Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration de votre destination d'exportation par défaut pour Evidence Finder
Lorsque vous exécutez des requêtes dans Evidence Finder, vous pouvez exporter les résultats de vos recherches dans un fichier de valeurs séparées par des virgules (CSV). Utilisez ce paramètre pour choisir le compartiment S3 par défaut dans lequel Audit Manager enregistre vos fichiers exportés.
Prérequis
Votre compartiment S3 doit disposer de la politique d'autorisation requise CloudTrail pour pouvoir y écrire les fichiers d'exportation. Plus précisément, la politique de compartiment doit inclure une s3:PutObject
action et le compartimentARN, et la liste CloudTrail en tant que principal de service.
-
Pour un exemple de politique d'autorisation que vous pouvez utiliser, consultezExemple 3 (autorisations de destination d’exportation).
-
Pour savoir comment associer cette politique à votre compartiment S3, consultez Ajouter une politique de compartiment à l'aide de la console Amazon S3.
-
Pour plus de conseils, consultez les conseils de configuration pour votre destination d’exportation sur cette page.
Conseils de configuration pour votre destination d’exportation
Pour garantir une exportation de fichiers réussie, nous vous recommandons de vérifier les configurations suivantes pour votre destination d’exportation.
- Région AWS
-
La Région AWS clé gérée par le client (si vous en avez fourni une) doit correspondre à la région de votre évaluation. Pour savoir comment modifier votre KMS clé, consultez les paramètres de chiffrement des données d'Audit Manager.
- Compartiments S3 entre comptes
L’utilisation d’un compartiment S3 multi-comptes comme destination de votre rapport n’est pas prise en charge dans la console Audit Manager. Il est possible de spécifier un bucket multi-comptes en utilisant le AWS CLI ou l'un des AWS SDKs, mais pour des raisons de simplicité, nous vous recommandons de ne pas le faire. Si vous choisissez d’utiliser un compartiment S3 multi-comptes comme destination de votre export, tenez compte des points suivants.
-
Par défaut, les objets S3, tels que les CSV exportations, appartiennent à Compte AWS celui qui télécharge l'objet. Vous pouvez utiliser le paramètre S3 Object Ownership pour modifier ce comportement par défaut, de sorte que tous les nouveaux objets écrits par des comptes dotés de la liste de contrôle d'accès
bucket-owner-full-control
prédéfinie (ACL) deviennent automatiquement la propriété du propriétaire du compartiment.Bien que cela ne soit pas obligatoire, nous vous recommandons d’apporter les modifications suivantes aux paramètres de votre compartiment multi-comptes. Ces modifications garantissent que le propriétaire du compartiment a le contrôle total des fichiers exportés que vous publiez dans son compartiment.
-
Définissez la propriété de l’objet du compartiment S3 selon les préférences du propriétaire du compartiment, au lieu du rédacteur d’objets par défaut
-
Ajoutez une politique de compartiment pour vous assurer que les objets chargés dans ce compartiment possèdent les
bucket-owner-full-control
ACL
-
-
Pour permettre à Audit Manager de publier des rapports dans un compartiment S3 multi-comptes, vous devez ajouter la politique de compartiment S3 suivante au compartiment de destination d’exportation de votre rapport d’évaluation. Remplacez le
placeholder text
avec vos propres informations. L’élémentPrincipal
de cette politique est l’utilisateur ou le rôle qui possède l’évaluation et exporte le fichier. LeResource
précise le compartiment S3 entre comptes dans lequel le fichier est exporté.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow cross account file exports", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
AssessmentOwnerAccountId
:user/AssessmentOwnerUserName
" }, "Action": [ "s3:ListBucket", "s3:PutObject", "s3:GetObject", "s3:GetBucketLocation", "s3:PutObjectAcl", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::CROSS-ACCOUNT-BUCKET
", "arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*
" ] } ] }
-
Procédure
Vous pouvez mettre à jour ce paramètre à l'aide de la console Audit Manager, du AWS Command Line Interface (AWS CLI) ou du gestionnaire d'auditAPI.