Llamadas a la API de AWS compatibles con AWS Audit Manager
Puede usar Audit Manager para capturar instantáneas del entorno de AWS como evidencia para las auditorías. Al crear o editar un control personalizado, puede especificar una o varias llamadas a la API de AWS como asignación de origen de datos para la recopilación de evidencias. Audit Manager realiza llamadas a la API a los Servicios de AWS pertinentes para recopilar una instantánea de los detalles de configuración de los recursos de AWS.
Audit Manager realiza una instantánea de la configuración de cada recurso que esté en el ámbito de una llamada a la API y la convierte en prueba. Esto da como resultado una prueba por recurso, en lugar de una prueba por llamada a la API.
Por ejemplo, si la llamada a la API ec2_DescribeRouteTables captura instantáneas de la configuración de cinco tablas de rutas, obtendrá cinco pruebas en total para cada llamada a la API. Cada prueba es una instantánea de la configuración de una tabla de enrutamiento individual.
Temas
Puntos clave
Llamadas a la API paginadas
Muchos Servicios de AWS recopilan y almacenan una gran cantidad de datos. Como resultado, cuando una llamada a la API get, describe o list intenta devolver sus datos, pueden producirse muchos resultados. Si la cantidad de datos es demasiado grande para devolverla en una sola respuesta, los resultados se pueden dividir en partes más fáciles de gestionar mediante el uso de la paginación. Esto divide los resultados en «páginas» de datos, lo que facilita el manejo de las respuestas.
Se han paginado algunos de los Se admiten llamadas a la API para orígenes de datos de control personalizadas. Esto significa que al principio devuelven resultados parciales y requieren que las solicitudes posteriores devuelvan todo el conjunto de resultados. Por ejemplo, la operación DescribeDBInstances de Amazon RDS devuelven hasta 100 instancias a la vez y se necesitan solicitudes posteriores para devolver la siguiente página de resultados.
Audit Manager admite las llamadas paginadas a la API como origen de datos para la recopilación de pruebas desde el 8 de marzo de 2023. Antes, si se utilizaba una llamada a la API paginada como origen de datos, en la respuesta a la API solo se devolvía un subconjunto de sus recursos (hasta 100 resultados). Ahora, Audit Manager llama a la operación de la API paginada varias veces y obtiene cada página de resultados hasta que se devuelven todos los recursos. A continuación, Audit Manager captura una instantánea de la configuración para cada recurso y la guarda como prueba. Dado que ahora todo el conjunto de recursos se incluye en la respuesta de la API, es probable que observe un aumento en la cantidad de evidencias recopiladas a partir del 8 de marzo de 2023.
Audit Manager gestiona automáticamente la paginación de las llamadas a la API. Si crea un control personalizado que utiliza una llamada a la API paginada como origen de datos, no necesita especificar ningún parámetro de paginación.
Se admiten llamadas a la API para orígenes de datos de control personalizadas
En sus controles personalizados, puede usar cualquiera de las siguientes llamadas a la API como origen de datos. A continuación, Audit Manager puede utilizar estas llamadas a la API para recopilar pruebas sobre el uso de AWS.
| Llamada a la API compatible | Cómo Audit Manager utiliza esta API para recopilar pruebas |
|---|---|
| acm_GetAccountConfiguration | Recopila una instantánea de las opciones de configuración de la cuenta asociadas a su Cuenta de AWS. |
| acm_ListCertificates | Recupera una lista de los ARN de los certificados y los nombres de dominio. |
| autoscaling_DescribeAutoScalingGroups | Le permite recopilar una instantánea sobre los grupos de escalado automático de la Cuenta de AWS. |
| backup_ListBackupPlans | Le permite recuperar una lista de todos los planes de copia de seguridad activos de la Cuenta de AWS. |
| bedrock_GetModelInvocationLoggingConfiguration | Le permite recopilar una instantánea de los valores de configuración actuales para el registro de invocación de modelos para los modelos de la Cuenta de AWS. |
| cloudfront_ListDistributions |
Le permite recuperar una lista de todas las distribuciones de la Cuenta de AWS. |
| Recopila una instantánea de la configuración de uno o más registros asociados a la región actual de su Cuenta de AWS. | |
| cloudtrail_ListTrails | Le permite recuperar de los registros de seguimiento que se encuentran en la Cuenta de AWS. |
| Recopila una instantánea de la configuración de las alarmas que se utilizan en su Cuenta de AWS. | |
| config_DescribeConfigRules | Recupera detalles sobre las reglas de su AWS Config. |
| config_DescribeDeliveryChannels | Recopila una instantánea de la configuración de los canales de entrega en su Cuenta de AWS. |
| directconnect_DescribeDirectConnectGateways | Recupera una lista de todas sus puertas de enlace de AWS Direct Connect. |
| directconnect_DescribeVirtualGateways | Recupera una lista de las puertas de enlace privadas virtuales que son de su Cuenta de AWS. |
| docdb_DescribeCertificates | Recopila una lista de certificados para su Cuenta de AWS. |
| docdb_DescribeDBClusterParameterGroups | Recopila una lista de descripciones de DBCLusterParameterGroup para su Cuenta de AWS. |
| docdb_DescribeDBInstances | Recopila información sobre las instancias de Amazon DynamoDB aprovisionadas para su Cuenta de AWS. |
| Le permite recopilar información sobre las alarmas de la Cuenta de AWS. | |
| Le permite recopilar una instantánea de la configuración de uno o varios registros de seguimiento asociados a la Cuenta de AWS. | |
|
Recopila instantáneas de configuración para las tablas de DynamoDB de su Cuenta de AWS. Cuando utiliza esta API como origen de datos, no necesita proporcionar el nombre de una tabla de DynamoDB específica. En su lugar, Audit Manager utiliza la operación |
|
| dynamodb_ListBackups | Recupera una lista de las copias de seguridad de DynamoDB que están asociadas a su Cuenta de AWS. |
| Recupera una lista de todos los nombres de las tablas que están asociados a su Cuenta de AWS y a su punto de conexión actual. | |
| ec2_DescribeAddresses | Recopila una instantánea de sus direcciones IP elásticas. |
| ec2_DescribeCustomerGateways | Recopila una instantánea de las puertas de enlace de cliente de VPN. |
| ec2_DescribeEgressOnlyInternetGateways | Recopila una instantánea de sus puertas de enlace de Internet de solo salida. |
| Recopila una instantánea de los registros de flujo. | |
| Recopila una instantánea de sus instancias. | |
| ec2_DescribeInternetGateways | Recopila una instantánea de sus puertas de enlace de Internet. |
| ec2_DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations | Recopila una descripción de las asociaciones entre los grupos de interfaces virtuales y las tablas de enrutamiento de las puertas de enlace locales de su Cuenta de AWS. |
| ec2_DescribeLocalGateways | Recopila una instantánea de sus puertas de enlace locales. |
| ec2_DescribeLocalGatewayVirtualInterfaces | Recopila una instantánea de las interfaces virtuales de su puerta de enlace local. |
| ec2_DescribeNatGateways | Recopila una instantánea de sus puertas de enlace NAT. |
| Recopila una instantánea de las ACL de la red. | |
| Recopila una instantánea de sus tablas de enrutamiento. | |
| Recopila una instantánea de sus grupos de seguridad. | |
| ec2_DescribeSecurityGroupRules | Le permite recopilar una instantánea de una o varias reglas de grupos de seguridad. |
| ec2_DescribeTransitGateways | Recopila una instantánea de sus puertas de enlace de tránsito. |
| Recopila una instantánea de sus puntos de conexión de VPC. | |
| Recopila una instantánea de sus VPC. | |
| Recopila una instantánea de sus puntos de conexión de VPC. | |
| ec2_DescribeVpcEndpointConnections | Le permite recopilar una instantánea de las conexiones del punto de conexión de VPC a los servicios de punto de conexión de VPC, incluidas las que están pendientes de su aceptación. |
| ec2_DescribeVpcEndpointServiceConfigurations | Le permite recopilar una instantánea de las configuraciones de servicio de punto de conexión de VPC de la Cuenta de AWS. |
| ec2_DescribeVpcPeeringConnections | Recopila una instantánea de sus conexiones VPN. |
| ec2_DescribeVpnConnections | Recopila una instantánea de sus conexiones VPN. |
| ec2_DescribeVpnGateways | Recopila una instantánea de sus puertas de enlace privadas virtuales. |
| ec2_GetEbsDefaultKmsKeyId | Recopila una instantánea del cifrado EBS predeterminado de AWS KMS key para su Cuenta de AWS en la región actual. |
| ec2_GetEbsEncryptionByDefault | Describe si el cifrado EBS está habilitado de forma predeterminada para su Cuenta de AWS en la región actual. |
| ecs_DescribeClusters | Recopila una instantánea de los clústeres de ECS. |
| eks_DescribeAddonVersions | Recopila una instantánea de las versiones de los complementos. |
| elasticache_DescribeCacheClusters | Recopila una instantánea de sus clústeres aprovisionados. |
| elasticache_DescribeServiceUpdates | Recopila una instantánea de las actualizaciones del servicio para Amazon ElastiCache. |
| elasticfilesystem_DescribeAccessPoints | Recopila una instantánea de los puntos de acceso de Amazon EFS en su Cuenta de AWS. |
| Recopila una instantánea de sus sistemas de archivos de Amazon EFS. | |
| elasticloadbalancingv2_DescribeLoadBalancers |
Recopila una instantánea de los equilibradores de carga en su Cuenta de AWS. |
| elasticloadbalancingv2_DescribeSSLPolicies | Recopila una instantánea de las políticas que utiliza para la negociación de SSL. |
| elasticloadbalancingv2_DescribeTargetGroups | Recopila una instantánea de sus grupos de destino de ELB. |
| elasticmapreduce_ListSecurityConfigurations | Recupera una lista de las configuraciones de seguridad que tiene visibles en su Cuenta de AWS, junto con sus fechas y horas de creación y sus nombres. |
| events_ListConnections | Recupera una lista de las conexiones de Amazon EventBridge de su Cuenta de AWS. |
| events_ListEventBuses | Recupera una lista de los buses de eventos de Amazon EventBridge en su Cuenta de AWS, incluido el bus de eventos predeterminado, los buses de eventos personalizados y los buses de eventos de socios. |
| events_ListEventSources | Recupera una lista de los orígenes de eventos de socios que se han compartido con su Cuenta de AWS. |
| events_ListRules | Recupera una lista de sus reglas de Amazon EventBridge. |
| firehose_ListDeliveryStreams | Recupera una lista de sus flujos de entrega. |
| fsx_DescribeFileSystems | Recopila una instantánea de los sistemas de archivos que le pertenecen a su Cuenta de AWS. |
| guardduty_ListDetectors |
Recupera una lista de los |
| Genera un informe de credencial para su Cuenta de AWS. | |
| Recopila una instantánea de la política de contraseñas de su Cuenta de AWS. | |
| Recopila una instantánea del uso de entidades de IAM y cuotas de IAM en su Cuenta de AWS. | |
| Recupera una lista de los grupos de IAM que están asociados a un prefijo de ruta, y que está disponible en su Cuenta de AWS. | |
| iam_ListOpenIDConnectProviders | Recupera una lista de los objetos del recurso del proveedor OpenID Connect (OIDC) de IAM que están definidos en su Cuenta de AWS. |
| Recupera una lista de todas las políticas administradas que están disponibles en su Cuenta de AWS, incluidas las políticas administradas definidas por su propio cliente y todas las políticas administradas por AWS. | |
| Recupera una lista de los roles de IAM que están asociados a un prefijo de ruta que está disponible en su Cuenta de AWS. | |
| iam_ListSAMLProviders | Recupera una lista de los objetos del recurso del proveedor SAML que están definidos en IAM en su Cuenta de AWS. |
| Recupera una lista de los usuarios de IAM de su Cuenta de AWS. | |
| iam_ListVirtualMFADevices | Recupera una lista de los dispositivos MFA virtuales que están definidos en su Cuenta de AWS. |
| kafka_ListClusters | Recupera una lista de los clústeres de Amazon MSK en su Cuenta de AWS. |
| kafka_ListKafkaVersions | Recupera una lista de los objetos de la versión de Apache Kafka en su Cuenta de AWS. |
| kinesis_ListStreams | Recupera una lista de sus flujos de datos de Kinesis. |
|
Audit Manager utiliza esta API para recopilar una instantánea de las políticas de claves para AWS KMS keys en su Cuenta de AWS. Cuando utiliza esta API como origen de datos, no necesita proporcionar el nombre de una AWS KMS key específica. En su lugar, Audit Manager utiliza la operación |
|
|
Audit Manager utiliza esta API para recopilar una instantánea de si la rotación automática está habilitada para AWS KMS keys en su Cuenta de AWS. Cuando utiliza esta API como origen de datos, no necesita proporcionar el nombre de una AWS KMS key específica. En su lugar, Audit Manager utiliza la operación |
|
| kms_ListKeys | Recupera una lista de AWS KMS keys de su Cuenta de AWS. |
| lambda_ListFunctions | Recupera una lista de funciones de Lambda en su Cuenta de AWS, con la configuración específica de la versión de cada función. |
| rds_DescribeDBClusters | Recopila una instantánea de los clústeres de base de datos de Amazon Aurora y los clústeres de base de datos Multi-AZ que tiene en su Cuenta de AWS. |
| Recopila una instantánea de las instancias de RDS aprovisionadas en su Cuenta de AWS. | |
| rds_DescribeDbInstanceAutomatedBackups | Le permite recopilar una instantánea de las copias de seguridad de las instancias actuales y eliminadas de la Cuenta de AWS. |
| rds_DescribeDbSecurityGroups | Le permite recopilar una instantánea de los DBSecurityGroups de la Cuenta de AWS. |
| Recopila una instantánea de los clústeres de Amazon Redshift aprovisionados en su Cuenta de AWS. | |
|
Recopila una instantánea que muestra la configuración de cifrado predeterminada para sus buckets de S3. Cuando utiliza esta API como origen de datos, no necesita proporcionar el nombre de un bucket de S3 específico. En su lugar, Audit Manager utiliza la operación Audit Manager solo puede proporcionar el estado de cifrado de los buckets que se crearon al mismo tiempo Región de AWS que su evaluación. Si necesita ver el estado de cifrado de todos sus bucket de S3 en varias Regiones de AWS, le recomendamos que cree una evaluación en cada Región de AWS en la que tenga cada un bucket S3. |
|
| Recupera una lista de los buckets de S3 de su Cuenta de AWS. | |
| sagemaker_ListAlgorithms | Le permite recuperar una lista de los algoritmos de machine learning de la Cuenta de AWS. |
| sagemaker_ListDomains | Le permite recuperar una lista de los dominios de la Cuenta de AWS. |
| sagemaker_ListEndpoints | Le permite recuperar una lista de los puntos de conexión de la Cuenta de AWS. |
| sagemaker_ListEndpointConfigs | Le permite recuperar una lista de las configuraciones de punto de conexión de la Cuenta de AWS. |
| sagemaker_ListFlowDefinitions | Le permite recuperar una lista de las definiciones de flujo de la Cuenta de AWS. |
| sagemaker_ListHumanTaskUis | Le permite recuperar una lista de las interfaces de tareas humanas de la Cuenta de AWS. |
| sagemaker_ListLabelingJobs | Le permite recuperar una lista de los trabajos de etiquetado de la Cuenta de AWS. |
| sagemaker_ListModels | Le permite recuperar una lista de los modelos de la Cuenta de AWS. |
| sagemaker_ListModelBiasJobDefinitions | Le permite recuperar una lista de las definiciones de trabajo de sesgo del modelo de la Cuenta de AWS. |
| sagemaker_ListModelCards | Le permite recuperar una lista de las tarjetas de modelos de la Cuenta de AWS. |
| sagemaker_ListModelQualityJobDefinitions | Le permite recuperar una lista de las definiciones de trabajo de supervisión de calidad del modelo de la Cuenta de AWS. |
| sagemaker_ListMonitoringAlerts | Le permite recuperar una lista de las alertas de un determinado programa de supervisión. |
| sagemaker_ListMonitoringSchedules | Le permite recuperar una lista de todos los programas de supervisión de la Cuenta de AWS. |
| sagemaker_ListTrainingJobs | Le permite recuperar una lista de trabajos de entrenamiento de la Cuenta de AWS. |
| sagemaker_ListUserProfiles | Le permite recuperar una lista de perfiles de usuario de la Cuenta de AWS. |
| secretsmanager_ListSecrets | Le permite recuperar una lista de los secretos almacenados en la Cuenta de AWS, sin incluir los secretos marcados para su eliminación. |
| sns_ListTopics | Recupera una lista de los temas de SNS en su Cuenta de AWS. |
| sqs_ListQueues | Recupera una lista de las colas de SQS de su Cuenta de AWS. |
| waf-regional_ListWebAcls | Le permite recuperar una lista de los objetos WebACLSummary de la Cuenta de AWS. |
| waf-regional_ListRules | Le permite recuperar una lista de los objetos RuleSummary de la Cuenta de AWS. |
| waf_ListRuleGroups | Le permite recuperar una lista de los objetos RuleGroupSummary para los grupos de reglas de la Cuenta de AWS. |
| waf_ListRules | Le permite recuperar una lista de los objetos RuleSummary de la Cuenta de AWS. |
| waf_ListWebAcls | Le permite recuperar una lista de los objetos WebACLSummary de la Cuenta de AWS. |
Las llamadas a la API se utilizan en el marco estándar de AWS License Manager
Audit Manager utiliza una actividad personalizada llamada GetLicenseManagerSummary para recopilar pruebas en el marco estándar AWS License Manager. Esta actividad llama a las siguientes tres API de License Manager:
Los datos que se devuelven se convierten luego en pruebas y se adjuntan a los controles pertinentes de la evaluación.
Ejemplo
Supongamos que utiliza dos productos con licencia (SQL Service 2017 y Oracle Database Enterprise Edition). En primer lugar, la actividad GetLicenseManagerSummary llama a la API ListLicenseConfigurations, que proporciona detalles de las configuraciones de licencia de su cuenta. A continuación, agrega datos contextuales adicionales para cada configuración de licencia llamando a ListUsageForLicenseConfiguration y ListAssociationsForLicenseConfiguration. Por último, convierte los datos de configuración de la licencia en pruebas y los adjunta a los controles respectivos del marco (4.5: licencia gestionada por el cliente para SQL Server 2017 y 3.0.4: licencia gestionada por el cliente para Oracle Database Enterprise Edition).
Si utiliza un producto con licencia que no está cubierto por ninguno de los controles del marco, los datos de configuración de la licencia se adjuntan como evidencia del siguiente control: 5.0: Licencia gestionada por el cliente para otras licencias.
Recursos adicionales de
-
Para obtener ayuda con problemas relacionados con recopilación de evidencias para este tipo de origen de datos, consulte Mi evaluación no consiste en recopilar pruebas de datos de configuración para una llamada a la API de AWS.
-
Para crear un control personalizado con este tipo de origen de datos, consulte Creación de un control personalizado en AWS Audit Manager.
-
Para crear un marco personalizado que utilice el control personalizado, consulte Creación de un marco personalizado en AWS Audit Manager.
-
Para añadir el control personalizado a un marco personalizado existente, consulte Edición de un marco personalizado en AWS Audit Manager.
