Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS API-Aufrufe werden unterstützt von AWS Audit Manager
Sie können Audit Manager verwenden, um Schnappschüsse Ihrer AWS Umgebung als Nachweis für Audits zu erfassen. Wenn Sie ein benutzerdefiniertes Steuerelement erstellen oder bearbeiten, können Sie einen oder mehrere AWS API-Aufrufe als Datenquellenzuordnung für die Erfassung von Nachweisen angeben. Audit Manager führt dann API-Aufrufe an die entsprechenden AWS-Services Personen durch und sammelt eine Momentaufnahme der Konfigurationsdetails für Ihre AWS Ressourcen.
Für jede Ressource, die in den Geltungsbereich eines API-Aufrufs fällt, erfasst Audit Manager einen Konfigurations-Snapshot und wandelt ihn in Beweise um. Dies führt zu einem Beweis pro Ressource, im Gegensatz zu einem Beweis pro API-Aufruf.
Wenn der ec2_DescribeRouteTables-API-Aufruf beispielsweise Konfigurations-Snapshots aus fünf Routing-Tabellen erfasst, erhalten Sie insgesamt fünf Beweise für den einzelnen API-Aufruf. Jeder Beweis ist eine Momentaufnahme der Konfiguration einer einzelnen Routing-Tabelle.
Themen
Wichtige Punkte
Paginierte API-Aufrufe
Viele AWS-Services sammeln und speichern eine große Datenmenge. Wenn ein list, describe oder get API-Aufruf versucht, Ihre Daten zurückzugeben, kann es daher zu vielen Ergebnissen kommen. Wenn die Datenmenge zu groß ist, um sie in einer einzigen Antwort zurückzugeben, können die Ergebnisse mithilfe einer Seitennummerierung in überschaubarere Teile aufgeteilt werden. Dadurch werden die Ergebnisse in „Seiten“ mit Daten aufgeteilt, sodass die Antworten einfacher zu handhaben sind.
Einige davon Unterstützte API-Aufrufe für benutzerdefinierte Kontrolldatenquellen sind paginiert. Das bedeutet, dass sie zunächst Teilergebnisse zurückgeben und nachfolgende Anfragen erfordern, um die gesamte Ergebnismenge zurückzugeben. Beispielsweise gibt der Amazon RDS-Vorgang DescribeDBInstances bis zu 100 Instances gleichzeitig zurück, und nachfolgende Anfragen sind erforderlich, um die nächste Ergebnisseite zurückzugeben.
Ab dem 08. März 2023 unterstützt Audit Manager paginierte API-Aufrufe als Datenquelle für die Beweiserhebung. Wenn bisher ein paginierter API-Aufruf als Datenquelle verwendet wurde, wurde in der API-Antwort nur eine Teilmenge Ihrer Ressourcen zurückgegeben (bis zu 100 Ergebnisse). Jetzt ruft Audit Manager den paginierten API-Vorgang mehrmals auf und ruft jede Ergebnisseite ab, bis alle Ressourcen zurückgegeben wurden. Für jede Ressource erfasst Audit Manager dann einen Konfigurations-Snapshot und speichert ihn als Beweis. Da Ihre gesamten Ressourcen jetzt in der API-Antwort erfasst sind, ist es wahrscheinlich, dass Sie nach dem 08. März 2023 eine Zunahme der gesammelten Beweise feststellen werden.
Audit Manager übernimmt die Paginierung von API-Aufrufen automatisch für Sie. Wenn Sie eine benutzerdefinierte Kontrolle erstellen, die einen paginierten API-Aufruf als Datenquelle verwendet, müssen Sie keine Paginierungsparameter angeben.
Unterstützte API-Aufrufe für benutzerdefinierte Kontrolldatenquellen
In Ihren benutzerdefinierten Kontrollen können Sie jeden der folgenden API-Aufrufe als Datenquelle verwenden. Audit Manager kann diese API-Aufrufe dann verwenden, um Nachweise über Ihre AWS Nutzung zu sammeln.
| Unterstützter API-Aufruf | Wie Audit Manager diese API verwendet, um Nachweise zu erfassen |
|---|---|
| acm_ GetAccountConfiguration | Erstellt einen Überblick über die Kontokonfigurationsoptionen, die mit Ihrem AWS-Konto verknüpft sind. |
| acm_ ListCertificates | Ruft eine Liste mit Zertifikat-ARNs und Domainnamen ab. |
| Autoskalierung_ DescribeAutoScalingGroups | Sammeln Sie einen Snapshot über die Auto Scaling Scaling-Gruppen in Ihrem AWS-Konto. |
| backup_ ListBackupPlans | Rufen Sie eine Liste aller aktiven Backup-Pläne in Ihrem ab. AWS-Konto |
| Grundstein_ GetModelInvocationLoggingConfiguration | Erfassen Sie eine Momentaufnahme der aktuellen Konfigurationswerte für die Protokollierung von Modellaufrufen für Modelle in Ihrem. AWS-Konto |
| cloudfront_ ListDistributions |
Rufen Sie eine Liste aller Distributionen in Ihrem ab. AWS-Konto |
| Erfasst einen Snapshot der Einstellungen für einen oder mehrere Trails, die mit der aktuellen Region für Ihr AWS-Konto verknüpft sind. | |
| CloudTrail_ ListTrails | Rufen Sie eine Liste der Trails ab, die sich in Ihrem befinden. AWS-Konto |
| Erfasst einen Konfigurations-Snapshot der Alarme, die für Ihr AWS-Konto verwendet werden. | |
| konfigurieren_ DescribeConfigRules | Rufen Sie Details zu Ihren AWS Config Regeln ab. |
| config_ DescribeDeliveryChannels | Erfasst einen Konfigurations-Snapshot für die Lieferkanäle in Ihrem AWS-Konto. |
| direktverbinden_ DescribeDirectConnectGateways | Rufen Sie eine Liste all Ihrer Gateways ab. AWS Direct Connect |
| directconnect_ DescribeVirtualGateways | Ruft eine Liste der Virtual Private Gateways ab, die zum AWS-Konto gehören. |
| docdb_ DescribeCertificates | Erfasst eine Liste von Zertifikaten für Ihr AWS-Konto. |
| docDB_BeschriebenDB ClusterParameterGroups | Erfasst eine Liste mit DBCLusterParameterGroup-Beschreibungen für Ihr AWS-Konto. |
| docdb_DescribeDBInstances | Erfasst Informationen über bereitgestellte Amazon-DynamoDB-Instances für Ihr AWS-Konto. |
| Sammeln Sie Informationen über die Alarme in Ihrem. AWS-Konto | |
| Erstelle eine Momentaufnahme der Einstellungen für einen oder mehrere Trails, die mit deinem verknüpft sind. AWS-Konto | |
|
Erfasst Konfigurations-Snapshots für die DynamoDB-Tabellen in Ihrem AWS-Konto. Wenn Sie diese API als Datenquelle verwenden, müssen Sie nicht den Namen einer bestimmten DynamoDB-Tabelle angeben. Stattdessen verwendet Audit Manager den |
|
| dynamodb_ ListBackups | Ruft eine Liste der DynamoDB-Backups ab, die mit Ihrem AWS-Konto verknüpft sind. |
| Ruft eine Liste aller Tabellennamen ab, die mit Ihrem AWS-Konto und Ihrem aktuellen Endpunkt verknüpft sind. | |
| ec2_ DescribeAddresses | Erstellt einen Snapshot Ihrer Elastic-IP-Adressen. |
| ec2_ DescribeCustomerGateways | Erfasst einen Snapshot Ihrer VPN-Kunden-Gateways. |
| ec2_ DescribeEgressOnlyInternetGateways | Erfasst einen Snapshot Ihrer Internet-Gateways für ausgehenden Datenverkehr. |
| Erfasst einen Snapshot Ihrer Flussprotokolle. | |
| Erfasst einen Snapshot Ihrer Instances. | |
| ec2_ DescribeInternetGateways | Erfasst einen Snapshot Ihrer Internet-Gateways. |
| ec2_ DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations | Sammeln Sie eine Beschreibung der Verknüpfungen zwischen den virtuellen Schnittstellengruppen und den lokalen Gateway-Routentabellen in Ihrem. AWS-Konto |
| ec2_ DescribeLocalGateways | Erfasst einen Snapshot Ihrer lokalen Gateways. |
| ec2_ DescribeLocalGatewayVirtualInterfaces | Erfasst einen Snapshot der virtuellen Schnittstellen Ihres lokalen Gateways. |
| ec2_ DescribeNatGateways | Erfasst einen Snapshot Ihrer NAT-Gateways. |
| Erfasst einen Snapshot Ihrer Netzwerk-ACLs. | |
| Erfasst einen Snapshot Ihrer Routing-Tabellen. | |
| Erfasst einen Snapshot Ihrer Sicherheitsgruppen. | |
| ec2_ DescribeSecurityGroupRules | Erstellen Sie einen Snapshot einer oder mehrerer Ihrer Sicherheitsgruppenregeln. |
| ec2_ DescribeTransitGateways | Erfasst einen Snapshot Ihrer Transit-Gateways. |
| Erfasst einen Snapshot Ihrer VPC-Endpunkte. | |
| Erfasst einen Snapshot Ihrer VPCs. | |
| Erfasst einen Snapshot Ihrer VPC-Endpunkte. | |
| ec2_ DescribeVpcEndpointConnections | Erfassen Sie einen Snapshot der VPC-Endpunktverbindungen zu Ihren VPC-Endpunktdiensten, einschließlich aller Endpunkte, deren Annahme noch aussteht. |
| ec2_ DescribeVpcEndpointServiceConfigurations | Erfassen Sie einen Snapshot der VPC-Endpunktdienstkonfigurationen in Ihrem AWS-Konto. |
| ec2_ DescribeVpcPeeringConnections | Erfasst einen Snapshot Ihrer VPN-Verbindungen. |
| ec2_ DescribeVpnConnections | Erfasst einen Snapshot Ihrer VPN-Verbindungen. |
| ec2_ DescribeVpnGateways | Erfasst einen Snapshot Ihrer virtuellen privaten Gateways. |
| ec2_ GetEbsDefaultKmsKeyId | Erstellen Sie einen Snapshot der Standardwerte AWS KMS key für die EBS-Verschlüsselung AWS-Konto in Ihrer aktuellen Region. |
| ec2_ GetEbsEncryptionByDefault | Beschreibt, ob die EBS-Verschlüsselung standardmäßig für Ihr AWS-Konto in der aktuellen Region aktiviert ist. |
| ecs_ DescribeClusters | Erfasst einen Snapshot Ihrer ECS-Cluster. |
| eks_ DescribeAddonVersions | Erfasst einen Snapshot Ihrer Add-on-Versionen. |
| elastischer Cache_ DescribeCacheClusters | Erfasst einen Snapshot Ihrer bereitgestellten Cluster. |
| elastische_ DescribeServiceUpdates | Erfassen Sie eine Momentaufnahme der Service-Updates für Amazon ElastiCache. |
| elastisches Dateisystem_ DescribeAccessPoints | Erfassen Sie einen Snapshot der Amazon EFS-Zugriffspunkte in Ihrem AWS-Konto. |
| Erfasst einen Snapshot Ihrer Amazon EFS-Dateisysteme. | |
| elastischer Lastenausgleich v2_ DescribeLoadBalancers |
Erfassen Sie einen Snapshot der Load Balancer in Ihrem. AWS-Konto |
| elasticloadbalancingv2_DescribeSSLPolicies | Erfasst einen Snapshot der Richtlinien, die Sie für die SSL-Aushandlung verwenden. |
| elastischer Lastenausgleich v2_ DescribeTargetGroups | Erfasst einen Snapshot Ihrer ELB-Zielgruppen. |
| elastisches MapReduce_ ListSecurityConfigurations | Ruft eine Liste der Sicherheitskonfigurationen, die für Ihr AWS-Konto sichtbar sind, zusammen mit Datum und Uhrzeit der Erstellung sowie ihrer Namen ab. |
| Veranstaltungen_ ListConnections | Rufen Sie eine Liste der EventBridge Amazon-Verbindungen in Ihrem ab AWS-Konto. |
| Veranstaltungen_ ListEventBuses | Rufen Sie eine Liste der EventBridge Amazon-Eventbusse in Ihrem System ab AWS-Konto, einschließlich des Standard-Event-Busses, benutzerdefinierter Event-Busse und Partner-Eventbusse. |
| Veranstaltungen_ ListEventSources | Ruft eine Liste der Partner-Ereignisquellen ab, die mit Ihrem AWS-Konto geteilt wurden. |
| Veranstaltungen_ ListRules | Rufen Sie eine Liste Ihrer EventBridge Amazon-Regeln ab. |
| firehose_ ListDeliveryStreams | Ruft eine Liste Ihrer Bereitstellungsstreams ab. |
| fsx_ DescribeFileSystems | Erfasst einen Snapshot der Dateisysteme, die Ihrem AWS-Konto angehören. |
| Wachdienst_ ListDetectors |
Rufen Sie eine Liste der Ressourcen |
| Generiert einen Bericht über Anmeldeinformationen für Ihr AWS-Konto. | |
| Erfasst einen Snapshot über die Passwortrichtlinie für Ihr AWS-Konto. | |
| Erfasst einen Snapshot der IAM-Entity-Nutzung und der IAM-Kontingente in Ihrem AWS-Konto. | |
| Rufen Sie eine Liste der IAM-Gruppen ab, denen ein Pfadpräfix zugeordnet ist, das in Ihrem verfügbar ist. AWS-Konto | |
| iam_ ID ListOpen ConnectProviders | Ruft eine Liste der Ressourcenobjekte des IAM OpenID Connect (OIDC)-Anbieters ab, die in Ihrem AWS-Konto definiert sind. |
| Ruft eine Liste aller verwalteten Richtlinien auf, die in Ihrem AWS-Konto verfügbar sind, einschließlich der benutzerdefinierten verwalteten Richtlinien und aller von AWS-verwalteten Richtlinien. | |
| Rufen Sie eine Liste der IAM-Rollen ab, die einem Pfadpräfix zugeordnet sind, das in Ihrem verfügbar ist. AWS-Konto | |
| iam_ListSAMLProviders | Ruft eine Liste der Ressourcenobjekte des SAML-Anbieters ab, die in IAM in Ihrem AWS-Konto definiert sind. |
| Rufen Sie eine Liste der IAM-Benutzer in Ihrem ab. AWS-Konto | |
| iam_ MFA-Geräte ListVirtual | Ruft eine Liste der virtuellen MFA-Geräte ab, die in Ihrem AWS-Konto definiert sind. |
| kafka_ ListClusters | Rufen Sie eine Liste der Amazon MSK-Cluster in Ihrem AWS-Konto ab. |
| kafka_ ListKafkaVersions | Ruft eine Liste der Objekte der Apache Kafka-Version in Ihrem AWS-Konto ab. |
| Kinese_ ListStreams | Ruft eine Liste Ihrer Kinesis-Datenströme ab. |
|
Audit Manager verwendet diese API, um einen Snapshot über die Schlüsselrichtlinien für das AWS KMS keys in Ihrem AWS-Konto zu erfassen. Wenn Sie diese API als Datenquelle verwenden, müssen Sie nicht den Namen einer bestimmten API angeben. AWS KMS key Stattdessen verwendet Audit Manager den |
|
|
Audit Manager verwendet diese API, um eine Momentaufnahme darüber zu sammeln, ob die automatische Rotation für die AWS KMS keys in Ihrem aktiviert ist AWS-Konto. Wenn Sie diese API als Datenquelle verwenden, müssen Sie nicht den Namen einer bestimmten API angeben AWS KMS key. Stattdessen verwendet Audit Manager den |
|
| kms_ ListKeys | Rufen Sie eine Liste der AWS KMS keys in Ihrem ab. AWS-Konto |
| Lambda_ ListFunctions | Rufen Sie eine Liste der Lambda-Funktionen in Ihrem ab AWS-Konto, mit der jeweiligen versionsspezifischen Konfiguration. |
| rds_DescribeDBClusters | Erfassen Sie einen Snapshot der vorhandenen Amazon Aurora Aurora-DB-Cluster und Multi-AZ-DB-Cluster in Ihrem AWS-Konto. |
| Erfasst einen Snapshot der bereitgestellten RDS-Instances in Ihrem AWS-Konto. | |
| rds_ DescribeDbInstanceAutomatedBackups | Erfassen Sie einen Snapshot der Backups sowohl für aktuelle als auch für gelöschte Instanzen in Ihrem. AWS-Konto |
| rds_ DescribeDbSecurityGroups | Sammeln Sie einen Snapshot der Datenbank SecurityGroups in Ihrem. AWS-Konto |
| Erfasst einen Snapshot des bereitgestellten Amazon-Redshift-Clusters in Ihrem AWS-Konto. | |
|
Erfasst einen Snapshot, der die Standardverschlüsselungskonfiguration für Ihre S3-Buckets zeigt. Wenn Sie diese API als Datenquelle verwenden, müssen Sie nicht den Namen eines bestimmten S3-Buckets angeben. Stattdessen verwendet Audit Manager den Audit Manager kann den Verschlüsselungsstatus nur für Buckets angeben, die in derselben Weise AWS-Region wie Ihre Bewertung erstellt wurden. Wenn Sie den Verschlüsselungsstatus all Ihrer S3-Buckets in mehreren einsehen möchten, empfehlen wir Ihnen AWS-Regionen, in jedem Bucket, in AWS-Region dem Sie über einen S3-Bucket verfügen, eine Bewertung zu erstellen. |
|
| Rufen Sie eine Liste der S3-Buckets in Ihrem ab. AWS-Konto | |
| Sagemaker_ ListAlgorithms | Rufen Sie eine Liste der Algorithmen für maschinelles Lernen in Ihrem ab. AWS-Konto |
| Sagemaker_ ListDomains | Rufen Sie eine Liste der Domains in Ihrem ab. AWS-Konto |
| Sagemaker_ ListEndpoints | Rufen Sie eine Liste der Endpunkte in Ihrem ab. AWS-Konto |
| Sagemaker_ ListEndpointConfigs | Rufen Sie eine Liste der Endpunktkonfigurationen in Ihrem ab. AWS-Konto |
| sagemaker_ ListFlowDefinitions | Rufen Sie eine Liste der Flow-Definitionen in Ihrem ab. AWS-Konto |
| Sagemaker_ ListHumanTaskUis | Rufen Sie eine Liste der Benutzeroberflächen für menschliche Aufgaben in Ihrem ab. AWS-Konto |
| Sagemaker_ ListLabelingJobs | Rufen Sie eine Liste der Kennzeichnungsaufträge in Ihrem ab. AWS-Konto |
| Sagemaker_ ListModels | Rufen Sie eine Liste der Modelle in Ihrem ab. AWS-Konto |
| Sagemaker_ ListModelBiasJobDefinitions | Rufen Sie eine Liste der Model Bias-Jobdefinitionen in Ihrem ab. AWS-Konto |
| Sagemaker_ ListModelCards | Rufen Sie eine Liste der Modellkarten in Ihrem ab. AWS-Konto |
| Sagemaker_ ListModelQualityJobDefinitions | Rufen Sie eine Liste der Jobdefinitionen zur Überwachung der Modellqualität in Ihrem ab. AWS-Konto |
| Sagemaker_ ListMonitoringAlerts | Ruft eine Liste der Warnungen für einen bestimmten Überwachungsplan ab. |
| sagemaker_ ListMonitoringSchedules | Rufen Sie eine Liste aller Überwachungspläne in Ihrem ab. AWS-Konto |
| Sagemaker_ ListTrainingJobs | Rufen Sie eine Liste der Ausbildungsjobs in Ihrem ab. AWS-Konto |
| Sagemaker_ ListUserProfiles | Rufen Sie eine Liste von Benutzerprofilen in Ihrem ab. AWS-Konto |
| secretsmanager_ ListSecrets | Rufen Sie eine Liste der Geheimnisse ab, die in Ihrem gespeichert sind AWS-Konto, ohne Geheimnisse, die zum Löschen markiert sind. |
| sns_ ListTopics | Rufen Sie eine Liste der SNS-Themen in Ihrem ab. AWS-Konto |
| sqs_ ListQueues | Rufen Sie eine Liste der SQS-Warteschlangen in Ihrem ab. AWS-Konto |
| waf-regional_ ListWebAcls | Rufen Sie eine Liste der WebACLSummary-Objekte für Ihre ab. AWS-Konto |
| waf-regional_ ListRules | Rufen Sie eine Liste der Objekte für Sie ab. RuleSummary AWS-Konto |
| waf_ ListRuleGroups | Rufen Sie eine Liste der RuleGroupSummaryObjekte für die Regelgruppen in Ihrem AWS-Konto ab. |
| waf_ ListRules | Rufen Sie eine Liste der RuleSummaryObjekte für Sie AWS-Konto ab. |
| waf_ ListWebAcls | Rufen Sie eine Liste der WebACLSummary-Objekte für Ihre ab. AWS-Konto |
API-Aufrufe, die im AWS License Manager -Standard-Framework verwendet werden
Im AWS License Manager-Standard-Framework verwendet Audit Manager eine benutzerdefinierte Aktivität mit dem Namen GetLicenseManagerSummary, um Beweise zu sammeln. Diese Aktivität ruft die folgenden drei License-Manager-APIs auf:
Die zurückgegebenen Daten werden dann in Beweise umgewandelt und den entsprechenden Kontrollen in Ihrer Bewertung beigefügt.
Beispiel
Nehmen wir an, Sie verwenden zwei lizenzierte Produkte (SQL Dienst 2017 und Oracle Database Enterprise Edition). Zunächst ruft die GetLicenseManagerSummary Aktivität die ListLicenseConfigurationsAPI auf, die Einzelheiten zu den Lizenzkonfigurationen in Ihrem Konto bereitstellt. Als Nächstes fügt sie zusätzliche Kontextdaten für jede Lizenzkonfiguration hinzu, indem sie und aufruft ListUsageForLicenseConfiguration. ListAssociationsForLicenseConfiguration Schließlich werden die Lizenzkonfigurationsdaten in Beweise umgewandelt und an die jeweiligen Kontrollen im Framework angehängt (4.5 – vom Kunden verwaltete Lizenz für SQL Server 2017 und 3.0.4 – vom Kunden verwaltete Lizenz für Oracle Database Enterprise Edition).
Wenn Sie ein lizenziertes Produkt verwenden, das durch keine der Kontrollen im Framework abgedeckt wird, werden diese Lizenzkonfigurationsdaten als Beweis an die folgende Kontrolle angehängt: 5.0 – Vom Kunden verwaltete Lizenz für andere Lizenzen.
Weitere Ressourcen
-
Hilfe bei Problemen mit der Beweiserhebung für diesen Datenquellentyp finden Sie unter. Bei meiner Bewertung werden keine Beweise für Konfigurationsdaten für einen AWS API Anruf gesammelt
-
Informationen zum Erstellen eines benutzerdefinierten Steuerelements mit diesem Datenquellentyp finden Sie unterEin benutzerdefiniertes Steuerelement erstellen in AWS Audit Manager.
-
Informationen zum Erstellen eines benutzerdefinierten Frameworks, das Ihr benutzerdefiniertes Steuerelement verwendet, finden Sie unterErstellen Sie ein benutzerdefiniertes Framework in AWS Audit Manager.
-
Informationen zum Hinzufügen Ihres benutzerdefinierten Steuerelements zu einem vorhandenen benutzerdefinierten Framework finden Sie unterBearbeiten eines benutzerdefinierten Frameworks in AWS Audit Manager.
