如需更詳細的範例,請參閱[混合資料來源的控制項](https://docs.aws.amazon.com/audit-manager/latest/userguide/examples-of-controls.html#mixed)。 **匯出目的地** 匯出目的地是預設 S3 儲存貯體,Audit Manager 會儲存您從證據搜尋工具匯出的檔案。如需詳細資訊,請參閱[設定證據搜尋工具的預設匯出目的地](settings-export-destination.md)。 ## F [A](#auditmanager-concepts-A) \$1 B \$1 [C](#auditmanager-concepts-C) [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z **架構** Audit Manager 架構會針對特定標準或風險控管原則建立並自動化評估。這些架構包含預先建置或客戶定義的控制項集合,可協助您將 AWS 資源對應至這些控制項的要求。 Audit Manager 中的架構有兩種類型。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/concepts.html) 如需有關建立與管理架構的說明,請參閱 [使用架構程式庫在 中管理架構 AWS Audit Manager](framework-library.md)。 AWS Audit Manager 協助收集與驗證特定合規標準和法規合規性相關的證據。不過,這不會評估您的合規狀態。 AWS Audit Manager 因此,透過 收集的證據可能不會包含稽核所需的所有 AWS 用量資訊。 AWS Audit Manager 無法取代法律顧問或合規專家。 **架構共享** 您可以使用 [在 中共用自訂架構 AWS Audit Manager](share-custom-framework.md)功能快速跨 AWS 帳戶 和 區域共用自訂架構。如果共享自訂架構,您可以建立*共享要求*。然後,收件人有 120 天的時間接受或拒絕請求。當他們接受時,Audit Manager 會將共享的自訂架構複寫到其架構程式庫中。除了複寫自訂架構之外,Audit Manager 也會複寫該架構中包含的所有自訂控制集和控制項。這些自訂控制項會新增至收件者的控制項程式庫。Audit Manager 不會複寫標準架構或控制項。這是因為這些資源在每個帳戶和區域中,已預設為可用。 ## I [A](#auditmanager-concepts-A) \$1 B \$1 [C](#auditmanager-concepts-C) [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z **不確定的證據** AWS Audit Manager 當自動化合規評估無法進行時, 會將證據標記為不確定。這會發生在以下情況: + 您尚未啟用 AWS Config 或 AWS Security Hub CSPM,也就是關鍵資料來源。 + 證據是透過 API 呼叫 AWS CloudTrail 、日誌或手動上傳直接從 AWS 服務收集。 當沒有自動評估此證據的機制時, AWS Audit Manager 無法提供評估詳細資訊。因此,它會將證據標記為*不確定*。 不確定的證據不表示失敗。反之,它會發出訊號,指出您需要手動評估證據以確保合規。 ## R [A](#auditmanager-concepts-A) \$1 B \$1 [C](#auditmanager-concepts-C) [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z **資源** 資源是在稽核中評估的實體或資訊資產。 AWS 資源的範例包括 Amazon EC2 執行個體、Amazon RDS 執行個體、Amazon S3 儲存貯體和 Amazon VPC 子網路。 **資源評估** 資源評估是評估個別資源的程序。此評估基於控制項的需求。當評估處於有效狀態時,Audit Manager 會針對評估範圍內的每個獨立資源執行資源評估。資源評估會執行下列任務: 1. 收集證據,包括資源配置,事件日誌和調查結果 1. 將證據轉換並映射到控制項 1. 儲存和追蹤證據的歷程,以實現完整性 **資源合規性** 資源合規性是指在收集合規檢查證據時,對資源進行評估的狀態。 Audit Manager 會收集使用 AWS Config 和 Security Hub CSPM 作為資料來源類型的控制項的合規檢查證據。證據收集期間,可能會評估多個資源。因此,單一合規檢查證據可以包含一或多個資源。 您可以使用證據搜尋工具中的**資源合規性**篩選器來搜索資源層級的合規狀態。搜尋完成後,您就可以預覽符合搜尋條件的資源。 在證據搜尋工具中,資源合規有三種可能的值: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/concepts.html) ## S [A](#auditmanager-concepts-A) \$1 B \$1 [C](#auditmanager-concepts-C) [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z **服務範圍** Audit Manager 會管理哪些 AWS 服務 在您的評估範圍內。如果您有較舊的評估,您可以在過去手動指定範圍內的服務。2024 年 6 月 4 日之後,您無法手動指定或編輯範圍內的服務。 *範圍內的服務*是您的評估收集證據 AWS 服務 的 。當您的評估範圍包含服務時,Audit Manager 會評估該服務的資源。一些範例資源包括如下: + Amazon EC2 執行個體 + S3 儲存貯體 + IAM 使用者或角色 + DynamoDB 資料表 + 網路元件,例如 Amazon 虛擬私有雲端 (VPC)、安全群組或網路存取控制清單 (ACL) 表 例如,如果 Amazon S3 是範圍內的服務,Audit Manager 可以收集有關 S3 儲存貯體的證據。收集的確切證據取決於控制項的 [](#control-data-source)。例如,如果資料來源類型為 AWS Config,且資料來源映射為 AWS Config 規則 (例如 `s3-bucket-public-write-prohibited`),Audit Manager 會收集該規則評估的結果做為證據。 請記住,範圍內的服務與*資料來源類型*不同,也可以是 AWS 服務 或其他類型。如需詳細資訊,請參閱本指南[範圍內的服務和資料來源類型有什麼不同?](evidence-collection-issues.md#data-source-vs-service-in-scope)*疑難排解*一節中的 。 ** 標準控制** 請參閱 [](#control)。 # 了解 如何 AWS Audit Manager 收集證據 中的每個作用中評估 AWS Audit Manager 會自動從各種資料來源收集證據。在每個評估中,您會定義哪些 AWS 帳戶 Audit Manager 會收集證據,而 Audit Manager 會管理哪些 AWS 服務 在範圍內。這些服務和帳戶都包含您擁有和使用的多個資源。Audit Manager 中的證據收集涉及對每個範圍內資源的評估。這稱為*資源評估*。 下列步驟說明 Audit Manager 如何為各資源評估收集證據: **1. 從資料來源評估資源** 啟動收集證據時,Audit Manager 會從資料來源對範圍內的資源進行評估。它透過擷取組態快照、相關的合規檢查結果或使用者活動來執行此操作。然後執行分析,以判斷此資料支援哪個控制項。資源評估的結果將被保存,並轉換為證據。如需不同證據類型的詳細資訊,請參閱本指南的*AWS Audit Manager 概念和術語*一節[](concepts.md#evidence)中的 。 **2. 將評估結果轉換為證據** 資源評估的結果包含從該資源擷取的原始資料,以及指出資料支援的控制中繼資料。Audit Manager 會將原始資料轉換為適合稽核程式的格式。接著,轉換後的資料和中繼資料會儲存為 Audit Manager 證據,再附加至控制項。 **3. 將證據附加至相關控制項** Audit Manager 會讀取證據中繼資料。然後會將儲存的證據附加至評估中的相關控制項。附加的證據會在 Audit Manager 中顯示。如此一來,就完成了資源評估的週期。 **注意** 視控制項組態而定,在某些情況下,相同的證據可以附加至來自多個 Audit Manager 評估的多個控制項。當相同的證據附加到多個控制項時,Audit Manager 只會測量一次資源評估。這是因為相同的證據只會收集一次。然而,Audit Manager 評估中的一個控制項可以有來自多個資料來源的多項證據。 ## 證據收集頻率 證據收集程序為持續過程,會在您建立評估時開始。Audit Manager 會以不同的頻率從多個資料來源收集證據。因此,對於收集證據的頻率,沒有一種適合所有情況的標準答案。證據收集的頻率取決於證據類型及其資料來源,如下所述。 + **合規檢查** — Audit Manager 會從 AWS Security Hub CSPM 和 收集此證據類型 AWS Config。 + 針對 Security Hub CSPM,證據收集會遵循 Security Hub CSPM 檢查的排程。如需 Security Hub CSPM 檢查排程的詳細資訊,請參閱*AWS Security Hub CSPM 《 使用者指南*》中的[執行安全檢查的排程](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-schedule.html)。如需 Audit Manager 所支援 Security Hub CSPM 檢查的詳細資訊,請參閱 [AWS Security Hub CSPM 支援的控制項 AWS Audit Manager](control-data-sources-ash.md)。 + 對於 AWS Config,證據收集遵循 AWS Config 規則中定義的觸發條件。如需有關 AWS Config 規則觸發的詳細資訊,請參閱 *AWS Config 使用指南*中的[觸發類型](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html#aws-config-rules-trigger-types)。如需 Audit Manager 支援 AWS Config 規則 之 的詳細資訊,請參閱 [AWS Config 規則 支援 AWS Audit Manager](control-data-sources-config.md)。 + AWS Audit Manager 當無法進行自動化合規評估時, 會將證據標記為不確定。當您尚未啟用 AWS Config 或 AWS Security Hub CSPM時,即為關鍵資料來源時,就會發生這種情況。當透過 API 呼叫、 AWS CloudTrail 日誌或手動上傳直接從 AWS 服務收集證據時,也會發生這種情況。當沒有自動評估此證據的機制時, AWS Audit Manager 無法提供評估詳細資訊。因此,它會將證據標記為不確定。不確定的證據不表示失敗。反之,它會發出訊號,指出您需要手動評估證據以確保合規。 + **使用者活動** — Audit Manager AWS CloudTrail 會持續從 收集此證據類型。這個頻率是連續的,因為使用者活動可以在一天中的任何時間發生。如需詳細資訊,請參閱[AWS CloudTrail 支援的事件名稱 AWS Audit Manager](control-data-sources-cloudtrail.md)。 + **組態資料** — Audit Manager 會使用描述 API 呼叫來收集此證據類型, AWS 服務 例如 Amazon EC2、Amazon S3 或 IAM。您可以選擇要呼叫的 API 動作。您也可以在 Audit Manager 中將頻率設定為每日、每週或每月。您可以在控制項資源庫中建立或編輯控制項時,指定此頻率。如需關於編輯與建立控制項的說明,請參閱 [使用控制項程式庫管理 中的控制項 AWS Audit Manager](control-library.md)。如需 Audit Manager 支援之 API 呼叫的詳細資訊,請參閱 [AWS 支援的 API 呼叫 AWS Audit Manager](control-data-sources-api.md)。 無論資料來源的證據收集頻率為何,只要控制項和評估處於有效狀態,就會自動收集新證據。 # AWS Audit Manager 控制項的範例 您可以檢閱此頁面上的範例,進一步了解控制項在 AWS Audit Manager的運作方式。 在 Audit Manager 中,控制項可以自動從四種資料來源類型收集證據: 1. **AWS CloudTrail** – 從 CloudTrail 日誌擷取使用者活動,並將其匯入為使用者活動證據 1. **AWS Security Hub CSPM** – 從 Security Hub CSPM 收集調查結果,並將其匯入作為合規檢查證據 1. **AWS Config** – 從 收集規則評估 AWS Config ,並將其匯入作為合規檢查證據 1. **AWS API 呼叫 **– 從 API 呼叫擷取資源快照,並將其匯入為組態資料證據 請注意,某些控制項會使用這些資料來源的預先定義分組來收集證據。這些資料來源群組稱為[AWS 受管來源](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#aws-managed-source)。每個 AWS 受管來源代表通用控制項或核心控制項。這些受管來源可讓您有效率地將合規要求映射至相關的基礎資料來源群組,這些資料來源由[產業認證的評估人員](https://aws.amazon.com/professional-services/security-assurance-services/)驗證和維護 AWS。 此頁面上的範例顯示控制項如何從每個個別資料來源類型收集證據。它們描述了控制項的外觀、Audit Manager 如何從資料來源收集證據,以及您可以採取哪些後續步驟來證明合規。 **提示** 我們建議您啟用 AWS Config 和 Security Hub CSPM,以在 Audit Manager 中獲得最佳體驗。當您啟用這些服務時,Audit Manager 可以使用 Security Hub CSPM 調查結果 AWS Config 規則 並產生自動化證據。 [啟用 AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)之後,請確定您同時[啟用所有安全性標準](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-enable-disable.html#securityhub-standard-enable-console),並[開啟合併的控制項調查結果設定](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#turn-on-consolidated-control-findings)。此步驟可確認 Audit Manager 能匯入所有支援的合規標準的調查結果。 [啟用 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html)後,請確定您也為稽核相關的合規標準[啟用相關 AWS Config 規則](https://docs.aws.amazon.com/config/latest/developerguide/setting-up-aws-config-rules-with-console.html) [或部署一致性套件](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-console.html)。此步驟可確保 Audit Manager 可以匯入 AWS Config 規則 您啟用之所有支援的問題清單。 以下為每種控制項類型的範例: **Topics** + [使用 AWS Security Hub CSPM 做為資料來源類型的自動化控制項](#automated-security-hub) + [使用 AWS Config 做為資料來源類型的自動化控制項](#automated-config) + [使用 AWS API 呼叫做為資料來源類型的自動化控制項](#automated-api) + [使用 AWS CloudTrail 做為資料來源類型的自動化控制項](#automated-cloudtrail) + [手動控制](#manual) + [具有混合資料來源類型的控制項 (自動和手動)](#mixed) ## 使用 AWS Security Hub CSPM 做為資料來源類型的自動化控制項 此範例顯示使用 AWS Security Hub CSPM 做為資料來源類型的控制項。這是取自 [AWS 基礎安全性最佳作法 (FSBP) 架構](https://docs.aws.amazon.com/audit-manager/latest/userguide/aws-foundational-security-best-practices.html)的標準控制項。Audit Manager 使用此控制項來產生證據,有助於讓您的 AWS 環境符合 FSBP 要求。 **控制項細節範例** + **控制項名稱** — `FSBP1-012: AWS Config should be enabled` + **控制集** – `Config`。這是與組態管理相關的架構特定 FSBP 控制項群組。 + **證據來源** – 個別資料來源 + **資料來源類型** – AWS Security Hub CSPM + **證據類型** — 合規檢查 在下列範例中,此控制項會出現在從 FSBP 架構建立的 Audit Manager 評估中。 ![\[顯示評估中 Security Hub CSPM 控制項的螢幕擷取畫面。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/control-example-automated_securityhub-console.png) 評估會顯示控制狀態。它也會顯示到目前為止為此控制項收集了多少證據。您可以從這裡委派控制集以供檢閱,或自行檢閱。選擇控制項名稱會開啟詳細資訊頁面,其中包含詳細資訊,包括該控制項的證據。 **這個控制項可以做什麼** 此控制項要求在您使用 Security Hub CSPM 的所有 AWS 區域 中 AWS Config 啟用 。Audit Manager 可以使用此控制項來檢查您是否已啟用 AWS Config。 **Audit Manager 如何收集此控制項的證據** Audit Manager 會採取下列步驟來收集此控制項的證據: 1. Audit Manager 會針對每個控制項評估您的範圍內資源。它會使用控制項設定中指定的資料來源來執行此作業。在此範例中,您的 AWS Config 設定是 資源,而 Security Hub CSPM 是資料來源類型。Audit Manager 會尋找特定 Security Hub CSPM 檢查 ([【Config.1】) 的結果。](https://docs.aws.amazon.com/securityhub/latest/userguide/config-controls.html#config-1) 1. 資源評估的結果將被保存,並轉換為易於稽核的證據。Audit Manager 會為使用 Security Hub CSPM 作為資料來源類型的控制項產生*合規檢查*證據。此證據包含直接從 Security Hub CSPM 報告的合規檢查結果。 1. Audit Manager 會將儲存的證據附加至評估中名為 `FSBP1-012: AWS Config should be enabled` 的控制項。 **如何使用 Audit Manager 來證明對此控制項的合規性** 將證據附加到控制項後,您或您選擇的委派代表可以檢閱證據,以查看是否需要進行任何修復。 在此範例中,Audit Manager 可能會顯示來自 Security Hub CSPM 的*失敗*規則。如果您尚未啟用,可能會發生這種情況 AWS Config。在這種情況下,您可以採取啟用的修正動作 AWS Config,這有助於讓您的 AWS 環境符合 FSBP 要求。 當您 AWS Config 的設定與控制項相符時,請將控制項標記為*已檢閱*,並將證據新增至您的評估報告。然後,您可以與稽核人員共用此報告,以證明控制項正在如預期般運作。 ## 使用 AWS Config 做為資料來源類型的自動化控制項 此範例顯示使用 AWS Config 做為資料來源類型的控制項。這是取自 [AWS Control Tower 防護機制架構](https://docs.aws.amazon.com/audit-manager/latest/userguide/controltower.html)的標準控制項。Audit Manager 使用此控制項來產生證據,協助您的環境 AWS 符合 AWS Control Tower 護欄。 **控制項細節範例** + **控制項名稱** — `CT-4.1.2: 4.1.2 - Disallow public write access to S3 buckets` + **控制集** — 此控制項屬於`Disallow public access`控制集。這是與存取管理相關的控制項群組。 + **證據來源** – 個別資料來源 + **資料來源類型** – AWS Config + **證據類型** — 合規檢查 在下列範例中,此控制項會出現在從 Guardrails 架構建立的 Audit Manager AWS Control Tower 評估中。 ![\[顯示評估中 AWS Config 控制項的螢幕擷取畫面。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/control-example-automated_config-console.png) 評估會顯示控制狀態。它也會顯示到目前為止針對此控制項收集了多少證據。您可以從這裡委派控制集以供檢閱,或自行檢閱。選擇控制項名稱會開啟詳細資訊頁面,其中包含詳細資訊,包括該控制項的證據。 **這個控制項可以做什麼** Audit Manager 可以使用此控制項來檢查 S3 儲存貯體政策的存取層級是否太寬鬆而無法滿足 AWS Control Tower 需求。更具體地說,它可以檢查封鎖公開存取功能設定、儲存貯體策略和儲存貯體存取控制清單 (ACL),以確認您的儲存貯體不允許公開寫入存取權。 **Audit Manager 如何收集此控制項的證據** Audit Manager 會採取下列步驟來收集此控制項的證據: 1. Audit Manager 會針對每個控制項,使用控制項設定中指定的資料來源評估範圍內的資源。在這種情況下,您的 S3 儲存貯體是資源,而 AWS Config 是資料來源類型。Audit Manager 會尋找特定 AWS Config 規則 ([s3-bucket-public-write-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html)) 的結果,以評估評估範圍內每個 S3 儲存貯體的設定、政策和 ACL。 1. 資源評估的結果將被保存,並轉換為易於稽核的證據。Audit Manager 會為使用 AWS Config 做為資料來源類型的控制項產生*合規檢查*證據。此證據包含直接從 回報的合規檢查結果 AWS Config。 1. Audit Manager 會將儲存的證據附加至評估中名為 `CT-4.1.2: 4.1.2 - Disallow public write access to S3 buckets` 的控制項。 **如何使用 Audit Manager 來證明對此控制項的合規性** 將證據附加到控制項後,您或您選擇的委派代表可以檢閱證據,以查看是否需要進行任何修復。 在此範例中,Audit Manager 可能會顯示來自 的規則, AWS Config 指出 S3 儲存貯體*不合規*。假如其中一個 S3 儲存貯體具有不限制公用政策的封鎖公開存取功能設定,且使用中的政策允許公開寫入存取權,就可能會發生這種情況。如需修正此問題,您可以更新封鎖公開存取設定以限制公共策略。或者,您可以使用不允許公開寫入存取權的不同儲存貯體政策。此修正動作有助於讓您的 AWS 環境符合 AWS Control Tower 需求。 當您確認 S3 儲存貯體存取層級符合控制項時,可以將該控制項標記為*已檢閱*,並將證據新增至您的評估報告。然後,您可以與稽核人員共用此報告,以證明控制項正在如預期般運作。 ## 使用 AWS API 呼叫做為資料來源類型的自動化控制項 此範例顯示使用 AWS API 呼叫做為資料來源類型的自訂控制項。Audit Manager 使用此控制項來產生證據,有助於讓您的 AWS 環境符合您的特定需求。 **控制項細節範例** + **控制項名稱** — `Password Use` + **控制組** — 此控制項屬於稱為 `Access Control` 的控制集。這是與身分識別和存取管理相關的控制項群組。 + **證據來源** – 個別資料來源 + **資料來源類型** – AWS API 呼叫 + **證據類型** — 配置資料 在下列範例中,此控制項會出現在從自訂架構建立的 Audit Manager 評估中。 ![\[顯示評估中 API 控制的螢幕擷取畫面。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/control-example-automated_api-console.png) 評估會顯示控制狀態。它也會顯示到目前為止針對此控制項收集了多少證據。您可以從這裡委派控制集以供檢閱,或自行檢閱。選擇控制項名稱會開啟詳細資訊頁面,其中包含詳細資訊,包括該控制項的證據。 **這個控制項可以做什麼** Audit Manager 可以使用此自訂控制項,來協助您確保擁有足夠的存取控制項策略。此控制項要求您在選擇和使用密碼時遵循良好的安全實踐。Audit Manager 可以擷取位於評估範圍內的 IAM 主體的所有密碼政策清單,協助您驗證此問題。 **Audit Manager 如何收集此控制項的證據** Audit Manager 採取下列步驟來收集此自訂控制項的證據: 1. Audit Manager 會針對每個控制項,使用控制項設定中指定的資料來源評估範圍內的資源。在這種情況下,您的 IAM 主體是 資源,而 AWS API 呼叫是資料來源類型。Audit Manager 會尋找特定 IAM API 呼叫 ([GetAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html)) 的回應。接著會傳回評估範圍內 AWS 帳戶 的密碼政策。 1. 資源評估的結果將被保存,並轉換為易於稽核的證據。Audit Manager 會為使用 API 呼叫作為資料來源的控制項產生*組態資料*證據。此證據包含從 API 回應擷取的原始資料,以及指示資料支援哪些控制項的其他中繼資料。 1. Audit Manager 會將儲存的證據附加至評估中名為 `Password Use` 的自訂控制項。 **如何使用 Audit Manager 來證明對此控制項的合規性** 將證據附加到控制項後,您或您選擇的委派代表可以檢閱證據,以查看證據是否充分或是否需要進行任何修補。 在此範例中,您可以檢閱證據,以查看來自 API 呼叫的回應。[GetAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html) 回應說明了帳戶的使用者密碼複雜性要求和強制更換期限。您可以使用此 API 回應做為證據,以顯示您已為評估 AWS 帳戶 範圍內的 設定足夠的密碼存取控制政策。如果需要,您也可以新增評論至控制項,以為相關政策提供其他見解。 當您對 IAM 主體的密碼政策符合自訂控制項感到滿意時,您可以將控制項標記為*已檢閱*,並將證據新增至您的評估報告。然後,您可以與稽核人員共用此報告,以證明控制項正在如預期般運作。 ## 使用 AWS CloudTrail 做為資料來源類型的自動化控制項 此範例顯示使用 AWS CloudTrail 做為資料來源類型的控制項。這是取自 [HIPAA 安全規則 2003 架構](https://docs.aws.amazon.com/audit-manager/latest/userguide/HIPAA.html)的標準控制項。Audit Manager 使用此控制項來產生證據,協助您的 AWS 環境符合 HIPAA 需求。 **控制項細節範例** + **控制項名稱** — `164.308(a)(5)(ii)(C): Administrative Safeguards - 164.308(a)(5)(ii)(C)` + **控制集** — 此控制項屬於稱為`Section 308`的控制集。這是與管理防護措施相關的架構特定 HIPAA 控制項群組。 + **證據來源** - AWS 受管來源 (核心控制項) + **基礎資料來源類型** – AWS CloudTrail + **證據類型** — 使用者活動 以下是從 HIPAA 架構建立的 Audit Manager 評估中顯示的控制項: ![\[顯示評估中 CloudTrail 控制項的螢幕擷取畫面。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/control-example-automated_cloudtrail-console.png) 評估會顯示控制狀態。它也會顯示到目前為止針對此控制項收集了多少證據。您可以從這裡委派控制集以供檢閱,或自行檢閱。選擇控制項名稱會開啟詳細資訊頁面,其中包含詳細資訊,包括該控制項的證據。 **這個控制項可以做什麼** 此控制需要您備妥監控程序,以偵測未經授權的存取。未經授權的存取範例是當有人在沒有啟用多重要素驗證 (MFA) 的情況下登入 主控台時。Audit Manager 透過提供證據,證明您已設定 Amazon CloudWatch 監控未啟用 MFA 的管理主控台登入請求,來協助您驗證此控制。 **Audit Manager 如何收集此控制項的證據** Audit Manager 會採取下列步驟來收集此控制項的證據: 1. 針對每個控制項,Audit Manager 會使用控制項設定中指定的證據來源來評估您的範圍內資源。在此情況下,控制項會使用數個核心控制項做為證據來源。 每個核心控制項都是個別資料來源的受管分組。在我們的範例中,其中一個核心控制項 (`Configure Amazon CloudWatch alarms to detect management console sign-in requests without MFA enabled`) 使用 CloudTrail 事件 (`monitoring_EnableAlarmActions`) 作為基礎資料來源。 Audit Manager 會檢閱您的 CloudTrail 日誌,使用`monitoring_EnableAlarmActions`關鍵字尋找 CloudWatch 警示,以啟用 CloudTrail 記錄的動作。然後,它會傳回評估範圍內相關事件的記錄。 1. 資源評估的結果將被保存,並轉換為易於稽核的證據。Audit Manager 會為使用 CloudTrail 作為資料來源類型的控制項產生*使用者活動*證據。此證據包含從 Amazon CloudWatch 擷取的原始資料,以及其他中繼資料,指出資料支援的控制項。 1. Audit Manager 會將儲存的證據附加至評估中名為 `164.308(a)(5)(ii)(C): Administrative Safeguards - 164.308(a)(5)(ii)(C)` 的控制項。 **如何使用 Audit Manager 來證明對此控制項的合規性** 將證據附加到控制項後,您或您選擇的委派代表可以檢閱證據,以查看是否需要進行任何修復。 在此範例中,您可以檢閱證據,以查看 CloudTrail 記錄的警示啟用事件。您可以使用此日誌做為證據,以顯示您有足夠的監控程序,以偵測主控台登入何時在未啟用 MFA 的情況下發生。如果需要,您也可以新增評論至控制項,為相關政策提供其他見解。例如,如果日誌顯示多個沒有 MFA 的登入,您可以新增註解來描述如何修復問題。定期監控主控台登入狀況,可協助您避免因不一致和不當登入嘗試而產生的安全問題。反之,此最佳實務有助於讓您的 AWS 環境符合 HIPAA 要求。 當您確認監控程序符合控制項時,可以將該控制項標記為*已檢閱*,並將證據新增至您的評估報告。然後,您可以與稽核人員共用此報告,以證明控制項正在如預期般運作。 ## 手動控制 某些控制項不支援自動化證據收集。除了觀察、訪談和雲端中未產生的其他事件之外,這包括依賴提供實體記錄和簽名的控制項。在這些情況下,您可以手動上傳證據以證明您滿足控制項的要求。 此範例顯示從 [NIST 800-53 (修訂版 5) 架構](https://docs.aws.amazon.com/audit-manager/latest/userguide/NIST800-53r5.html)取得的手動控制。您可以使用 Audit Manager 上傳並儲存證明此控制項的合規證據。 **控制項細節範例** + **控制項名稱** — `AT-4: Training Records` + **控制集** – `(AT) Awareness and training`。這是與訓練相關的特定架構 NIST 控制項群組。 + **證據來源** – 個別資料來源 + **資料來源類型** — 手動 + **證據類型** — 手動 這是在 Audit Manager 評估中顯示的控制項,該評估是根據 NIST 800-53 (Rev. 5) Low-Moderate-High架構所建立: ![\[顯示評估中控制項的螢幕擷取畫面。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/control-example-manual-console.png) 評估會顯示控制狀態。它也會顯示到目前為止針對此控制項收集了多少證據。您可以從這裡委派控制集以供檢閱,或自行檢閱。選擇控制項名稱會開啟詳細資訊頁面,其中包含詳細資訊,包括該控制項的證據。 **這個控制項可以做什麼** 您可以使用此控制項來協助您確保人員獲得適當層級的安全和隱私權訓練。具體而言,您可以根據所有員工的角色,證明您已備妥安全與隱私權訓練活動的文件。您也可以顯示訓練記錄保留給每個人的證明。 **如何手動上傳此控制項的證據** 若要上傳補充自動化證據的手動證據,請參閱[在其中上傳手動證據 AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/upload-evidence.html)。Audit Manager 會將上傳的證據附加至評估中名為 `AT-4: Training Records` 的控制項。 **如何使用 Audit Manager 來證明對此控制項的合規性** 如果您有支援此控制項的文件,您可以將其上傳為手動證據。例如,您可以上傳人力資源部門向員工發出的強制性角色型訓練資料的最新副本。 就像使用自動化控制項一樣,您可以將手動控制項委派給可協助您檢閱證據的利益關係者 (或在此情況下提供)。例如,當您檢閱此控制項時,您可能會發現只有部分符合其需求。如果您沒有任何親自參加訓練的出席者追蹤副本,就可能發生這種情況。您可以將控制項委派給人力資源利益相關者,該利益相關者接著可以上傳參加訓練的人員清單。 如果您滿意自己符合控制項,可以將其標記為*已檢閱*,並將證據新增至您的評估報告。然後,您可以與稽核人員共用此報告,以證明控制項正在如預期般運作。 ## 具有混合資料來源類型的控制項 (自動和手動) 在許多情況下,需要結合自動化和手動證據來滿足控制項。雖然 Audit Manager 可以提供與控制項相關的自動化證據,但您可能需要使用您自己識別和上傳的手動證據來補充此資料。 此範例顯示使用手動證據和自動化證據組合的控制項。這是取自 [NIST 800-53 (Rev. 5) 架構](https://docs.aws.amazon.com/audit-manager/latest/userguide/NIST800-53r5.html)的標準控制項。Audit Manager 使用此控制項來產生證據,協助您的 AWS 環境符合 NIST 需求。 **控制項細節範例** + **控制項名稱** — `Personnel Termination` + **控制集** – `(PS) Personnel Security (10)`。這是特定於架構的 NIST 控制項群組,與在組織系統上執行硬體或軟體維護的人員相關。 + **證據來源** – AWS 受管 (核心控制) 和個別資料來源 (手動) + **基礎資料來源類型** – AWS API 呼叫 AWS CloudTrail、 AWS Config、手動 + **證據類型** – 組態資料、使用者活動、合規檢查、手動證據) 這是在 Audit Manager 評估中顯示的控制項,該評估是根據 NIST 800-53 (Rev. 5) 架構所建立: ![\[顯示評估中控制項的螢幕擷取畫面。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/control-example-mixed-console.png) 評估會顯示控制狀態。它也會顯示到目前為止針對此控制項收集了多少證據。您可以從這裡委派控制集以供檢閱,或自行檢閱。選擇控制項名稱會開啟詳細資訊頁面,其中包含詳細資訊,包括該控制項的證據。 **這個控制項可以做什麼** 您可以使用此控制項來確認您在員工終止時保護組織資訊。具體而言,您可以示範已停用該個人的系統存取和撤銷的登入資料。此外,您可以示範所有已終止的個人都參與結束面試,其中包括討論您組織的相關安全通訊協定。 **Audit Manager 如何收集此控制項的證據** Audit Manager 會採取下列步驟來收集此控制項的證據: 1. 針對每個控制項,Audit Manager 會使用控制項設定中指定的證據來源來評估您的範圍內資源。 在此情況下,控制項會使用數個核心控制項做為證據來源。反之,每個核心控制項都會從個別資料來源 (AWS API 呼叫 AWS CloudTrail和) 收集相關證據 AWS Config。Audit Manager 使用這些資料來源類型,根據相關的 API 呼叫、CloudTrail 事件和 AWS Config 規則來評估您的 IAM 資源 (例如群組、金鑰和政策)。 1. 資源評估的結果將被保存,並轉換為易於稽核的證據。此證據包含從每個資料來源擷取的原始資料,以及指出資料支援的控制的其他中繼資料。 1. Audit Manager 會將儲存的證據附加至評估中名為 `Personnel Termination` 的控制項。 **如何手動上傳此控制項的證據** 若要上傳補充自動化證據的手動證據,請參閱[在其中上傳手動證據 AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/upload-evidence.html)。Audit Manager 會將上傳的證據附加至評估中名為 `Personnel Termination` 的控制項。 **如何使用 Audit Manager 來證明對此控制項的合規性** 將證據附加到控制項後,您或您選擇的委派代表可以檢閱證據,以查看證據是否充分或是否需要進行任何修補。例如,當您檢閱此控制項時,您可能會發現只有部分符合其需求。如果您有存取權已撤銷的證明,但沒有任何結束面試的副本,則可能會發生這種情況。您可以將控制權委派給人力資源利益相關者,他們可以上傳離職面試文件的副本。或者,如果在稽核期間沒有員工終止,您可以留下評論,說明為什麼沒有簽署的文件連接到控制項。 當您確認自己符合控制項時,可以將該控制項標記為*已檢閱*,並將證據新增至您的評估報告。然後,您可以與稽核人員共用此報告,以證明控制項正在如預期般運作。 # 使用 AWS Audit Manager 您可以根據您的特定需求和偏好設定, AWS Audit Manager 透過各種選項存取 。以下是您可以與 Audit Manager 互動的一些不同方式: + **Audit Manager 主控台** 直接存取 Audit Manager 主控台,網址為 [https://console.aws.amazon.com/auditmanager/home](https://console.aws.amazon.com/auditmanager/home)://。 + **Audit Manager API** 透過 Audit Manager API 以程式設計方式與 Audit Manager 互動,讓您將任務自動化並整合到現有的工作流程中。如需詳細資訊,請參閱 [https://docs.aws.amazon.com/audit-manager/latest/APIReference/Welcome.html](https://docs.aws.amazon.com/audit-manager/latest/APIReference/Welcome.html)。 + **AWS SDKs** 使用 AWS 軟體開發套件 (SDKs) 以程式設計方式與 Audit Manager 互動,讓您能夠以各種程式設計語言撰寫程式碼。如需詳細資訊,請參閱[AWS Audit Manager 搭配 AWS SDK 使用](sdk-general-information-section.md)。 + **AWS CloudFormation** 使用 建立 Audit Manager 資源 AWS CloudFormation,可讓您將稽核基礎設施定義為程式碼並將其部署。如需詳細資訊,請參閱[使用 建立 AWS Audit Manager 資源 AWS CloudFormation](creating-resources-with-cloudformation.md)。 + **第三方整合** 將 Audit Manager 與支援的第三方控管、風險與合規 (GRC) 產品整合,讓您能夠利用現有的 GRC 工具和程序。如需詳細資訊,請參閱[與第三方 GRC 產品的整合](third-party-integration.md)。 + **與您自己的 GRC 系統整合** 將 Audit Manager 證據整合到您自己的 GRC 系統中,可讓您直接從 Audit Manager 將證據傳送到 GRC 應用程式。如需詳細資訊,請參閱[將 Audit Manager 證據整合到您的 GRC 系統](tutorial-for-grc-integration.md)。 # AWS Audit Manager 搭配 AWS SDK 使用 AWS 軟體開發套件 (SDKs) 適用於許多熱門的程式設計語言。每個 SDK 都提供 API、程式碼範例和文件,讓開發人員以偏好的語言建置應用程式。 | SDK 文件 | Audit Manager 特定文件 | 程式碼範例 | | --- | --- | --- | | [適用於 C\$1\$1 的 AWS SDK](https://docs.aws.amazon.com/sdk-for-cpp) | [適用於 C\$1\$1 的 AWS SDK Audit Manager 的 API 參考](https://docs.aws.amazon.com/sdk-for-cpp/latest/api/aws-cpp-sdk-auditmanager/html/namespace_aws_1_1_audit_manager.html) | [適用於 C\$1\$1 的 AWS SDK 程式碼範例](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/cpp) | | [適用於 Go 的 AWS SDK](https://docs.aws.amazon.com/sdk-for-go) | [適用於 Go 的 AWS SDK Audit Manager 的 API 參考](https://pkg.go.dev/github.com/aws/aws-sdk-go-v2/service/auditmanager) | [適用於 Go 的 AWS SDK 程式碼範例](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/gov2) | | [適用於 Java 的 AWS SDK](https://docs.aws.amazon.com/sdk-for-java) | [AWS SDK for Java 2.x Audit Manager 的 API 參考](https://sdk.amazonaws.com/java/api/latest/software/amazon/awssdk/services/auditmanager/AuditManagerClient.html) | [適用於 Java 的 AWS SDK 程式碼範例](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javav2) | | [適用於 JavaScript 的 AWS SDK](https://docs.aws.amazon.com/sdk-for-javascript) | [適用於 JavaScript 的 AWS SDK Audit Manager 的 API 參考](https://docs.aws.amazon.com/AWSJavaScriptSDK/latest/AWS/AuditManager.html) | [適用於 JavaScript 的 AWS SDK 程式碼範例](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javascriptv3) | | [適用於 .NET 的 AWS SDK](https://docs.aws.amazon.com/sdk-for-net) | [適用於 .NET 的 AWS SDK Audit Manager 的 API 參考](https://docs.aws.amazon.com/sdkfornet/v3/apidocs/items/AuditManager/NAuditManager.html) | [適用於 .NET 的 AWS SDK 程式碼範例](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3) | | [適用於 PHP 的 AWS SDK](https://docs.aws.amazon.com/sdk-for-php) | [適用於 PHP 的 AWS SDK Audit Manager 的 API 參考](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-auditmanager-2017-07-25.html) | [適用於 PHP 的 AWS SDK 程式碼範例](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/php) | | [適用於 Python (Boto3) 的 AWS SDK](https://docs.aws.amazon.com/pythonsdk) | [適用於 Python (Boto) 的 AWS SDK Audit Manager 的 API 參考](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/auditmanager.html) | [適用於 Python (Boto3) 的 AWS SDK 程式碼範例](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python) | | [適用於 Ruby 的 AWS SDK](https://docs.aws.amazon.com/sdk-for-ruby) | [適用於 Ruby 的 AWS SDK Audit Manager 的 API 參考](https://docs.aws.amazon.com/sdk-for-ruby/v3/api/Aws/AuditManager.html) | [適用於 Ruby 的 AWS SDK 程式碼範例](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/ruby) | 如需 Audit Manager 特有的範例,請參閱[使用 AWS SDKs 的 Audit Manager 程式碼範例](https://docs.aws.amazon.com/code-library/latest/ug/auditmanager_code_examples.html)。 **注意** Audit Manager 在核心版本 1.19.32 及更新版本 適用於 Python (Boto3) 的 AWS SDK中提供。開始使用 SDK 之前,請確定您使用的是適當的核心版本。 # 使用 建立 AWS Audit Manager 資源 AWS CloudFormation AWS Audit Manager 已與 整合 AWS CloudFormation,這項服務可協助您建立和設定 AWS 資源的模型,以減少建立和管理資源和基礎設施的時間。您可以建立範本來描述您想要的所有 AWS 資源 (例如評估),並為您 CloudFormation 佈建和設定這些資源。 使用 時 CloudFormation,您可以重複使用範本來一致且重複地設定 AWS Audit Manager 資源。描述您的資源一次,然後在多個 AWS 帳戶和區域中逐一佈建相同的資源。 ## AWS Audit Manager 和 CloudFormation 範本 若要佈建和設定 AWS Audit Manager 和相關服務的資源,您必須了解 [CloudFormation 範本](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html)。範本是以 JSON 或 YAML 格式化的文本檔案。這些範本說明您要在 CloudFormation 堆疊中佈建的資源。如果您不熟悉 JSON 或 YAML,您可以使用 CloudFormation 設計工具來協助您開始使用 CloudFormation 範本。如需詳細資訊,請參閱《AWS CloudFormation 使用者指南》** 中的[什麼是 CloudFormation 設計器?](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/working-with-templates-cfn-designer.html)。 AWS Audit Manager 支援在 中建立評估 CloudFormation。如需更多詳細資訊 (包括評估的 JSON 和 YAML 範本範例),請參閱 *AWS CloudFormation 使用者指南*中的 [AWS Audit Manager 資源類型參考](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-auditmanager-assessment.html)。 ## 進一步了解 CloudFormation 若要進一步了解 CloudFormation,請參閱下列資源: + [AWS CloudFormation](https://aws.amazon.com/cloudformation/) + [AWS CloudFormation 使用者指南](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) + [CloudFormation API 參考](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/Welcome.html) + [AWS CloudFormation 命令列界面使用者指南](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/what-is-cloudformation-cli.html) # 與第三方 GRC 產品的整合 AWS Audit Manager 支援與此頁面中列出的第三方合作夥伴 GRC 產品整合。 如果您的公司使用混合雲端模式或多雲端模式,您很可能使用 GRC 產品來管理來自那些環境的證據。當該產品與 Audit Manager 整合時,您可以將有關您的 AWS 用量的證據直接提取到您的 GRC 環境。這樣能在您準備稽核時,為您提供一個集中的位置來檢閱和修復證據,從而簡化您管理合規的方式。 閱讀此頁面,了解可從 Audit Manager 擷取證據的第三方廠商 GRC 產品概述。您也可以查看您能直接在這些產品中執行哪些 Audit Manager API 動作的參考資料。 **Topics** + [了解第三方整合如何與 Audit Manager 配合](#understanding-grc-integrations) + [與 Audit Manager 整合的第三方 GRC 合作夥伴產品](#supported-grc-integrations) ## 了解第三方整合如何與 Audit Manager 配合 GRC 合作夥伴可以使用 Audit Manager 公用 API,將其產品與 Audit Manager 整合。透過此整合,您可以將 GRC 環境中的企業控制項映射至 Audit Manager 提供的常見控制項。 **提示** 您可以將企業控制項映射至任何類型的 [ Audit Manager 控制項](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#control)。不過,我們建議您使用常見的控制項。當您映射到代表目標的常見控制項時,Audit Manager 會從由 管理的預先定義資料來源群組收集證據 AWS。這表示您不必是 AWS 知道哪些資料來源收集目標相關證據的專家。 完成此一次性控制項映射練習後,您可以直接在 GRC 產品中建立 Audit Manager 評估。此動作會開始收集有關您的 AWS 用量的證據。然後,您可以查看此 AWS 證據,以及從您的混合環境收集的其他證據,所有這些證據都在您企業控制的相同內容內。 當您將 Audit Manager 整合與第三方 GRC 產品時,請謹記以下幾點: + 所有[支援 Audit Manager 的AWS 區域](https://docs.aws.amazon.com/general/latest/gr/audit-manager.html) 都可以整合。 + 您在 GRC 合作夥伴產品中建立的任何 Audit Manager 理員資源也會反映在 Audit Manager 中。 + 除了第三方 GRC 產品的定價外,您還需要遵守 [AWS Audit Manager 定價](https://aws.amazon.com/audit-manager/pricing/)。 + Audit Manager 收集的證據是不可變的。在第三方 GRC 產品中,證據的呈現方式與 Audit Manager 主控台中的顯示方式完全相同。不過,如果您使用第三方整合,您或許可以在報告中提供其他內容,藉此增強此證據。 + [適用於 Audit Manager 的相同配額](https://docs.aws.amazon.com/audit-manager/latest/userguide/service-quotas.html)也適用於第三方 GRC 產品。例如,每個 AWS 帳戶 最多可以有 100 個有效的 Audit Manager 評估。無論您是在 Audit Manager 主控台還是在第三方 GRC 產品中建立評估,都會套用此帳戶層級配額。大多數 Audit Manager 配額,但並非所有配額都列在 Service Quotas 主控台的 AWS Audit Manager 命名空間下。如需要求增加配額,請參閱 [管理您的 Audit Manager 配額](service-quotas.md#managing-your-service-quotas)。 如果您有合規解決方案,並且有興趣與 Audit Manager 整合,請傳送電子郵件至 `auditmanager-partners@amazon.com`。 ## 與 Audit Manager 整合的第三方 GRC 合作夥伴產品 下列第三方 GRC 產品可以擷取 Audit Manager 的證據。 ### MetricStream 要使用此整合功能,請聯繫[MetricStream](https://aws.amazon.com/marketplace/pp/prodview-5ph5amfrrmyx4?qid=1616170904192&sr=0-1&ref_=srh_res_product_title)以訪問和購買 MetricStream GRC 軟體。 MetricStream 企業 GRC 解決方案建立在其平台上,可為企業範圍的 GRC 活動和流程提供全面性的協作方法。透過將 Audit Manager 的證據擷取至 MetricStream,您可以主動識別來自您 AWS 環境的不合規證據,並與來自現場部署資料來源或其他雲端合作夥伴的證據一起檢閱。這為您提供了一種方便且集中的方式,以便在準備稽核時檢閱並改善雲端安全性和合規狀態。 透過整合 MetricStream 和 Audit Manager,您可以執行以下 API 操作。 | 任務 | API 操作 | | --- | --- | | Audit Manager 整合設定 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/third-party-integration.html) | | Audit Manager 資源檢閱 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/third-party-integration.html) | | Audit Manager 資源建立 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/third-party-integration.html) | | Audit Manager 資源更新 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/third-party-integration.html) | | 管理證據 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/third-party-integration.html) | | Audit Manager 資源刪除 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/third-party-integration.html) | **MetricStream 相關連結** + [AWS Marketplace 連結](https://aws.amazon.com/marketplace/pp/prodview-5ph5amfrrmyx4?qid=1616170904192&sr=0-1&ref_=srh_res_product_title) + [產品連結](https://www.metricstream.com/products/cyber-grc.htm) + [產品定價](https://info.metricstream.com/ms-pricing.html?Channel=ms-side-widget) # 將 Audit Manager 證據整合到您的 GRC 系統 身為企業客戶,您可能擁有跨多個資料中心的資源,包括其他雲端廠商和內部部署環境。若要從這些環境收集證據,您可以使用第三方 GRC (治理、風險與合規) 解決方案,例如 MetricStream CyberGRC 或 RSA Archer。或者,您可以使用您在內部開發的專屬 GRC 系統。 本教學課程說明如何將內部或外部 GRC 系統與 Audit Manager 整合。此整合可讓廠商收集客戶 AWS 用量和組態的相關證據,並將該證據直接從 Audit Manager 傳送至 GRC 應用程式。透過這樣做,您可以集中多個環境的合規報告。 在本教學課程中: 1. **供應商**是擁有與 Audit Manager 整合之 GRC 應用程式的實體或公司。 1. **客戶**是使用 的實體或公司 AWS,也使用內部或外部 GRC 應用程式。 **注意** 在某些情況下,GRC 應用程式由相同公司擁有和使用。在此案例中,**廠商**是擁有 GRC 應用程式的群組或團隊,而**客戶**是使用 GRC 應用程式的團隊或群組。 **此教學課程會讓您了解如何執行以下操作:** + [步驟 1:啟用 Audit Manager](#tutorial-for-grc-integration-step1) + [步驟 2:設定許可](#tutorial-for-grc-integration-step2) + [步驟 3。將您的企業控制項映射至 Audit Manager 控制項](#tutorial-for-grc-integration-step3) + [步驟 4. 讓您的控制項映射保持最新狀態](#tutorial-for-grc-integration-step4) + [步驟 5:建立評估](#tutorial-for-grc-integration-step5) + [步驟 6. 開始收集證據](#tutorial-for-grc-integration-step6) ## 先決條件 **開始之前,請確定您符合下列條件:** + 您的基礎設施正在其中執行 AWS。 + 您可以使用內部 GRC 系統,或使用廠商提供的第三方 GRC 軟體。 + 您已完成[設定 Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/setting-up.html) 所需的所有[先決條件](https://docs.aws.amazon.com/audit-manager/latest/userguide/setup-prerequisites.html)。 + 您熟悉 [了解 AWS Audit Manager 概念和術語](concepts.md)。 **要記住的一些限制:** + Audit Manager 是區域性的 AWS 服務。您必須在執行 AWS 工作負載的每個區域中分別設定 Audit Manager。 + Audit Manager 不支援將多個區域的證據彙總到單一區域。如果您的資源跨越多個 AWS 區域,您必須在 GRC 系統中彙總證據。 + Audit Manager 具有您可以建立的資源數量的預設配額。如有需要,您可以請求增加這些預設配額。如需詳細資訊,請參閱[配額和 的限制 AWS Audit Manager。](https://docs.aws.amazon.com/audit-manager/latest/userguide/service-quotas.html) ## 步驟 1:啟用 Audit Manager ### 誰完成此步驟 客戶 ### 您需要執行的事項 首先為您的 啟用 Audit Manager AWS 帳戶。如果您的帳戶是組織的一部分,您可以使用管理帳戶啟用 Audit Manager,然後為 Audit Manager 指定委派管理員。 ### 程序 **啟用 Audit Manager** 依照指示[啟用 Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/setup-audit-manager.html)。針對您要收集證據的所有區域重複設定程序。 **提示** 如果您使用 AWS Organizations,強烈建議您在此步驟中設定委派管理員。當您在 Audit Manager 中使用委派管理員帳戶時,您可以使用證據搜尋工具來搜尋組織中所有成員帳戶的證據。 ## 步驟 2:設定許可 ### 誰完成此步驟 客戶 ### 您需要執行的事項 在此步驟中,客戶會為其帳戶建立 IAM 角色。然後,客戶會授予廠商擔任角色的許可。 ![\[顯示 IAM 角色如何授予廠商帳戶存取權的圖表。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/vendor-role-access.png) ### 程序 **為客戶帳戶建立角色** 請按照 *IAM 使用者指南* 的 [為 IAM 使用者建立角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) 中的指示進行操作。 + 在角色建立工作流程的步驟 8 中,選擇**建立政策**並輸入角色的政策。 角色至少必須具有下列許可: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement" : [ { "Sid" : "AuditManagerAccess", "Effect" : "Allow", "Action" : [ "auditmanager:*" ], "Resource" : "*" }, { "Sid" : "OrganizationsAccess", "Effect" : "Allow", "Action" : [ "organizations:ListAccountsForParent", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:ListParents", "organizations:ListChildren" ], "Resource" : "*" }, { "Sid" : "IAMAccess", "Effect" : "Allow", "Action" : [ "iam:GetUser", "iam:ListUsers", "iam:ListRoles" ], "Resource" : "*" }, { "Sid" : "S3Access", "Effect" : "Allow", "Action" : [ "s3:ListAllMyBuckets" ], "Resource" : "*" }, { "Sid" : "KmsAccess", "Effect" : "Allow", "Action" : [ "kms:DescribeKey", "kms:ListKeys", "kms:ListAliases" ], "Resource" : "*" }, { "Sid" : "KmsCreateGrantAccess", "Effect" : "Allow", "Action" : [ "kms:CreateGrant" ], "Resource" : "*", "Condition" : { "Bool" : { "kms:GrantIsForAWSResource" : "true" }, "StringLike" : { "kms:ViaService" : "auditmanager.*.amazonaws.com" } } }, { "Sid" : "SNSAccess", "Effect" : "Allow", "Action" : [ "sns:ListTopics" ], "Resource" : "*" }, { "Sid" : "TagAccess", "Effect" : "Allow", "Action" : [ "tag:GetResources" ], "Resource" : "*" } ] } ``` ------ + 在角色建立工作流程的步驟 11 中,輸入 `vendor-auditmanager`做為**角色名稱**。 **允許廠商帳戶擔任該角色** 請遵循 IAM 使用者指南中[授予使用者切換角色的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html)中的指示。 ** + 政策陳述式必須包含對 `Allow`的影響`sts:AssumeRole action`。 + 它還必須在資源元素中包含角色的 Amazon Resource Name (ARN)。 + 以下是您可以使用的政策陳述式範例。 在此政策中,將*預留位置文字*取代為您廠商的 AWS 帳戶 ID。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::111122223333:role/vendor-auditmanager" } } ``` ------ ## 步驟 3。將您的企業控制項映射至 Audit Manager 控制項 ### 誰完成此步驟 客戶 ### 您需要執行的事項 供應商會維護一份精選的企業控制清單,供客戶在評估中使用。若要與 Audit Manager 整合,廠商必須建立 界面,讓客戶將其企業控制項映射至對應的 Audit Manager 控制項。您可以映射到 [](concepts.md#common-control)(偏好) 或 [](concepts.md#standard-control)。您必須先完成此映射,才能在廠商的 GRC 應用程式中開始任何評估。 ![\[顯示企業控制項如何映射至 Audit Manager 控制項的圖表。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/control-mapping.png) ### 選項 1:將企業控制項映射至常見控制項 (建議) 這是將企業控制項映射至 Audit Manager 的建議方法。這是因為常見控制項與常見產業標準密切一致。這可讓您更輕鬆地將它們映射到您的企業控制項。 透過此方法,廠商會建立界面,讓客戶能夠在其企業控制項與 Audit Manager 提供的對應常見控制項之間執行一次性映射。供應商可以使用 [ListControls](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListControls.html)、[ListCommonControls](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListCommonControls.html) 和 [GetControl](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetControl.html) API 操作,將此資訊提供給客戶。客戶完成映射練習後,廠商就可以使用這些映射在 Audit Manager 中[建立自訂控制項](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html)。 以下是常見控制項映射的範例: 假設您有一個名為 的企業控制項`Asset Management`。此企業控制映射到 Audit Manager (`Asset performance management` 和 `Asset maintenance scheduling`) 中的兩個常見控制。在此情況下,您必須在 Audit Manager 中建立自訂控制項 (我們將命名為 `enterprise-asset-management`)。然後,將 `Asset performance management` 和 `Asset maintenance scheduling` 作為證據來源新增至新的自訂控制項。這些證據來源會從預先定義的 AWS 資料來源群組收集支援的證據。這為您提供一種有效率的方式來識別映射到企業控制需求的 AWS 資料來源。 #### 程序 **尋找您可以映射至 的可用常見控制項** 依照步驟尋找 [Audit Manager 中可用的常見控制項清單](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html)。 **建立自訂控制項** 1. 依照步驟建立[與您的企業控制一致的自訂](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html)控制項。 當您在自訂控制項建立工作流程的步驟 2 中指定證據來源時,請執行下列動作: + 選擇**AWS 受管來源**做為證據來源。 + 選取**使用符合您合規目標的常見控制項**。 + 選擇最多五個常用控制項做為企業控制的證據來源。 1. 為所有企業控制項重複此任務,並在 Audit Manager 中為每個控制項建立對應的自訂控制項。 ### 選項 2:將企業控制項映射至標準控制項 Audit Manager 提供大量預先建置的標準控制項。您可以在企業控制項和這些標準控制項之間執行一次性映射。識別與企業控制項對應的標準控制項之後,您可以將這些標準控制項直接新增至自訂架構。如果您選擇此選項,則不需要在 Audit Manager 中建立任何自訂控制項。 #### 程序 **尋找您可以映射至 的可用標準控制項** 依照步驟在 Audit Manager [中尋找可用的標準控制項清單](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html)。 **建立自訂架構** 1. 依照步驟在 Audit Manager 中[建立自訂架構](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-custom-frameworks-from-scratch.html)。 當您在架構建立程序的步驟 2 中指定控制項集時,請包含映射至企業控制項的標準控制項。 1. 針對所有企業控制項重複此任務,直到您已在自訂架構中包含所有對應的標準控制項為止。 ## 步驟 4. 讓您的控制項映射保持最新狀態 ### 誰完成此步驟 供應商、客戶 ### 您需要執行的事項 Audit Manager 會持續更新常見控制項和標準控制項,以確保它們使用最新的可用 AWS 資料來源。這表示映射控制項是一項一次性任務:在將標準控制項新增至自訂架構之後,您不需要管理這些控制項,而且在將它們新增為自訂控制項中的證據來源之後,您不需要管理常見控制項。每當通用控制項更新時,相同的更新會自動套用到使用該通用控制項做為證據來源的所有自訂控制項。 不過,隨著時間的推移,新的常見控制項和標準控制項可能會變成可供您使用做為證據來源。考慮到這一點,廠商和客戶應該建立工作流程,以定期從 Audit Manager 擷取最新的常見控制項和標準控制項。然後,您可以檢閱企業控制項和 Audit Manager 控制項之間的映射,並視需要更新映射。 ### 如果您的企業控制項對應至常見控制項 在映射過程中,您已建立自訂控制項。您可以使用 Audit Manager 編輯這些自訂控制項,讓它們使用最新的可用常見控制項做為證據來源。自訂控制項更新生效後,您現有的評估會自動針對更新的自訂控制項收集證據。您不需要建立新的架構或評估。 #### 程序 **尋找您可以映射到的最新常見控制項** 依照步驟在 Audit Manager [中尋找可用的常見控制項](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html)。 **編輯自訂控制項** 1. 依照步驟在 Audit Manager 中[編輯自訂控制項](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-controls.html)。 當您在編輯工作流程的步驟 2 中更新證據來源時,請執行下列動作: + 選擇**AWS 受管來源**做為證據來源。 + 選取**使用符合您合規目標的常見控制項**。 + 選擇您要用作自訂控制項證據來源的新常見控制項。 1. 針對您要更新的所有企業控制項重複此任務。 ### 如果您的企業控制項對應至標準控制項 在此情況下,廠商必須建立新的自訂架構,其中包含最新的可用標準控制項,然後使用此新架構建立新的評估。建立新評估之後,您可以將舊評估標記為非作用中。 #### 程序 **尋找您可以映射到的最新標準控制項** 依照步驟在 Audit Manager [中尋找可用的標準控制項](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html)。 **建立自訂架構並新增最新的標準控制項** 依照步驟在 Audit Manager 中[建立自訂架構](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-custom-frameworks-from-scratch.html)。 當您在架構建立工作流程的步驟 2 中指定控制項集時,請包含新的標準控制項。 **建立評估** 在 GRC 應用程式中建立評估。 **將評估的狀態變更為非作用中** 依照步驟在 Audit Manager [中變更評估的狀態](https://docs.aws.amazon.com/audit-manager/latest/userguide/change-assessment-status-to-inactive.html)。 ## 步驟 5:建立評估 **誰完成此步驟** GRC 應用程式,以及廠商的輸入 **您需要執行的事項** 身為客戶,您不需要直接在 Audit Manager 中建立評估。當您在 GRC 應用程式中啟動特定控制項的評估時,GRC 應用程式會在 Audit Manager 中為您建立對應的資源。首先,GRC 應用程式會使用您建立的映射來識別相關的 Audit Manager 控制項。接下來,它會使用控制項資訊來為您建立自訂架構。最後,它會使用新建立的自訂架構,在 Audit Manager 中建立評估。 在 Audit Manager 中建立評估也需要一個[範圍](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-assessments.html#specify-accounts)。此範圍會取得 AWS 帳戶 客戶想要執行評估並收集證據的 清單。客戶必須直接在 GRC 應用程式中定義此範圍。 身為廠商,您需要存放`assessmentId`映射至 GRC 應用程式中啟動之評估的 。`assessmentId` 這是從 Audit Manager 擷取證據的必要項目。 **尋找評估 ID** 1. 使用 [ListAssessments](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListAssessments.html) 操作在 Audit Manager 中檢視您的評估。您可以使用 [狀態](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListAssessments.html#auditmanager-ListAssessments-request-status)參數來檢視作用中的評估。 ``` aws auditmanager list-assessments --status ACTIVE ``` 1. 在回應中,識別您要存放在 GRC 應用程式中的評估,並記下 `assessmentId`。 ## 步驟 6. 開始收集證據 **誰完成此步驟** AWS Audit Manager,具有來自廠商的輸入 **您需要執行的事項** 建立評估之後,最多需要 24 小時才能開始收集證據。此時,您的企業控制項現在正在積極收集 Audit Manager 評估的證據。 我們建議您使用[證據搜尋工具](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html)功能,在 Audit Manager 中快速查詢和尋找證據。如果您以委派管理員的身分使用證據搜尋工具,您可以在組織中的所有成員帳戶中搜尋證據。使用篩選條件和分組的組合,您可以逐步縮小搜尋查詢的範圍。例如,如果您想要系統健全狀況的高階檢視,請擴大搜尋範圍,並依據評估、日期範圍和資源合規性進行篩選。如果您的目標是修復特定資源,則可以縮小搜尋範圍,以針對特定控制項或資源 ID 的證據作為目標。定義篩選條件後,您可以先分組並預覽相符的搜尋結果,然後再建立評估報告。 **啟用證據搜尋工具** + 依照指示,從 Audit Manager 設定[啟用證據搜尋工具](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder-settings-enable.html)。 啟用證據搜尋工具後,您可以決定從 Audit Manager 擷取證據以進行評估的節奏。您也可以在評估中擷取特定控制項的證據,並將證據存放在映射至企業控制項的 GRC 應用程式中。您可以使用下列 Audit Manager API 操作來擷取證據: + [GetEvidence](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidence.html) + [GetEvidenceByEvidenceFolder](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceByEvidenceFolder.html) + [GetEvidenceFolder](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceFolder.html) + [GetEvidenceFoldersByAssessment](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceFoldersByAssessment.html) + [GetEvidenceFoldersByAssessmentControl](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceFoldersByAssessmentControl.html) ## 定價 無論您是廠商還是客戶,您都不會為此整合設定產生任何額外費用。客戶需支付在 Audit Manager 中收集的證據費用。如需定價的詳細資訊,請參閱 [AWS Audit Manager 定價](https://aws.amazon.com/audit-manager/pricing/)。 ## 其他資源 您可以檢閱下列資源,進一步了解本教學課程中介紹的概念: + [評估](https://docs.aws.amazon.com/audit-manager/latest/userguide/assessments.html) – 了解管理評估的概念和任務。 + [控制項程式庫](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-library.html) – 了解管理自訂控制項的概念和任務。 + [架構程式庫](https://docs.aws.amazon.com/audit-manager/latest/userguide/framework-library.html) – 了解管理自訂架構的概念和任務。 + [證據搜尋工具](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html) - 了解如何匯出 CSV 檔案或從您的查詢結果產生評估報告。 + [下載中心](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html) - 了解如何從 Audit Manager 下載評估報告和 CSV 匯出。