Utilizzo di ruoli collegati ai servizi per AWS Audit Manager - AWS Audit Manager
Autorizzazioni di ruolo collegate ai servizi per AWS Audit ManagerCreazione del ruolo collegato al servizio AWS Audit ManagerModifica del ruolo collegato al servizio AWS Audit ManagerEliminazione del ruolo collegato al servizio AWS Audit ManagerRegioni supportate per i ruoli AWS Audit Manager collegati ai servizi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di ruoli collegati ai servizi per AWS Audit Manager

AWS Audit Manager utilizza AWS Identity and Access Management (IAM) ruoli collegati ai servizi. Un ruolo collegato ai servizi è un tipo unico di IAM ruolo collegato direttamente a Audit Manager. I ruoli collegati ai servizi sono predefiniti da Audit Manager e includono tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per conto dell'utente.

Un ruolo collegato ai servizi semplifica la configurazione AWS Audit Manager perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Gestione audit definisce le autorizzazioni dei relativi ruoli associati ai servizi e, salvo diversamente definito, solo Gestione audit potrà assumere i propri ruoli. Le autorizzazioni definite includono la politica di attendibilità e la politica di autorizzazione e tale politica di autorizzazione non può essere associata a nessun'altra entità. IAM

Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta i AWS servizi che funzionano con IAM e cerca i servizi con nella colonna Ruolo collegato ai servizi. Scegli in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni di ruolo collegate ai servizi per AWS Audit Manager

Audit Manager utilizza il ruolo collegato al servizio denominatoAWSServiceRoleForAuditManager, che consente l'accesso ai AWS servizi e alle risorse utilizzati o gestiti da. AWS Audit Manager

Ai fini dell'assunzione del ruolo AWSServiceRoleForAuditManager, il ruolo collegato ai servizi auditmanager.amazonaws.com.rproxy.goskope.comconsidera attendibile il servizio.

La politica di autorizzazione dei ruoli consente all'Audit Manager di raccogliere prove automatiche sull' AWS utilizzo da parte dell'utente. AWSAuditManagerServiceRolePolicy In particolare, può effettuare le operazioni seguenti per conto tuo.

  • Audit Manager può essere utilizzato AWS Security Hub per raccogliere prove di verifica della conformità. In questo caso, Audit Manager utilizza la seguente autorizzazione per riportare i risultati dei controlli di sicurezza direttamente da AWS Security Hub. Quindi allega i risultati ai controlli di valutazione pertinenti come prove.

    • securityhub:DescribeStandards

    Nota

    Per ulteriori informazioni su quali controlli specifici del Security Hub Gestione audit può descrivere, consulta i AWS Security Hub controlli supportati da AWS Audit Manager.

  • Audit Manager può essere utilizzato AWS Config per raccogliere prove di verifica della conformità. In questo caso, Audit Manager utilizza le seguenti autorizzazioni per riportare i risultati delle valutazioni delle AWS Config regole direttamente da AWS Config. Quindi allega i risultati ai controlli di valutazione pertinenti come prove.

    • config:DescribeConfigRules

    • config:DescribeDeliveryChannels

    • config:ListDiscoveredResources

    Nota

    Per ulteriori informazioni sulle AWS Config regole specifiche che Audit Manager può descrivere, vedere AWS Config Regole supportate da AWS Audit Manager.

  • Audit Manager può essere utilizzato AWS CloudTrail per raccogliere prove delle attività degli utenti. In questo caso, Audit Manager utilizza le seguenti autorizzazioni per acquisire l'attività dell'utente dai CloudTrail log. Quindi allega i l’attività ai controlli di valutazione pertinenti come prove.

    • cloudtrail:DescribeTrails

    • cloudtrail:LookupEvents

    Nota

    Per ulteriori informazioni sugli CloudTrail eventi specifici che Audit Manager può descrivere, vedere i nomi AWS CloudTrail degli eventi supportati da AWS Audit Manager.

  • Audit Manager può utilizzare AWS API le chiamate per raccogliere prove di configurazione delle risorse. In questo caso, Audit Manager utilizza le seguenti autorizzazioni per chiamare in sola lettura APIs che descrivono le configurazioni delle risorse per quanto segue. Servizi AWS Quindi allega API le risposte ai controlli di valutazione pertinenti come prove.

    • acm:GetAccountConfiguration

    • acm:ListCertificates

    • apigateway:GET

    • autoscaling:DescribeAutoScalingGroups

    • backup:ListBackupPlans

    • backup:ListRecoveryPointsByResource

    • bedrock:GetCustomModel

    • bedrock:GetFoundationModel

    • bedrock:GetModelCustomizationJob

    • bedrock:GetModelInvocationLoggingConfiguration

    • bedrock:ListCustomModels

    • bedrock:ListFoundationModels

    • bedrock:ListGuardrails

    • bedrock:ListModelCustomizationJobs

    • cloudfront:GetDistribution

    • cloudfront:GetDistributionConfig

    • cloudfront:ListDistributions

    • cloudtrail:DescribeTrails

    • cloudtrail:GetTrail

    • cloudtrail:ListTrails

    • cloudtrail:LookupEvents

    • cloudwatch:DescribeAlarms

    • cloudwatch:DescribeAlarmsForMetric

    • cloudwatch:GetMetricStatistics

    • cloudwatch:ListMetrics

    • cognito-idp:DescribeUserPool

    • config:DescribeConfigRules

    • config:DescribeDeliveryChannels

    • config:ListDiscoveredResources

    • directconnect:DescribeDirectConnectGateways

    • directconnect:DescribeVirtualGateways

    • dynamodb:DescribeBackup

    • dynamodb:DescribeContinuousBackups

    • dynamodb:DescribeTable

    • dynamodb:DescribeTableReplicaAutoScaling

    • dynamodb:ListBackups

    • dynamodb:ListGlobalTables

    • dynamodb:ListTables

    • ec2:DescribeAddresses

    • ec2:DescribeCustomerGateways

    • ec2:DescribeEgressOnlyInternetGateways

    • ec2:DescribeFlowLogs

    • ec2:DescribeInstanceCreditSpecifications

    • ec2:DescribeInstanceAttribute

    • ec2:DescribeInstances

    • ec2:DescribeInternetGateways

    • ec2:DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations

    • ec2:DescribeLocalGateways

    • ec2:DescribeLocalGatewayVirtualInterfaces

    • ec2:DescribeNatGateways

    • ec2:DescribeNetworkAcls

    • ec2:DescribeRouteTables

    • ec2:DescribeSecurityGroups

    • ec2:DescribeSecurityGroupRules

    • ec2:DescribeSnapshots

    • ec2:DescribeTransitGateways

    • ec2:DescribeVolumes

    • ec2:DescribeVpcEndpoints

    • ec2:DescribeVpcEndpointConnections

    • ec2:DescribeVpcEndpointServiceConfigurations

    • ec2:DescribeVpcPeeringConnections

    • ec2:DescribeVpcs

    • ec2:DescribeVpnConnections

    • ec2:DescribeVpnGateways

    • ec2:GetEbsDefaultKmsKeyId

    • ec2:GetEbsEncryptionByDefault

    • ec2:GetLaunchTemplateData

    • ecs:DescribeClusters

    • eks:DescribeAddonVersions

    • elasticache:DescribeCacheClusters

    • elasticache:DescribeServiceUpdates

    • elasticfilesystem:DescribeAccessPoints

    • elasticfilesystem:DescribeFileSystems

    • elasticloadbalancing:DescribeLoadBalancers

    • elasticloadbalancing:DescribeSslPolicies

    • elasticloadbalancing:DescribeTargetGroups

    • elasticmapreduce:ListClusters

    • elasticmapreduce:ListSecurityConfigurations

    • es:DescribeDomains

    • es:DescribeDomain

    • es:DescribeDomainConfig

    • es:ListDomainNames

    • events:DeleteRule

    • events:DescribeRule

    • events:DisableRule

    • events:EnableRule

    • events:ListConnections

    • events:ListEventBuses

    • events:ListEventSources

    • events:ListRules

    • events:ListTargetsByRule

    • events:PutRule

    • events:PutTargets

    • events:RemoveTargets

    • firehose:ListDeliveryStreams

    • fsx:DescribeFileSystems

    • guardduty:ListDetectors

    • iam:GenerateCredentialReport

    • iam:GetAccessKeyLastUsed

    • iam:GetAccountAuthorizationDetails

    • iam:GetAccountPasswordPolicy

    • iam:GetAccountSummary

    • iam:GetCredentialReport

    • iam:GetGroupPolicy

    • iam:GetPolicy

    • iam:GetPolicyVersion

    • iam:GetRolePolicy

    • iam:GetUser

    • iam:GetUserPolicy

    • iam:ListAccessKeys

    • iam:ListAttachedGroupPolicies

    • iam:ListAttachedRolePolicies

    • iam:ListAttachedUserPolicies

    • iam:ListEntitiesForPolicy

    • iam:ListGroupPolicies

    • iam:ListGroups

    • iam:ListGroupsForUser

    • iam:ListMfaDeviceTags

    • iam:ListMfaDevices

    • iam:ListOpenIdConnectProviders

    • iam:ListPolicies

    • iam:ListPolicyVersions

    • iam:ListRolePolicies

    • iam:ListRoles

    • iam:ListSamlProviders

    • iam:ListUserPolicies

    • iam:ListUsers

    • iam:ListVirtualMFADevices

    • kafka:ListClusters

    • kafka:ListKafkaVersions

    • kinesis:ListStreams

    • kms:DescribeKey

    • kms:GetKeyPolicy

    • kms:GetKeyRotationStatus

    • kms:ListGrants

    • kms:ListKeyPolicies

    • kms:ListKeys

    • lambda:ListFunctions

    • license-manager:ListAssociationsForLicenseConfiguration

    • license-manager:ListLicenseConfigurations

    • license-manager:ListUsageForLicenseConfiguration

    • logs:DescribeDestinations

    • logs:DescribeExportTasks

    • logs:DescribeLogGroups

    • logs:DescribeMetricFilters

    • logs:DescribeResourcePolicies

    • logs:FilterLogEvents

    • logs:GetDataProtectionPolicy

    • organizations:DescribeOrganization

    • organizations:DescribePolicy

    • rds:DescribeCertificates

    • rds:DescribeDBClusterEndpoints

    • rds:DescribeDBClusterParameterGroups

    • rds:DescribeDBClusters

    • rds:DescribeDBInstances

    • rds:DescribeDBInstanceAutomatedBackups

    • rds:DescribeDBSecurityGroups

    • redshift:DescribeClusters

    • redshift:DescribeClusterSnapshots

    • redshift:DescribeLoggingStatus

    • route53:GetQueryLoggingConfig

    • s3:GetBucketAcl

    • s3:GetBucketLogging

    • s3:GetBucketOwnershipControls

    • s3:GetBucketPolicy

      • Questa API azione opera nell'ambito di Account AWS dove service-linked-role è disponibile. Non può accedere alle policy relative ai bucket su più account.

    • s3:GetBucketPublicAccessBlock

    • s3:GetBucketTagging

    • s3:GetBucketVersioning

    • s3:GetEncryptionConfiguration

    • s3:GetLifecycleConfiguration

    • s3:ListAllMyBuckets

    • sagemaker:DescribeAlgorithm

    • sagemaker:DescribeDomain

    • sagemaker:DescribeEndpoint

    • sagemaker:DescribeEndpointConfig

    • sagemaker:DescribeFlowDefinition

    • sagemaker:DescribeHumanTaskUi

    • sagemaker:DescribeLabelingJob

    • sagemaker:DescribeModel

    • sagemaker:DescribeModelBiasJobDefinition

    • sagemaker:DescribeModelCard

    • sagemaker:DescribeModelQualityJobDefinition

    • sagemaker:DescribeTrainingJob

    • sagemaker:DescribeUserProfile

    • sagemaker:ListAlgorithms

    • sagemaker:ListDomains

    • sagemaker:ListEndpointConfigs

    • sagemaker:ListEndpoints

    • sagemaker:ListFlowDefinitions

    • sagemaker:ListHumanTaskUis

    • sagemaker:ListLabelingJobs

    • sagemaker:ListModels

    • sagemaker:ListModelBiasJobDefinitions

    • sagemaker:ListModelCards

    • sagemaker:ListModelQualityJobDefinitions

    • sagemaker:ListMonitoringAlerts

    • sagemaker:ListMonitoringSchedules

    • sagemaker:ListTrainingJobs

    • sagemaker:ListUserProfiles

    • securityhub:DescribeStandards

    • secretsmanager:DescribeSecret

    • secretsmanager:ListSecrets

    • sns:ListTagsForResource

    • sns:ListTopics

    • sqs:ListQueues

    • waf-regional:GetLoggingConfiguration

    • waf-regional:GetRule

    • waf-regional:GetWebAcl

    • waf-regional:ListRuleGroups

    • waf-regional:ListRules

    • waf-regional:ListSubscribedRuleGroups

    • waf-regional:ListWebACLs

    • waf:GetRule

    • waf:GetRuleGroup

    • waf:ListActivatedRulesInRuleGroup

    • waf:ListRuleGroups

    • waf:ListRules

    • waf:ListWebAcls

    • wafv2:ListWebAcls

    Nota

    Per ulteriori informazioni sulle API chiamate specifiche che Audit Manager può descrivere, vedereChiamate API supportate per fonti di dati di controllo personalizzate.

Per visualizzare i dettagli completi delle autorizzazioni del ruolo collegato al servizioAWSServiceRoleForAuditManager, consulta la AWS Managed Policy AWSAuditManagerServiceRolePolicyReference Guide.

È necessario configurare le autorizzazioni per consentire a un'IAMentità (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio. Per ulteriori informazioni, consulta Autorizzazioni dei ruoli collegati ai servizi nella Guida per l'utente. IAM

Creazione del ruolo collegato al servizio AWS Audit Manager

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando lo abiliti AWS Audit Manager, il servizio crea automaticamente il ruolo collegato al servizio per te. È possibile abilitare Audit Manager dalla pagina di onboarding di AWS Management Console, o tramite o. API AWS CLI Per ulteriori informazioni, consulta Abilitazione AWS Audit Manager nella Guida per l’utente.

Se elimini questo ruolo collegato ai servizi, puoi ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account.

Modifica del ruolo collegato al servizio AWS Audit Manager

AWS Audit Manager non consente di modificare il ruolo collegato al AWSServiceRoleForAuditManager servizio. Dopo aver creato un ruolo collegato al servizio, non puoi modificarne il nome, perché potrebbero farvi riferimento diverse entità. Tuttavia, puoi modificare la descrizione del ruolo utilizzando. IAM Per ulteriori informazioni, consulta Modifica di un ruolo collegato al servizio nella Guida per l'IAMutente.

Per consentire a un'IAMentità di modificare la descrizione del ruolo collegato al servizio AWSServiceRoleForAuditManager

Aggiungi la seguente dichiarazione alla politica delle autorizzazioni per l'IAMentità che deve modificare la descrizione di un ruolo collegato al servizio.

{
    "Effect": "Allow",
    "Action": [
        "iam:UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/auditmanager.amazonaws.com/AWSServiceRoleForAuditManager*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "auditmanager.amazonaws.com"}}
}

Eliminazione del ruolo collegato al servizio AWS Audit Manager

Se non devi più utilizzare Gestione audit, è consigliabile eliminare il ruolo collegato ai servizi AWSServiceRoleForAuditManager. In questo modo, non hai un'entità non utilizzata che non viene monitorata o gestita attivamente. Tuttavia, devi effettuare la pulizia del ruolo collegato ai servizi prima di poterlo eliminare.

Pulizia del ruolo collegato ai servizi

Prima di poter eliminare il ruolo collegato IAM al servizio Audit Manager, è necessario innanzitutto confermare che il ruolo non ha sessioni attive e rimuovere tutte le risorse utilizzate dal ruolo. A tal fine, assicurati che Audit Manager sia completamente cancellato. Regioni AWS Dopo l’annullamento della registrazione, Gestione audit non utilizza più il ruolo collegato al servizio.

Per istruzioni su come annullare la registrazione Gestione audit, consulta le seguenti risorse:

Per istruzioni su come eliminare manualmente le risorse di Gestione audit, consulta Eliminazione dei dati di Gestione audit in questa guida.

Eliminazione del ruolo collegato ai servizi

È possibile eliminare il ruolo collegato al servizio utilizzando la IAM console, il () o il AWS Command Line Interface .AWS CLI IAM API

IAM console

Segui questi passaggi per eliminare un ruolo collegato al servizio nella console. IAM

Per eliminare un ruolo collegato ai servizi (console)

  1. Accedi AWS Management Console e apri la IAM console all'indirizzo. https://console.aws.amazon.com/iam/

  2. Nel riquadro di navigazione della IAM console, scegli Ruoli. Quindi seleziona la casella di controllo accanto a AWSServiceRoleForAuditManager, non il nome o la riga.

  3. Nella sezione Operazioni ruolo nella parte superiore della pagina, seleziona Elimina.

  4. Nella finestra di dialogo di conferma controlla le informazioni relative all’ultimo accesso che indicano quando ognuno dei ruoli selezionati ha effettuato l'accesso a un servizio Servizio AWS. In questo modo potrai verificare se il ruolo è attualmente attivo. Se desideri procedere, digita AWSServiceRoleForAuditManager nel campo di inserimento del test e scegli Elimina per richiedere l’eliminazione del ruolo collegato ai servizi.

  5. Guarda le notifiche della IAM console per monitorare l'avanzamento dell'eliminazione del ruolo collegato al servizio. Poiché l'eliminazione del ruolo IAM collegato al servizio è asincrona, dopo aver inviato il ruolo per l'eliminazione, l'operazione di eliminazione può avere esito positivo o negativo. Se il task viene eseguito correttamente, il ruolo viene rimosso dall’elenco e nella parte superiore della pagina viene visualizzato un messaggio di completamento.

AWS CLI

È possibile utilizzare IAM i comandi di per eliminare un ruolo collegato AWS CLI al servizio.

Per eliminare un ruolo collegato ai servizi (AWS CLI)

  1. Inserisci il comando seguente per elencare il ruolo nel tuo account: 

    aws iam get-role --role-name AWSServiceRoleForAuditManager

  2. Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata. Acquisisci il valore di deletion-task-iddalla risposta per controllare lo stato del task di eliminazione.

    Per inviare una richiesta di eliminazione per un ruolo collegato ai servizi, digita il seguente comando:

    aws iam delete-service-linked-role --role-name AWSServiceRoleForAuditManager

  3. Digita il seguente comando per verificare lo stato del processo di eliminazione:

    aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id

    Lo stato di un task di eliminazione può essere NOT_STARTED, IN_PROGRESS, SUCCEEDEDo FAILED. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema.

IAM API

È possibile utilizzare il IAM API per eliminare un ruolo collegato al servizio.

Per eliminare un ruolo collegato al servizio () API

  1. Chiama GetRoleper elencare il ruolo nel tuo account. Nella richiesta, specifica AWSServiceRoleForAuditManager come RoleName.

  2. Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata. Acquisisci il valore di DeletionTaskIddalla risposta per controllare lo stato del task di eliminazione.

    Per inviare una richiesta di eliminazione per un ruolo collegato al servizio, chiama. DeleteServiceLinkedRole Nella richiesta, specifica AWSServiceRoleForAuditManager come RoleName.

  3. Per verificare lo stato dell'eliminazione, chiama. GetServiceLinkedRoleDeletionStatus Nella richiesta, specificare il DeletionTaskId.

    Lo stato di un task di eliminazione può essere NOT_STARTED, IN_PROGRESS, SUCCEEDEDo FAILED. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema.

Suggerimenti per l'eliminazione del ruolo collegato al servizio Audit Manager

Il processo di eliminazione per il ruolo collegato al servizio Audit Manager potrebbe non riuscire se Audit Manager utilizza il ruolo o dispone di risorse associate. Ciò può verificarsi nei seguenti scenari:

  1. Il tuo account è ancora registrato con Audit Manager in uno o più account Regioni AWS.

  2. Il tuo account fa parte di un' AWS organizzazione e l'account di gestione o l'account amministratore delegato è ancora inserito in Audit Manager.

Per risolvere un problema di eliminazione non riuscita, inizia controllando se fai parte di Account AWS un'organizzazione. Puoi farlo chiamando l'DescribeOrganizationAPIoperazione o accedendo alla AWS Organizations console.

Se fai Account AWS parte di un'organizzazione

  1. Usa il tuo account di gestione per rimuovere l'amministratore delegato in Audit Manager in tutti i Regioni AWS casi in cui ne hai aggiunto uno.

  2. Usa il tuo account di gestione per annullare la registrazione di Audit Manager in tutti i Regioni AWS luoghi in cui hai utilizzato il servizio.

  3. Riprova a eliminare il ruolo collegato al servizio seguendo i passaggi della procedura precedente.

Se non Account AWS fai parte di un'organizzazione

  1. Assicurati di aver annullato la registrazione di Audit Manager in tutte le aree in Regioni AWS cui hai utilizzato il servizio.

  2. Riprova a eliminare il ruolo collegato al servizio seguendo i passaggi della procedura precedente.

Dopo aver annullato la registrazione da Audit Manager, il servizio smetterà di utilizzare il ruolo collegato al servizio. È quindi possibile eliminare il ruolo con successo.

Regioni supportate per i ruoli AWS Audit Manager collegati ai servizi

AWS Audit Manager supporta l'utilizzo di ruoli collegati al servizio in tutti i paesi in Regioni AWS cui il servizio è disponibile. Per ulteriori informazioni, consulta Endpoint del servizio AWS.