Configuración del destino del informe de evaluación predeterminado - AWS Audit Manager
Requisitos previosProcedimientoRecursos adicionales de

Configuración del destino del informe de evaluación predeterminado

Al generar un informe de evaluación, Audit Manager publica el informe en el bucket de S3 que elija. Este bucket de S3 se denomina assessment report destination. Puede elegir el bucket de S3 en el que Audit Manager almacena los informes de evaluación.

Requisitos previos

Consejos de configuración para el destino de su informe de evaluación

Para garantizar la correcta generación del informe de evaluación, le recomendamos que utilice las siguientes configuraciones para el destino del informe de evaluación.

Buckets de la misma región

Le recomendamos que utilice un bucket de S3 que se encuentre en la misma Región de AWS de su evaluación. Si utiliza un bucket y una evaluación de la misma región, el informe de evaluación puede incluir hasta 22 000 elementos de evidencias. Por el contrario, si utiliza un bucket y una evaluación entre regiones, solo se pueden incluir 3500 elementos de evidencias.

Región de AWS

La Región de AWS de la clave administrada por su cliente (si la ha proporcionado) debe coincidir con la región de su evaluación y el bucket de S3 de destino del informe de evaluación. Para obtener instrucciones sobre cómo cambiar la clave de KMS, consulte Configuración de los ajustes del cifrado de datos. Para obtener una lista de regiones admitidas de Audit Manager, consulte AWS Audit Manager Puntos de conexión y cuotas de en la Referencia general de Amazon Web Services.

Cifrado de buckets de S3

Si el destino de su informe de evaluación tiene una política de buckets que requiere el cifrado del servidor (SSE) mediante SSE-KMS, entonces, la clave de KMS utilizada en esa política de buckets debe coincidir con la clave de KMS que configuró en los ajustes de cifrado de datos de Audit Manager. Si no ha configurado una clave KMS en la configuración de Audit Manager y la política de buckets de destino de su informe de evaluación requiere SSE, asegúrese de que la política de buckets permita SSE-S3. Para obtener instrucciones sobre cómo configurar la clave de KMS que se utiliza para el cifrado de datos, consulte Configuración de los ajustes del cifrado de datos.

Buckets de S3 entre cuentas

La consola de Audit Manager no admite el uso de un bucket de S3 entre cuentas como destino del informe de evaluación. Es posible especificar un bucket entre cuentas como destino del informe de evaluación mediante la AWS CLI o una de las AWS SDK, pero por motivos de simplicidad, le recomendamos que no lo haga. Si opta por utilizar un bucket de S3 entre cuentas como destino del informe de evaluación, tenga en cuenta las siguientes cuestiones.

  • De forma predeterminada, los objetos de S3 (como los informes de evaluación) son propiedad de la Cuenta de AWS que carga el objeto. Puede utilizar la configuración de Propiedad de objetos de S3 para cambiar este comportamiento predeterminado, de modo que cualquier nuevo objeto escrito por cuentas con la lista de control de acceso (ACL) predefinida bucket-owner-full-control se convierta automáticamente en propiedad del propietario del bucket.

    Aunque no es obligatorio, le recomendamos que realice los siguientes cambios en la configuración del bucket entre cuentas. Al realizar estos cambios, se garantiza que el propietario del bucket tenga el control total de los informes de evaluación que usted publique en su bucket.

  • Para permitir que Audit Manager publique informes en un bucket de S3 entre cuentas, debe añadir la siguiente política de buckets de S3 al destino de su informe de evaluación. Sustituya el texto del marcador de posición por su propia información. El elemento Principal de esta política es el usuario o el rol propietario de la evaluación y crea el informe de la evaluación. El Resource especifica el bucket de S3 entre cuentas en el que se publica el informe.

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Sid": "Allow cross account assessment report publishing",
          "Effect": "Allow",
          "Principal": {
              "AWS": "arn:aws:iam::AssessmentOwnerAccountId:user/AssessmentOwnerUserName"
          },
          "Action": [
              "s3:ListBucket",
              "s3:PutObject",
              "s3:GetObject",
              "s3:GetBucketLocation",
              "s3:PutObjectAcl",
              "s3:DeleteObject"
          ],
          "Resource": [
              "arn:aws:s3:::CROSS-ACCOUNT-BUCKET",
              "arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*"
          ]
      }
  ]
}
Mostrar másMostrar menos

Procedimiento

Puede actualizar esta configuración utilizando la consola de Audit Manager, AWS Command Line Interface (AWS CLI) o la API de Audit Manager.

Audit Manager console
Actualización del destino del informe de evaluación predeterminado en la consola de Audit Manager

  1. En la pestaña de configuración de la Evaluación, vaya a la sección Destino del informe de evaluación.

  2. Para utilizar un bucket de S3 existente, seleccione un nombre de bucket en el menú desplegable.

  3. Para crear un nuevo bucket de S3, elija Crear un bucket nuevo.

  4. Cuando haya terminado, elija Guardar.

AWS CLI
Actualización del destino del informe de evaluación predeterminado en la AWS CLI

Ejecute el comando update-settings y utilice el parámetro --default-assessment-reports-destination para especificar un bucket de S3.

En el siguiente ejemplo, reemplace cada placeholder text con su propia información:

aws auditmanager update-settings --default-assessment-reports-destination destinationType=S3,destination=s3://amzn-s3-demo-destination-bucket
Audit Manager API
Actualización del destino del informe de evaluación predeterminado mediante la API

Llame a la operación UpdateSettings y use el parámetro defaultAssessmentReportsDestination para especificar un bucket de S3.

Recursos adicionales de