AWS Audit Managersteht neuen Kunden nicht mehr offen. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter Änderung der AWS Audit Manager Verfügbarkeit.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfiguration Ihres Standardziels für Bewertungsberichte
Wenn Sie einen Bewertungsbericht generieren, veröffentlicht Audit Manager den Bericht im S3-Bucket Ihrer Wahl. Dieser S3-Bucket wird als bezeichnetassessment report destination. Sie können den S3-Bucket auswählen, in dem Audit Manager Ihre Bewertungsberichte speichert.
Voraussetzungen
Konfigurationstipps für das Ziel Ihres Bewertungsberichts
Um die erfolgreiche Erstellung Ihres Bewertungsberichts sicherzustellen, empfehlen wir Ihnen, die folgenden Konfigurationen für Ihr Bewertungsberichtziel zu verwenden.
- Same-Region Eimer
-
Wir empfehlen, einen S3-Bucket zu verwenden, der sich im selben AWS-Region wie Ihre Bewertung befindet. Wenn Sie einen Bucket und eine Bewertung in derselben Region verwenden, kann Ihr Bewertungsbericht bis zu 22.000 Nachweiselemente enthalten. Umgekehrt können bei Verwendung eines regionsübergreifenden Buckets und einer regionsübergreifenden Bewertung nur 3.500 Nachweiselemente berücksichtigt werden.
- AWS-Region
-
Der AWS-Region von Ihrem Kunden verwaltete Schlüssel (falls Sie einen angegeben haben) muss mit der Region Ihrer Bewertung und dem Ziel-S3-Bucket Ihres Bewertungsberichts übereinstimmen. Anweisungen zum Ändern des KMS-Schlüssels finden Sie unterKonfiguration Ihrer Datenverschlüsselungseinstellungen. Eine Liste der unterstützen Regionen für Audit Manager finden Sie unter AWS Audit ManagerEndpunkte und Kontingente in Allgemeine Amazon Web Services-Referenz.
- S3-Bucket-Verschlüsselung
-
Wenn Ihr Bewertungsberichtziel über eine Bucket-Richtlinie verfügt, die serverseitige Verschlüsselung (SSE) erfordert SSE-KMS, muss der in dieser Bucket-Richtlinie verwendete KMS-Schlüssel mit dem KMS-Schlüssel übereinstimmen, den Sie in Ihren Audit Manager Manager-Datenverschlüsselungseinstellungen konfiguriert haben. Wenn Sie in Ihren Audit Manager Manager-Einstellungen keinen KMS-Schlüssel konfiguriert haben und Ihre Ziel-Bucket-Richtlinie für den Bewertungsbericht SSE erfordert, stellen Sie sicher, dass die Bucket-Richtlinie dies zulässt SSE-S3. Anweisungen zur Konfiguration des KMS-Schlüssels, der für die Datenverschlüsselung verwendet wird, finden Sie unterKonfiguration Ihrer Datenverschlüsselungseinstellungen.
- Cross-account S3-Buckets
-
Die Verwendung eines kontoübergreifenden S3-Buckets als Ziel für Ihren Bewertungsbericht wird in der Audit Manager-Konsole nicht unterstützt. Sie können mithilfe des AWS CLI oder eines der AWS SDKs einen kontoübergreifenden Bucket als Ziel für Ihren Bewertungsbericht angeben. Der Einfachheit halber empfehlen wir jedoch, dies nicht zu tun.
Tipp
Für optimale Sicherheit und Leistung empfehlen wir, einen S3-Bucket in demselben AWS Konto und derselben Region wie Ihre Bewertung zu verwenden.
Wenn Sie sich dafür entscheiden, einen kontoübergreifenden S3-Bucket als Ziel für Ihren Bewertungsbericht zu verwenden, sollten Sie die folgenden Punkte berücksichtigen.
-
Standardmäßig gehören S3-Objekte — wie z. B. Bewertungsberichte — demjenigen, der das Objekt hochlädt. AWS-Konto Sie können die Einstellung S3 Object Ownership verwenden, um dieses Standardverhalten so zu ändern, dass alle neuen Objekte, die von Konten mit der
bucket-owner-full-controlvordefinierten Zugriffssteuerungsliste (Access Control List, ACL) geschrieben werden, automatisch in den Besitz des Bucket-Eigentümers übergehen.Dies ist zwar keine Voraussetzung, wir empfehlen Ihnen jedoch, die folgenden Änderungen an Ihren kontoübergreifenden Bucket-Einstellungen vorzunehmen. Durch diese Änderungen wird sichergestellt, dass der Bucket-Besitzer die volle Kontrolle über die Bewertungsberichte hat, die Sie in seinem Bucket veröffentlichen.
-
Setzen Sie den Objekteigentum des S3-Buckets auf Bucket Owner Preferred und nicht auf den standardmäßigen Objektschreiber
-
Fügen Sie eine Bucket-Richtlinie hinzu, um sicherzustellen, dass Objekte, die in diesen Bucket hochgeladen werden, den
bucket-owner-full-controlACL haben
-
-
Damit Audit Manager Berichte in einem kontoübergreifenden S3-Bucket veröffentlichen kann, müssen Sie Ihrem Bewertungsberichtziel die folgende S3-Bucket-Richtlinie hinzufügen. Ersetzen Sie
placeholder textdurch Ihre Informationen. DasPrincipalElement in dieser Richtlinie ist der Benutzer oder die Rolle, die für die Bewertung verantwortlich ist und die den Bewertungsbericht erstellt. DerResourcegibt den kontoübergreifenden S3-Bucket an, in dem der Bericht veröffentlicht wird.
-
Bewährte Sicherheitsmethoden für Ihr Ziel für Bewertungsberichte
Audit Manager validiert nicht den Besitz eines S3-Buckets. Dadurch entsteht ein Risiko, wenn der Bucket gelöscht und durch einen anderen Bucket neu erstellt wird AWS-Konto (sogenanntes Bucket-Sniping). Ein Risiko besteht auch, wenn eine nicht autorisierte Partei vor Ihnen einen Bucket mit einem erwarteten Namen erstellt (bekannt als Bucket Squatting). In beiden Fällen veröffentlicht Audit Manager weiterhin Bewertungsberichte in diesem Bucket. Der Service erkennt den Eigentümerwechsel nicht. Im Rahmen des Modells der AWS gemeinsamen Verantwortung
Um Ihre Bewertungsberichte zu schützen, empfehlen wir Ihnen, eine oder mehrere der folgenden Kontrollen zu implementieren.
- Beschränken Sie S3-Aktionen mithilfe des
s3:ResourceAccountBedingungsschlüssels auf vertrauenswürdige Konten -
Fügen Sie der IAM-Richtlinie eine
s3:ResourceAccountBedingung hinzu, die an die Identität angehängt ist, die Audit Manager zur Veröffentlichung von Bewertungsberichten verwendet. Diese Bedingung verhindert, dass die Identität in Buckets schreibt, die anderen als den von Ihnen angegebenen Konten gehören. Die Bedingung gilt unabhängig von der eigenen Zugriffsrichtlinie des Buckets.Weitere Informationen finden Sie unter Beschränken des Zugriffs auf Amazon S3 S3-Buckets, die bestimmten AWS-Konten gehören
. - Beschränken Sie S3-Aktionen mithilfe von SCPs auf Ihre Organisation
-
Wenn Sie dies verwenden, erstellen Sie eine Service Control Policy (SCP), die S3-Aktionen für Ressourcen außerhalb Ihrer Organisation verweigert. Die folgende Beispielrichtlinie verweigert alle S3-Aktionen für Ressourcen außerhalb Ihrer Organisation. Die Bedingung überprüft, ob die
aws:ResourceOrgIDmit Ihrer Organisations-ID übereinstimmt.{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyS3ActionsOutsideOrganization", "Effect": "Deny", "Action": "s3:*", "Resource": "*", "Condition": { "StringNotEquals": { "aws:ResourceOrgID": "o-xxxxxxxxxx" } } } ] }Ersetze es
o-xxxxxxxxxxdurch deine Organisations-ID. Weitere Informationen finden Sie unter aws: ResourceOrg ID im IAM-Benutzerhandbuch. - Verwenden Sie einen vom Kunden verwalteten KMS-Schlüssel für die Datenverschlüsselung
-
Wenn Sie Audit Manager so konfigurieren, dass ein vom Kunden verwalteter Schlüssel für die Datenverschlüsselung verwendet wird, verschlüsselt Audit Manager die Bewertungsberichte, bevor sie in Amazon S3 geschrieben werden. Wenn ein Bericht in einem Bucket veröffentlicht wird, der einer nicht autorisierten Partei gehört, bleibt der Berichtsinhalt verschlüsselt. Der Inhalt ist ohne Zugriff auf Ihren KMS-Schlüssel nicht lesbar. Detaillierte Anweisungen finden Sie unter Konfiguration Ihrer Datenverschlüsselungseinstellungen.
- Verwenden Sie S3-Buckets im regionalen Namespace Ihres Kontos
-
S3-Buckets, die im regionalen Namespace Ihres Kontos erstellt wurden, enthalten Ihre AWS-Konto ID und AWS-Region den Bucket-Namen. Diese Buckets können nicht von einem anderen Konto erstellt werden, wodurch das Risiko eines Bucket-Snipings ausgeschlossen ist. Weitere Informationen finden Sie unter Account-level Bucket-Namespaces im Amazon Simple Storage Service-Benutzerhandbuch.
Verfahren
Sie können diese Einstellung mit der Audit Manager Manager-Konsole, der AWS Command Line Interface (AWS CLI) oder der Audit Manager Manager-API aktualisieren.