Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Como cliente empresarial, es probable que tenga recursos en varios centros de datos, incluidos otros proveedores de servicios en la nube y entornos en las instalaciones. Para recopilar pruebas de estos entornos, puede utilizar soluciones GRC (gobierno, riesgo y cumplimiento) de terceros, como MetricStream CyberGRC o RSA Archer. O bien, puede utilizar un sistema de GRC patentado que haya desarrollado a nivel interno.
Este tutorial le muestra cómo puede integrar un sistema de GRC interno o externo con Audit Manager. Esta integración permite a los proveedores recopilar pruebas sobre el AWS uso y las configuraciones de sus clientes y enviar esas pruebas directamente desde Audit Manager a la aplicación GRC. De este modo, puede centralizar los informes de conformidad en varios entornos.
Para este tutorial:
-
Un proveedor es la entidad o empresa propietaria de la aplicación de GRC que se está integrando con Audit Manager.
-
Un cliente es la entidad o empresa que utiliza AWS, y que también utiliza, una aplicación GRC interna o externa.
nota
En algunos casos, la aplicación de GRC es propiedad de la misma empresa que la utiliza. En este escenario, el proveedor es el grupo o equipo propietario de la aplicación de GRC, y el cliente es el equipo o grupo que usa la aplicación de GRC.
Este tutorial le enseña a realizar las siguientes tareas:
Requisitos previos
Antes de comenzar, asegúrese de cumplir las siguientes condiciones:
-
Tiene una infraestructura que se ejecuta en AWS.
-
Utiliza un sistema de GRC interno o utiliza un software de GRC de terceros proporcionado por un proveedor.
-
Ha completado todos los requisitos previos necesarios para configurar Audit Manager.
-
Conoce Comprensión de AWS Audit Manager los conceptos y la terminología.
Algunas restricciones que hay que tener en cuenta:
-
Audit Manager es regional Servicio de AWS. Debe configurar Audit Manager por separado en cada región en la que ejecute sus AWS cargas de trabajo.
-
Audit Manager no permite agregar evidencias de varias regiones a una única región. Si sus recursos abarcan varios Regiones de AWS, debe agregar la evidencia dentro de su sistema GRC.
-
Audit Manager tiene cuotas predeterminadas para el número de recursos que puede crear. Si es necesario, puede solicitar un aumento de estas cuotas predeterminadas. Para obtener más información, consulte Quotas and restrictions for AWS Audit Manager.
Paso 1: habilitar Audit Manager
Usuario que debe completar este paso
Cliente
Qué necesita
Comience por habilitar Audit Manager para su Cuenta de AWS. Si su cuenta forma parte de una organización, puede habilitar Audit Manager con su cuenta de administración y, a continuación, especificar un administrador delegado para Audit Manager.
Procedimiento
Habilitación de Audit Manager
Siga las instrucciones para habilitar Audit Manager. Repita el procedimiento de configuración en todas las regiones en las que desee recopilar evidencias.
sugerencia
Si lo utiliza AWS Organizations, le recomendamos encarecidamente que configure un administrador delegado durante este paso. Si utiliza una cuenta de administrador delegado en Audit Manager, puede utilizar el buscador de evidencias para buscar en todas las cuentas de miembros de la organización.
Paso 2: configuración de permisos
Usuario que debe completar este paso
Cliente
Qué necesita
En este paso, el cliente crea un rol de IAM para su cuenta. A continuación, el cliente concede al proveedor permisos para asumir el rol.
Procedimiento
Creación de un rol para la cuenta de cliente
Siga las instrucciones descritas en Creación de un rol para un usuario de IAM en la Guía del usuario de IAM.
En el paso 8 del flujo de trabajo de creación de roles, elija Crear política e introduzca una política para el rol.
El rol debe tener, como mínimo, los siguientes permisos:
{ "Version" : "2012-10-17", "Statement" : [ { "Sid" : "AuditManagerAccess", "Effect" : "Allow", "Action" : [ "auditmanager:*" ], "Resource" : "*" }, { "Sid" : "OrganizationsAccess", "Effect" : "Allow", "Action" : [ "organizations:ListAccountsForParent", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:ListParents", "organizations:ListChildren" ], "Resource" : "*" }, { "Sid" : "IAMAccess", "Effect" : "Allow", "Action" : [ "iam:GetUser", "iam:ListUsers", "iam:ListRoles" ], "Resource" : "*" }, { "Sid" : "S3Access", "Effect" : "Allow", "Action" : [ "s3:ListAllMyBuckets" ], "Resource" : "*" }, { "Sid" : "KmsAccess", "Effect" : "Allow", "Action" : [ "kms:DescribeKey", "kms:ListKeys", "kms:ListAliases" ], "Resource" : "*" }, { "Sid" : "KmsCreateGrantAccess", "Effect" : "Allow", "Action" : [ "kms:CreateGrant" ], "Resource" : "*", "Condition" : { "Bool" : { "kms:GrantIsForAWSResource" : "true" }, "StringLike" : { "kms:ViaService" : "auditmanager.*.amazonaws.com" } } }, { "Sid" : "SNSAccess", "Effect" : "Allow", "Action" : [ "sns:ListTopics" ], "Resource" : "*" }, { "Sid" : "TagAccess", "Effect" : "Allow", "Action" : [ "tag:GetResources" ], "Resource" : "*" } ] }-
En el paso 11 del flujo de trabajo de creación de roles, introduzca
vendor-auditmanagercomo nombre del rol.
Autorización para que la cuenta del proveedor asuma el rol
Siga las instrucciones que se indican en Conceder a un usuario permisos para cambiar de rol en la Guía del usuario de IAM.
-
La declaración de política debe incluir el efecto
Allowen lasts:AssumeRole action. -
También debe incluir el nombre de recurso de Amazon (ARN) del rol en un elemento de recurso.
A continuación, se muestra un ejemplo de declaración de política que puede utilizar.
En esta política, sustituya el Cuenta de AWS identificador
placeholder textpor el de su proveedor.{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::account-id:role/vendor-auditmanager" } }
Paso 3. Asignación de los controles empresariales a los controles de Audit Manager
Usuario que debe completar este paso
Cliente
Qué necesita
Los proveedores mantienen una lista seleccionada de controles empresariales que los clientes pueden utilizar en una evaluación. Para integrarse con Audit Manager, los proveedores deben crear una interfaz que permita a los clientes asignar sus controles empresariales a los controles de Audit Manager correspondientes. Puede realizar la asignación a varios common control (recomendado) o a varios standard control. Debe completar esta asignación antes de iniciar cualquier evaluación en la aplicación de GRC del proveedor.
Esta es la forma recomendada de asignar los controles empresariales a Audit Manager. Esto se debe a que los controles comunes están en consonancia con los estándares comunes del sector. Esto facilita su asignación a los controles empresariales.
Con este método, el proveedor crea una interfaz que permite al cliente realizar una asignación única entre sus controles empresariales y los controles comunes correspondientes que proporciona Audit Manager. Los proveedores pueden usar las operaciones de GetControlAPI y ListControlsListCommonControls, para mostrar esta información a los clientes. Una vez que el cliente complete el ejercicio de asignación, el proveedor puede usar estas asignaciones para crear controles personalizados en Audit Manager.
A continuación, se muestra un ejemplo de una asignación de controles comunes:
Supongamos que tiene un control empresarial denominado Asset Management. Este control empresarial se asigna a dos controles comunes en Audit Manager (Asset performance
management y Asset maintenance scheduling). En este caso, debe crear un control personalizado en Audit Manager (lo denominaremos enterprise-asset-management). A continuación, añada Asset performance
management y Asset maintenance scheduling como orígenes de evidencias al nuevo control personalizado. Estas fuentes de evidencia recopilan evidencia de apoyo de un grupo predefinido de fuentes de AWS datos. Esto le proporciona una forma eficaz de identificar las fuentes de AWS datos que se corresponden con los requisitos de control de su empresa.
Procedimiento
Búsqueda de los controles comunes disponibles a los se que pueden realizar asignaciones
Siga los pasos para buscar la lista de controles comunes disponibles en Audit Manager.
Creación de un control personalizado
-
Siga los pasos para crear un control personalizado que esté en concordancia con el control empresarial.
Cuando especifique los orígenes de evidencias en el paso 2 del flujo de trabajo de creación de controles personalizados, haga lo siguiente:
-
Elija orígenes administrados por AWS como el origen de evidencias.
-
Seleccione Usar un control común que coincida con el objetivo de conformidad.
-
Elija hasta cinco controles comunes como orígenes de evidencias para el control empresarial.
-
-
Repita esta tarea para todos los controles empresariales y cree los controles personalizados correspondientes en Audit Manager para cada uno de ellos.
Audit Manager proporciona una gran número de controles estándar prediseñados. Puede realizar una asignación única entre los controles empresariales y estos controles estándar. Una vez que haya identificado los controles estándar que corresponden a los controles empresariales, puede añadirlos directamente a un marco personalizado. Si elige esta opción, no necesitará crear ningún control personalizado en Audit Manager.
Procedimiento
Búsqueda de los controles estándar disponibles a los que se pueden realizar asignaciones
Siga los pasos para buscar la lista de controles estándar disponibles en Audit Manager.
Creación de un marco personalizado
-
Siga los pasos para crear un marco personalizado en Audit Manager.
Cuando especifique un conjunto de controles en el paso 2 del procedimiento de creación de marcos, incluya los controles estándar que se asignan a los controles empresariales.
-
Repita esta tarea para todos los controles empresariales hasta que haya incluido todos los controles estándar correspondientes en el marco personalizado.
Paso 4. Actualización de las asignaciones de controles
Usuario que debe completar este paso
Proveedor, cliente
Qué necesita
Audit Manager actualiza continuamente los controles comunes y los controles estándar para garantizar que utilizan las últimas fuentes de AWS datos disponibles. Esto significa que la asignación de los controles es una tarea única: no es necesario administrar los controles estándar después de añadirlos a un marco personalizado, y no es necesario administrar los controles comunes después de añadirlos como origen de evidencias en el control personalizado. Siempre que se actualice un control común, se aplicarán automáticamente las mismas actualizaciones a todos los controles personalizados que utilizan ese control común como origen de evidencias.
Sin embargo, con el tiempo, es posible que estén disponibles nuevos controles comunes y estándar para utilizarlos como orígenes de evidencias. Teniendo esto en cuenta, los proveedores y los clientes deben crear un flujo de trabajo para obtener periódicamente los controles comunes y estándar más recientes de Audit Manager. A continuación, puede revisar las asignaciones entre los controles empresariales y los controles de Audit Manager, y actualizar las asignaciones según sea necesario.
Durante el proceso de asignación, ha creado controles personalizados. Puede usar Audit Manager para editar esos controles personalizados de modo que utilicen los controles comunes más recientes disponibles como orígenes de evidencias. Una vez que se apliquen las actualizaciones de los controles personalizados, las evaluaciones existentes recopilarán automáticamente evidencias comparándolas con los controles personalizados actualizados. No es necesario crear un nuevo marco o evaluación.
Procedimiento
Búsqueda de los controles comunes más recientes a los se que pueden realizar asignaciones
Siga los pasos para buscar los controles comunes disponibles en Audit Manager.
Edición de un control personalizado
-
Siga los pasos para editar un control personalizado en Audit Manager.
Al actualizar los orígenes de evidencias en el paso 2 del flujo de trabajo de edición, haga lo siguiente:
-
Elija orígenes administrados por AWS como el origen de evidencias.
-
Seleccione Usar un control común que coincida con el objetivo de conformidad.
-
Elija el nuevo control común que desee utilizar como origen de evidencias para el control personalizado.
-
-
Repita esta tarea para todos los controles empresariales que desee actualizar.
En este caso, los proveedores deben crear un nuevo marco personalizado que incluya los controles estándar más recientes disponibles y, a continuación, crear una nueva evaluación con este nuevo marco. Tras crear la nueva evaluación, puede marcar la anterior como en estado Inactivo.
Procedimiento
Búsqueda de los controles estándar más recientes a los que se pueden realizar asignaciones
Siga los pasos para buscar los controles estándar disponibles en Audit Manager.
Creación de un marco personalizado y cómo añadir los controles estándar más recientes
Siga los pasos para crear un marco personalizado en Audit Manager.
Cuando especifique un conjunto de controles en el paso 2 del flujo de trabajo de creación de marcos, incluya los nuevos controles estándar.
Creación de una evaluación
Cree una evaluación en la aplicación de GRC.
Cambio del estado de una evaluación a Inactivo
Siga los pasos para cambiar el estado de una evaluación en Audit Manager.
Paso 5: crear una evaluación
Usuario que debe completar este paso
Aplicación de GRC, con información del proveedor
Qué necesita
Como cliente, no necesita crear una evaluación directamente en Audit Manager. Al iniciar una evaluación de determinados controles en la aplicación de GRC, la aplicación de GRC crea los recursos correspondientes en Audit Manager. En primer lugar, la aplicación de GRC utiliza las asignaciones que ha creado para identificar los controles pertinentes de Audit Manager. A continuación, utiliza la información del control para crear un marco personalizado. Por último, utiliza el marco personalizado recién creado para crear una evaluación en Audit Manager.
La creación de una evaluación en Audit Manager también requiere un ámbito. Este ámbito incluye una lista de los Cuentas de AWS lugares en los que el cliente desea realizar la evaluación y recopilar las pruebas. Los clientes deben definir este ámbito directamente en la aplicación de GRC.
Como proveedor, debe almacenar el assessmentId asignado a la evaluación que se ha iniciado en la aplicación de GRC. Este assessmentId es necesario para obtener evidencias de Audit Manager.
Búsqueda de un ID de evaluación
-
Utilice la ListAssessmentsoperación para ver sus evaluaciones en Audit Manager. Puede utilizar el parámetro status para ver las evaluaciones con el estado Activo.
aws auditmanager list-assessments --status ACTIVE -
En la respuesta, identifique la evaluación que desea almacenar en la aplicación de GRC y tome nota del
assessmentId.
Paso 6. Comenzar a recopilar evidencias
Usuario que debe completar este paso
AWS Audit Manager, con la información del proveedor
Qué necesita
Tras crear una evaluación, se tardan hasta 24 horas en empezar a recopilar evidencias. En este momentos, los controles empresariales están recopilando activamente evidencias para la evaluación de Audit Manager.
Le recomendamos que utilice la característica de buscador de evidencias para consultar y encontrar evidencias rápidamente en Audit Manager. Si utiliza el buscador de evidencias como administrador delegado, puede buscar evidencias en todas las cuentas de miembros de su organización. Mediante una combinación de filtros y agrupaciones, puede reducir progresivamente el alcance de su consulta de búsqueda. Por ejemplo, si desea obtener una visión general del estado de su sistema, realice una búsqueda amplia y filtre por evaluación, intervalo de fechas y conformidad de los recursos. Si su objetivo es corregir un recurso específico, puede realizar una búsqueda restringida para encontrar evidencias que apunten a un identificador de control o recurso específico. Tras definir los filtros, puede agrupar y, a continuación, obtener una vista previa de los resultados de búsqueda coincidentes antes de crear un informe de evaluación.
Habilitación del buscador de evidencias
-
Siga las instrucciones para habilitar el buscador de evidencias en la configuración de Audit Manager.
Después de habilitar el buscador de evidencias, puede decidir el ritmo con el que desea obtener las evidencias de Audit Manager para la evaluación. También puede buscar evidencias para un determinado control en una evaluación y almacenarlas en la aplicación de GRC asignada al control empresarial. Puede utilizar las siguientes operaciones de la API de Audit Manager para obtener evidencias:
Precios
No incurrirá en ningún costo adicional por la configuración de esta integración, ya sea un proveedor o un cliente. A los clientes se les cobra por las evidencias recopiladas en Audit Manager. Para obtener más información sobre los precios, consulte Precios de AWS Audit Manager
Recursos adicionales
Consulte los siguientes recursos para obtener más información sobre los conceptos que se presentan en este tutorial:
-
Evaluaciones: obtenga información sobre los conceptos y las tareas para administrar una evaluación.
-
Biblioteca de controles: obtenga información sobre los conceptos y las tareas para administrar un control personalizado.
-
Biblioteca de marcos: obtenga información sobre los conceptos y las tareas para administrar un marco personalizado.
-
Buscador de evidencias: obtenga información sobre cómo exportar un archivo CSV o generar un informe de evaluación a partir de los resultados de consultas.
-
Centro de descargas: obtenga información sobre cómo descargar archivos de evaluación y exportaciones a archivos CSV de Audit Manager.
