Configuration de la destination par défaut de votre rapport d'évaluation

Pour garantir le succès de la génération de votre rapport d'évaluation, nous vous recommandons d'utiliser les configurations suivantes pour la destination de votre rapport d'évaluation.

Compartiments de la même région

Nous vous recommandons d’utiliser un compartiment S3 qui se trouve dans le même compartiment Région AWS que votre évaluation. Lorsque vous utilisez un compartiment et une évaluation correspondant à la même région, votre rapport d’évaluation peut inclure jusqu’à 22 000 éléments probants. À l’inverse, lorsque vous utilisez un compartiment et une évaluation interrégionaux, seuls 3 500 éléments probants peuvent être inclus.

Région AWS

La Région AWS clé gérée par le client (si vous en avez fourni une) doit correspondre à la région de votre évaluation et au compartiment S3 de destination de votre rapport d'évaluation. Pour obtenir des instructions sur le changement de KMS clé, reportez-vous à la sectionConfiguration des paramètres de chiffrement des données. Pour obtenir la liste des régions d’Audit Manager supportées, consultez AWS Audit Manager Points de terminaison et quotas dans Référence générale d’Amazon Web Services.

Chiffrement de compartiment S3

Si la destination de votre rapport d'évaluation dispose d'une politique de compartiment qui exige un chiffrement côté serveur (SSE) à l'aide de SSE- KMS, la KMS clé utilisée dans cette politique de compartiment doit correspondre à la KMS clé que vous avez configurée dans les paramètres de chiffrement des données d'Audit Manager. Si vous n'avez pas configuré de KMS clé dans les paramètres de votre Audit Manager et que la politique de compartiment de destination de votre rapport d'évaluation l'exigeSSE, assurez-vous que la politique de compartiment autorise SSE-S3. Pour obtenir des instructions sur la configuration de la KMS clé utilisée pour le chiffrement des données, reportez-vous àConfiguration des paramètres de chiffrement des données.

Compartiments S3 entre comptes

L’utilisation d’un compartiment S3 multi-comptes comme destination de votre rapport d’évaluation n’est pas prise en charge dans la console Audit Manager. Il est possible de spécifier un bucket multi-comptes comme destination de votre rapport d'évaluation en utilisant le AWS CLI ou l'un des AWS SDKs, mais pour des raisons de simplicité, nous vous recommandons de ne pas le faire. Si vous choisissez d’utiliser un compartiment S3 multi-comptes comme destination de votre rapport d’évaluation, tenez compte des points suivants.

• Par défaut, les objets S3, tels que les rapports d'évaluation, appartiennent à Compte AWS celui qui télécharge l'objet. Vous pouvez utiliser le paramètre S3 Object Ownership pour modifier ce comportement par défaut afin que tous les nouveaux objets écrits par des comptes dotés de la liste de contrôle d'accès bucket-owner-full-control prédéfinie (ACL) deviennent automatiquement la propriété du propriétaire du compartiment.

  Bien que cela ne soit pas obligatoire, nous vous recommandons d’apporter les modifications suivantes aux paramètres de votre compartiment multi-comptes. Ces modifications garantissent que le propriétaire du compartiment a le contrôle total des rapports d’évaluation que vous publiez dans son compartiment.

  • Définissez la propriété de l’objet du compartiment S3 selon les préférences du propriétaire du compartiment, au lieu du rédacteur d’objets par défaut

  • Ajoutez une politique de compartiment pour vous assurer que les objets chargés dans ce compartiment possèdent les bucket-owner-full-control ACL

• Pour permettre à Audit Manager de publier des rapports dans un compartiment S3 multi-comptes, vous devez ajouter la politique de compartiment S3 suivante à la destination de votre rapport d’évaluation. Remplacez le placeholder text avec vos propres informations. L’élément Principal de cette politique est l’utilisateur ou le rôle qui possède l’évaluation et crée le rapport d’évaluation. Le Resource précise le compartiment S3 entre comptes dans lequel le rapport est publié.

  {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow cross account assessment report publishing",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AssessmentOwnerAccountId:user/AssessmentOwnerUserName"
            },
            "Action": [
                "s3:ListBucket",
                "s3:PutObject",
                "s3:GetObject",
                "s3:GetBucketLocation",
                "s3:PutObjectAcl",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::CROSS-ACCOUNT-BUCKET",
                "arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*"
            ]
        }
    ]
  }

Afficher plusAfficher moins