Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Comprensión de AWS Audit Manager los conceptos y la terminología
En este tema se explican algunos de los conceptos clave que debe conocer para comenzar a utilizar AWS Audit Manager.
## A
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 J [I](#auditmanager-concepts-I) \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Evaluaciones**
Recopile evidencias relevantes para las auditorías automáticamente con las evaluaciones de Audit Manager.
Las evaluaciones se basan en marcos, es decir agrupaciones de controles relacionados con las auditorías. Puede crear una evaluación a partir de un marco estándar o personalizado. Los marcos estándar contienen conjuntos de controles prediseñados que con arreglo a una norma o reglamento de cumplimiento específico. Los marcos personalizados, en cambio, incluyen controles que puede personalizar y agrupar según sus requisitos de auditoría. Si utiliza un marco como punto de partida, puede crear una evaluación que especifique lo Cuentas de AWS que desea incluir en el ámbito de la auditoría.
Al crear una evaluación, Audit Manager comienza automáticamente a evaluar sus recursos en Cuentas de AWS función de los controles que se definen en el marco. A continuación, recopila las evidencias relevantes y las convierte a un formato fácil de usar para los auditores. Una vez hecho esto, agrega las evidencias a los controles de evaluación. Cuando llegue el momento de realizar una auditoría, usted (o la persona que designe) puede revisar las pruebas recopiladas y, a continuación, añadirlas a un informe de evaluación. Este informe de evaluación le ayuda a demostrar que sus controles funcionan según lo previsto.
La recopilación de evidencias es un proceso continuo que comienza cuando se crea la evaluación. Puede detener la recopilación de evidencias, o bien cambiando el estado de la evaluación a *inactiva*, o bien en el nivel de control. Para ello, puede cambiar el estado de un control de su evaluación en concreto a *inactivo*.
Para obtener instrucciones acerca de cómo crear y administrar las evaluaciones, consulte [Gestión de las evaluaciones en AWS Audit Manager](assessments.md).
**Informes de evaluación**
Los informes de evaluación son documentos finalizados que se generan a partir de una evaluación de Audit Manager. Estos informes resumen las evidencias relevantes recopilada para la auditoría, y están enlazados con las carpetas de evidencias pertinentes. Estas carpetas se nombran y organizan de acuerdo con los controles que se especifican en cada evaluación. Puede revisar qué evidencias recopila Audit Manager para cada evaluación y decidir cuáles desea incluir en el informe de evaluación.
Para más información acerca de estos informes, consulte [Informes de evaluación](assessment-reports.md). Para información sobre cómo generar un informe de evaluación, consulte [Preparación de un informe de evaluación en AWS Audit Manager](generate-assessment-report.md).
**Destino de los informes de evaluación**
El destino de los informes de evaluación es el bucket S3 predeterminado en el que Audit Manager guarda los informes de evaluación. Para obtener más información, consulte [Configuración del destino del informe de evaluación predeterminado](settings-destination.md).
**Auditoría**
Las auditorías son exámenes independientes de los activos, las operaciones o la integridad empresarial de su organización. Las auditorías de tecnología de la información (TI) examinan específicamente los controles de los sistemas de información de su organización. El objetivo de estas auditorías es determinar si los sistemas de información protegen los activos, funcionan de manera eficaz y mantienen la integridad de los datos. Todo esto es importante para cumplir con los requisitos reglamentarios exigidos por las normas o reglamentos de cumplimiento.
**Responsable de la auditoría**
El término *responsable de la auditoría* tiene dos significados diferentes según el contexto.
En el contexto de Audit Manager, el responsable de una auditoría es un usuario o rol que gestiona una evaluación y sus recursos relacionados. Se encarga de la creación de evaluaciones, la revisión de las evidencias y la generación de informes de evaluación. Audit Manager es un servicio colaborativo y los responsables de auditorías se benefician cuando otras partes interesadas participan en sus evaluaciones. Por ejemplo, puede añadir a otros responsables de la auditoría a su evaluación para compartir las tareas de administración. Además, si es responsable de una auditoría y necesita ayuda para interpretar las evidencias recopiladas para un control, puede [delegar ese conjunto de controles](https://docs.aws.amazon.com/audit-manager/latest/userguide/delegate.html) a otra parte interesada que tenga experiencia en la materia. En ese caso, la persona se conoce como persona *delegada*.
En términos comerciales, el responsable de una auditoría es quien coordina y supervisa las iniciativas de preparación para la auditoría de su empresa y presenta las evidencias al auditor. Por lo general, se trata de un profesional de la gobernanza, el riesgo y el cumplimiento (GRC). Puede ser. por ejemplo, un responsable de cumplimiento o de protección de datos del RGPD. Los profesionales del GRC tienen la experiencia y la autoridad adecuadas para gestionar la preparación de las auditorías. Más específicamente, comprenden los requisitos de cumplimiento y pueden analizar, interpretar y preparar los datos de los informes. Sin embargo, otras funciones empresariales también pueden ser Audit Manager del responsable de una auditoría; no solo los profesionales de GRC asumen esta función. Por ejemplo, puede optar por que un experto técnico de uno de los siguientes equipos configure y gestione las evaluaciones de Audit Manager:
+ SecOps
+ TI/ DevOps
+ Respuesta a las operaciones de Center/Incident seguridad
+ Equipos similares que poseen, desarrollan, corrigen e implementan activos en la nube y comprenden la infraestructura de nube de su organización
La persona elegida como responsable de la auditoría en su evaluación de Audit Manager dependerá en gran medida de su organización y también de cómo se estructuren las operaciones de seguridad y de las características específicas de la auditoría. En Audit Manager, una misma persona puede asumir el rol de responsable de la auditoría en una evaluación y, el de delegado, en otra.
Independientemente de cómo elija utilizar Audit Manager, puede gestionar la separación de funciones en su organización utilizando la owner/delegate persona de auditoría y otorgando políticas de IAM específicas a cada usuario. Mediante este enfoque de dos pasos, Audit Manager garantiza que usted tenga el control total sobre todos los aspectos específicos de cada evaluación. Para obtener más información, consulte [Políticas recomendadas para los usuarios de AWS Audit Manager](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-personas).
** AWS fuente gestionada**
Una fuente AWS gestionada es una fuente de pruebas que se AWS conserva para usted.
Cada fuente AWS gestionada es una agrupación predefinida de fuentes de datos que se asigna a un control común o control central específico. Cuando se utiliza un control común como origen de evidencias, se recopilan automáticamente las evidencias de todos los controles principales que respaldan ese control común. También puede utilizar los controles principales individuales como origen de evidencias.
Cada vez que se actualiza una fuente AWS gestionada, las mismas actualizaciones se aplican automáticamente a todos los controles personalizados que utilizan esa fuente AWS gestionada. Esto significa que los controles personalizados recopilan evidencias comparándolas con las definiciones más recientes de ese origen de evidencias. Esto le ayuda a garantizar la conformidad continua a medida que cambia el entorno de conformidad de la nube.
Consulte también: [](#customer-managed-source), [](#evidence-source).
## C
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Registros de cambios**
Para cada control de una evaluación, Audit Manager realiza un seguimiento de la actividad de los usuarios en dicho control. A continuación puede revisar un registro de auditoría de las actividades relacionadas con un control específico. Para obtener más información sobre las actividades de los usuarios que se capturan en el registro de cambios, consulte [Pestaña del registro de cambios](review-controls.md#review-changelog).
**Conformidad en la nube**
La conformidad con la nube es el principio general según el cual los sistemas suministrados en la nube deben cumplir con los estándares que se aplican a los clientes de la nube.
**Control común**
Consulte [](#control).
**Regulación del cumplimiento**
Los reglamentos de cumplimiento son leyes, normas órdenes de otro tipo prescritas por una autoridad, normalmente para regular una conducta. Un ejemplo de ello es el RGPD.
**Estándares de conformidad**
Los estándares de conformidad son un conjunto estructurado de directrices que detallan los procesos de una organización para mantener la conformidad con las normas, especificaciones o legislación establecidas. Algunos ejemplos de ello son el PCI DSS y la HIPAA.
**Control**
Los controles son salvaguardias o medidas que se prescriben para un sistema de información o una organización. Se han diseñado los controles para proteger la confidencialidad, integridad y disponibilidad de su información y para cumplir con un conjunto de requisitos definidos. Garantizan que los recursos funcionen según lo previsto, que los datos sean fiables y que su organización cumpla con las leyes y normativas aplicables.
En Audit Manager, los controles también pueden ser preguntas en un cuestionario de evaluación de riesgos para proveedores. En ese caso, se trata de una pregunta específica que solicita información sobre la postura de seguridad y cumplimiento de una organización.
Los controles recopilan evidencias de forma continua cuando están activos en sus evaluaciones de Audit Manager. También puede agregar evidencias de forma manual a cualquier control. Cada evidencia se convierte en un registro que le permite demostrar la conformidad con los requisitos del control.
Audit Manager proporciona los siguientes tipos de controles:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/concepts.html)
**Dominio de control**
Piense en un dominio de control como una categoría general de controles que no es específica de ningún estándar de conformidad. Un ejemplo de dominio de control es la *protección de datos*.
Los controles suelen agruparse por dominio con fines organizativos sencillos. Cada dominio tiene varios objetivos.
Las agrupaciones de dominios de control son una de las funciones más potentes del [panel de control de Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/dashboard.html). Audit Manager destaca los controles de sus evaluaciones que contienen evidencias no conformes y los agrupa por dominio de control. Esto le permite centrar sus esfuerzos de remediación en ámbitos temáticos específicos mientras se prepara para una auditoría.
**Objetivo de control**
Un objetivo de control describe el objetivo de los controles comunes que le pertenecen. Cada objetivo puede tener varios controles comunes. Si estos controles comunes se implementan correctamente, le ayudarán a cumplir el objetivo.
Cada objetivo de control pertenece a un dominio de control. Por ejemplo, el dominio de control *Protección de datos* puede tener un objetivo de control denominado *Clasificación y gestión de datos*. Para respaldar este objetivo de control, podría utilizar un control común denominado *Controles de acceso* para supervisar y detectar el acceso no autorizado a los recursos.
** Control principal**
Consulte [](#control).
** Control personalizado**
Consulte [](#control).
**Origen administrado por el cliente**
Un origen administrado por el cliente es un origen de evidencias que usted define.
Al crear un control personalizado en Audit Manager, puede usar esta opción para crear sus propios orígenes de datos individuales. Esto le da la flexibilidad de recopilar pruebas automatizadas a partir de un recurso específico de la empresa, como una regla personalizada AWS Config . También puede utilizar esta opción si desea añadir evidencias manuales al control personalizado.
Cuando utilice orígenes administrados por el cliente, es responsable de mantener todos los orígenes de datos que cree.
Consulte también: [](#aws-managed-source), [](#evidence-source).
## D
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 G [F](#auditmanager-concepts-F) \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 T [S](#auditmanager-concepts-S) \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Origen de datos**
Audit Manager utiliza *orígenes de datos* para recopilar evidencias para un control. Un origen de datos tiene las siguientes propiedades:
+ Un **tipo de origen de datos** define el tipo de origen de datos del que Audit Manager recopila evidencias.
+ En el caso de evidencias automatizadas, el tipo puede ser *AWS Security Hub CSPM*, *AWS Config, AWS CloudTrail* o *llamadas a la API de AWS *.
+ Si carga sus propias evidencias, el tipo es *Manual*.
+ La API de Audit Manager hace referencia a un tipo de origen de datos como [sourceType](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html#auditmanager-Type-ControlMappingSource-sourceType).
+ Una **asignación de origen de datos** es una palabra clave que indica de dónde se recopilan las evidencias para un tipo de determinado origen de datos.
+ Por ejemplo, podría ser el nombre de un CloudTrail evento o el nombre de una AWS Config regla.
+ La API de Audit Manager hace referencia a una asignación de orígenes de datos como [sourceKeyword](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_SourceKeyword.html).
+ Un **nombre de origen de datos** etiqueta la combinación de un tipo de origen de datos y una asignación.
+ En el caso de los controles estándar, Audit Manager proporciona un nombre predeterminado.
+ En el caso de los controles personalizados, puede proporcionar su propio nombre.
+ La API Audit Manager hace referencia al nombre de los orígenes de datos como [SourceName](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html#auditmanager-Type-ControlMappingSource-sourceName).
Un único control puede tener varios tipos de orígenes de datos y diferentes asignaciones. Por ejemplo, un control podría recopilar pruebas de una combinación de tipos de fuentes de datos (como AWS Config Security Hub CSPM). Es posible que otro control tenga AWS Config como único tipo de fuente de datos, con varias AWS Config reglas como mapeos.
En la tabla siguiente se enumeran los tipos de origen de datos automatizados y se muestran ejemplos de algunas de las asignaciones correspondientes.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/concepts.html)
**Delegados**
Un delegado es un AWS Audit Manager usuario con permisos limitados. y suelen tener experiencia empresarial o técnica especializada. Estos conocimientos pueden estar relacionados, por ejemplos, con las políticas de retención de datos, los planes de formación, la infraestructura de red o la gestión de identidades. Los delegados ayudan a los responsables de la auditoría a revisar las evidencias recopiladas para comprobar si hay controles que estén dentro de su área de especialización. Pueden revisar los conjuntos de controles y las evidencias relacionadas con estos, añadir comentarios, cargar evidencias adicionales y actualizar el estado de cada una de las evaluaciones que les asigne para revisar.
Los responsables de las auditorías asignan conjuntos de controles específicos a los delegados, no a evaluaciones completas. En consecuencia, los delegados tienen acceso limitado a las evaluaciones. Para obtener instrucciones acerca de cómo delegar un conjunto de controles, consulte [Delegaciones en AWS Audit Manager](delegate.md).
## E
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 G [F](#auditmanager-concepts-F) \$1 H \$1 \$1 J [I](#auditmanager-concepts-I) \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 \$1 Q [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Evidencias**
Las evidencias son registros que contienen la información necesaria para demostrar el cumplimiento de los requisitos de una evaluación. Las evidencias pueden ser, por ejemplo, las actividades de cambio invocadas por los usuarios o instantáneas de la configuración del sistema.
Hay dos tipos de evidencia principales en Audit Manager: las *evidencias automatizadas* y *evidencias manuales*.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/concepts.html)
La recopilación automática de evidencias comienza cuando se crea una evaluación. Se trata de un proceso continuo, durante el cual Audit Manager recopila evidencias a diferentes frecuencias según el tipo de evidencias y el origen de datos subyacente. Para obtener más información, consulte [Entender cómo se AWS Audit Manager recopilan las pruebas](how-evidence-is-collected.md).
Para obtener instrucciones acerca de cómo revisar las evidencias de una evaluación, consulte [Revisar la evidencia en AWS Audit Manager](review-evidence.md).
**Origen de evidencias**
Un origen de evidencias define de dónde un control recopila evidencias. Puede ser un origen de datos individual o una agrupación predefinida de orígenes de datos que se asigna a un control común o a un control principal.
Al crear un control personalizado, puede recopilar evidencias de orígenes administrados por AWS , por los clientes o por ambos.
Le recomendamos que utilice fuentes AWS gestionadas. Cada vez que se actualiza una fuente AWS gestionada, las mismas actualizaciones se aplican automáticamente a todos los controles personalizados que utilizan estas fuentes. Esto significa que los controles personalizados siempre recopilan evidencias comparándolas con las definiciones más recientes de ese origen de evidencias. Esto le ayuda a garantizar la conformidad continua a medida que cambia el entorno de conformidad de la nube.
Consulte también: [](#aws-managed-source), [](#customer-managed-source).
**Métodos de recopilación de evidencias**
Las evaluaciones pueden recopilar evidencias de dos maneras distintas.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/concepts.html)
Puede agregar evidencias manuales a cualquier evaluación automatizada. En muchos casos, es necesaria una combinación de evidencias automatizadas y manuales para demostrar el pleno cumplimiento de una evaluación. Si bien Audit Manager puede proporcionar evidencias automatizadas útiles y relevantes, es posible que algunas de ellas solo demuestren un cumplimiento parcial. En este caso, puede complementar las evidencias automatizadas de proporciona Audit Manager con sus propias evidencias.
Por ejemplo:
+ En el marco de [AWS Marco generativo de mejores prácticas de IA, versión 2](aws-generative-ai-best-practices.md) se incluye un control denominado `Error analysis`. Deberá identificar cuándo se detectan imprecisiones en el uso del modelo y realizar un análisis exhaustivo de los errores para comprender las causas de los mismos y tomar las medidas correctivas apropiadas.
+ Para respaldar este control, Audit Manager recopila pruebas automatizadas que muestran si CloudWatch las alarmas están activadas en el Cuenta de AWS lugar donde se ejecuta la evaluación. Puede utilizar estas evidencias para demostrar el cumplimiento parcial de la evaluación comprobando que sus alarmas y comprobaciones están configuradas correctamente.
+ Para demostrar el pleno cumplimiento, puede complementar las evidencias automatizadas con evidencias manuales. Por ejemplo, puede subir una política o un procedimiento que muestre su proceso de análisis de errores, sus umbrales de escalado y generación de informes, y los resultados del análisis de la causa principal. Puede utilizar las evidencias de este manual para demostrar que hay políticas establecidas y que se tomaron medidas correctivas cuando se le solicitó.
Para ver un ejemplo más detallado, consulte [Controles con orígenes de datos mixtos](https://docs.aws.amazon.com/audit-manager/latest/userguide/examples-of-controls.html#mixed).
**Destinos de exportación**
Los destinos de exportación son los buckets S3 predeterminados, donde Audit Manager guarda los archivos que exporta desde el buscador de evidencias. Para obtener más información, consulte [Configuración del destino de la exportación predeterminada para el buscador de evidencias](settings-export-destination.md).
## F
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Marcos**
Un marco de Audit Manager estructura y automatiza las evaluaciones para un estándar o un principio de control de riesgos específicos. Estos marcos incluyen un conjunto de controles prediseñados o definidos por el cliente, y le ayudan a asignar sus AWS recursos a los requisitos de estos controles.
Hay dos tipos de marcos en Audit Manager.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/concepts.html)
Para obtener instrucciones acerca de cómo crear y administrar marcos, consulte [Uso de la biblioteca de marcos para administrar marcos en AWS Audit Manager](framework-library.md).
AWS Audit Manager ayuda a recopilar pruebas relevantes para verificar el cumplimiento de normas y reglamentos de cumplimiento específicos. Sin embargo, no evalúa el cumplimiento en sí mismo. AWS Audit Manager Por lo tanto, es posible que las pruebas recopiladas no incluyan toda la información sobre el AWS uso que se necesita para las auditorías. AWS Audit Manager no sustituye a los asesores legales ni a los expertos en cumplimiento.
**Uso compartido de marcos**
Puede usar la [Compartir un marco personalizado en AWS Audit Manager](share-custom-framework.md) función para compartir rápidamente sus marcos personalizados en todas Cuentas de AWS las regiones. Para compartir un marco personalizado, debe crear una *solicitud de uso compartido*. El destinatario tiene entonces 120 días para aceptar o rechazar la solicitud. Una vez aceptada, Audit Manager replicará el marco de trabajo personalizado compartido en su biblioteca de marcos. Además de replicar el marco de trabajo personalizado, Audit Manager también replicará todos los conjuntos de controles personalizados y los controles que formen parte de ese marco. Posteriormente, dichos controles personalizados se agregan a la biblioteca de controles del destinatario. Audit Manager no replica los marcos o controles estándar. Esto se debe a que estos recursos ya están disponibles de forma predeterminada en cada cuenta y región.
## I
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Evidencia no concluyente**
AWS Audit Manager califica las pruebas como no concluyentes cuando no es posible realizar una evaluación automática del cumplimiento. Esto podría darse en las siguientes situaciones:
+ No has activado AWS Config o AWS Security Hub CSPM, cuáles son las fuentes de datos clave.
+ Las pruebas se recopilan directamente de AWS los servicios mediante llamadas a la API, AWS CloudTrail registros o cargas manuales.
Cuando no existe un mecanismo para la evaluación automática de esta evidencia, no AWS Audit Manager puede proporcionar detalles de la evaluación. Como resultado, marca la evidencia como *inconclusa*.
La evidencia no concluyente no indica un fracaso. Por el contrario, indica que es necesario evaluar manualmente las pruebas de conformidad.
## R
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Recursos**
Los recursos son activos físico o de información que se evalúan en una auditoría. Entre los ejemplos de AWS recursos se incluyen las instancias de Amazon EC2, las instancias de Amazon RDS, los buckets de Amazon S3 y las subredes de Amazon VPC.
**Evaluación de recursos**
Las evaluaciones de recursos son los procesos mediante los cuales se evalúa un recurso. y se basan en requisitos de control. Mientras una evaluación está activa, Audit Manager evalúa cada uno de los recursos que forman parte de la evaluación. Las evaluaciones de recursos ejecutan las tareas siguientes:
1. Recopilación de evidencias, incluidas las configuraciones de los recursos, los registros de eventos y los hallazgos
1. Traducción y asignación de las evidencias a los controles
1. Almacenamiento y rastreo del linaje de las evidencias para garantizar su integridad.
**Conformidad de los recursos**
El cumplimiento de los recursos se refiere al estado de evaluación de un recurso que se evaluó al recopilar las evidencias de verificación de cumplimiento.
Audit Manager recopila pruebas de verificación de conformidad para los controles que utilizan AWS Config Security Hub CSPM como tipo de fuente de datos. Es posible que se evalúen varios recursos durante la recopilación de evidencias. En consecuencia, una sola evidencia de verificación de conformidad puede incluir uno o más recursos.
Utilice el filtro de **cumplimiento de los recursos** del buscador de evidencias para conocer el estado de cumplimiento a nivel de recursos. Una vez completada la búsqueda, puede obtener una vista previa de los recursos que coinciden con su consulta de búsqueda.
En el buscador de evidencias, hay tres valores posibles que determinan el cumplimiento de los recursos:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/concepts.html)
## S
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 P \$1 Q [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Servicio incluido**
Audit Manager gestiona cuáles Servicios de AWS están dentro del alcance de sus evaluaciones. Si tiene una evaluación anterior, es posible que haya especificado manualmente los servicios incluidos en el pasado. A partir del 4 de junio de 2024, no se podrá especificar ni editar manualmente los servicios incluidos.
Un *servicio incluido en el ámbito de aplicación* es Servicio de AWS aquel sobre el que su evaluación recopila pruebas. Cuando un servicio se incluye en la evaluación, Audit Manager evaluará los recursos de dicho servicio. como, por ejemplo los siguientes:
+ Una instancia de Amazon EC2
+ Un bucket de S3
+ Un usuario o rol de IAM
+ Una tabla de DynamoDB
+ Un componente de red, como una nube privada virtual (VPC) de Amazon, un grupo de seguridad o una lista de control de acceso (ACL).
Por ejemplo, si Amazon S3 es un servicio incluido, Audit Manager puede recopilar evidencias sobre los buckets de S3. Las evidencias exactas que se recopilan dependen del [](#control-data-source) de un control. Por ejemplo, si el tipo de fuente de datos es AWS Config y el mapeo de la fuente de datos es una AWS Config regla (por ejemplo`s3-bucket-public-write-prohibited`), Audit Manager recopila el resultado de la evaluación de esa regla como evidencia.
Tenga en cuenta que el alcance de un servicio es diferente al de un *tipo de fuente de datos*, que también puede ser un tipo de fuente de datos Servicio de AWS o algo diferente. Para obtener más información, consulte [¿Cuál es la diferencia entre un servicio incluido y un tipo de origen de datos?](evidence-collection-issues.md#data-source-vs-service-in-scope) en la sección *Solución de problemas* de la guía.
** Control estándar**
Consulte [](#control).