Chamadas de API da AWS compatíveis com o AWS Audit Manager
Você pode usar o Audit Manager para capturar snapshots do seu ambiente da AWS como evidência para auditorias. Ao criar ou editar um controle personalizado, você pode especificar uma ou mais chamadas de API da AWS como um mapeamento de fonte de dados para coleta de evidências. Depois, o Audit Manager faz chamadas de API para o Serviços da AWS relevante e coleta um snapshot dos detalhes de configuração de seus recursos da AWS.
Para cada recurso que está no escopo de uma chamada de API, o Audit Manager captura um snapshot da configuração e o converte em evidência. Isso resulta em uma evidência por recurso, em oposição a uma evidência por chamada de API.
Por exemplo, se a chamada de API ec2_DescribeRouteTables capturar snapshots de configuração de cinco tabelas de rotas, você obterá cinco evidências no total para uma única chamada de API. Cada evidência é um snapshot da configuração de uma tabela de rotas individual.
Tópicos
Principais pontos
Chamadas de API paginadas
Muitos Serviços da AWS coletam e armazenam muitos dados. Como resultado, quando uma list, describe ou chamada de API get tenta retornar seus dados, pode haver muitos resultados. Se a quantidade de dados for muito grande para ser retornada em uma única resposta, os resultados podem ser divididos em partes mais gerenciáveis por meio do uso da paginação. Isso divide os resultados em “páginas” de dados, facilitando o manuseio das respostas.
Alguns dos Chamadas de API compatíveis com fontes de dados de controle personalizadas são paginados. Isso significa que eles retornam resultados parciais no início e exigem solicitações subsequentes para retornar todo o conjunto de resultados. Por exemplo, a operação DescribedBInstances do Amazon RDS retorna até 100 instâncias por vez, e solicitações subsequentes são necessárias para retornar a próxima página de resultados.
A partir de 08 de março de 2023, o Audit Manager oferece suporte a chamadas de API paginadas como fonte de dados para coleta de evidências. Anteriormente, se uma chamada de API paginada fosse usada como fonte de dados, somente um subconjunto dos seus recursos era devolvido na resposta da API (até 100 resultados). Agora, o Audit Manager chama a operação de API paginada várias vezes e obtém cada página de resultados até que todos os recursos sejam devolvidos. Para cada recurso, o Audit Manager captura um snapshot da configuração e o salva como evidência. Como seu conjunto completo de recursos agora está capturado na resposta da API, é provável que você perceba um aumento na quantidade de evidências coletadas após 8 de março de 2023.
O Audit Manager gerencia automaticamente a paginação de chamadas de API para você. Se você criar um controle personalizado que usa uma chamada de API paginada como fonte de dados, não precisa especificar nenhum parâmetro de paginação.
Chamadas de API compatíveis com fontes de dados de controle personalizadas
Nos seus controles personalizados, você pode usar qualquer chamada de API a seguir como fonte de dados. O Audit Manager pode então usar essas chamadas de API para coletar evidências sobre seu uso da AWS.
| Chamada de API compatível | Como o Audit Manager usa essa API para coletar evidências |
|---|---|
| acm_GetAccountConfiguration | Colete um snapshot das opções de configuração de conta associadas à sua Conta da AWS. |
| acm_ListCertificates | Recupere uma lista de ARNs de certificados e nomes de domínio. |
| autoscaling_DescribeAutoScalingGroups | Colete um snapshot dos grupos do Auto Scaling em seu Conta da AWS. |
| backup_ListBackupPlans | Recupere uma lista de todos os planos de backup ativos no seu Conta da AWS. |
| bedrock_GetModelInvocationLoggingConfiguration | Colete um snapshot dos valores de configuração atuais para o registro de logs de invocação de modelo para modelos em seu Conta da AWS. |
| cloudfront_ListDistributions |
Recupere uma lista de todas as distribuições no seu Conta da AWS. |
| Colete um snapshot das configurações de uma ou mais trilhas associadas à região atual da sua Conta da AWS. | |
| cloudtrail_ListTrails | Recupere uma lista das trilhas que estão no seu Conta da AWS. |
| Colete um snapshot da configuração dos alarmes que são usados para sua Conta da AWS. | |
| config_DescribeConfigRules | Recupere detalhes sobre suas regras do AWS Config. |
| config_DescribeDeliveryChannels | Colete um snapshot da configuração dos canais de entrega na sua Conta da AWS. |
| directconnect_DescribeDirectConnectGateways | Recupere uma lista de todos os seus gateways do AWS Direct Connect. |
| directconnect_DescribeVirtualGateways | Recupere uma lista de gateways privados virtuais pertencentes à sua Conta da AWS. |
| docdb_DescribeCertificates | Colete uma lista de certificados para sua Conta da AWS. |
| docdb_DescribeDBClusterParameterGroups | Colete uma lista de descrições DBCLusterParameterGroup para sua Conta da AWS. |
| docdb_DescribeDBInstances | Colete informações sobre instâncias provisionadas do Amazon DynamoDB para sua Conta da AWS. |
| Colete informações sobre os alarmes no seu Conta da AWS. | |
| Colete um snapshot das configurações de uma ou mais trilhas associadas à sua Conta da AWS. | |
|
Colete snapshots de configuração para as tabelas do DynamoDB na sua Conta da AWS. Ao usar essa API como fonte de dados, você não precisa fornecer o nome de uma tabela específica do DynamoDB. Em vez disso, o Audit Manager usa a operação |
|
| dynamodb_ListBackups | Recupere uma lista de backups do DynamoDB que estão associados à sua Conta da AWS. |
| Recupere uma lista de todos os nomes de tabelas associados à sua Conta da AWS e ao seu endpoint atual. | |
| ec2_DescribeAddresses | Colete um snapshot dos seus endereços IP elásticos. |
| ec2_DescribeCustomerGateways | Colete um snapshot dos seus gateways do cliente da VPN. |
| ec2_DescribeEgressOnlyInternetGateways | Colete um snapshot dos seus gateways da Internet somente de saída. |
| Colete um snapshot dos seus logs de fluxo. | |
| Colete um snapshot das suas instâncias. | |
| ec2_DescribeInternetGateways | Colete um snapshot dos seus gateways da Internet. |
| ec2_DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations | Colete uma descrição das associações entre os grupos de interface virtual e as tabelas de rotas do gateway local na sua Conta da AWS. |
| ec2_DescribeLocalGateways | Colete um snapshot dos seus gateways locais. |
| ec2_DescribeLocalGatewayVirtualInterfaces | Colete um snapshot das interfaces virtuais do gateway local. |
| ec2_DescribeNatGateways | Colete um snapshot dos seus gateways NAT. |
| Colete um snapshot das ACLs de rede. | |
| Colete um snapshot das suas tabelas de rotas. | |
| Colete um snapshot dos seus grupos de segurança. | |
| ec2_DescribeSecurityGroupRules | Colete um snapshot de uma ou mais das suas regras de grupos de segurança. |
| ec2_DescribeTransitGateways | Colete um snapshot dos seus gateways de trânsito. |
| Colete um snapshot dos seus endpoints da VPC. | |
| Colete um snapshot das suas VPCs. | |
| Colete um snapshot dos seus endpoints da VPC. | |
| ec2_DescribeVpcEndpointConnections | Colete um snapshot dos endpoints da VPC a seus serviços de endpoint da VPC incluindo todos os endpoints que estão pendentes de sua aceitação. |
| ec2_DescribeVpcEndpointServiceConfigurations | Colete um snapshot das configurações de serviço do endpoint da VPC no seu Conta da AWS. |
| ec2_DescribeVpcPeeringConnections | Colete um snapshot das suas conexões VPN. |
| ec2_DescribeVpnConnections | Colete um snapshot das suas conexões VPN. |
| ec2_DescribeVpnGateways | Colete um snapshot dos seus gateways privados virtuais. |
| ec2_GetEbsDefaultKmsKeyId | Colete um snapshot da criptografia padrão de AWS KMS key do EBS para sua Conta da AWS na região atual. |
| ec2_GetEbsEncryptionByDefault | Descreve se a criptografia do EBS por padrão está habilitada para sua Conta da AWS na região atual. |
| ecs_DescribeClusters | Colete um snapshot dos seus clusters do ECS. |
| eks_DescribeAddonVersions | Colete um snapshot das suas versões de complementos. |
| elasticache_DescribeCacheClusters | Colete um snapshot dos clusters provisionados. |
| elasticache_DescribeServiceUpdates | Colete um snapshot das atualizações de serviços para o Amazon ElastiCache. |
| elasticfilesystem_DescribeAccessPoints | Colete um snapshot dos pontos de acesso do Amazon EFS na sua Conta da AWS. |
| Colete um snapshot dos seus sistemas de arquivos do Amazon EFS. | |
| elasticloadbalancingv2_DescribeLoadBalancers |
Colete um snapshot dos balanceadores de carga na sua Conta da AWS. |
| elasticloadbalancingv2_DescribeSSLPolicies | Colete um snapshot das políticas que você usa para negociação SSL. |
| elasticloadbalancingv2_DescribeTargetGroups | Colete um snapshot dos seus grupos de destino de ELB. |
| elasticmapreduce_ListSecurityConfigurations | Recupere uma lista das configurações de segurança que estão visíveis para sua Conta da AWS, junto com suas datas e horas de criação e seus nomes. |
| events_ListConnections | Recupere uma lista das conexões do Amazon EventBridge na sua Conta da AWS. |
| events_ListEventBuses | Recupere uma lista de todos os barramentos de eventos do Amazon EventBridge na sua Conta da AWS, incluindo o barramento de eventos padrão, os barramentos de eventos personalizados e os barramentos de eventos de parceiros. |
| events_ListEventSources | Recupere uma lista de fontes de eventos de parceiros que foram compartilhadas com sua Conta da AWS. |
| events_ListRules | Recupere uma lista das suas regras do Amazon EventBridge. |
| firehose_ListDeliveryStreams | Recupere uma lista dos seus fluxos de entrega. |
| fsx_DescribeFileSystems | Colete um snapshot dos sistemas de arquivos pertencentes à sua Conta da AWS. |
| guardduty_ListDetectors |
Recupere uma lista dos |
| Gere um relatório de credenciais para sua Conta da AWS. | |
| Colete um snapshot da política de senhas para sua Conta da AWS. | |
| Colete um snapshot do uso da entidade do IAM e das cotas do IAM na sua Conta da AWS. | |
| Recupere uma lista dos grupos do IAM associados a um prefixo de caminho disponível na sua Conta da AWS. | |
| iam_ListOpenIDConnectProviders | Recupere uma lista dos objetos de recurso de provedor OpenID Connect (OIDC) do IAM que são definidos na sua Conta da AWS. |
| Recupere uma lista todas as políticas gerenciadas que estão disponíveis na sua Conta da AWS, incluindo suas próprias políticas gerenciadas definidas pelo cliente e todas as políticas gerenciadas pela AWS. | |
| Recupere uma lista dos perfis do IAM associados a um prefixo de caminho disponível na sua Conta da AWS. | |
| iam_ListSAMLProviders | Recupere uma lista dos objetos de recurso do provedor SAML definidos no IAM na sua Conta da AWS. |
| Recupere uma lista de usuários do IAM na sua Conta da AWS. | |
| iam_ListVirtualMFADevices | Recupere uma lista dos dispositivos MFA virtuais que estão definidos na sua Conta da AWS. |
| kafka_ListClusters | Recupere uma lista dos clusters do Amazon MSK na sua Conta da AWS. |
| kafka_ListKafkaVersions | Recupere uma lista dos objetos da versão do Apache Kafka na sua Conta da AWS. |
| kinesis_ListStreams | Recupere uma lista dos seus fluxos de dados do Kinesis. |
|
O Audit Manager usa essa API para coletar um snapshot das políticas de chave para as AWS KMS keys na sua Conta da AWS. Ao usar essa API como fonte de dados, você não precisa fornecer o nome de uma AWS KMS key específica. Em vez disso, o Audit Manager usa a operação |
|
|
O Audit Manager usa essa API para coletar um snapshot sobre se a rotação automática está habilitada para as AWS KMS keys na sua Conta da AWS. Ao usar essa API como fonte de dados, você não precisa fornecer o nome de uma AWS KMS key específica. Em vez disso, o Audit Manager usa a operação |
|
| kms_ListKeys | Recupere uma lista das AWS KMS keys na sua Conta da AWS. |
| lambda_ListFunctions | Recupere uma lista de funções do Lambda na sua Conta da AWS, com a configuração específica da versão de cada uma. |
| rds_DescribeDBClusters | Colete um snapshot dos clusters de banco de dados do Amazon Aurora e dos clusters de banco de dados multi-AZ na sua Conta da AWS. |
| Colete um snapshot das instâncias provisionadas do RDS na sua Conta da AWS. | |
| rds_DescribeDbInstanceAutomatedBackups | Colete um snapshot dos backups das instâncias atuais e excluídas no seu Conta da AWS. |
| rds_DescribeDbSecurityGroups | Colete um snapshot dos DBSecurityGroups no seu Conta da AWS. |
| Colete um snapshot dos clusters provisionados do Amazon Redshift na sua Conta da AWS. | |
|
Colete um snapshot que mostre a configuração de criptografia padrão para seus buckets do S3. Ao usar essa API como fonte de dados, você não precisa fornecer o nome de um bucket específico do S3. Em vez disso, o Audit Manager usa a operação O Audit Manager só pode fornecer o status de criptografia para buckets que foram criados na mesma Região da AWS que a sua avaliação. Se você precisar ver o status de criptografia de todos os seus buckets do S3 em vários Regiões da AWS, recomendamos que você crie uma avaliação em cada Região da AWS em que você tenha um bucket do S3. |
|
| Recupere uma lista dos buckets do S3 na sua Conta da AWS. | |
| sagemaker_ListAlgorithms | Recupere uma lista dos algoritmos de machine learning no seu Conta da AWS. |
| sagemaker_ListDomains | Recupere uma lista dos domínios no seu Conta da AWS. |
| sagemaker_ListEndpoints | Recupere uma lista dos endpoints no seu Conta da AWS. |
| sagemaker_ListEndpointConfigs | Recupere uma lista das configurações de endpoint no seu Conta da AWS. |
| sagemaker_ListFlowDefinitions | Recupere uma lista das definições de fluxo no seu Conta da AWS. |
| sagemaker_ListHumanTaskUis | Recupere uma lista das interfaces de tarefas humanas no seu Conta da AWS. |
| sagemaker_ListLabelingJobs | Recupere uma lista de tarefas de rotulagem no seu Conta da AWS. |
| sagemaker_ListModels | Recupere uma lista de modelos no seu Conta da AWS. |
| sagemaker_ListModelBiasJobDefinitions | Recupere uma lista das definições de trabalho de desvios de modelos no seu Conta da AWS. |
| sagemaker_ListModelCards | Recupere uma lista de cartões de modelos no seu Conta da AWS. |
| sagemaker_ListModelQualityJobDefinitions | Recupere uma lista das definições de tarefas de monitoramento da qualidade de modelos no seu Conta da AWS. |
| sagemaker_ListMonitoringAlerts | Recupere uma lista de alertas para uma determinada programação de monitoramento. |
| sagemaker_ListMonitoringSchedules | Recupere uma lista de todas as programações de monitoramento no seu Conta da AWS. |
| sagemaker_ListTrainingJobs | Recupere uma lista de trabalhos de treinamento no seu Conta da AWS. |
| sagemaker_ListUserProfiles | Recupere uma lista de perfis de usuário no seu Conta da AWS. |
| secretsmanager_ListSecrets | Recupere uma lista dos segredos que estão armazenados no seu Conta da AWS, sem incluir segredos marcados para exclusão. |
| sns_ListTopics | Recupere uma lista dos tópicos do SNS na sua Conta da AWS. |
| sqs_ListQueues | Recupere uma lista das filas do SQS na sua Conta da AWS. |
| waf-regional_ListWebAcls | Recupere uma lista dos objetos WebACLSummary para o seu Conta da AWS. |
| waf-regional_ListRules | Recupere uma lista dos objetos RuleSummary para o seu Conta da AWS. |
| waf_ListRuleGroups | Recupere uma lista dos objetos RuleGroupSummary para os grupos de regras no seu Conta da AWS. |
| waf_ListRules | Recupere uma lista dos objetos RuleSummary para o seu Conta da AWS. |
| waf_ListWebAcls | Recupere uma lista dos objetos WebACLSummary para o seu Conta da AWS. |
Chamadas de API usadas na estrutura padrão AWS License Manager
Na estrutura padrão AWS License Manager, o Audit Manager usa uma atividade personalizada chamada GetLicenseManagerSummary para coletar evidências. Essa atividade chama as três APIs do License Manager a seguir:
Os dados que são retornados são então convertidos em evidências e anexados aos controles relevantes em sua avaliação.
Exemplo
Digamos que você use dois produtos licenciados (SQL Service 2017 e Oracle Database Enterprise Edition). Primeiro, a atividade GetLicenseManagerSummary chama a API ListLicenseConfigurations, que fornece detalhes das configurações da licença em sua conta. Em seguida, ele adiciona dados contextuais adicionais para cada configuração de licença chamando ListUsageForLicenseConfiguration e ListAssociationsForLicenseConfiguration. Por fim, ele converte os dados de configuração da licença em evidência e os anexa aos respectivos controles no framework (4.5 - Licença gerenciada pelo cliente para o SQL Server 2017 e 3.0.4 - Licença gerenciada pelo cliente para o Oracle Database Enterprise Edition ).
Se você estiver usando um produto licenciado que não esteja coberto por nenhum dos controles do framework, esses dados de configuração da licença serão anexados como evidência ao seguinte controle: 5.0 - Licença gerenciada pelo cliente para outras licenças.
Recursos adicionais
-
Para obter ajuda com problemas de coleta de evidências para esse tipo de fonte de dados, consulte Minha avaliação não está coletando evidências de dados de configuração para uma chamada de API da AWS.
-
Para criar um controle personalizado usando esse tipo de fonte de dados, consulte Como criar um controle personalizado no AWS Audit Manager.
-
Para criar um framework personalizado que usa seu controle personalizado, consulte Como criar um framework personalizado no AWS Audit Manager.
-
Para adicionar seu controle personalizado a um framework personalizado existente, consulte Como editar um framework personalizado no AWS Audit Manager.
