翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS でサポートされている API コール AWS Audit Manager
Audit Manager を使用して、 AWS 環境のスナップショットを監査の証拠としてキャプチャできます。カスタムコントロールを作成または編集するときに、証拠収集のデータソースマッピングとして 1 つ以上の AWS API コールを指定できます。その後、Audit Manager は関連する に対して API コールを行い AWS のサービス、 AWS リソースの設定詳細のスナップショットを収集します。
API コールの範囲内にあるすべてのリソースについて、 Audit Managerは設定スナップショットをキャプチャし、それを証拠に変換します。これにより、(API コールではなく) リソースごとに 1 つの証拠が得られます。
例えば、ec2_DescribeRouteTables API コールが5つのルートテーブルから設定スナップショットをキャプチャする場合、その1つのAPI コールで合計5つの証拠が得られます。各証拠は、個々のルートテーブルの設定のスナップショットです。
重要ポイント
ページ分割された API コール
多くの は大量のデータを収集 AWS のサービス して保存します。そのため、list、describe、または getAPI コールでデータを返そうとすると、多くの結果が得られる可能性があります。データ量が多すぎて1 回のレスポンスでは返せない場合、ページ分割を使用すれば、結果を分割して管理しやすい大きさにすることができます。これにより、結果がデータの「ページ」に分割され、レスポンスが処理しやすくなります。
一部の カスタムコントロールデータソースでサポートされるAPI コールはページ分割されています。つまり、最初は部分的な結果を返し、それ以降のリクエストでは結果セット全体を返すのです。例えば、Amazon RDS DescribeDBInstances オペレーションで一度に最大 100 個のインスタンスを返し、結果の次のページを返すにはそれ以降のリクエストが必要になります。
2023年3月8日以降、Audit Manager は証拠収集のデータソースとしてページ分割されたAPI コールをサポートしています。以前は、ページ分割されたAPI コールをデータソースとして使用すると、APIレスポンスではリソースのサブセットのみが返されていました (最大 100 件の結果)。現在では、Audit Manager はページ分割されたAPIオペレーションを複数回呼び出し、すべてのリソースが返されるまで結果の各ページを取得します。次に、Audit Manager はリソースごとに構成スナップショットをキャプチャし、証拠として保存します。リソースの完全なセットが API レスポンスにキャプチャされるようになったため、2023 年 3 月 8 日以降に収集された証拠の量が増加する可能性があります。
Audit Manager はAPI コールのページ分割を自動的に処理します。データ ソースとしてページ分割されたAPI コールを使用するカスタムコントロールを作成する場合は、ページ分割パラメータを指定する必要はありません。
カスタムコントロールデータソースでサポートされるAPI コール
カスタムコントロールでは、次の API コールのいずれかをデータソースとして使用できます。Audit Manager は、これらの API コールを使用して、 AWS 使用状況に関する証拠を収集できます。
| サポートされるAPI コール | Audit Manager でこの API を使用して証拠を収集する方法 |
|---|---|
| acm_GetAccountConfiguration | AWS アカウントに関連付けられているアカウント設定オプションのスナップショットを収集します。 |
| acm_ListCertificates | 証明書の ARN とドメイン名のリストを取得します。 |
| autoscaling_DescribeAutoScalingGroups | 内の Auto Scaling グループに関するスナップショットを収集します AWS アカウント。 |
| backup_ListBackupPlans | 内のすべてのアクティブなバックアッププランのリストを取得します AWS アカウント。 |
| bedrock_GetModelInvocationLoggingConfiguration | のモデルのモデル呼び出しログ記録の現在の設定値のスナップショットを収集します AWS アカウント。 |
| クラウドフロント_ListDistributions |
内のすべてのディストリビューションのリストを取得します AWS アカウント。 |
| AWS アカウントの現在のリージョンに関連する 1 つ以上の証跡おける設定のスナップショットを収集します。 | |
| cloudtrail_ListTrails | にある証跡のリストを取得します AWS アカウント。 |
| AWS アカウントに使用されているアラームの設定スナップショットを収集します。 | |
| config_DescribeConfigRules | AWS Config ルールの詳細を取得します。 |
| config_DescribeDeliveryChannels | AWS アカウント内の配信チャネルの設定スナップショットを収集します。 |
| directconnect_DescribeDirectConnectGateways | すべての AWS Direct Connect ゲートウェイ のリストを取得します。 |
| directconnect_DescribeVirtualGateways | AWS アカウントが所有する仮想プライベートゲートウェイのリストを取得します。 |
| docdb_DescribeCertificates | AWS アカウントに関する証明書のリストを収集します。 |
| docdb_DescribeDBClusterParameterGroups | AWS アカウントにおける DBCLusterParameterGroup の説明のリストを収集します。 |
| docdb_DescribeDBInstances | AWS アカウントのプロビジョニングされた Amazon DynamoDB インスタンスに関する情報を収集します。 |
| のアラームに関する情報を収集します AWS アカウント。 | |
| に関連付けられている 1 つ以上の証跡の設定のスナップショットを収集します AWS アカウント。 | |
|
AWS アカウント内の DynamoDB テーブルの設定スナップショットを収集します。 このAPIをデータソースとして使用する場合、特定の DynamoDB テーブルの名前を指定する必要はありません。代わりに、Audit Manager は |
|
| dynamodb_ListBackups | AWS アカウントに関連付けられている DynamoDB バックアップのリストを取得します。 |
| AWS アカウント と現在のエンドポイントに関連付けられているすべてのテーブル名のリストを取得します。 | |
| ec2_DescribeAddresses | Elastic IP アドレスのスナップショットを収集します。 |
| ec2_DescribeCustomerGateways | VPN カスタマーゲートウェイのスナップショットを収集します。 |
| ec2_DescribeEgressOnlyInternetGateways | egress-only インターネットゲートウェイのスナップショットを収集します。 |
| フローログのスナップショットを収集します。 | |
| インスタンスのスナップショットを収集します。 | |
| ec2_DescribeInternetGateways | インターネットゲートウェイのスナップショットを収集します。 |
| ec2_DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations | 仮想インターフェイスグループと のローカルゲートウェイルートテーブル間の関連付けの説明を収集します AWS アカウント。 |
| ec2_DescribeLocalGateways | ローカルゲートウェイのスナップショットを収集します。 |
| ec2_DescribeLocalGatewayVirtualInterfaces | ローカルゲートウェイの仮想インターフェースのスナップショットを収集します。 |
| ec2_DescribeNatGateways | NAT ゲートウェイのスナップショットを収集します。 |
| ネットワーク ACL のスナップショットを収集します。 | |
| ルートテーブルのスナップショットを収集します。 | |
| セキュリティグループのスナップショットを収集します。 | |
| ec2_DescribeSecurityGroupRules | 1 つ以上のセキュリティグループルールのスナップショットを収集します。 |
| ec2_DescribeTransitGateways | トランジットゲートウェイのスナップショットを収集します。 |
| VPC エンドポイントのスナップショットを収集します。 | |
| VPC のスナップショットを収集します。 | |
| VPC エンドポイントのスナップショットを収集します。 | |
| ec2_DescribeVpcEndpointConnections | VPC エンドポイントサービスへの VPC エンドポイント接続のスナップショットを収集します。これには、承認保留中のエンドポイントも含まれます。 |
| ec2_DescribeVpcEndpointServiceConfigurations | で VPC エンドポイントサービス設定のスナップショットを収集します AWS アカウント。 |
| ec2_DescribeVpcPeeringConnections | VPN 接続のスナップショットを収集します。 |
| ec2_DescribeVpnConnections | VPN 接続のスナップショットを収集します。 |
| ec2_DescribeVpnGateways | 仮想プライベートゲートウェイのスナップショットを収集します。 |
| ec2_GetEbsDefaultKmsKeyId | 現在のリージョンの AWS KMS key の EBS 暗号化のデフォルト AWS アカウント のスナップショットを収集します。 |
| ec2_GetEbsEncryptionByDefault | 現在のリージョンの AWS アカウント に対してデフォルトでの EBS 暗号化が有効になっているかどうかを示します。 |
| ECS_DescribeClusters | ECS クラスターのスナップショットを収集します。 |
| eks_DescribeAddonVersions | アドオンバージョンのスナップショットを収集します。 |
| elasticache_DescribeCacheClusters | プロビジョニングされたクラスターのスナップショットを収集します。 |
| elasticache_DescribeServiceUpdates | Amazon のサービス更新のスナップショットを収集します ElastiCache。 |
| elasticfilesystem_DescribeAccessPoints | 内の Amazon EFS アクセスポイントのスナップショットを収集します AWS アカウント。 |
| Amazon EFS ファイルシステムのスナップショットを収集します。 | |
| elasticloadbalancingv2_DescribeLoadBalancers |
のロードバランサーのスナップショットを収集します AWS アカウント。 |
| elasticloadbalancingv2_DescribeSSLPolicies | SSL ネゴシエーションに使用するポリシーのスナップショットを収集します。 |
| elasticloadbalancingv2_DescribeTargetGroups | ELB ターゲットグループのスナップショットを収集します。 |
| elasticmapreduce_ListSecurityConfigurations | AWS アカウントで確認できるセキュリティ設定のリストを、その作成日時および名前とともに取得します。 |
| events_ListConnections | 内の Amazon EventBridge 接続のリストを取得します AWS アカウント。 |
| events_ListEventBuses | デフォルトの EventBridge イベントバス AWS アカウント、カスタムイベントバス、パートナーイベントバスなど、 内の Amazon イベントバスのリストを取得します。 |
| events_ListEventSources | AWS アカウントで共有されているパートナーイベントソースのリストを取得します。 |
| events_ListRules | Amazon EventBridge ルールのリストを取得します。 |
| Firehose_ListDeliveryStreams | 配信ストリームのリストを取得します。 |
| fsx_DescribeFileSystems | AWS アカウントが所有するファイルシステムのスナップショットを収集します。 |
| ガードデューティListDetectors |
Amazon GuardDuty ディテクターリソースの |
| AWS アカウントの認証情報レポートを生成します。 | |
| AWS アカウントのパスワードポリシーのスナップショットを収集します。 | |
| AWS アカウント内での IAM エンティティの使用状況および IAM クォータのスナップショットを収集します。 | |
| で使用可能なパスプレフィックスに関連付けられている IAM グループのリストを取得します AWS アカウント。 | |
| iam_ListOpenIDConnectProviders | AWS アカウントで定義されている IAM OpenID Connect (OIDC) プロバイダーリソースオブジェクトのリストを取得します。 |
| AWS アカウントで使用できる管理ポリシーのリストを取得します。これには、独自の顧客定義の管理ポリシーおよび AWS マネージドポリシーが含まれます。 | |
| で使用可能なパスプレフィックスに関連付けられている IAM ロールのリストを取得します AWS アカウント。 | |
| iam_ListSAMLProviders | AWS アカウントの IAM で定義されている SAML プロバイダーリソースオブジェクトのリストを取得します。 |
| 内の IAM ユーザーのリストを取得します AWS アカウント。 | |
| iam_ListVirtualMFADevices | AWS アカウント内で定義されている仮想 MFA デバイスのリストを取得します。 |
| kafka_ListClusters | 内の Amazon MSK クラスターのリストを取得します AWS アカウント。 |
| kafka_ListKafkaVersions | AWS アカウント内にある Apache Kafka バージョンのオブジェクトのリストを取得します。 |
| kinesis_ListStreams | Kinesis データストリームのリストを取得します。 |
|
Audit Manager はこの API を使用して、 AWS アカウント内にある AWS KMS keys のキーポリシーのスナップショットを収集します。 この API をデータソースとして使用する場合は、特定の の名前を指定する必要はありません AWS KMS key。代わりに、Audit Managerは |
|
|
Audit Manager は、この API を使用して、 AWS KMS keys で に対して自動ローテーションが有効になっているかどうかのスナップショットを収集します AWS アカウント。 この API をデータソースとして使用する場合は、特定の の名前を指定する必要はありません AWS KMS key。代わりに、Audit Managerは |
|
| kms_ListKeys | 内の AWS KMS keys のリストを取得します AWS アカウント。 |
| Lambda_ListFunctions | のバージョン固有の設定を使用して AWS アカウント、 内の Lambda 関数のリストを取得します。 |
| rds_DescribeDBClusters | 内の既存の Amazon Aurora DB クラスターとマルチ AZ DB クラスターのスナップショットを収集します AWS アカウント。 |
| AWS アカウント内のプロビジョニングされた RDS インスタンスのスナップショットを収集します。 | |
| rds_DescribeDbInstanceAutomatedBackups | 内の現在削除されているインスタンスと削除されたインスタンスの両方のバックアップのスナップショットを収集します AWS アカウント。 |
| rds_DescribeDbSecurityGroups | で DB のスナップショットを収集SecurityGroups します AWS アカウント。 |
| AWS アカウント内のプロビジョニングされた Amazon Redshift クラスターのスナップショットを収集します。 | |
|
S3 バケットのデフォルトの暗号化設定を示すスナップショットを収集します。 この API をデータソースとして使用する場合、特定の S3 バケットの名前を指定する必要はありません。代わりに、Audit Manager は Audit Manager は、評価 AWS リージョン と同じ で作成されたバケットの暗号化ステータスのみを提供できます。複数の にまた AWS リージョン がるすべての S3 バケットの暗号化ステータスを確認する必要がある場合は AWS リージョン、S3 バケットがある各 で評価を作成することをお勧めします。 |
|
| 内の S3 バケットのリストを取得します AWS アカウント。 | |
| sagemaker_ListAlgorithms | 内の機械学習アルゴリズムのリストを取得します AWS アカウント。 |
| sagemaker_ListDomains | 内のドメインのリストを取得します AWS アカウント。 |
| sagemaker_ListEndpoints | のエンドポイントのリストを取得します AWS アカウント。 |
| sagemaker_ListEndpointConfigs | のエンドポイント設定のリストを取得します AWS アカウント。 |
| sagemaker_ListFlowDefinitions | のフロー定義のリストを取得します AWS アカウント。 |
| sagemaker_ListHumanTaskUis | のヒューマンタスクインターフェイスのリストを取得します AWS アカウント。 |
| sagemaker_ListLabelingJobs | 内のラベル付けジョブのリストを取得します AWS アカウント。 |
| sagemaker_ListModels | 内のモデルのリストを取得します AWS アカウント。 |
| sagemaker_ListModelBiasJobDefinitions | でモデルバイアスジョブ定義のリストを取得します AWS アカウント。 |
| sagemaker_ListModelCards | 内のモデルカードのリストを取得します AWS アカウント。 |
| sagemaker_ListModelQualityJobDefinitions | でモデル品質モニタリングジョブ定義のリストを取得します AWS アカウント。 |
| sagemaker_ListMonitoringAlerts | 特定のモニタリングスケジュールのアラートのリストを取得します。 |
| sagemaker_ListMonitoringSchedules | 内のすべてのモニタリングスケジュールのリストを取得します AWS アカウント。 |
| sagemaker_ListTrainingJobs | のトレーニングジョブのリストを取得します AWS アカウント。 |
| sagemaker_ListUserProfiles | でユーザープロファイルのリストを取得します AWS アカウント。 |
| secretsmanager_ListSecrets | 削除対象としてマークされたシークレットを含まない AWS アカウント、 に保存されているシークレットのリストを取得します。 |
| sns_ListTopics | の SNS トピックのリストを取得します AWS アカウント。 |
| sqs_ListQueues | 内の SQS キューのリストを取得します AWS アカウント。 |
| waf-regional_ListWebAcls | の WebACLSummary オブジェクトのリストを取得します AWS アカウント。 |
| waf-regional_ListRules | のRuleSummaryオブジェクトのリストを取得します AWS アカウント。 |
| waf_ListRuleGroups | のルールグループのRuleGroupSummaryオブジェクトのリストを取得します AWS アカウント。 |
| waf_ListRules | のRuleSummaryオブジェクトのリストを取得します AWS アカウント。 |
| waf_ListWebAcls | の WebACLSummary オブジェクトのリストを取得します AWS アカウント。 |
AWS License Manager 標準フレームワークで使用される API コール
AWS License Manager 標準フレームワークにおいて、Audit Manager は、証拠を収集するために GetLicenseManagerSummary と呼ばれるカスタムアクティビティを使用します。このアクティビティでは、次の 3 つのLicense Manager API を呼び出します。
返されたデータは証拠に変換され、評価の関連するコントロールにアタッチされます。
例
2 つのライセンス製品 (SQL Service 2017 と Oracle Database Enterprise Edition) を使用しているとします。まず、GetLicenseManagerSummaryアクティビティは ListLicenseConfigurations API を呼び出し、アカウント内のライセンス設定の詳細を提供します。次に、 ListUsageForLicenseConfigurationと を呼び出して、ライセンス設定ごとにコンテキストデータを追加しますListAssociationsForLicenseConfiguration。最後に、ライセンス設定データを証拠に変換し、フレームワークのそれぞれのコントロールにアタッチします (4.5 - SQL Server 2017 のカスタマーマネージドライセンスおよび 3.0.4 - Oracle Database Enterprise Edition のカスタマーマネージドライセンス)。
フレームワークのどのコントロールによってもカバーされていないライセンス製品を使用している場合、そのライセンス設定データは、次のコントロールの証拠としてアタッチされます: 5.0 - 他のライセンスのカスタマーマネージドライセンス。
追加リソース
-
このデータソースタイプの証拠収集に関する問題については、「」を参照してください評価で通話の設定データの証拠が AWS API収集されていない。
-
このデータソースタイプを使用してカスタムコントロールを作成するには、「」を参照してくださいでのカスタムコントロールの作成 AWS Audit Manager。
-
カスタムコントロールを使用するカスタムフレームワークを作成するには、「」を参照してくださいでのカスタムフレームワークの作成 AWS Audit Manager。
-
カスタムコントロールを既存のカスタムフレームワークに追加するには、「」を参照してくださいでのカスタムフレームワークの編集 AWS Audit Manager。
