AWS API-Aufrufe werden unterstützt von AWS Audit Manager - AWS Audit Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS API-Aufrufe werden unterstützt von AWS Audit Manager

Sie können Audit Manager verwenden, um Schnappschüsse Ihrer AWS Umgebung als Nachweis für Audits zu erfassen. Wenn Sie ein benutzerdefiniertes Steuerelement erstellen oder bearbeiten, können Sie einen oder mehrere AWS API-Aufrufe als Datenquellenzuordnung für die Erfassung von Nachweisen angeben. Audit Manager führt dann API-Aufrufe an die entsprechenden AWS-Services Personen durch und sammelt eine Momentaufnahme der Konfigurationsdetails für Ihre AWS Ressourcen.

Für jede Ressource, die in den Geltungsbereich eines API-Aufrufs fällt, erfasst Audit Manager einen Konfigurations-Snapshot und wandelt ihn in Beweise um. Dies führt zu einem Beweis pro Ressource, im Gegensatz zu einem Beweis pro API-Aufruf.

Wenn der ec2_DescribeRouteTables-API-Aufruf beispielsweise Konfigurations-Snapshots aus fünf Routing-Tabellen erfasst, erhalten Sie insgesamt fünf Beweise für den einzelnen API-Aufruf. Jeder Beweis ist eine Momentaufnahme der Konfiguration einer einzelnen Routing-Tabelle.

Wichtige Punkte

Paginierte API-Aufrufe

Viele AWS-Services sammeln und speichern eine große Datenmenge. Wenn ein list, describe oder get API-Aufruf versucht, Ihre Daten zurückzugeben, kann es daher zu vielen Ergebnissen kommen. Wenn die Datenmenge zu groß ist, um sie in einer einzigen Antwort zurückzugeben, können die Ergebnisse mithilfe einer Seitennummerierung in überschaubarere Teile aufgeteilt werden. Dadurch werden die Ergebnisse in „Seiten“ mit Daten aufgeteilt, sodass die Antworten einfacher zu handhaben sind.

Einige davon Unterstützte API-Aufrufe für benutzerdefinierte Kontrolldatenquellen sind paginiert. Das bedeutet, dass sie zunächst Teilergebnisse zurückgeben und nachfolgende Anfragen erfordern, um die gesamte Ergebnismenge zurückzugeben. Beispielsweise gibt der Amazon RDS-Vorgang DescribeDBInstances bis zu 100 Instances gleichzeitig zurück, und nachfolgende Anfragen sind erforderlich, um die nächste Ergebnisseite zurückzugeben.

Ab dem 08. März 2023 unterstützt Audit Manager paginierte API-Aufrufe als Datenquelle für die Beweiserhebung. Wenn bisher ein paginierter API-Aufruf als Datenquelle verwendet wurde, wurde in der API-Antwort nur eine Teilmenge Ihrer Ressourcen zurückgegeben (bis zu 100 Ergebnisse). Jetzt ruft Audit Manager den paginierten API-Vorgang mehrmals auf und ruft jede Ergebnisseite ab, bis alle Ressourcen zurückgegeben wurden. Für jede Ressource erfasst Audit Manager dann einen Konfigurations-Snapshot und speichert ihn als Beweis. Da Ihre gesamten Ressourcen jetzt in der API-Antwort erfasst sind, ist es wahrscheinlich, dass Sie nach dem 08. März 2023 eine Zunahme der gesammelten Beweise feststellen werden.

Audit Manager übernimmt die Paginierung von API-Aufrufen automatisch für Sie. Wenn Sie eine benutzerdefinierte Kontrolle erstellen, die einen paginierten API-Aufruf als Datenquelle verwendet, müssen Sie keine Paginierungsparameter angeben.

Unterstützte API-Aufrufe für benutzerdefinierte Kontrolldatenquellen

In Ihren benutzerdefinierten Kontrollen können Sie jeden der folgenden API-Aufrufe als Datenquelle verwenden. Audit Manager kann diese API-Aufrufe dann verwenden, um Nachweise über Ihre AWS Nutzung zu sammeln.

Unterstützter API-Aufruf Wie Audit Manager diese API verwendet, um Nachweise zu erfassen
acm_ GetAccountConfiguration Erstellt einen Überblick über die Kontokonfigurationsoptionen, die mit Ihrem AWS-Konto verknüpft sind.
acm_ ListCertificates Ruft eine Liste mit Zertifikat-ARNs und Domainnamen ab.
Autoskalierung_ DescribeAutoScalingGroups Sammeln Sie einen Snapshot über die Auto Scaling Scaling-Gruppen in Ihrem AWS-Konto.
backup_ ListBackupPlans Rufen Sie eine Liste aller aktiven Backup-Pläne in Ihrem ab. AWS-Konto
Grundstein_ GetModelInvocationLoggingConfiguration Erfassen Sie eine Momentaufnahme der aktuellen Konfigurationswerte für die Protokollierung von Modellaufrufen für Modelle in Ihrem. AWS-Konto
cloudfront_ ListDistributions

Rufen Sie eine Liste aller Distributionen in Ihrem ab. AWS-Konto

cloudtrail_ DescribeTrails

Erfasst einen Snapshot der Einstellungen für einen oder mehrere Trails, die mit der aktuellen Region für Ihr AWS-Konto verknüpft sind.
CloudTrail_ ListTrails Rufen Sie eine Liste der Trails ab, die sich in Ihrem befinden. AWS-Konto

cloudwatch_ DescribeAlarms

Erfasst einen Konfigurations-Snapshot der Alarme, die für Ihr AWS-Konto verwendet werden.
konfigurieren_ DescribeConfigRules Rufen Sie Details zu Ihren AWS Config Regeln ab.
config_ DescribeDeliveryChannels Erfasst einen Konfigurations-Snapshot für die Lieferkanäle in Ihrem AWS-Konto.
direktverbinden_ DescribeDirectConnectGateways Rufen Sie eine Liste all Ihrer Gateways ab. AWS Direct Connect
directconnect_ DescribeVirtualGateways Ruft eine Liste der Virtual Private Gateways ab, die zum AWS-Konto gehören.
docdb_ DescribeCertificates Erfasst eine Liste von Zertifikaten für Ihr AWS-Konto.
docDB_BeschriebenDB ClusterParameterGroups Erfasst eine Liste mit DBCLusterParameterGroup-Beschreibungen für Ihr AWS-Konto.
docdb_DescribeDBInstances Erfasst Informationen über bereitgestellte Amazon-DynamoDB-Instances für Ihr AWS-Konto.

Cloudwatch_ DescribeAlarms

Sammeln Sie Informationen über die Alarme in Ihrem. AWS-Konto

cloudtrail_ DescribeTrails

Erstelle eine Momentaufnahme der Einstellungen für einen oder mehrere Trails, die mit deinem verknüpft sind. AWS-Konto

dynamodb_ DescribeTable

Erfasst Konfigurations-Snapshots für die DynamoDB-Tabellen in Ihrem AWS-Konto.

Wenn Sie diese API als Datenquelle verwenden, müssen Sie nicht den Namen einer bestimmten DynamoDB-Tabelle angeben. Stattdessen verwendet Audit Manager den ListTables-Vorgang, um alle Ihre Tabellen aufzulisten. Für jede aufgelistete Tabelle führt Audit Manager dann den DescribeTable-Vorgang aus, um Beweise für diese Ressource zu generieren.

dynamodb_ ListBackups Ruft eine Liste der DynamoDB-Backups ab, die mit Ihrem AWS-Konto verknüpft sind.

dynamodb_ ListTables

Ruft eine Liste aller Tabellennamen ab, die mit Ihrem AWS-Konto und Ihrem aktuellen Endpunkt verknüpft sind.
ec2_ DescribeAddresses Erstellt einen Snapshot Ihrer Elastic-IP-Adressen.
ec2_ DescribeCustomerGateways Erfasst einen Snapshot Ihrer VPN-Kunden-Gateways.
ec2_ DescribeEgressOnlyInternetGateways Erfasst einen Snapshot Ihrer Internet-Gateways für ausgehenden Datenverkehr.

ec2_ DescribeFlowLogs

Erfasst einen Snapshot Ihrer Flussprotokolle.

ec2_ DescribeInstances

Erfasst einen Snapshot Ihrer Instances.
ec2_ DescribeInternetGateways Erfasst einen Snapshot Ihrer Internet-Gateways.
ec2_ DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations Sammeln Sie eine Beschreibung der Verknüpfungen zwischen den virtuellen Schnittstellengruppen und den lokalen Gateway-Routentabellen in Ihrem. AWS-Konto
ec2_ DescribeLocalGateways Erfasst einen Snapshot Ihrer lokalen Gateways.
ec2_ DescribeLocalGatewayVirtualInterfaces Erfasst einen Snapshot der virtuellen Schnittstellen Ihres lokalen Gateways.
ec2_ DescribeNatGateways Erfasst einen Snapshot Ihrer NAT-Gateways.

ec2_ DescribeNetworkAcls

Erfasst einen Snapshot Ihrer Netzwerk-ACLs.

ec2_ DescribeRouteTables

Erfasst einen Snapshot Ihrer Routing-Tabellen.

ec2_ DescribeSecurityGroups

Erfasst einen Snapshot Ihrer Sicherheitsgruppen.
ec2_ DescribeSecurityGroupRules Erstellen Sie einen Snapshot einer oder mehrerer Ihrer Sicherheitsgruppenregeln.
ec2_ DescribeTransitGateways Erfasst einen Snapshot Ihrer Transit-Gateways.

ec2_ DescribeVolumes

Erfasst einen Snapshot Ihrer VPC-Endpunkte.

ec2_ DescribeVpcs

Erfasst einen Snapshot Ihrer VPCs.

ec2_ DescribeVpcEndpoints

Erfasst einen Snapshot Ihrer VPC-Endpunkte.
ec2_ DescribeVpcEndpointConnections Erfassen Sie einen Snapshot der VPC-Endpunktverbindungen zu Ihren VPC-Endpunktdiensten, einschließlich aller Endpunkte, deren Annahme noch aussteht.
ec2_ DescribeVpcEndpointServiceConfigurations Erfassen Sie einen Snapshot der VPC-Endpunktdienstkonfigurationen in Ihrem AWS-Konto.
ec2_ DescribeVpcPeeringConnections Erfasst einen Snapshot Ihrer VPN-Verbindungen.
ec2_ DescribeVpnConnections Erfasst einen Snapshot Ihrer VPN-Verbindungen.
ec2_ DescribeVpnGateways Erfasst einen Snapshot Ihrer virtuellen privaten Gateways.
ec2_ GetEbsDefaultKmsKeyId Erstellen Sie einen Snapshot der Standardwerte AWS KMS key für die EBS-Verschlüsselung AWS-Konto in Ihrer aktuellen Region.
ec2_ GetEbsEncryptionByDefault Beschreibt, ob die EBS-Verschlüsselung standardmäßig für Ihr AWS-Konto in der aktuellen Region aktiviert ist.
ecs_ DescribeClusters Erfasst einen Snapshot Ihrer ECS-Cluster.
eks_ DescribeAddonVersions Erfasst einen Snapshot Ihrer Add-on-Versionen.
elastischer Cache_ DescribeCacheClusters Erfasst einen Snapshot Ihrer bereitgestellten Cluster.
elastische_ DescribeServiceUpdates Erfassen Sie eine Momentaufnahme der Service-Updates für Amazon ElastiCache.
elastisches Dateisystem_ DescribeAccessPoints Erfassen Sie einen Snapshot der Amazon EFS-Zugriffspunkte in Ihrem AWS-Konto.

elastisches Dateisystem_ DescribeFileSystems

Erfasst einen Snapshot Ihrer Amazon EFS-Dateisysteme.
elastischer Lastenausgleich v2_ DescribeLoadBalancers

Erfassen Sie einen Snapshot der Load Balancer in Ihrem. AWS-Konto

elasticloadbalancingv2_DescribeSSLPolicies Erfasst einen Snapshot der Richtlinien, die Sie für die SSL-Aushandlung verwenden.
elastischer Lastenausgleich v2_ DescribeTargetGroups Erfasst einen Snapshot Ihrer ELB-Zielgruppen.
elastisches MapReduce_ ListSecurityConfigurations Ruft eine Liste der Sicherheitskonfigurationen, die für Ihr AWS-Konto sichtbar sind, zusammen mit Datum und Uhrzeit der Erstellung sowie ihrer Namen ab.
Veranstaltungen_ ListConnections Rufen Sie eine Liste der EventBridge Amazon-Verbindungen in Ihrem ab AWS-Konto.
Veranstaltungen_ ListEventBuses Rufen Sie eine Liste der EventBridge Amazon-Eventbusse in Ihrem System ab AWS-Konto, einschließlich des Standard-Event-Busses, benutzerdefinierter Event-Busse und Partner-Eventbusse.
Veranstaltungen_ ListEventSources Ruft eine Liste der Partner-Ereignisquellen ab, die mit Ihrem AWS-Konto geteilt wurden.
Veranstaltungen_ ListRules Rufen Sie eine Liste Ihrer EventBridge Amazon-Regeln ab.
firehose_ ListDeliveryStreams Ruft eine Liste Ihrer Bereitstellungsstreams ab.
fsx_ DescribeFileSystems Erfasst einen Snapshot der Dateisysteme, die Ihrem AWS-Konto angehören.
Wachdienst_ ListDetectors

Rufen Sie eine Liste der Ressourcen detectorIds für Ihren GuardDuty Amazon-Detektor ab.

Ich bin _ GenerateCredentialReport

Generiert einen Bericht über Anmeldeinformationen für Ihr AWS-Konto.

ich bin_ GetAccountPasswordPolicy

Erfasst einen Snapshot über die Passwortrichtlinie für Ihr AWS-Konto.

ich bin_ GetAccountSummary

Erfasst einen Snapshot der IAM-Entity-Nutzung und der IAM-Kontingente in Ihrem AWS-Konto.

ich bin_ ListGroups

Rufen Sie eine Liste der IAM-Gruppen ab, denen ein Pfadpräfix zugeordnet ist, das in Ihrem verfügbar ist. AWS-Konto
iam_ ID ListOpen ConnectProviders Ruft eine Liste der Ressourcenobjekte des IAM OpenID Connect (OIDC)-Anbieters ab, die in Ihrem AWS-Konto definiert sind.

ich bin_ ListPolicies

Ruft eine Liste aller verwalteten Richtlinien auf, die in Ihrem AWS-Konto verfügbar sind, einschließlich der benutzerdefinierten verwalteten Richtlinien und aller von AWS-verwalteten Richtlinien.

ich bin_ ListRoles

Rufen Sie eine Liste der IAM-Rollen ab, die einem Pfadpräfix zugeordnet sind, das in Ihrem verfügbar ist. AWS-Konto
iam_ListSAMLProviders Ruft eine Liste der Ressourcenobjekte des SAML-Anbieters ab, die in IAM in Ihrem AWS-Konto definiert sind.

iam_ ListUsers

Rufen Sie eine Liste der IAM-Benutzer in Ihrem ab. AWS-Konto
iam_ MFA-Geräte ListVirtual Ruft eine Liste der virtuellen MFA-Geräte ab, die in Ihrem AWS-Konto definiert sind.
kafka_ ListClusters Rufen Sie eine Liste der Amazon MSK-Cluster in Ihrem AWS-Konto ab.
kafka_ ListKafkaVersions Ruft eine Liste der Objekte der Apache Kafka-Version in Ihrem AWS-Konto ab.
Kinese_ ListStreams Ruft eine Liste Ihrer Kinesis-Datenströme ab.

kms_ GetKeyPolicy

Audit Manager verwendet diese API, um einen Snapshot über die Schlüsselrichtlinien für das AWS KMS keys in Ihrem AWS-Konto zu erfassen.

Wenn Sie diese API als Datenquelle verwenden, müssen Sie nicht den Namen einer bestimmten API angeben. AWS KMS key Stattdessen verwendet Audit Manager den ListKeys-Vorgang, um alle Ihre KMS-Schlüssel aufzulisten. Für jeden aufgelisteten KMS-Schlüssel führt Audit Manager dann den GetKeyPolicy-Vorgang aus, um Beweise für diese Ressource zu generieren.

kms_ GetKeyRotationStatus

Audit Manager verwendet diese API, um eine Momentaufnahme darüber zu sammeln, ob die automatische Rotation für die AWS KMS keys in Ihrem aktiviert ist AWS-Konto.

Wenn Sie diese API als Datenquelle verwenden, müssen Sie nicht den Namen einer bestimmten API angeben AWS KMS key. Stattdessen verwendet Audit Manager den ListKeys-Vorgang, um alle Ihre KMS-Schlüssel aufzulisten. Für jeden aufgelisteten KMS-Schlüssel führt Audit Manager dann den GetKeyRotationStatus-Vorgang aus, um Beweise für diese Ressource zu generieren.

kms_ ListKeys Rufen Sie eine Liste der AWS KMS keys in Ihrem ab. AWS-Konto
Lambda_ ListFunctions Rufen Sie eine Liste der Lambda-Funktionen in Ihrem ab AWS-Konto, mit der jeweiligen versionsspezifischen Konfiguration.
rds_DescribeDBClusters Erfassen Sie einen Snapshot der vorhandenen Amazon Aurora Aurora-DB-Cluster und Multi-AZ-DB-Cluster in Ihrem AWS-Konto.

rds_DescribeDBInstances

Erfasst einen Snapshot der bereitgestellten RDS-Instances in Ihrem AWS-Konto.
rds_ DescribeDbInstanceAutomatedBackups Erfassen Sie einen Snapshot der Backups sowohl für aktuelle als auch für gelöschte Instanzen in Ihrem. AWS-Konto
rds_ DescribeDbSecurityGroups Sammeln Sie einen Snapshot der Datenbank SecurityGroups in Ihrem. AWS-Konto

redshift_ DescribeClusters

Erfasst einen Snapshot des bereitgestellten Amazon-Redshift-Clusters in Ihrem AWS-Konto.

s3_ GetBucketEncryption

Erfasst einen Snapshot, der die Standardverschlüsselungskonfiguration für Ihre S3-Buckets zeigt.

Wenn Sie diese API als Datenquelle verwenden, müssen Sie nicht den Namen eines bestimmten S3-Buckets angeben. Stattdessen verwendet Audit Manager den ListBuckets-Vorgang, um alle Ihre Buckets aufzulisten. Für jeden aufgelisteten Bucket führt Audit Manager dann den GetBucketEncryption-Vorgang aus, um Beweise für diese Ressource zu generieren.

Audit Manager kann den Verschlüsselungsstatus nur für Buckets angeben, die in derselben Weise AWS-Region wie Ihre Bewertung erstellt wurden. Wenn Sie den Verschlüsselungsstatus all Ihrer S3-Buckets in mehreren einsehen möchten, empfehlen wir Ihnen AWS-Regionen, in jedem Bucket, in AWS-Region dem Sie über einen S3-Bucket verfügen, eine Bewertung zu erstellen.

s3_ ListBuckets

Rufen Sie eine Liste der S3-Buckets in Ihrem ab. AWS-Konto
Sagemaker_ ListAlgorithms Rufen Sie eine Liste der Algorithmen für maschinelles Lernen in Ihrem ab. AWS-Konto
Sagemaker_ ListDomains Rufen Sie eine Liste der Domains in Ihrem ab. AWS-Konto
Sagemaker_ ListEndpoints Rufen Sie eine Liste der Endpunkte in Ihrem ab. AWS-Konto
Sagemaker_ ListEndpointConfigs Rufen Sie eine Liste der Endpunktkonfigurationen in Ihrem ab. AWS-Konto
sagemaker_ ListFlowDefinitions Rufen Sie eine Liste der Flow-Definitionen in Ihrem ab. AWS-Konto
Sagemaker_ ListHumanTaskUis Rufen Sie eine Liste der Benutzeroberflächen für menschliche Aufgaben in Ihrem ab. AWS-Konto
Sagemaker_ ListLabelingJobs Rufen Sie eine Liste der Kennzeichnungsaufträge in Ihrem ab. AWS-Konto
Sagemaker_ ListModels Rufen Sie eine Liste der Modelle in Ihrem ab. AWS-Konto
Sagemaker_ ListModelBiasJobDefinitions Rufen Sie eine Liste der Model Bias-Jobdefinitionen in Ihrem ab. AWS-Konto
Sagemaker_ ListModelCards Rufen Sie eine Liste der Modellkarten in Ihrem ab. AWS-Konto
Sagemaker_ ListModelQualityJobDefinitions Rufen Sie eine Liste der Jobdefinitionen zur Überwachung der Modellqualität in Ihrem ab. AWS-Konto
Sagemaker_ ListMonitoringAlerts Ruft eine Liste der Warnungen für einen bestimmten Überwachungsplan ab.
sagemaker_ ListMonitoringSchedules Rufen Sie eine Liste aller Überwachungspläne in Ihrem ab. AWS-Konto
Sagemaker_ ListTrainingJobs Rufen Sie eine Liste der Ausbildungsjobs in Ihrem ab. AWS-Konto
Sagemaker_ ListUserProfiles Rufen Sie eine Liste von Benutzerprofilen in Ihrem ab. AWS-Konto
secretsmanager_ ListSecrets Rufen Sie eine Liste der Geheimnisse ab, die in Ihrem gespeichert sind AWS-Konto, ohne Geheimnisse, die zum Löschen markiert sind.
sns_ ListTopics Rufen Sie eine Liste der SNS-Themen in Ihrem ab. AWS-Konto
sqs_ ListQueues Rufen Sie eine Liste der SQS-Warteschlangen in Ihrem ab. AWS-Konto
waf-regional_ ListWebAcls Rufen Sie eine Liste der WebACLSummary-Objekte für Ihre ab. AWS-Konto
waf-regional_ ListRules Rufen Sie eine Liste der Objekte für Sie ab. RuleSummary AWS-Konto
waf_ ListRuleGroups Rufen Sie eine Liste der RuleGroupSummaryObjekte für die Regelgruppen in Ihrem AWS-Konto ab.
waf_ ListRules Rufen Sie eine Liste der RuleSummaryObjekte für Sie AWS-Konto ab.
waf_ ListWebAcls Rufen Sie eine Liste der WebACLSummary-Objekte für Ihre ab. AWS-Konto

API-Aufrufe, die im AWS License Manager -Standard-Framework verwendet werden

Im AWS License Manager-Standard-Framework verwendet Audit Manager eine benutzerdefinierte Aktivität mit dem Namen GetLicenseManagerSummary, um Beweise zu sammeln. Diese Aktivität ruft die folgenden drei License-Manager-APIs auf:

Die zurückgegebenen Daten werden dann in Beweise umgewandelt und den entsprechenden Kontrollen in Ihrer Bewertung beigefügt.

Beispiel

Nehmen wir an, Sie verwenden zwei lizenzierte Produkte (SQL Dienst 2017 und Oracle Database Enterprise Edition). Zunächst ruft die GetLicenseManagerSummary Aktivität die ListLicenseConfigurationsAPI auf, die Einzelheiten zu den Lizenzkonfigurationen in Ihrem Konto bereitstellt. Als Nächstes fügt sie zusätzliche Kontextdaten für jede Lizenzkonfiguration hinzu, indem sie und aufruft ListUsageForLicenseConfiguration. ListAssociationsForLicenseConfiguration Schließlich werden die Lizenzkonfigurationsdaten in Beweise umgewandelt und an die jeweiligen Kontrollen im Framework angehängt (4.5 – vom Kunden verwaltete Lizenz für SQL Server 2017 und 3.0.4 – vom Kunden verwaltete Lizenz für Oracle Database Enterprise Edition).

Wenn Sie ein lizenziertes Produkt verwenden, das durch keine der Kontrollen im Framework abgedeckt wird, werden diese Lizenzkonfigurationsdaten als Beweis an die folgende Kontrolle angehängt: 5.0 – Vom Kunden verwaltete Lizenz für andere Lizenzen.

Weitere Ressourcen