View a markdown version of this page

Configurazione della destinazione predefinita del rapporto di valutazione - Gestione audit AWS

AWS Audit Managernon è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, vedi modifica della AWS Audit Manager disponibilità.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione della destinazione predefinita del rapporto di valutazione

Quando generi un report di valutazione, Gestione audit pubblica il report nel bucket S3 di tua scelta. Questo bucket S3 è denominato. assessment report destination Puoi scegliere il bucket S3 in cui Audit Manager archivia i tuoi report di valutazione.

Prerequisiti

Suggerimenti di configurazione per la destinazione del rapporto di valutazione

Per garantire la corretta generazione del rapporto di valutazione, ti consigliamo di utilizzare le seguenti configurazioni per la destinazione del rapporto di valutazione.

Same-Region secchi

Si consiglia di utilizzare un bucket S3 che rientri nella stessa Regione AWS della valutazione. Se utilizzi un bucket e una valutazione relativi alla stessa area geografica, il rapporto di valutazione può includere fino a 22.000 elementi di prova. Al contrario, quando si utilizza un gruppo e una valutazione in più regioni, è possibile includere solo 3.500 elementi di prova.

Regione AWS

La Regione AWS chiave gestita dal cliente (se ne hai fornita una) deve corrispondere alla regione di valutazione e al bucket S3 di destinazione del rapporto di valutazione. Per istruzioni su come modificare la chiave KMS, consulta. Configurazione delle impostazioni di crittografia dei dati Per un elenco delle Regioni Gestione audit supportate, consulta la sezione Endpoint e quote AWS Audit Managernei Riferimenti generali di Amazon Web Services.

Crittografia del bucket S3

Se la destinazione del rapporto di valutazione ha una policy bucket che richiede l'utilizzo della crittografia lato server (SSE) SSE-KMS, la chiave KMS utilizzata in quella policy del bucket deve corrispondere alla chiave KMS configurata nelle impostazioni di crittografia dei dati di Audit Manager. Se non hai configurato una chiave KMS nelle impostazioni di Audit Manager e la policy del bucket di destinazione del rapporto di valutazione richiede SSE, assicurati che la policy del bucket lo consenta. SSE-S3 Per istruzioni su come configurare la chiave KMS utilizzata per la crittografia dei dati, consulta. Configurazione delle impostazioni di crittografia dei dati

Cross-account Bucket S3

L'utilizzo di un bucket S3 per più account come destinazione del rapporto di valutazione non è supportato nella console Gestione audit. È possibile specificare un bucket tra più account come destinazione del rapporto di valutazione utilizzando lo AWS CLI o uno degli AWS SDK, ma per semplicità, ti consigliamo di non farlo.

Suggerimento

Per una sicurezza e prestazioni ottimali, ti consigliamo di utilizzare un bucket S3 nello stesso AWS account e nella stessa regione della valutazione.

Se scegli di utilizzare un bucket S3 con più account come destinazione del rapporto di valutazione, considera i seguenti punti.

  • Per impostazione predefinita, gli oggetti S3, come i report di valutazione, sono di proprietà di chi carica l'oggetto. Account AWS È possibile utilizzare l'impostazione Proprietà dell’oggetto S3 per modificare questo comportamento predefinito affinché tutti i nuovi oggetti scritti da account con la lista di controllo degli accessi (ACL) predefinita bucket-owner-full-control diventino automaticamente di proprietà del proprietario del bucket.

    Sebbene non sia un requisito, ti consigliamo di apportare le seguenti modifiche alle impostazioni del bucket tra account. Apportando queste modifiche, il proprietario del bucket ha il pieno controllo dei report di valutazione che pubblichi nel suo bucket.

  • Per consentire a Gestione audit di pubblicare report in un bucket S3 tra più account, è necessario aggiungere la seguente policy del bucket S3 alla destinazione del rapporto di valutazione. Sostituisci placeholder text con le informazioni appropriate. L'elemento Principal di questa policy è l'utente o il ruolo che possiede la valutazione e crea il rapporto di valutazione. ll Resource specifica il bucket S3 tra più account in cui viene pubblicato il rapporto.

    JSON
    { "Version":"2012-10-17", "Statement": [ { "Sid": "Allow cross account assessment report publishing", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/AssessmentOwnerUserName" }, "Action": [ "s3:ListBucket", "s3:PutObject", "s3:GetObject", "s3:GetBucketLocation", "s3:PutObjectAcl", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::CROSS-ACCOUNT-BUCKET", "arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*" ] } ] }

Best practice di sicurezza per la destinazione del rapporto di valutazione

Audit Manager non convalida la proprietà del bucket S3. Ciò crea un rischio se il bucket viene eliminato e ricreato da un altro utente Account AWS (operazione nota come bucket sniping). Esiste inoltre un rischio se un utente non autorizzato crea prima dell'utente un bucket con un nome prestabilito (operazione nota come bucket squatting). In entrambi i casi, Audit Manager continua a pubblicare report di valutazione in quel bucket. Il servizio non rileva il cambio di proprietà. In base al modello di responsabilità AWS condivisa, hai la responsabilità di garantire che la destinazione del rapporto di valutazione sia un bucket di proprietà di un fornitore affidabileAccount AWS.

Per proteggere i report di valutazione, ti consigliamo di implementare uno o più dei seguenti controlli.

Limita le azioni S3 agli account attendibili utilizzando la chiave di s3:ResourceAccount condizione

Aggiungi una s3:ResourceAccount condizione alla policy IAM allegata all'identità utilizzata da Audit Manager per pubblicare i report di valutazione. Questa condizione impedisce all'identità di scrivere su bucket di proprietà di account diversi da quelli specificati. La condizione si applica indipendentemente dalla politica di accesso del bucket.

Per ulteriori informazioni, consulta Limitare l'accesso ai bucket Amazon S3 di proprietà di account AWS specifici.

Limita le azioni S3 alla tua organizzazione utilizzando SCP

Se lo utilizzi, crea una policy di controllo dei servizi (SCP) che neghi le azioni di S3 su risorse esterne alla tua organizzazione. La seguente politica di esempio nega tutte le azioni S3 a risorse esterne all'organizzazione. La condizione verifica se aws:ResourceOrgID corrisponde all'ID della tua organizzazione.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyS3ActionsOutsideOrganization", "Effect": "Deny", "Action": "s3:*", "Resource": "*", "Condition": { "StringNotEquals": { "aws:ResourceOrgID": "o-xxxxxxxxxx" } } } ] }

o-xxxxxxxxxxSostituiscilo con l'ID della tua organizzazione. Per ulteriori informazioni, consulta aws: ResourceOrg ID nella IAM User Guide.

Utilizza una chiave KMS gestita dal cliente per la crittografia dei dati

Quando configuri Audit Manager per utilizzare una chiave gestita dal cliente per la crittografia dei dati, Audit Manager crittografa i report di valutazione prima di scriverli su Amazon S3. Se un report viene pubblicato in un bucket di proprietà di un soggetto non autorizzato, il contenuto del report rimane crittografato. I contenuti sono illeggibili senza l'accesso alla chiave KMS. Per istruzioni, consulta Configurazione delle impostazioni di crittografia dei dati.

Usa i bucket S3 nel namespace regionale del tuo account

I bucket S3 creati nel namespace regionale del tuo account includono il tuo ID e il nome del bucket. Account AWS Regione AWS Questi bucket non possono essere creati da un altro account, il che elimina il rischio di bucket sniping. Per ulteriori informazioni, consulta i namespace dei Account-level bucket nella Guida per l'utente di Amazon Simple Storage Service.

Procedura

È possibile aggiornare questa impostazione utilizzando la console Audit Manager, AWS Command Line Interface (AWS CLI) o l'API Audit Manager.

Audit Manager console
Per aggiornare la destinazione predefinita del rapporto di valutazione sulla console Audit Manager
  1. Dalla scheda Impostazioni di valutazione, vai alla sezione Destinazione del rapporto di valutazione.

  2. Per utilizzare un bucket S3 esistente, seleziona il nome del bucket dal menu a discesa.

  3. Per creare un nuovo bucket S3, scegli Crea nuovo bucket.

  4. Al termine, scegli Salva.

AWS CLI
Per aggiornare la destinazione predefinita del rapporto di valutazione nelAWS CLI

Esegui il comando update-settings e usa il parametro --default-assessment-reports-destination per specificare un bucket S3.

Nell'esempio seguente, sostituiscilo placeholder text con le tue informazioni:

aws auditmanager update-settings --default-assessment-reports-destination destinationType=S3,destination=s3://amzn-s3-demo-destination-bucket
Audit Manager API
Per aggiornare la destinazione predefinita del rapporto di valutazione utilizzando l'API

Chiama l'UpdateSettingsoperazione e utilizza il AssessmentReportsDestination parametro predefinito per specificare un bucket S3.

Risorse aggiuntive