AWS Audit Managernon è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, vedi modifica della AWS Audit Manager disponibilità.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione della destinazione predefinita del rapporto di valutazione
Quando generi un report di valutazione, Gestione audit pubblica il report nel bucket S3 di tua scelta. Questo bucket S3 è denominato. assessment report destination Puoi scegliere il bucket S3 in cui Audit Manager archivia i tuoi report di valutazione.
Prerequisiti
Suggerimenti di configurazione per la destinazione del rapporto di valutazione
Per garantire la corretta generazione del rapporto di valutazione, ti consigliamo di utilizzare le seguenti configurazioni per la destinazione del rapporto di valutazione.
- Same-Region secchi
-
Si consiglia di utilizzare un bucket S3 che rientri nella stessa Regione AWS della valutazione. Se utilizzi un bucket e una valutazione relativi alla stessa area geografica, il rapporto di valutazione può includere fino a 22.000 elementi di prova. Al contrario, quando si utilizza un gruppo e una valutazione in più regioni, è possibile includere solo 3.500 elementi di prova.
- Regione AWS
-
La Regione AWS chiave gestita dal cliente (se ne hai fornita una) deve corrispondere alla regione di valutazione e al bucket S3 di destinazione del rapporto di valutazione. Per istruzioni su come modificare la chiave KMS, consulta. Configurazione delle impostazioni di crittografia dei dati Per un elenco delle Regioni Gestione audit supportate, consulta la sezione Endpoint e quote AWS Audit Managernei Riferimenti generali di Amazon Web Services.
- Crittografia del bucket S3
-
Se la destinazione del rapporto di valutazione ha una policy bucket che richiede l'utilizzo della crittografia lato server (SSE) SSE-KMS, la chiave KMS utilizzata in quella policy del bucket deve corrispondere alla chiave KMS configurata nelle impostazioni di crittografia dei dati di Audit Manager. Se non hai configurato una chiave KMS nelle impostazioni di Audit Manager e la policy del bucket di destinazione del rapporto di valutazione richiede SSE, assicurati che la policy del bucket lo consenta. SSE-S3 Per istruzioni su come configurare la chiave KMS utilizzata per la crittografia dei dati, consulta. Configurazione delle impostazioni di crittografia dei dati
- Cross-account Bucket S3
-
L'utilizzo di un bucket S3 per più account come destinazione del rapporto di valutazione non è supportato nella console Gestione audit. È possibile specificare un bucket tra più account come destinazione del rapporto di valutazione utilizzando lo AWS CLI o uno degli AWS SDK, ma per semplicità, ti consigliamo di non farlo.
Suggerimento
Per una sicurezza e prestazioni ottimali, ti consigliamo di utilizzare un bucket S3 nello stesso AWS account e nella stessa regione della valutazione.
Se scegli di utilizzare un bucket S3 con più account come destinazione del rapporto di valutazione, considera i seguenti punti.
-
Per impostazione predefinita, gli oggetti S3, come i report di valutazione, sono di proprietà di chi carica l'oggetto. Account AWS È possibile utilizzare l'impostazione Proprietà dell’oggetto S3 per modificare questo comportamento predefinito affinché tutti i nuovi oggetti scritti da account con la lista di controllo degli accessi (ACL) predefinita
bucket-owner-full-controldiventino automaticamente di proprietà del proprietario del bucket.Sebbene non sia un requisito, ti consigliamo di apportare le seguenti modifiche alle impostazioni del bucket tra account. Apportando queste modifiche, il proprietario del bucket ha il pieno controllo dei report di valutazione che pubblichi nel suo bucket.
-
Imposta la proprietà dell'oggetto del bucket S3 sul bucket preferito dal proprietario, anziché sull’autore dell’oggetto predefinito
-
Aggiungi una policy del bucket per garantire che gli oggetti caricati in quel bucket abbiano l'ACL
bucket-owner-full-control
-
-
Per consentire a Gestione audit di pubblicare report in un bucket S3 tra più account, è necessario aggiungere la seguente policy del bucket S3 alla destinazione del rapporto di valutazione. Sostituisci
placeholder textcon le informazioni appropriate. L'elementoPrincipaldi questa policy è l'utente o il ruolo che possiede la valutazione e crea il rapporto di valutazione. llResourcespecifica il bucket S3 tra più account in cui viene pubblicato il rapporto.
-
Best practice di sicurezza per la destinazione del rapporto di valutazione
Audit Manager non convalida la proprietà del bucket S3. Ciò crea un rischio se il bucket viene eliminato e ricreato da un altro utente Account AWS (operazione nota come bucket sniping). Esiste inoltre un rischio se un utente non autorizzato crea prima dell'utente un bucket con un nome prestabilito (operazione nota come bucket squatting). In entrambi i casi, Audit Manager continua a pubblicare report di valutazione in quel bucket. Il servizio non rileva il cambio di proprietà. In base al modello di responsabilità AWS condivisa
Per proteggere i report di valutazione, ti consigliamo di implementare uno o più dei seguenti controlli.
- Limita le azioni S3 agli account attendibili utilizzando la chiave di
s3:ResourceAccountcondizione -
Aggiungi una
s3:ResourceAccountcondizione alla policy IAM allegata all'identità utilizzata da Audit Manager per pubblicare i report di valutazione. Questa condizione impedisce all'identità di scrivere su bucket di proprietà di account diversi da quelli specificati. La condizione si applica indipendentemente dalla politica di accesso del bucket.Per ulteriori informazioni, consulta Limitare l'accesso ai bucket Amazon S3 di proprietà di account AWS specifici
. - Limita le azioni S3 alla tua organizzazione utilizzando SCP
-
Se lo utilizzi, crea una policy di controllo dei servizi (SCP) che neghi le azioni di S3 su risorse esterne alla tua organizzazione. La seguente politica di esempio nega tutte le azioni S3 a risorse esterne all'organizzazione. La condizione verifica se
aws:ResourceOrgIDcorrisponde all'ID della tua organizzazione.{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyS3ActionsOutsideOrganization", "Effect": "Deny", "Action": "s3:*", "Resource": "*", "Condition": { "StringNotEquals": { "aws:ResourceOrgID": "o-xxxxxxxxxx" } } } ] }o-xxxxxxxxxxSostituiscilo con l'ID della tua organizzazione. Per ulteriori informazioni, consulta aws: ResourceOrg ID nella IAM User Guide. - Utilizza una chiave KMS gestita dal cliente per la crittografia dei dati
-
Quando configuri Audit Manager per utilizzare una chiave gestita dal cliente per la crittografia dei dati, Audit Manager crittografa i report di valutazione prima di scriverli su Amazon S3. Se un report viene pubblicato in un bucket di proprietà di un soggetto non autorizzato, il contenuto del report rimane crittografato. I contenuti sono illeggibili senza l'accesso alla chiave KMS. Per istruzioni, consulta Configurazione delle impostazioni di crittografia dei dati.
- Usa i bucket S3 nel namespace regionale del tuo account
-
I bucket S3 creati nel namespace regionale del tuo account includono il tuo ID e il nome del bucket. Account AWS Regione AWS Questi bucket non possono essere creati da un altro account, il che elimina il rischio di bucket sniping. Per ulteriori informazioni, consulta i namespace dei Account-level bucket nella Guida per l'utente di Amazon Simple Storage Service.
Procedura
È possibile aggiornare questa impostazione utilizzando la console Audit Manager, AWS Command Line Interface (AWS CLI) o l'API Audit Manager.