Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memahami AWS Audit Manager konsep dan terminologi
Untuk membantu Anda memulai, halaman ini mendefinisikan istilah dan menjelaskan beberapa konsep AWS Audit Manager kunci.
## A
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 G \$1 H [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Penilaian**
Anda dapat menggunakan penilaian Audit Manager untuk secara otomatis mengumpulkan bukti yang relevan untuk audit.
Penilaian didasarkan pada kerangka kerja, yang merupakan pengelompokan kontrol yang terkait dengan audit Anda. Anda dapat membuat penilaian dari kerangka kerja standar atau kerangka kerja khusus. Kerangka kerja standar berisi set kontrol bawaan yang mendukung standar atau peraturan kepatuhan tertentu. Sebaliknya, kerangka kerja khusus berisi kontrol yang dapat Anda sesuaikan dan kelompokkan sesuai dengan persyaratan audit spesifik Anda. Menggunakan kerangka kerja sebagai titik awal, Anda dapat membuat penilaian yang menentukan Akun AWS yang ingin Anda sertakan dalam lingkup audit Anda.
Saat Anda membuat penilaian, Audit Manager secara otomatis mulai menilai sumber daya Akun AWS berdasarkan kontrol yang ditentukan dalam kerangka kerja. Selanjutnya, ia mengumpulkan bukti yang relevan dan mengubahnya menjadi format yang ramah auditor. Setelah melakukan ini, kemudian melampirkan bukti ke kontrol dalam penilaian Anda. Ketika tiba waktunya untuk audit, Anda—atau delegasi pilihan Anda—dapat meninjau bukti yang dikumpulkan dan kemudian menambahkannya ke laporan penilaian. Laporan penilaian ini membantu Anda menunjukkan bahwa kontrol Anda berfungsi sebagaimana mestinya.
Pengumpulan bukti adalah proses berkelanjutan yang dimulai saat Anda membuat penilaian. Anda dapat menghentikan pengumpulan bukti dengan mengubah status penilaian menjadi *tidak aktif*. Atau, Anda dapat menghentikan pengumpulan bukti di tingkat kontrol. Anda dapat melakukan ini dengan mengubah status kontrol tertentu dalam penilaian Anda menjadi *tidak aktif*.
Untuk petunjuk tentang cara membuat dan mengelola penilaian, lihat[Mengelola penilaian di AWS Audit Manager](assessments.md).
**Laporan penilaian**
Laporan penilaian adalah dokumen final yang dihasilkan dari penilaian Audit Manager. Laporan ini merangkum bukti relevan yang dikumpulkan untuk audit Anda. Mereka menautkan ke folder bukti yang relevan. Folder diberi nama dan diatur sesuai dengan kontrol yang ditentukan dalam penilaian Anda. Untuk setiap penilaian, Anda dapat meninjau bukti yang dikumpulkan Audit Manager, dan memutuskan bukti mana yang ingin Anda sertakan dalam laporan penilaian.
Untuk mempelajari lebih lanjut tentang laporan penilaian, lihat[Laporan penilaian](assessment-reports.md). Untuk mempelajari cara membuat laporan penilaian, lihat[Mempersiapkan laporan penilaian di AWS Audit Manager](generate-assessment-report.md).
**Tujuan laporan penilaian**
Tujuan laporan penilaian adalah bucket S3 default tempat Audit Manager menyimpan laporan penilaian Anda. Untuk mempelajari selengkapnya, lihat [Mengonfigurasi tujuan laporan penilaian default](settings-destination.md).
**Audit**
Audit adalah pemeriksaan independen terhadap aset, operasi, atau integritas bisnis organisasi Anda. Audit teknologi informasi (TI) secara khusus memeriksa kontrol dalam sistem informasi organisasi Anda. Tujuan dari audit TI adalah untuk menentukan apakah sistem informasi melindungi aset, beroperasi secara efektif, dan menjaga integritas data. Semua ini penting untuk memenuhi persyaratan peraturan yang diamanatkan oleh standar atau peraturan kepatuhan.
**Pemilik audit**
Istilah *pemilik audit* memiliki dua arti yang berbeda tergantung pada konteksnya.
Dalam konteks Audit Manager, pemilik audit adalah pengguna atau peran yang mengelola penilaian dan sumber daya terkait. Tanggung jawab persona Audit Manager ini meliputi membuat penilaian, meninjau bukti, dan menghasilkan laporan penilaian. Audit Manager adalah layanan kolaboratif, dan pemilik audit mendapat manfaat ketika pemangku kepentingan lain berpartisipasi dalam penilaian mereka. Misalnya, Anda dapat menambahkan pemilik audit lain ke penilaian Anda untuk berbagi tugas manajemen. Atau, jika Anda adalah pemilik audit dan Anda memerlukan bantuan untuk menafsirkan bukti yang dikumpulkan untuk kontrol, Anda dapat [mendelegasikan kontrol itu](https://docs.aws.amazon.com/audit-manager/latest/userguide/delegate.html) kepada pemangku kepentingan yang memiliki keahlian materi pelajaran di bidang tersebut. Orang seperti itu dikenal sebagai persona *delegasi*.
Dalam istilah bisnis, pemilik audit adalah seseorang yang mengoordinasikan dan mengawasi upaya kesiapan audit perusahaan mereka, dan menyajikan bukti kepada auditor. Biasanya, ini adalah profesional tata kelola, risiko, dan kepatuhan (GRC), seperti Petugas Kepatuhan atau Petugas Perlindungan Data GDPR. Profesional GRC memiliki keahlian dan wewenang untuk mengelola persiapan audit. Lebih khusus lagi, mereka memahami persyaratan kepatuhan, dan dapat menganalisis, menafsirkan, dan menyiapkan data pelaporan. Namun, peran bisnis lainnya juga dapat mengasumsikan persona Audit Manager dari pemilik audit — tidak hanya profesional GRC yang mengambil peran ini. Misalnya, Anda dapat memilih agar penilaian Audit Manager disiapkan dan dikelola oleh pakar teknis dari salah satu tim berikut:
+ SecOps
+ IT/ DevOps
+ Center/Incident Respon Operasi Keamanan
+ Tim serupa yang memiliki, mengembangkan, memulihkan, dan menyebarkan aset cloud, serta memahami infrastruktur cloud organisasi Anda
Siapa yang Anda pilih untuk ditetapkan sebagai pemilik audit dalam penilaian Audit Manager Anda sangat bergantung pada organisasi Anda. Itu juga tergantung pada bagaimana Anda menyusun operasi keamanan Anda dan spesifikasi audit. Dalam Audit Manager, individu yang sama dapat mengasumsikan persona pemilik audit dalam satu penilaian, dan persona delegasi di penilaian lain.
Tidak peduli bagaimana Anda memilih untuk menggunakan Audit Manager, Anda dapat mengelola pemisahan tugas di seluruh organisasi Anda menggunakan owner/delegate persona audit dan memberikan kebijakan IAM khusus kepada setiap pengguna. Melalui pendekatan dua langkah ini, Audit Manager memastikan bahwa Anda memiliki kendali penuh atas semua spesifikasi penilaian individu. Untuk informasi selengkapnya, lihat [Kebijakan yang disarankan untuk persona pengguna di AWS Audit Manager](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-personas).
** AWS sumber terkelola**
Sumber AWS terkelola adalah sumber bukti yang AWS disimpan untuk Anda.
Setiap sumber AWS terkelola adalah pengelompokan sumber data yang telah ditentukan sebelumnya yang memetakan ke kontrol umum atau kontrol inti tertentu. Ketika Anda menggunakan kontrol umum sebagai sumber bukti, Anda secara otomatis mengumpulkan bukti untuk semua kontrol inti yang mendukung kontrol bersama itu. Anda juga dapat menggunakan kontrol inti individu sebagai sumber bukti.
Setiap kali sumber AWS terkelola diperbarui, pembaruan yang sama secara otomatis diterapkan ke semua kontrol khusus yang menggunakan sumber AWS terkelola tersebut. Ini berarti bahwa kontrol kustom Anda mengumpulkan bukti terhadap definisi terbaru dari sumber bukti tersebut. Ini membantu Anda memastikan kepatuhan berkelanjutan saat lingkungan kepatuhan cloud berubah.
Lihat juga:[](#customer-managed-source),[](#evidence-source).
## C
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 G \$1 H [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Changelog**
Untuk setiap kontrol dalam penilaian, Audit Manager melacak aktivitas pengguna untuk kontrol tersebut. Anda kemudian dapat meninjau jejak audit aktivitas yang terkait dengan kontrol tertentu. Untuk informasi selengkapnya tentang aktivitas pengguna yang ditangkap di changelog, lihat. [Tab Changelog](review-controls.md#review-changelog)
**Kepatuhan cloud**
Kepatuhan cloud adalah prinsip umum bahwa sistem yang dikirim cloud harus sesuai dengan standar yang dihadapi oleh pelanggan cloud.
**Kontrol umum**
Lihat [](#control).
**Peraturan kepatuhan**
Peraturan kepatuhan adalah hukum, aturan, atau perintah lain yang ditentukan oleh otoritas, biasanya untuk mengatur perilaku. Salah satu contohnya adalah GDPR.
**Standar kepatuhan**
Standar kepatuhan adalah seperangkat pedoman terstruktur yang merinci proses organisasi untuk mempertahankan sesuai dengan peraturan, spesifikasi, atau undang-undang yang ditetapkan. Contohnya termasuk PCI DSS dan HIPAA.
**Pengendalian**
Kontrol adalah perlindungan atau penanggulangan yang ditentukan untuk sistem informasi atau organisasi. Kontrol dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan informasi Anda, dan untuk memenuhi serangkaian persyaratan yang ditetapkan. Mereka memberikan jaminan bahwa sumber daya Anda beroperasi sebagaimana dimaksud, data Anda dapat diandalkan, dan organisasi Anda mematuhi hukum dan peraturan yang berlaku.
Dalam Audit Manager, kontrol juga dapat mewakili pertanyaan dalam kuesioner penilaian risiko vendor. Dalam hal ini, kontrol adalah pertanyaan spesifik yang menanyakan informasi tentang keamanan dan postur kepatuhan organisasi.
Kontrol mengumpulkan bukti secara terus-menerus saat mereka aktif dalam penilaian Audit Manager Anda. Anda juga dapat menambahkan bukti secara manual ke kontrol apa pun. Setiap bukti adalah catatan yang membantu Anda menunjukkan kepatuhan terhadap persyaratan kontrol.
Audit Manager menyediakan jenis kontrol berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/audit-manager/latest/userguide/concepts.html)
**Domain kontrol**
Anda dapat menganggap domain kontrol sebagai kategori kontrol yang tidak spesifik untuk standar kepatuhan apa pun. Contoh domain kontrol adalah *Perlindungan data*.
Kontrol sering dikelompokkan berdasarkan domain untuk tujuan organisasi yang sederhana. Setiap domain memiliki beberapa tujuan.
Pengelompokan domain kontrol adalah salah satu fitur paling canggih dari [dasbor Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/dashboard.html). Audit Manager menyoroti kontrol dalam penilaian Anda yang memiliki bukti yang tidak sesuai, dan mengelompokkannya berdasarkan domain kontrol. Ini memungkinkan Anda untuk memfokuskan upaya remediasi Anda pada domain subjek tertentu saat Anda mempersiapkan audit.
**Tujuan kontrol**
Tujuan kontrol menggambarkan tujuan dari kontrol umum yang berada di bawahnya. Setiap tujuan dapat memiliki beberapa kontrol umum. Jika kontrol umum ini berhasil diterapkan, mereka akan membantu Anda memenuhi tujuan.
Setiap tujuan kontrol berada di bawah domain kontrol. Misalnya, domain kontrol *perlindungan data* mungkin memiliki tujuan kontrol bernama *Klasifikasi dan penanganan data.* Untuk mendukung tujuan kontrol ini, Anda dapat menggunakan kontrol umum yang disebut *Kontrol akses* untuk memantau dan mendeteksi akses tidak sah ke sumber daya Anda.
** Kontrol inti**
Lihat [](#control).
** Kontrol kustom**
Lihat [](#control).
**Sumber yang dikelola pelanggan**
Sumber yang dikelola pelanggan adalah sumber bukti yang Anda tentukan.
Saat membuat kontrol khusus di Audit Manager, Anda dapat menggunakan opsi ini untuk membuat sumber data individual Anda sendiri. Ini memberi Anda fleksibilitas untuk mengumpulkan bukti otomatis dari sumber daya khusus bisnis, seperti aturan khusus AWS Config . Anda juga dapat menggunakan opsi ini jika Anda ingin menambahkan bukti manual ke kontrol kustom Anda.
Ketika Anda menggunakan sumber yang dikelola pelanggan, Anda bertanggung jawab untuk menjaga semua sumber data yang Anda buat.
Lihat juga:[](#aws-managed-source),[](#evidence-source).
## D
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 G \$1 H [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Sumber data**
Audit Manager menggunakan *sumber data* untuk mengumpulkan bukti untuk kontrol. Sumber data memiliki properti berikut:
+ **Tipe sumber data** menentukan jenis sumber data Audit Manager yang mengumpulkan bukti.
+ Untuk bukti otomatis, jenisnya bisa berupa *AWS Security Hub CSPM*, *AWS Config AWS CloudTrail,* atau *panggilan AWS API.*
+ Jika Anda mengunggah bukti Anda sendiri, jenisnya adalah *Manual*.
+ Audit Manager API mengacu pada tipe sumber data sebagai [SourceType](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html#auditmanager-Type-ControlMappingSource-sourceType).
+ **Pemetaan sumber data** adalah kata kunci yang menunjukkan dengan tepat dari mana bukti dikumpulkan untuk jenis sumber data tertentu.
+ Misalnya, ini mungkin nama CloudTrail acara atau nama AWS Config aturan.
+ Audit Manager API mengacu pada pemetaan sumber data sebagai [SourceKeyword](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_SourceKeyword.html).
+ **Nama sumber data** memberi label pasangan tipe sumber data dan pemetaan.
+ Untuk kontrol standar, Audit Manager memberikan nama default.
+ Untuk kontrol khusus, Anda dapat memberikan nama Anda sendiri.
+ Audit Manager API mengacu pada nama sumber data sebagai [SourceName](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html#auditmanager-Type-ControlMappingSource-sourceName).
Kontrol tunggal dapat memiliki beberapa tipe sumber data dan beberapa pemetaan. Misalnya, satu kontrol mungkin mengumpulkan bukti dari campuran tipe sumber data (seperti AWS Config dan Security Hub CSPM). Kontrol lain AWS Config mungkin memiliki satu-satunya tipe sumber data, dengan beberapa AWS Config aturan sebagai pemetaan.
Tabel berikut mencantumkan tipe sumber data otomatis dan menunjukkan contoh beberapa pemetaan yang sesuai.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/audit-manager/latest/userguide/concepts.html)
**Mendelegasikan**
Delegasi adalah AWS Audit Manager pengguna dengan izin terbatas. Delegasi biasanya memiliki keahlian bisnis atau teknis khusus. Misalnya, keahlian ini mungkin dalam kebijakan penyimpanan data, rencana pelatihan, infrastruktur jaringan, atau manajemen identitas. Delegasi membantu pemilik audit meninjau bukti yang dikumpulkan untuk kontrol yang berada di bidang keahlian mereka. Delegasi dapat meninjau set kontrol dan bukti terkait mereka, menambahkan komentar, mengunggah bukti tambahan, dan memperbarui status setiap kontrol yang Anda tetapkan kepada mereka untuk ditinjau.
Pemilik audit menetapkan set kontrol khusus untuk delegasi, bukan seluruh penilaian. Akibatnya, delegasi memiliki akses terbatas ke penilaian. Untuk petunjuk tentang cara mendelegasikan set kontrol, lihat[Delegasi di AWS Audit Manager](delegate.md).
## E
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 G \$1 H [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Bukti**
Bukti adalah catatan yang berisi informasi yang diperlukan untuk menunjukkan kepatuhan terhadap persyaratan kontrol. Contoh bukti termasuk aktivitas perubahan yang dipanggil oleh pengguna, dan snapshot konfigurasi sistem.
Ada dua jenis bukti utama dalam Audit Manager: *bukti otomatis* dan *bukti manual*.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/audit-manager/latest/userguide/concepts.html)
Pengumpulan bukti otomatis dimulai saat Anda membuat penilaian. Ini adalah proses yang berkelanjutan, dan Audit Manager mengumpulkan bukti pada frekuensi yang berbeda tergantung pada jenis bukti dan sumber data yang mendasarinya. Untuk informasi selengkapnya, lihat [Memahami bagaimana AWS Audit Manager mengumpulkan bukti](how-evidence-is-collected.md).
Untuk petunjuk tentang cara meninjau bukti dalam penilaian, lihat[Meninjau bukti di AWS Audit Manager](review-evidence.md).
**Sumber bukti**
Sumber bukti menentukan dari mana kontrol mengumpulkan bukti. Ini bisa berupa sumber data individu, atau pengelompokan sumber data yang telah ditentukan sebelumnya yang memetakan ke kontrol umum atau kontrol inti.
Saat membuat kontrol khusus, Anda dapat mengumpulkan bukti dari sumber AWS terkelola, sumber yang dikelola pelanggan, atau keduanya.
Kami menyarankan Anda menggunakan sumber AWS terkelola. Setiap kali sumber AWS terkelola diperbarui, pembaruan yang sama secara otomatis diterapkan ke semua kontrol khusus yang menggunakan sumber ini. Ini berarti bahwa kontrol kustom Anda selalu mengumpulkan bukti terhadap definisi terbaru dari sumber bukti tersebut. Ini membantu Anda memastikan kepatuhan berkelanjutan saat lingkungan kepatuhan cloud berubah.
Lihat juga:[](#aws-managed-source),[](#customer-managed-source).
**Metode pengumpulan bukti**
Ada dua cara kontrol dapat mengumpulkan bukti.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/audit-manager/latest/userguide/concepts.html)
Anda dapat melampirkan bukti manual ke kontrol otomatis apa pun. Dalam banyak kasus, kombinasi bukti otomatis dan manual diperlukan untuk menunjukkan kepatuhan penuh terhadap kontrol. Meskipun Audit Manager dapat memberikan bukti otomatis yang bermanfaat dan relevan, beberapa bukti otomatis mungkin hanya menunjukkan kepatuhan sebagian. Dalam hal ini, Anda dapat melengkapi bukti otomatis yang diberikan Audit Manager dengan bukti Anda sendiri.
Contoh:
+ [AWS Kerangka Praktik Terbaik AI Generatif v2](aws-generative-ai-best-practices.md)Berisi kontrol yang disebut`Error analysis`. Kontrol ini mengharuskan Anda untuk mengidentifikasi kapan ketidakakuratan terdeteksi dalam penggunaan model Anda. Ini juga mengharuskan Anda untuk melakukan analisis kesalahan menyeluruh untuk memahami akar penyebab dan mengambil tindakan korektif.
+ Untuk mendukung kontrol ini, Audit Manager mengumpulkan bukti otomatis yang menunjukkan jika CloudWatch alarm diaktifkan untuk Akun AWS tempat penilaian Anda berjalan. Anda dapat menggunakan bukti ini untuk menunjukkan kepatuhan sebagian terhadap kontrol dengan membuktikan bahwa alarm dan pemeriksaan Anda dikonfigurasi dengan benar.
+ Untuk menunjukkan kepatuhan penuh, Anda dapat melengkapi bukti otomatis dengan bukti manual. Misalnya, Anda dapat mengunggah kebijakan atau prosedur yang menunjukkan proses analisis kesalahan, ambang batas untuk eskalasi dan pelaporan, dan hasil analisis akar penyebab Anda. Anda dapat menggunakan bukti manual ini untuk menunjukkan bahwa kebijakan yang ditetapkan sudah ada, dan bahwa tindakan korektif diambil saat diminta.
Untuk contoh yang lebih rinci, lihat [Kontrol dengan sumber data campuran](https://docs.aws.amazon.com/audit-manager/latest/userguide/examples-of-controls.html#mixed).
**Tujuan ekspor**
Tujuan ekspor adalah bucket S3 default tempat Audit Manager menyimpan file yang Anda ekspor dari pencari bukti. Untuk informasi selengkapnya, lihat [Mengonfigurasi tujuan ekspor default Anda untuk pencari bukti](settings-export-destination.md).
## F
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 G \$1 H [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Kerangka**
Kerangka kerja Audit Manager menyusun dan mengotomatiskan penilaian untuk standar atau prinsip tata kelola risiko tertentu. Kerangka kerja ini mencakup kumpulan kontrol bawaan atau yang ditentukan pelanggan, dan mereka membantu Anda memetakan AWS sumber daya Anda sesuai persyaratan kontrol ini.
Ada dua jenis framework di Audit Manager.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/audit-manager/latest/userguide/concepts.html)
Untuk petunjuk tentang cara membuat dan mengelola kerangka kerja, lihat[Menggunakan pustaka kerangka kerja untuk mengelola kerangka kerja di AWS Audit Manager](framework-library.md).
AWS Audit Manager membantu mengumpulkan bukti yang relevan untuk memverifikasi kepatuhan terhadap standar dan peraturan kepatuhan tertentu. Namun, itu tidak menilai kepatuhan Anda sendiri. AWS Audit Manager Oleh karena itu, bukti yang dikumpulkan mungkin tidak mencakup semua informasi tentang AWS penggunaan Anda yang diperlukan untuk audit. AWS Audit Manager bukan pengganti penasihat hukum atau pakar kepatuhan.
**Berbagi kerangka**
Anda dapat menggunakan [Berbagi kerangka kustom di AWS Audit Manager](share-custom-framework.md) fitur ini untuk membagikan kerangka kerja kustom Anda dengan cepat di seluruh Akun AWS dan Wilayah. Untuk berbagi kerangka kustom, Anda membuat *permintaan berbagi.* Penerima kemudian memiliki 120 hari untuk menerima atau menolak permintaan. Ketika mereka menerima, Audit Manager mereplikasi kerangka kustom bersama ke dalam pustaka kerangka kerja mereka. Selain mereplikasi kerangka kustom, Audit Manager juga mereplikasi setiap set kontrol kustom dan kontrol yang terkandung dalam framework tersebut. Kontrol kustom ini ditambahkan ke pustaka kontrol penerima. Audit Manager tidak mereplikasi kerangka kerja atau kontrol standar. Ini karena sumber daya ini sudah tersedia secara default di setiap akun dan Wilayah.
## I
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 G \$1 H [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Bukti yang tidak meyakinkan**
AWS Audit Manager menandai bukti sebagai tidak meyakinkan ketika evaluasi kepatuhan otomatis tidak memungkinkan. Ini terjadi dalam situasi berikut:
+ Anda belum mengaktifkan AWS Config atau AWS Security Hub CSPM, yang merupakan sumber data utama.
+ Bukti dikumpulkan langsung dari AWS layanan melalui panggilan API, AWS CloudTrail log, atau unggahan manual.
Ketika tidak ada mekanisme untuk evaluasi otomatis bukti ini, tidak AWS Audit Manager dapat memberikan rincian evaluasi. Akibatnya, itu menandai bukti sebagai *tidak meyakinkan*.
Bukti yang tidak meyakinkan tidak menunjukkan kegagalan. Sebaliknya, ini menandakan bahwa Anda perlu mengevaluasi bukti kepatuhan secara manual.
## R
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 G \$1 H [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Sumber**
Sumber daya adalah aset fisik atau informasi yang dinilai dalam audit. Contoh sumber AWS daya termasuk instans Amazon EC2, instans Amazon RDS, bucket Amazon S3, dan subnet Amazon VPC.
**Penilaian sumber daya**
Penilaian sumber daya adalah proses menilai sumber daya individu. Penilaian ini didasarkan pada persyaratan kontrol. Sementara penilaian aktif, Audit Manager menjalankan penilaian sumber daya untuk setiap sumber daya individu dalam lingkup penilaian. Penilaian sumber daya menjalankan serangkaian tugas berikut:
1. Mengumpulkan bukti termasuk konfigurasi sumber daya, log peristiwa, dan temuan
1. Menerjemahkan dan memetakan bukti ke kontrol
1. Menyimpan dan melacak garis keturunan bukti untuk memungkinkan integritas
**Kepatuhan sumber daya**
Kepatuhan sumber daya mengacu pada status evaluasi sumber daya yang dinilai saat mengumpulkan bukti pemeriksaan kepatuhan.
Audit Manager mengumpulkan bukti pemeriksaan kepatuhan untuk kontrol yang menggunakan AWS Config dan Security Hub CSPM sebagai tipe sumber data. Beberapa sumber daya dapat dinilai selama pengumpulan bukti ini. Akibatnya, satu bagian bukti pemeriksaan kepatuhan dapat mencakup satu atau lebih sumber daya.
Anda dapat menggunakan filter **kepatuhan sumber daya** di pencari bukti untuk menjelajahi status kepatuhan di tingkat sumber daya. Setelah penelusuran selesai, Anda kemudian dapat melihat pratinjau sumber daya yang cocok dengan kueri penelusuran Anda.
Dalam pencari bukti, ada tiga nilai yang mungkin untuk kepatuhan sumber daya:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/audit-manager/latest/userguide/concepts.html)
## S
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 G \$1 H [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Layanan dalam ruang lingkup**
Audit Manager mengelola yang Layanan AWS berada dalam ruang lingkup penilaian Anda. Jika Anda memiliki penilaian yang lebih lama, ada kemungkinan bahwa Anda secara manual menentukan layanan dalam ruang lingkup di masa lalu. Setelah 04 Juni 2024, Anda tidak dapat menentukan atau mengedit layanan secara manual dalam cakupan.
*Layanan dalam ruang lingkup* adalah Layanan AWS bahwa penilaian Anda mengumpulkan bukti tentang. Ketika layanan disertakan dalam lingkup penilaian Anda, Audit Manager menilai sumber daya layanan tersebut. Beberapa contoh sumber daya meliputi yang berikut:
+ Instans Amazon EC2
+ Ember S3
+ Pengguna atau peran IAM
+ Tabel DynamoDB
+ Komponen jaringan seperti Amazon Virtual Private Cloud (VPC), grup keamanan, atau tabel daftar kontrol akses jaringan (ACL)
Misalnya, jika Amazon S3 adalah layanan dalam cakupan, Audit Manager dapat mengumpulkan bukti tentang bucket S3 Anda. Bukti pasti yang dikumpulkan ditentukan oleh kontrol[](#control-data-source). Misalnya, jika tipe sumber data adalah AWS Config, dan pemetaan sumber data adalah AWS Config aturan (seperti`s3-bucket-public-write-prohibited`), Audit Manager mengumpulkan hasil evaluasi aturan tersebut sebagai bukti.
Perlu diingat bahwa layanan dalam lingkup berbeda dengan *tipe sumber data*, yang juga bisa berupa Layanan AWS atau sesuatu yang lain. Untuk informasi selengkapnya, lihat [Apa perbedaan antara layanan dalam lingkup dan tipe sumber data?](evidence-collection-issues.md#data-source-vs-service-in-scope) di bagian *Pemecahan Masalah* pada panduan ini.
** Kontrol standar**
Lihat [](#control).