Llamadas a la API de AWS compatibles con AWS Audit Manager - AWS Audit Manager

Llamadas a la API de AWS compatibles con AWS Audit Manager

Puede usar Audit Manager para capturar instantáneas del entorno de AWS como evidencia para las auditorías. Al crear o editar un control personalizado, puede especificar una o varias llamadas a la API de AWS como asignación de origen de datos para la recopilación de evidencias. Audit Manager realiza llamadas a la API a los Servicios de AWS pertinentes para recopilar una instantánea de los detalles de configuración de los recursos de AWS.

Audit Manager realiza una instantánea de la configuración de cada recurso que esté en el ámbito de una llamada a la API y la convierte en prueba. Esto da como resultado una prueba por recurso, en lugar de una prueba por llamada a la API.

Por ejemplo, si la llamada a la API ec2_DescribeRouteTables captura instantáneas de la configuración de cinco tablas de rutas, obtendrá cinco pruebas en total para cada llamada a la API. Cada prueba es una instantánea de la configuración de una tabla de enrutamiento individual.

Puntos clave

Llamadas a la API paginadas

Muchos Servicios de AWS recopilan y almacenan una gran cantidad de datos. Como resultado, cuando una llamada a la API get, describe o list intenta devolver sus datos, pueden producirse muchos resultados. Si la cantidad de datos es demasiado grande para devolverla en una sola respuesta, los resultados se pueden dividir en partes más fáciles de gestionar mediante el uso de la paginación. Esto divide los resultados en «páginas» de datos, lo que facilita el manejo de las respuestas.

Se han paginado algunos de los Se admiten llamadas a la API para orígenes de datos de control personalizadas. Esto significa que al principio devuelven resultados parciales y requieren que las solicitudes posteriores devuelvan todo el conjunto de resultados. Por ejemplo, la operación DescribeDBInstances de Amazon RDS devuelven hasta 100 instancias a la vez y se necesitan solicitudes posteriores para devolver la siguiente página de resultados.

Audit Manager admite las llamadas paginadas a la API como origen de datos para la recopilación de pruebas desde el 8 de marzo de 2023. Antes, si se utilizaba una llamada a la API paginada como origen de datos, en la respuesta a la API solo se devolvía un subconjunto de sus recursos (hasta 100 resultados). Ahora, Audit Manager llama a la operación de la API paginada varias veces y obtiene cada página de resultados hasta que se devuelven todos los recursos. A continuación, Audit Manager captura una instantánea de la configuración para cada recurso y la guarda como prueba. Dado que ahora todo el conjunto de recursos se incluye en la respuesta de la API, es probable que observe un aumento en la cantidad de evidencias recopiladas a partir del 8 de marzo de 2023.

Audit Manager gestiona automáticamente la paginación de las llamadas a la API. Si crea un control personalizado que utiliza una llamada a la API paginada como origen de datos, no necesita especificar ningún parámetro de paginación.

Se admiten llamadas a la API para orígenes de datos de control personalizadas

En sus controles personalizados, puede usar cualquiera de las siguientes llamadas a la API como origen de datos. A continuación, Audit Manager puede utilizar estas llamadas a la API para recopilar pruebas sobre el uso de AWS.

Llamada a la API compatible Cómo Audit Manager utiliza esta API para recopilar pruebas
acm_GetAccountConfiguration Recopila una instantánea de las opciones de configuración de la cuenta asociadas a su Cuenta de AWS.
acm_ListCertificates Recupera una lista de los ARN de los certificados y los nombres de dominio.
autoscaling_DescribeAutoScalingGroups Le permite recopilar una instantánea sobre los grupos de escalado automático de la Cuenta de AWS.
backup_ListBackupPlans Le permite recuperar una lista de todos los planes de copia de seguridad activos de la Cuenta de AWS.
bedrock_GetModelInvocationLoggingConfiguration Le permite recopilar una instantánea de los valores de configuración actuales para el registro de invocación de modelos para los modelos de la Cuenta de AWS.
cloudfront_ListDistributions

Le permite recuperar una lista de todas las distribuciones de la Cuenta de AWS.

cloudtrail_DescribeTrails

Recopila una instantánea de la configuración de uno o más registros asociados a la región actual de su Cuenta de AWS.
cloudtrail_ListTrails Le permite recuperar de los registros de seguimiento que se encuentran en la Cuenta de AWS.

cloudwatch_DescribeAlarms

Recopila una instantánea de la configuración de las alarmas que se utilizan en su Cuenta de AWS.
config_DescribeConfigRules Recupera detalles sobre las reglas de su AWS Config.
config_DescribeDeliveryChannels Recopila una instantánea de la configuración de los canales de entrega en su Cuenta de AWS.
directconnect_DescribeDirectConnectGateways Recupera una lista de todas sus puertas de enlace de AWS Direct Connect.
directconnect_DescribeVirtualGateways Recupera una lista de las puertas de enlace privadas virtuales que son de su Cuenta de AWS.
docdb_DescribeCertificates Recopila una lista de certificados para su Cuenta de AWS.
docdb_DescribeDBClusterParameterGroups Recopila una lista de descripciones de DBCLusterParameterGroup para su Cuenta de AWS.
docdb_DescribeDBInstances Recopila información sobre las instancias de Amazon DynamoDB aprovisionadas para su Cuenta de AWS.

cloudwatch_DescribeAlarms

Le permite recopilar información sobre las alarmas de la Cuenta de AWS.

cloudtrail_DescribeTrails

Le permite recopilar una instantánea de la configuración de uno o varios registros de seguimiento asociados a la Cuenta de AWS.

dynamodb_DescribeTable

Recopila instantáneas de configuración para las tablas de DynamoDB de su Cuenta de AWS.

Cuando utiliza esta API como origen de datos, no necesita proporcionar el nombre de una tabla de DynamoDB específica. En su lugar, Audit Manager utiliza la operación ListTables para enumerar todas las tablas. Para cada tabla que aparece en la lista, Audit Manager realiza la operación DescribeTable para generar prueba para ese recurso.

dynamodb_ListBackups Recupera una lista de las copias de seguridad de DynamoDB que están asociadas a su Cuenta de AWS.

dynamodb_ListTables

Recupera una lista de todos los nombres de las tablas que están asociados a su Cuenta de AWS y a su punto de conexión actual.
ec2_DescribeAddresses Recopila una instantánea de sus direcciones IP elásticas.
ec2_DescribeCustomerGateways Recopila una instantánea de las puertas de enlace de cliente de VPN.
ec2_DescribeEgressOnlyInternetGateways Recopila una instantánea de sus puertas de enlace de Internet de solo salida.

ec2_DescribeFlowLogs

Recopila una instantánea de los registros de flujo.

ec2_DescribeInstances

Recopila una instantánea de sus instancias.
ec2_DescribeInternetGateways Recopila una instantánea de sus puertas de enlace de Internet.
ec2_DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations Recopila una descripción de las asociaciones entre los grupos de interfaces virtuales y las tablas de enrutamiento de las puertas de enlace locales de su Cuenta de AWS.
ec2_DescribeLocalGateways Recopila una instantánea de sus puertas de enlace locales.
ec2_DescribeLocalGatewayVirtualInterfaces Recopila una instantánea de las interfaces virtuales de su puerta de enlace local.
ec2_DescribeNatGateways Recopila una instantánea de sus puertas de enlace NAT.

ec2_DescribeNetworkAcls

Recopila una instantánea de las ACL de la red.

ec2_DescribeRouteTables

Recopila una instantánea de sus tablas de enrutamiento.

ec2_DescribeSecurityGroups

Recopila una instantánea de sus grupos de seguridad.
ec2_DescribeSecurityGroupRules Le permite recopilar una instantánea de una o varias reglas de grupos de seguridad.
ec2_DescribeTransitGateways Recopila una instantánea de sus puertas de enlace de tránsito.

ec2_DescribeVolumes

Recopila una instantánea de sus puntos de conexión de VPC.

ec2_DescribeVpcs

Recopila una instantánea de sus VPC.

ec2_DescribeVpcEndpoints

Recopila una instantánea de sus puntos de conexión de VPC.
ec2_DescribeVpcEndpointConnections Le permite recopilar una instantánea de las conexiones del punto de conexión de VPC a los servicios de punto de conexión de VPC, incluidas las que están pendientes de su aceptación.
ec2_DescribeVpcEndpointServiceConfigurations Le permite recopilar una instantánea de las configuraciones de servicio de punto de conexión de VPC de la Cuenta de AWS.
ec2_DescribeVpcPeeringConnections Recopila una instantánea de sus conexiones VPN.
ec2_DescribeVpnConnections Recopila una instantánea de sus conexiones VPN.
ec2_DescribeVpnGateways Recopila una instantánea de sus puertas de enlace privadas virtuales.
ec2_GetEbsDefaultKmsKeyId Recopila una instantánea del cifrado EBS predeterminado de AWS KMS key para su Cuenta de AWS en la región actual.
ec2_GetEbsEncryptionByDefault Describe si el cifrado EBS está habilitado de forma predeterminada para su Cuenta de AWS en la región actual.
ecs_DescribeClusters Recopila una instantánea de los clústeres de ECS.
eks_DescribeAddonVersions Recopila una instantánea de las versiones de los complementos.
elasticache_DescribeCacheClusters Recopila una instantánea de sus clústeres aprovisionados.
elasticache_DescribeServiceUpdates Recopila una instantánea de las actualizaciones del servicio para Amazon ElastiCache.
elasticfilesystem_DescribeAccessPoints Recopila una instantánea de los puntos de acceso de Amazon EFS en su Cuenta de AWS.

elasticfilesystem_DescribeFileSystems

Recopila una instantánea de sus sistemas de archivos de Amazon EFS.
elasticloadbalancingv2_DescribeLoadBalancers

Recopila una instantánea de los equilibradores de carga en su Cuenta de AWS.

elasticloadbalancingv2_DescribeSSLPolicies Recopila una instantánea de las políticas que utiliza para la negociación de SSL.
elasticloadbalancingv2_DescribeTargetGroups Recopila una instantánea de sus grupos de destino de ELB.
elasticmapreduce_ListSecurityConfigurations Recupera una lista de las configuraciones de seguridad que tiene visibles en su Cuenta de AWS, junto con sus fechas y horas de creación y sus nombres.
events_ListConnections Recupera una lista de las conexiones de Amazon EventBridge de su Cuenta de AWS.
events_ListEventBuses Recupera una lista de los buses de eventos de Amazon EventBridge en su Cuenta de AWS, incluido el bus de eventos predeterminado, los buses de eventos personalizados y los buses de eventos de socios.
events_ListEventSources Recupera una lista de los orígenes de eventos de socios que se han compartido con su Cuenta de AWS.
events_ListRules Recupera una lista de sus reglas de Amazon EventBridge.
firehose_ListDeliveryStreams Recupera una lista de sus flujos de entrega.
fsx_DescribeFileSystems Recopila una instantánea de los sistemas de archivos que le pertenecen a su Cuenta de AWS.
guardduty_ListDetectors

Recupera una lista de los detectorIds para los recursos de su detector de Amazon GuardDuty.

iam_GenerateCredentialReport

Genera un informe de credencial para su Cuenta de AWS.

iam_GetAccountPasswordPolicy

Recopila una instantánea de la política de contraseñas de su Cuenta de AWS.

iam_GetAccountSummary

Recopila una instantánea del uso de entidades de IAM y cuotas de IAM en su Cuenta de AWS.

iam_ListGroups

Recupera una lista de los grupos de IAM que están asociados a un prefijo de ruta, y que está disponible en su Cuenta de AWS.
iam_ListOpenIDConnectProviders Recupera una lista de los objetos del recurso del proveedor OpenID Connect (OIDC) de IAM que están definidos en su Cuenta de AWS.

iam_ListPolicies

Recupera una lista de todas las políticas administradas que están disponibles en su Cuenta de AWS, incluidas las políticas administradas definidas por su propio cliente y todas las políticas administradas por AWS.

iam_ListRoles

Recupera una lista de los roles de IAM que están asociados a un prefijo de ruta que está disponible en su Cuenta de AWS.
iam_ListSAMLProviders Recupera una lista de los objetos del recurso del proveedor SAML que están definidos en IAM en su Cuenta de AWS.

iam_ListUsers

Recupera una lista de los usuarios de IAM de su Cuenta de AWS.
iam_ListVirtualMFADevices Recupera una lista de los dispositivos MFA virtuales que están definidos en su Cuenta de AWS.
kafka_ListClusters Recupera una lista de los clústeres de Amazon MSK en su Cuenta de AWS.
kafka_ListKafkaVersions Recupera una lista de los objetos de la versión de Apache Kafka en su Cuenta de AWS.
kinesis_ListStreams Recupera una lista de sus flujos de datos de Kinesis.

kms_GetKeyPolicy

Audit Manager utiliza esta API para recopilar una instantánea de las políticas de claves para AWS KMS keys en su Cuenta de AWS.

Cuando utiliza esta API como origen de datos, no necesita proporcionar el nombre de una AWS KMS key específica. En su lugar, Audit Manager utiliza la operación ListKeys para enumerar todas las claves de KMS. Por cada clave de KMS que aparece en la lista, Audit Manager realiza la operación GetKeyPolicy con el fin de generar prueba para ese recurso.

KMS_GetKeyRotationStatus

Audit Manager utiliza esta API para recopilar una instantánea de si la rotación automática está habilitada para AWS KMS keys en su Cuenta de AWS.

Cuando utiliza esta API como origen de datos, no necesita proporcionar el nombre de una AWS KMS key específica. En su lugar, Audit Manager utiliza la operación ListKeys para enumerar todas las claves de KMS. Por cada clave de KMS que aparece en la lista, Audit Manager realiza la operación GetKeyRotationStatus con el fin de generar prueba para ese recurso.

kms_ListKeys Recupera una lista de AWS KMS keys de su Cuenta de AWS.
lambda_ListFunctions Recupera una lista de funciones de Lambda en su Cuenta de AWS, con la configuración específica de la versión de cada función.
rds_DescribeDBClusters Recopila una instantánea de los clústeres de base de datos de Amazon Aurora y los clústeres de base de datos Multi-AZ que tiene en su Cuenta de AWS.

rds_DescribeDBInstances

Recopila una instantánea de las instancias de RDS aprovisionadas en su Cuenta de AWS.
rds_DescribeDbInstanceAutomatedBackups Le permite recopilar una instantánea de las copias de seguridad de las instancias actuales y eliminadas de la Cuenta de AWS.
rds_DescribeDbSecurityGroups Le permite recopilar una instantánea de los DBSecurityGroups de la Cuenta de AWS.

redshift_DescribeClusters

Recopila una instantánea de los clústeres de Amazon Redshift aprovisionados en su Cuenta de AWS.

s3_GetBucketEncryption

Recopila una instantánea que muestra la configuración de cifrado predeterminada para sus buckets de S3.

Cuando utiliza esta API como origen de datos, no necesita proporcionar el nombre de un bucket de S3 específico. En su lugar, Audit Manager utiliza la operación ListBuckets para enumerar todos los bucket. Por cada bucket que aparece en la lista, Audit Manager realiza la operación GetBucketEncryption con el fin de generar una prueba para ese recurso.

Audit Manager solo puede proporcionar el estado de cifrado de los buckets que se crearon al mismo tiempo Región de AWS que su evaluación. Si necesita ver el estado de cifrado de todos sus bucket de S3 en varias Regiones de AWS, le recomendamos que cree una evaluación en cada Región de AWS en la que tenga cada un bucket S3.

S3_ListBuckets

Recupera una lista de los buckets de S3 de su Cuenta de AWS.
sagemaker_ListAlgorithms Le permite recuperar una lista de los algoritmos de machine learning de la Cuenta de AWS.
sagemaker_ListDomains Le permite recuperar una lista de los dominios de la Cuenta de AWS.
sagemaker_ListEndpoints Le permite recuperar una lista de los puntos de conexión de la Cuenta de AWS.
sagemaker_ListEndpointConfigs Le permite recuperar una lista de las configuraciones de punto de conexión de la Cuenta de AWS.
sagemaker_ListFlowDefinitions Le permite recuperar una lista de las definiciones de flujo de la Cuenta de AWS.
sagemaker_ListHumanTaskUis Le permite recuperar una lista de las interfaces de tareas humanas de la Cuenta de AWS.
sagemaker_ListLabelingJobs Le permite recuperar una lista de los trabajos de etiquetado de la Cuenta de AWS.
sagemaker_ListModels Le permite recuperar una lista de los modelos de la Cuenta de AWS.
sagemaker_ListModelBiasJobDefinitions Le permite recuperar una lista de las definiciones de trabajo de sesgo del modelo de la Cuenta de AWS.
sagemaker_ListModelCards Le permite recuperar una lista de las tarjetas de modelos de la Cuenta de AWS.
sagemaker_ListModelQualityJobDefinitions Le permite recuperar una lista de las definiciones de trabajo de supervisión de calidad del modelo de la Cuenta de AWS.
sagemaker_ListMonitoringAlerts Le permite recuperar una lista de las alertas de un determinado programa de supervisión.
sagemaker_ListMonitoringSchedules Le permite recuperar una lista de todos los programas de supervisión de la Cuenta de AWS.
sagemaker_ListTrainingJobs Le permite recuperar una lista de trabajos de entrenamiento de la Cuenta de AWS.
sagemaker_ListUserProfiles Le permite recuperar una lista de perfiles de usuario de la Cuenta de AWS.
secretsmanager_ListSecrets Le permite recuperar una lista de los secretos almacenados en la Cuenta de AWS, sin incluir los secretos marcados para su eliminación.
sns_ListTopics Recupera una lista de los temas de SNS en su Cuenta de AWS.
sqs_ListQueues Recupera una lista de las colas de SQS de su Cuenta de AWS.
waf-regional_ListWebAcls Le permite recuperar una lista de los objetos WebACLSummary de la Cuenta de AWS.
waf-regional_ListRules Le permite recuperar una lista de los objetos RuleSummary de la Cuenta de AWS.
waf_ListRuleGroups Le permite recuperar una lista de los objetos RuleGroupSummary para los grupos de reglas de la Cuenta de AWS.
waf_ListRules Le permite recuperar una lista de los objetos RuleSummary de la Cuenta de AWS.
waf_ListWebAcls Le permite recuperar una lista de los objetos WebACLSummary de la Cuenta de AWS.

Las llamadas a la API se utilizan en el marco estándar de AWS License Manager

Audit Manager utiliza una actividad personalizada llamada GetLicenseManagerSummary para recopilar pruebas en el marco estándar AWS License Manager. Esta actividad llama a las siguientes tres API de License Manager:

Los datos que se devuelven se convierten luego en pruebas y se adjuntan a los controles pertinentes de la evaluación.

Ejemplo

Supongamos que utiliza dos productos con licencia (SQL Service 2017 y Oracle Database Enterprise Edition). En primer lugar, la actividad GetLicenseManagerSummary llama a la API ListLicenseConfigurations, que proporciona detalles de las configuraciones de licencia de su cuenta. A continuación, agrega datos contextuales adicionales para cada configuración de licencia llamando a ListUsageForLicenseConfiguration y ListAssociationsForLicenseConfiguration. Por último, convierte los datos de configuración de la licencia en pruebas y los adjunta a los controles respectivos del marco (4.5: licencia gestionada por el cliente para SQL Server 2017 y 3.0.4: licencia gestionada por el cliente para Oracle Database Enterprise Edition).

Si utiliza un producto con licencia que no está cubierto por ninguno de los controles del marco, los datos de configuración de la licencia se adjuntan como evidencia del siguiente control: 5.0: Licencia gestionada por el cliente para otras licencias.

Recursos adicionales de