デフォルトの評価レポートの送信先の設定 - AWS Audit Manager
前提条件手順追加リソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

デフォルトの評価レポートの送信先の設定

評価レポートを生成すると、Audit Manager は、任意の S3 バケットにレポートを発行します。この S3 バケットは と呼ばれますassessment report destination。Audit Manager が評価レポートを保存する S3 バケットを選択できます。

前提条件

評価レポートの送信先設定のヒント

評価レポートを正常に生成するには、評価レポートの宛先に次の設定を使用することをお勧めします。

同じリージョンバケット

評価と同じ AWS リージョン にある S3 バケットを使用することをお勧めします。同じリージョンのバケットと評価を使用する場合、評価レポートには最大 22,000 件の証拠項目を含めることができます。逆に、クロスリージョンバケットと評価を使用する場合、含めることができるのは 3,500 の証拠項目のみです。

AWS リージョン

カスタマーマネージドキー AWS リージョン の (指定した場合) は、評価のリージョンと評価レポートの宛先 S3 バケットと一致する必要があります。KMS キーを変更する方法については、「」を参照してくださいデータ暗号化設定の構成。サポートされている Audit Manager リージョンのリストについては、「Amazon Web Services 全般のリファレンス」の「AWS Audit Manager エンドポイントとクォータ」を参照してください。

S3 バケットの暗号化

評価レポートの宛先に SSE-KMS を使用したサーバー側の暗号化 (SSE) を必要とするバケットポリシーがある場合、そのバケットポリシーで使用されるKMSキーは、Audit Manager データ暗号化設定で設定したKMSキーと一致する必要があります。Audit Manager の設定でKMSキーを設定しておらず、評価レポートの送信先バケットポリシーで が必要な場合はSSE、バケットポリシーで SSE-S3 が許可されていることを確認してください。データ暗号化に使用されるKMSキーを設定する方法については、「」を参照してくださいデータ暗号化設定の構成

クロスアカウント S3 バケット

クロスアカウント S3 バケットを評価レポートの宛先として使用することは、Audit Manager コンソールではサポートされていません。 AWS CLI または の 1 つを使用して、評価レポートの宛先としてクロスアカウントバケットを指定できますが AWS SDKs、わかりやすくするために、これを行わないことをお勧めします。評価レポートの宛先としてクロスアカウント S3 バケットを使用することを選択する場合は、次の点を考慮してください。

  • デフォルトでは、評価レポートなどの S3 オブジェクトは、オブジェクトをアップロード AWS アカウント する によって所有されます。S3 オブジェクト所有権設定を使用して、このデフォルトの動作を変更し、既定アクセスコントロールリスト (ACL) bucket-owner-full-control を持つアカウントによって書き込まれた新しいオブジェクトがバケット所有者によって自動的に所有されるようにすることができます。

    必須ではありませんが、クロスアカウントバケットの設定に次の変更を加えることをお勧めします。これらの変更を加えることで、バケット所有者は、バケットに発行する評価レポートを完全に制御できるようになります。

  • Audit Manager がクロスアカウント S3 バケットでレポートを発行できるようにするには、次の S3 バケットポリシーを評価レポートの宛先に追加する必要があります。を置き換える placeholder text 自分の情報を入力します。このポリシーの Principal 要素は、評価を所有し、評価レポートを作成するユーザーまたはロールです。Resource は、レポートが発行されるクロスアカウント S3 バケットを指定します。

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Sid": "Allow cross account assessment report publishing",
          "Effect": "Allow",
          "Principal": {
              "AWS": "arn:aws:iam::AssessmentOwnerAccountId:user/AssessmentOwnerUserName"
          },
          "Action": [
              "s3:ListBucket",
              "s3:PutObject",
              "s3:GetObject",
              "s3:GetBucketLocation",
              "s3:PutObjectAcl",
              "s3:DeleteObject"
          ],
          "Resource": [
              "arn:aws:s3:::CROSS-ACCOUNT-BUCKET",
              "arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*"
          ]
      }
  ]
}
表示を増やす表示を減らす

手順

この設定は、Audit Manager コンソール、 AWS Command Line Interface (AWS CLI)、または Audit Manager を使用して更新できますAPI。

Audit Manager console
Audit Manager コンソールでデフォルトの評価レポートの送信先を更新するには

  1. [評価] 設定タブから、評価レポートの送信先セクションに移動します。

  2. 既存の S3 バケットを使用するには、ドロップダウンメニューからバケット名を選択します。

  3. 新しい S3 バケットを作成するには、[Create new bucket] (新しいバケットを作成) を選択します。

  4. 完了したら、[保存] を選択します。

AWS CLI
でデフォルトの評価レポートの宛先を更新するには AWS CLI

update-settings コマンドを実行して、--default-assessment-reports-destination パラメータを使用して S3 バケットを指定します。

次の例では、placeholder text 独自の情報:

aws auditmanager update-settings --default-assessment-reports-destination destinationType=S3,destination=s3://amzn-s3-demo-destination-bucket
Audit Manager API
を使用してデフォルトの評価レポートの宛先を更新するには API

UpdateSettings オペレーションを呼び出し、defaultAssessmentReportsDestination パラメータを使用して S3 バケットを指定します。

追加リソース