View a markdown version of this page

Konfiguration Ihres Standardziels für Bewertungsberichte - AWS Audit-Manager

AWS Audit Managersteht neuen Kunden nicht mehr offen. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter Änderung der AWS Audit Manager Verfügbarkeit.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration Ihres Standardziels für Bewertungsberichte

Wenn Sie einen Bewertungsbericht generieren, veröffentlicht Audit Manager den Bericht im S3-Bucket Ihrer Wahl. Dieser S3-Bucket wird als bezeichnetassessment report destination. Sie können den S3-Bucket auswählen, in dem Audit Manager Ihre Bewertungsberichte speichert.

Voraussetzungen

Konfigurationstipps für das Ziel Ihres Bewertungsberichts

Um die erfolgreiche Erstellung Ihres Bewertungsberichts sicherzustellen, empfehlen wir Ihnen, die folgenden Konfigurationen für Ihr Bewertungsberichtziel zu verwenden.

Same-Region Eimer

Wir empfehlen, einen S3-Bucket zu verwenden, der sich im selben AWS-Region wie Ihre Bewertung befindet. Wenn Sie einen Bucket und eine Bewertung in derselben Region verwenden, kann Ihr Bewertungsbericht bis zu 22.000 Nachweiselemente enthalten. Umgekehrt können bei Verwendung eines regionsübergreifenden Buckets und einer regionsübergreifenden Bewertung nur 3.500 Nachweiselemente berücksichtigt werden.

AWS-Region

Der AWS-Region von Ihrem Kunden verwaltete Schlüssel (falls Sie einen angegeben haben) muss mit der Region Ihrer Bewertung und dem Ziel-S3-Bucket Ihres Bewertungsberichts übereinstimmen. Anweisungen zum Ändern des KMS-Schlüssels finden Sie unterKonfiguration Ihrer Datenverschlüsselungseinstellungen. Eine Liste der unterstützen Regionen für Audit Manager finden Sie unter AWS Audit ManagerEndpunkte und Kontingente in Allgemeine Amazon Web Services-Referenz.

S3-Bucket-Verschlüsselung

Wenn Ihr Bewertungsberichtziel über eine Bucket-Richtlinie verfügt, die serverseitige Verschlüsselung (SSE) erfordert SSE-KMS, muss der in dieser Bucket-Richtlinie verwendete KMS-Schlüssel mit dem KMS-Schlüssel übereinstimmen, den Sie in Ihren Audit Manager Manager-Datenverschlüsselungseinstellungen konfiguriert haben. Wenn Sie in Ihren Audit Manager Manager-Einstellungen keinen KMS-Schlüssel konfiguriert haben und Ihre Ziel-Bucket-Richtlinie für den Bewertungsbericht SSE erfordert, stellen Sie sicher, dass die Bucket-Richtlinie dies zulässt SSE-S3. Anweisungen zur Konfiguration des KMS-Schlüssels, der für die Datenverschlüsselung verwendet wird, finden Sie unterKonfiguration Ihrer Datenverschlüsselungseinstellungen.

Cross-account S3-Buckets

Die Verwendung eines kontoübergreifenden S3-Buckets als Ziel für Ihren Bewertungsbericht wird in der Audit Manager-Konsole nicht unterstützt. Sie können mithilfe des AWS CLI oder eines der AWS SDKs einen kontoübergreifenden Bucket als Ziel für Ihren Bewertungsbericht angeben. Der Einfachheit halber empfehlen wir jedoch, dies nicht zu tun.

Tipp

Für optimale Sicherheit und Leistung empfehlen wir, einen S3-Bucket in demselben AWS Konto und derselben Region wie Ihre Bewertung zu verwenden.

Wenn Sie sich dafür entscheiden, einen kontoübergreifenden S3-Bucket als Ziel für Ihren Bewertungsbericht zu verwenden, sollten Sie die folgenden Punkte berücksichtigen.

  • Standardmäßig gehören S3-Objekte — wie z. B. Bewertungsberichte — demjenigen, der das Objekt hochlädt. AWS-Konto Sie können die Einstellung S3 Object Ownership verwenden, um dieses Standardverhalten so zu ändern, dass alle neuen Objekte, die von Konten mit der bucket-owner-full-control vordefinierten Zugriffssteuerungsliste (Access Control List, ACL) geschrieben werden, automatisch in den Besitz des Bucket-Eigentümers übergehen.

    Dies ist zwar keine Voraussetzung, wir empfehlen Ihnen jedoch, die folgenden Änderungen an Ihren kontoübergreifenden Bucket-Einstellungen vorzunehmen. Durch diese Änderungen wird sichergestellt, dass der Bucket-Besitzer die volle Kontrolle über die Bewertungsberichte hat, die Sie in seinem Bucket veröffentlichen.

  • Damit Audit Manager Berichte in einem kontoübergreifenden S3-Bucket veröffentlichen kann, müssen Sie Ihrem Bewertungsberichtziel die folgende S3-Bucket-Richtlinie hinzufügen. Ersetzen Sie placeholder text durch Ihre Informationen. Das Principal Element in dieser Richtlinie ist der Benutzer oder die Rolle, die für die Bewertung verantwortlich ist und die den Bewertungsbericht erstellt. Der Resource gibt den kontoübergreifenden S3-Bucket an, in dem der Bericht veröffentlicht wird.

    JSON
    { "Version":"2012-10-17", "Statement": [ { "Sid": "Allow cross account assessment report publishing", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/AssessmentOwnerUserName" }, "Action": [ "s3:ListBucket", "s3:PutObject", "s3:GetObject", "s3:GetBucketLocation", "s3:PutObjectAcl", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::CROSS-ACCOUNT-BUCKET", "arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*" ] } ] }

Bewährte Sicherheitsmethoden für Ihr Ziel für Bewertungsberichte

Audit Manager validiert nicht den Besitz eines S3-Buckets. Dadurch entsteht ein Risiko, wenn der Bucket gelöscht und durch einen anderen Bucket neu erstellt wird AWS-Konto (sogenanntes Bucket-Sniping). Ein Risiko besteht auch, wenn eine nicht autorisierte Partei vor Ihnen einen Bucket mit einem erwarteten Namen erstellt (bekannt als Bucket Squatting). In beiden Fällen veröffentlicht Audit Manager weiterhin Bewertungsberichte in diesem Bucket. Der Service erkennt den Eigentümerwechsel nicht. Im Rahmen des Modells der AWS gemeinsamen Verantwortung sind Sie dafür verantwortlich, sicherzustellen, dass Ihr Bewertungsbericht ein Bucket ist, dem ein vertrauenswürdiger Benutzer gehörtAWS-Konto.

Um Ihre Bewertungsberichte zu schützen, empfehlen wir Ihnen, eine oder mehrere der folgenden Kontrollen zu implementieren.

Beschränken Sie S3-Aktionen mithilfe des s3:ResourceAccount Bedingungsschlüssels auf vertrauenswürdige Konten

Fügen Sie der IAM-Richtlinie eine s3:ResourceAccount Bedingung hinzu, die an die Identität angehängt ist, die Audit Manager zur Veröffentlichung von Bewertungsberichten verwendet. Diese Bedingung verhindert, dass die Identität in Buckets schreibt, die anderen als den von Ihnen angegebenen Konten gehören. Die Bedingung gilt unabhängig von der eigenen Zugriffsrichtlinie des Buckets.

Weitere Informationen finden Sie unter Beschränken des Zugriffs auf Amazon S3 S3-Buckets, die bestimmten AWS-Konten gehören.

Beschränken Sie S3-Aktionen mithilfe von SCPs auf Ihre Organisation

Wenn Sie dies verwenden, erstellen Sie eine Service Control Policy (SCP), die S3-Aktionen für Ressourcen außerhalb Ihrer Organisation verweigert. Die folgende Beispielrichtlinie verweigert alle S3-Aktionen für Ressourcen außerhalb Ihrer Organisation. Die Bedingung überprüft, ob die aws:ResourceOrgID mit Ihrer Organisations-ID übereinstimmt.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyS3ActionsOutsideOrganization", "Effect": "Deny", "Action": "s3:*", "Resource": "*", "Condition": { "StringNotEquals": { "aws:ResourceOrgID": "o-xxxxxxxxxx" } } } ] }

Ersetze es o-xxxxxxxxxx durch deine Organisations-ID. Weitere Informationen finden Sie unter aws: ResourceOrg ID im IAM-Benutzerhandbuch.

Verwenden Sie einen vom Kunden verwalteten KMS-Schlüssel für die Datenverschlüsselung

Wenn Sie Audit Manager so konfigurieren, dass ein vom Kunden verwalteter Schlüssel für die Datenverschlüsselung verwendet wird, verschlüsselt Audit Manager die Bewertungsberichte, bevor sie in Amazon S3 geschrieben werden. Wenn ein Bericht in einem Bucket veröffentlicht wird, der einer nicht autorisierten Partei gehört, bleibt der Berichtsinhalt verschlüsselt. Der Inhalt ist ohne Zugriff auf Ihren KMS-Schlüssel nicht lesbar. Detaillierte Anweisungen finden Sie unter Konfiguration Ihrer Datenverschlüsselungseinstellungen.

Verwenden Sie S3-Buckets im regionalen Namespace Ihres Kontos

S3-Buckets, die im regionalen Namespace Ihres Kontos erstellt wurden, enthalten Ihre AWS-Konto ID und AWS-Region den Bucket-Namen. Diese Buckets können nicht von einem anderen Konto erstellt werden, wodurch das Risiko eines Bucket-Snipings ausgeschlossen ist. Weitere Informationen finden Sie unter Account-level Bucket-Namespaces im Amazon Simple Storage Service-Benutzerhandbuch.

Verfahren

Sie können diese Einstellung mit der Audit Manager Manager-Konsole, der AWS Command Line Interface (AWS CLI) oder der Audit Manager Manager-API aktualisieren.

Audit Manager console
So aktualisieren Sie Ihr Standardziel für Bewertungsberichte in der Audit Manager Manager-Konsole
  1. Gehen Sie auf der Registerkarte Bewertungseinstellungen zum Abschnitt Ziel des Bewertungsberichts.

  2. Um einen vorhandenen S3-Bucket zu verwenden, wählen Sie einen Bucket-Namen aus dem Drop-down-Menü aus.

  3. Um einen neuen S3-Bucket zu erstellen, wählen Sie Neuen Bucket erstellen.

  4. Klicken Sie abschließend auf Speichern.

AWS CLI
Um Ihr standardmäßiges Ziel für Bewertungsberichte zu aktualisieren, finden Sie imAWS CLI

Führen Sie den Befehl update-settings aus und verwenden Sie den --default-assessment-reports-destination-Parameter, um einen S3-Bucket anzugeben.

Ersetzen Sie im folgenden Beispiel die placeholder text durch Ihre eigenen Informationen:

aws auditmanager update-settings --default-assessment-reports-destination destinationType=S3,destination=s3://amzn-s3-demo-destination-bucket
Audit Manager API
Um Ihr standardmäßiges Ziel für Bewertungsberichte mithilfe der API zu aktualisieren

Rufen Sie den UpdateSettingsVorgang auf und verwenden Sie den AssessmentReportsDestinationStandardparameter, um einen S3-Bucket anzugeben.

Weitere Ressourcen