AWS Chamadas de API suportadas por AWS Audit Manager - AWS Audit Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Chamadas de API suportadas por AWS Audit Manager

Você pode usar o Audit Manager para capturar instantâneos do seu AWS ambiente como evidência para auditorias. Ao criar ou editar um controle personalizado, você pode especificar uma ou mais chamadas de AWS API como mapeamento de fonte de dados para coleta de evidências. Em seguida, o Audit Manager faz chamadas de API para o relevante Serviços da AWS e coleta um instantâneo dos detalhes da configuração dos seus AWS recursos.

Para cada recurso que está no escopo de uma chamada de API, o Audit Manager captura um snapshot da configuração e o converte em evidência. Isso resulta em uma evidência por recurso, em oposição a uma evidência por chamada de API.

Por exemplo, se a chamada de API ec2_DescribeRouteTables capturar snapshots de configuração de cinco tabelas de rotas, você obterá cinco evidências no total para uma única chamada de API. Cada evidência é um snapshot da configuração de uma tabela de rotas individual.

Principais pontos

Chamadas de API paginadas

Muitos Serviços da AWS coletam e armazenam uma grande quantidade de dados. Como resultado, quando uma list, describe ou chamada de API get tenta retornar seus dados, pode haver muitos resultados. Se a quantidade de dados for muito grande para ser retornada em uma única resposta, os resultados podem ser divididos em partes mais gerenciáveis por meio do uso da paginação. Isso divide os resultados em “páginas” de dados, facilitando o manuseio das respostas.

Alguns deles Chamadas de API compatíveis com fontes de dados de controle personalizadas são paginados. Isso significa que eles retornam resultados parciais no início e exigem solicitações subsequentes para retornar todo o conjunto de resultados. Por exemplo, a operação DescribedBInstances do Amazon RDS retorna até 100 instâncias por vez, e solicitações subsequentes são necessárias para retornar a próxima página de resultados.

A partir de 08 de março de 2023, o Audit Manager oferece suporte a chamadas de API paginadas como fonte de dados para coleta de evidências. Anteriormente, se uma chamada de API paginada fosse usada como fonte de dados, somente um subconjunto dos seus recursos era devolvido na resposta da API (até 100 resultados). Agora, o Audit Manager chama a operação de API paginada várias vezes e obtém cada página de resultados até que todos os recursos sejam devolvidos. Para cada recurso, o Audit Manager captura um snapshot da configuração e o salva como evidência. Como seu conjunto completo de recursos agora está capturado na resposta da API, é provável que você perceba um aumento na quantidade de evidências coletadas após 8 de março de 2023.

O Audit Manager gerencia automaticamente a paginação de chamadas de API para você. Se você criar um controle personalizado que usa uma chamada de API paginada como fonte de dados, não precisa especificar nenhum parâmetro de paginação.

Chamadas de API compatíveis com fontes de dados de controle personalizadas

Nos seus controles personalizados, você pode usar qualquer chamada de API a seguir como fonte de dados. O Audit Manager pode então usar essas chamadas de API para coletar evidências sobre seu AWS uso.

Chamada de API compatível Como o Audit Manager usa essa API para coletar evidências
acm_ GetAccountConfiguration Colete um snapshot das opções de configuração de conta associadas à sua Conta da AWS.
acm_ ListCertificates Recupere uma lista de ARNs de certificados e nomes de domínio.
escalonamento automático_ DescribeAutoScalingGroups Colete um resumo dos grupos de Auto Scaling em seu. Conta da AWS
backup_ ListBackupPlans Recupere uma lista de todos os planos de backup ativos em seu Conta da AWS.
alicerce_ GetModelInvocationLoggingConfiguration Colete um instantâneo dos valores de configuração atuais para o registro de invocação de modelo para modelos em seu. Conta da AWS
cloudfront_ ListDistributions

Recupere uma lista de todas as distribuições em seu. Conta da AWS

cloudtrail_ DescribeTrails

Colete um snapshot das configurações de uma ou mais trilhas associadas à região atual da sua Conta da AWS.
cloudtrail_ ListTrails Recupere uma lista das trilhas que estão em seu Conta da AWS.

cloudwatch_ DescribeAlarms

Colete um snapshot da configuração dos alarmes que são usados para sua Conta da AWS.
configuração_ DescribeConfigRules Recupere detalhes sobre suas AWS Config regras.
configuração_ DescribeDeliveryChannels Colete um snapshot da configuração dos canais de entrega na sua Conta da AWS.
conexão direta_ DescribeDirectConnectGateways Recupere uma lista de todos os seus AWS Direct Connect gateways.
conexão direta_ DescribeVirtualGateways Recupere uma lista de gateways privados virtuais pertencentes à sua Conta da AWS.
docdb_ DescribeCertificates Colete uma lista de certificados para sua Conta da AWS.
docdb_describeDB ClusterParameterGroups Colete uma lista de descrições DBCLusterParameterGroup para sua Conta da AWS.
docdb_DescribeDBInstances Colete informações sobre instâncias provisionadas do Amazon DynamoDB para sua Conta da AWS.

cloudwatch_ DescribeAlarms

Colete informações sobre os alarmes em seu Conta da AWS.

cloudtrail_ DescribeTrails

Colete um instantâneo das configurações de uma ou mais trilhas associadas à sua Conta da AWS.

dynamodb_ DescribeTable

Colete snapshots de configuração para as tabelas do DynamoDB na sua Conta da AWS.

Ao usar essa API como fonte de dados, você não precisa fornecer o nome de uma tabela específica do DynamoDB. Em vez disso, o Audit Manager usa a operação ListTables para listar todas as suas tabelas. Para cada tabela listada, o Audit Manager executa a operação DescribeTable para gerar evidências para esse recurso.

dynamodb_ ListBackups Recupere uma lista de backups do DynamoDB que estão associados à sua Conta da AWS.

dynamodb_ ListTables

Recupere uma lista de todos os nomes de tabelas associados à sua Conta da AWS e ao seu endpoint atual.
ec2_ DescribeAddresses Colete um snapshot dos seus endereços IP elásticos.
ec2_ DescribeCustomerGateways Colete um snapshot dos seus gateways do cliente da VPN.
ec2_ DescribeEgressOnlyInternetGateways Colete um snapshot dos seus gateways da Internet somente de saída.

ec2_ DescribeFlowLogs

Colete um snapshot dos seus logs de fluxo.

ec2_ DescribeInstances

Colete um snapshot das suas instâncias.
ec2_ DescribeInternetGateways Colete um snapshot dos seus gateways da Internet.
ec2_ DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations Colete uma descrição das associações entre os grupos de interface virtual e as tabelas de rotas do gateway local em seu Conta da AWS.
ec2_ DescribeLocalGateways Colete um snapshot dos seus gateways locais.
ec2_ DescribeLocalGatewayVirtualInterfaces Colete um snapshot das interfaces virtuais do gateway local.
ec2_ DescribeNatGateways Colete um snapshot dos seus gateways NAT.

ec2_ DescribeNetworkAcls

Colete um snapshot das ACLs de rede.

ec2_ DescribeRouteTables

Colete um snapshot das suas tabelas de rotas.

ec2_ DescribeSecurityGroups

Colete um snapshot dos seus grupos de segurança.
ec2_ DescribeSecurityGroupRules Colete um instantâneo de uma ou mais regras do seu grupo de segurança.
ec2_ DescribeTransitGateways Colete um snapshot dos seus gateways de trânsito.

ec2_ DescribeVolumes

Colete um snapshot dos seus endpoints da VPC.

ec2_ DescribeVpcs

Colete um snapshot das suas VPCs.

ec2_ DescribeVpcEndpoints

Colete um snapshot dos seus endpoints da VPC.
ec2_ DescribeVpcEndpointConnections Colete um instantâneo das conexões do VPC endpoint com seus serviços de VPC endpoint, incluindo todos os endpoints que estão pendentes de sua aceitação.
ec2_ DescribeVpcEndpointServiceConfigurations Colete um instantâneo das configurações do serviço de endpoint VPC em seu. Conta da AWS
ec2_ DescribeVpcPeeringConnections Colete um snapshot das suas conexões VPN.
ec2_ DescribeVpnConnections Colete um snapshot das suas conexões VPN.
ec2_ DescribeVpnGateways Colete um snapshot dos seus gateways privados virtuais.
ec2_ GetEbsDefaultKmsKeyId Colete um instantâneo da criptografia padrão AWS KMS key do EBS para sua Conta da AWS região atual.
ec2_ GetEbsEncryptionByDefault Descreve se a criptografia do EBS por padrão está habilitada para sua Conta da AWS na região atual.
ecs_ DescribeClusters Colete um snapshot dos seus clusters do ECS.
eks_ DescribeAddonVersions Colete um snapshot das suas versões de complementos.
elasticache_ DescribeCacheClusters Colete um snapshot dos clusters provisionados.
elasticache_ DescribeServiceUpdates Colete um resumo das atualizações de serviços da Amazon ElastiCache.
sistema de arquivos elástico_ DescribeAccessPoints Colete um snapshot dos pontos de acesso do Amazon EFS em seu Conta da AWS.

sistema de arquivos elástico_ DescribeFileSystems

Colete um snapshot dos seus sistemas de arquivos do Amazon EFS.
balanceamento de carga elástico v2_ DescribeLoadBalancers

Colete um instantâneo dos balanceadores de carga em seu. Conta da AWS

elasticloadbalancingv2_DescribeSSLPolicies Colete um snapshot das políticas que você usa para negociação SSL.
balanceamento de carga elástico v2_ DescribeTargetGroups Colete um snapshot dos seus grupos de destino de ELB.
elasticmareduce_ ListSecurityConfigurations Recupere uma lista das configurações de segurança que estão visíveis para sua Conta da AWS, junto com suas datas e horas de criação e seus nomes.
eventos_ ListConnections Recupere uma lista das EventBridge conexões da Amazon em seu Conta da AWS.
eventos_ ListEventBuses Recupere uma lista dos ônibus de EventBridge eventos da Amazon em seu Conta da AWS, incluindo o ônibus de eventos padrão, ônibus de eventos personalizados e ônibus de eventos de parceiros.
eventos_ ListEventSources Recupere uma lista de fontes de eventos de parceiros que foram compartilhadas com sua Conta da AWS.
eventos_ ListRules Recupere uma lista das suas EventBridge regras da Amazon.
mangueira de bombeiro_ ListDeliveryStreams Recupere uma lista dos seus fluxos de entrega.
fsx_ DescribeFileSystems Colete um snapshot dos sistemas de arquivos pertencentes à sua Conta da AWS.
guardião_ ListDetectors

Recupere uma lista dos recursos do detectorIds seu GuardDuty detector da Amazon.

eu sou_ GenerateCredentialReport

Gere um relatório de credenciais para sua Conta da AWS.

eu sou_ GetAccountPasswordPolicy

Colete um snapshot da política de senhas para sua Conta da AWS.

eu sou_ GetAccountSummary

Colete um snapshot do uso da entidade do IAM e das cotas do IAM na sua Conta da AWS.

eu sou_ ListGroups

Recupere uma lista dos grupos do IAM associados a um prefixo de caminho disponível em seu. Conta da AWS
iam_ ID ListOpen ConnectProviders Recupere uma lista dos objetos de recurso de provedor OpenID Connect (OIDC) do IAM que são definidos na sua Conta da AWS.

eu sou_ ListPolicies

Recupere uma lista todas as políticas gerenciadas que estão disponíveis na sua Conta da AWS, incluindo suas próprias políticas gerenciadas definidas pelo cliente e todas as políticas gerenciadas pela AWS.

eu sou_ ListRoles

Recupere uma lista das funções do IAM associadas a um prefixo de caminho disponível em seu. Conta da AWS
iam_ListSAMLProviders Recupere uma lista dos objetos de recurso do provedor SAML definidos no IAM na sua Conta da AWS.

eu sou_ ListUsers

Recupere uma lista dos usuários do IAM em seu Conta da AWS.
iam_ dispositivos MFA ListVirtual Recupere uma lista dos dispositivos MFA virtuais que estão definidos na sua Conta da AWS.
kafka_ ListClusters Recupere uma lista dos clusters do Amazon MSK em seu. Conta da AWS
kafka_ ListKafkaVersions Recupere uma lista dos objetos da versão do Apache Kafka na sua Conta da AWS.
kinesis_ ListStreams Recupere uma lista dos seus fluxos de dados do Kinesis.

kms_ GetKeyPolicy

O Audit Manager usa essa API para coletar um snapshot das políticas de chave para as AWS KMS keys na sua Conta da AWS.

Ao usar essa API como fonte de dados, você não precisa fornecer o nome de uma API específica AWS KMS key. Em vez disso, o Audit Manager usa a operação ListKeys para listar todas as suas chaves do KMS. Para cada chave KMS listada, o Audit Manager executa a operação GetKeyPolicy para gerar evidências para esse recurso.

kms_ GetKeyRotationStatus

O Audit Manager usa essa API para coletar um instantâneo sobre se a rotação automática está habilitada para o AWS KMS keys em seu Conta da AWS.

Ao usar essa API como fonte de dados, você não precisa fornecer o nome de uma API específica AWS KMS key. Em vez disso, o Audit Manager usa a operação ListKeys para listar todas as suas chaves do KMS. Para cada chave KMS listada, o Audit Manager executa a operação GetKeyRotationStatus para gerar evidências para esse recurso.

kms_ ListKeys Recupere uma lista dos AWS KMS keys em seu Conta da AWS.
lambda_ ListFunctions Recupere uma lista de funções do Lambda em Conta da AWS sua, com a configuração específica da versão de cada uma.
rds_DescribeDBClusters Colete um snapshot dos clusters de banco de dados Amazon Aurora e dos clusters de banco de dados Multi-AZ existentes em seu. Conta da AWS

rds_DescribeDBInstances

Colete um instantâneo das instâncias provisionadas do RDS na sua Conta da AWS.
rds_ DescribeDbInstanceAutomatedBackups Colete um instantâneo dos backups das instâncias atuais e excluídas em seu Conta da AWS.
rds_ DescribeDbSecurityGroups Colete um instantâneo do banco de dados SecurityGroups em seu Conta da AWS.

redshift_ DescribeClusters

Colete um snapshot dos clusters provisionados do Amazon Redshift na sua Conta da AWS.

s3_ GetBucketEncryption

Colete um snapshot que mostre a configuração de criptografia padrão para seus buckets do S3.

Ao usar essa API como fonte de dados, você não precisa fornecer o nome de um bucket específico do S3. Em vez disso, o Audit Manager usa a operação ListBuckets para listar todos os seus buckets. Para cada bucket listado, o Audit Manager executa a operação GetBucketEncryption para gerar evidências para esse recurso.

O Audit Manager só pode fornecer o status de criptografia para buckets que foram criados na Região da AWS mesma avaliação. Se você precisar ver o status de criptografia de todos os seus buckets do S3 em vários Regiões da AWS, recomendamos que você crie uma avaliação em cada um em Região da AWS que você tenha um bucket do S3.

s3_ ListBuckets

Recupere uma lista dos buckets S3 em seu. Conta da AWS
sagemaker_ ListAlgorithms Recupere uma lista dos algoritmos de aprendizado de máquina em seu Conta da AWS.
sagemaker_ ListDomains Recupere uma lista dos domínios em seu. Conta da AWS
sagemaker_ ListEndpoints Recupere uma lista dos endpoints em seu. Conta da AWS
sagemaker_ ListEndpointConfigs Recupere uma lista das configurações do endpoint em seu. Conta da AWS
sagemaker_ ListFlowDefinitions Recupere uma lista das definições de fluxo em seu Conta da AWS.
sagemaker_ ListHumanTaskUis Recupere uma lista das interfaces de tarefas humanas em seu Conta da AWS.
sagemaker_ ListLabelingJobs Recupere uma lista dos trabalhos de etiquetagem em seu Conta da AWS.
sagemaker_ ListModels Recupere uma lista dos modelos em seu Conta da AWS.
sagemaker_ ListModelBiasJobDefinitions Recupere uma lista das definições de trabalho de viés de modelo em seu Conta da AWS.
sagemaker_ ListModelCards Recupere uma lista dos cartões modelo em seu Conta da AWS.
sagemaker_ ListModelQualityJobDefinitions Recupere uma lista das definições de tarefas de monitoramento da qualidade do modelo em seu Conta da AWS.
sagemaker_ ListMonitoringAlerts Recupere uma lista dos alertas para um determinado cronograma de monitoramento.
sagemaker_ ListMonitoringSchedules Recupere uma lista de todas as programações de monitoramento em seu. Conta da AWS
sagemaker_ ListTrainingJobs Recupere uma lista de trabalhos de treinamento em seu Conta da AWS.
sagemaker_ ListUserProfiles Recupere uma lista de perfis de usuário em seu Conta da AWS.
gerente de secretos_ ListSecrets Recupere uma lista dos segredos que estão armazenados na sua Conta da AWS, sem incluir os que estão marcados para exclusão.
sns_ ListTopics Recupere uma lista dos tópicos do SNS em seu. Conta da AWS
sqs_ ListQueues Recupere uma lista das filas do SQS em seu. Conta da AWS
waf-regional_ ListWebAcls Recupere uma lista dos objetos WebACLSummary para o seu. Conta da AWS
waf-regional_ ListRules Recupere uma lista dos RuleSummaryobjetos para o seu Conta da AWS.
waf_ ListRuleGroups Recupere uma lista dos RuleGroupSummaryobjetos dos grupos de regras em seu Conta da AWS.
waf_ ListRules Recupere uma lista dos RuleSummaryobjetos para o seu Conta da AWS.
waf_ ListWebAcls Recupere uma lista dos objetos WebACLSummary para o seu. Conta da AWS

Chamadas de API usadas na estrutura padrão AWS License Manager

Na estrutura padrão AWS License Manager, o Audit Manager usa uma atividade personalizada chamada GetLicenseManagerSummary para coletar evidências. Essa atividade chama as três APIs do License Manager a seguir:

Os dados que são retornados são então convertidos em evidências e anexados aos controles relevantes em sua avaliação.

Exemplo

Digamos que você use dois produtos licenciados (SQL Service 2017 e Oracle Database Enterprise Edition). Primeiro, a GetLicenseManagerSummary atividade chama a ListLicenseConfigurationsAPI, que fornece detalhes das configurações de licença em sua conta. Em seguida, ele adiciona dados contextuais adicionais para cada configuração de licença chamando ListUsageForLicenseConfiguratione. ListAssociationsForLicenseConfiguration Por fim, ele converte os dados de configuração da licença em evidência e os anexa aos respectivos controles no framework (4.5 - Licença gerenciada pelo cliente para o SQL Server 2017 e 3.0.4 - Licença gerenciada pelo cliente para o Oracle Database Enterprise Edition ).

Se você estiver usando um produto licenciado que não esteja coberto por nenhum dos controles do framework, esses dados de configuração da licença serão anexados como evidência ao seguinte controle: 5.0 - Licença gerenciada pelo cliente para outras licenças.

Recursos adicionais