デフォルトの評価レポートの送信先の設定 - AWS Audit Manager
前提条件手順追加リソース

デフォルトの評価レポートの送信先の設定

評価レポートを生成すると、Audit Manager は、任意の S3 バケットにレポートを発行します。この S3 バケットはassessment report destinationと呼ばれます。Audit Manager で評価レポートを保存する S3 バケットを選択できます。

前提条件

評価レポートの送信先設定のヒント

評価レポートを正常に生成するには、評価レポートの送信先についての次の設定を使用することをお勧めします。

同じリージョンバケット

評価と同じ AWS リージョン にある S3 バケットを使用することをお勧めします。同じリージョンのバケットと評価を使用する場合、評価レポートには最大 22,000 件の証拠項目を含めることができます。逆に、クロスリージョンバケットと評価を使用する場合、含めることができるのは 3,500 の証拠項目のみです。

AWS リージョン

カスタマーマネージドキー (提供されている場合) の AWS リージョン は、評価と評価レポートの送信先の S3 バケットのリージョンと一致する必要があります。KMS キーを変更する方法については、「データ暗号化の設定」を参照してください。サポートされている Audit Manager リージョンのリストについては、「Amazon Web Services 全般のリファレンス」の「AWS Audit Managerエンドポイントとクォータ」を参照してください。

S3 バケットの暗号化

評価レポートの送信先に SSE-KMS を使用したサーバー側の暗号化 (SSE) を必要とするバケットポリシーがある場合、そのバケットポリシーで使用される KMS キーは、Audit Manager データ暗号化の設定で構成した KMS キーと一致する必要があります。Audit Manager の設定で KMS キーを設定しておらず、評価レポートの送信先バケットポリシーで SSE が必要な場合は、バケットポリシーで SSE-S3 が許可されているようにしてください。データ暗号化に使用される KMS キーの設定方法については、「データ暗号化の設定」を参照してください。

クロスアカウント S3 バケット

クロスアカウント S3 バケットを評価レポートの送信先として使用することは、Audit Manager コンソールではサポートされていません。AWS CLI またはいずれかの AWS SDK を使用して、評価レポートの送信先としてクロスアカウントバケットを指定することは可能ですが、簡素化するために、これはお勧めしません。評価レポートの送信先としてクロスアカウント S3 バケットを使用することを選択する場合は、次の点を考慮してください。

  • デフォルトでは、評価レポートなどの S3 オブジェクトは、オブジェクトをアップロードする AWS アカウント によって所有されます。S3 オブジェクト所有権設定を使用して、このデフォルト動作を変更すると、bucket-owner-full-control既定のアクセスコントロールリスト (ACL) があるアカウントによって記述された新しいオブジェクトが自動的にバケット所有者によって所有されるようにできます。

    必須ではありませんが、クロスアカウントバケットの設定に次の変更を加えることをお勧めします。これらの変更を加えることで、バケット所有者は、バケットに発行する評価レポートを完全に制御できるようになります。

  • Audit Manager がクロスアカウント S3 バケットでレポートを発行できるようにするには、次の S3 バケットポリシーを評価レポートの送信先に追加する必要があります。placeholder text を独自の情報に置き換えます。このポリシーの Principal 要素は、評価を所有し、評価レポートを作成するユーザーまたはロールです。Resource は、レポートが発行されるクロスアカウント S3 バケットを指定します。

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Sid": "Allow cross account assessment report publishing",
          "Effect": "Allow",
          "Principal": {
              "AWS": "arn:aws:iam::AssessmentOwnerAccountId:user/AssessmentOwnerUserName"
          },
          "Action": [
              "s3:ListBucket",
              "s3:PutObject",
              "s3:GetObject",
              "s3:GetBucketLocation",
              "s3:PutObjectAcl",
              "s3:DeleteObject"
          ],
          "Resource": [
              "arn:aws:s3:::CROSS-ACCOUNT-BUCKET",
              "arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*"
          ]
      }
  ]
}
表示を増やす表示を減らす

手順

この設定は、Audit Manager コンソール、AWS Command Line Interface (AWS CLI)、または Audit Manager API を使用して更新できます。

Audit Manager console
Audit Manager コンソールでデフォルトの評価レポートの送信先を変更するには

  1. [評価] 設定タブから、評価レポートの送信先セクションに移動します。

  2. 既存の S3 バケットを使用するには、ドロップダウンメニューからバケット名を選択します。

  3. 新しい S3 バケットを作成するには、[Create new bucket] (新しいバケットを作成) を選択します。

  4. 完了したら、[保存] を選択します。

AWS CLI
AWS CLI でデフォルトの評価レポートの送信先を変更するには

update-settings コマンドを実行して、--default-assessment-reports-destination パラメータを使用して S3 バケットを指定します。

次の例では、次の placeholder text を独自の情報に置き換えます。

aws auditmanager update-settings --default-assessment-reports-destination destinationType=S3,destination=s3://amzn-s3-demo-destination-bucket
Audit Manager API
API を使用してデフォルトの評価レポートの送信先を変更するには

UpdateSettings 操作を呼び出して、DefaultAssessmentReportsDestination パラメータを使用して S3 バケットを指定します。

追加リソース