Como configurar o destino padrão do relatório de avaliação - AWS Audit Manager
Pré-requisitosProcedimentoRecursos adicionais

Como configurar o destino padrão do relatório de avaliação

Quando você gera um relatório de avaliação, o Audit Manager publica o relatório no bucket do S3 de sua preferência. Esse bucket do S3 é chamado de assessment report destination. Você pode escolher o bucket do S3 no qual o Audit Manager armazenará seus relatórios de avaliação.

Pré-requisitos

Dicas de configuração para o destino do seu relatório de avaliação

Para garantir a geração bem-sucedida do seu relatório de avaliação, recomendamos que você use as seguintes configurações para o destino do relatório de avaliação.

Buckets de mesma Região

Recomendamos um bucket do S3 no mesmo Região da AWS da sua avaliação. Quando você usa um bucket e uma avaliação de mesma Região, seu relatório de avaliação pode incluir até 22.000 itens de evidência. Por outro lado, quando você usa um bucket e uma avaliação entre Regiões, somente 3.500 itens de evidência podem ser incluídos.

Região da AWS

A Região da AWS da sua chave gerenciada pelo cliente (caso tenha fornecido uma) deve corresponder a Região de sua avaliação e ao bucket do S3 de destino do relatório de avaliação. Para obter instruções sobre como alterar a chave do KMS, consulte Como definir suas configurações de criptografia de dados. Para ver a lista de Regiões Audit Manager suportadas, consulte AWS Audit Manager endpoints e cotas em Referência Geral Amazon Web Services.

criptografia do bucket do S3

Se o destino do seu relatório de avaliação tiver uma política de bucket que exija criptografia do lado do servidor (SSE) usando SSE-KMS, a chave KMS usada nessa política de bucket deverá corresponder a chave KMS definida nas configurações de criptografia de dados do Audit Manager. Se você não configurou uma chave KMS nas configurações do Audit Manager e sua política de bucket de destino do relatório de avaliação exige SSE, certifique-se de que a política de bucket permite SSE-S3. Para obter instruções sobre como configurar a chave KMS usada para criptografia de dados, consulte Como definir suas configurações de criptografia de dados.

Buckets do S3 entre contas

O uso de um bucket do S3 entre contas como destino do relatório de avaliação não é suportado no console do Audit Manager. É possível especificar um bucket entre contas como destino do relatório de avaliação usando o AWS CLI ou um dos SDKs AWS, mas, para simplificar, recomendamos que você não faça isso. Se você optar por usar um bucket do S3 entre contas como destino do relatório de avaliação, considere os seguintes pontos:

  • Por padrão, objetos S3 como relatórios de avaliação são de propriedade da Conta da AWS que carrega o objeto. Você pode usar a configuração Propriedade de Objeto S3 para alterar esse comportamento padrão, de maneira que todos os novos objetos gravados por contas com a lista de controle de acesso (ACL) padrão bucket-owner-full-control tornem-se automaticamente propriedade do proprietário do bucket.

    Embora não seja obrigatório, recomendamos que você faça as seguintes alterações nas configurações entre contas do bucket. Fazer essas alterações garante que o proprietário do bucket tenha controle total sobre os relatórios de avaliação publicados por você no bucket dele.

  • Para permitir que o Audit Manager publique relatórios em um bucket do S3 entre contas, você deve adicionar a seguinte política de bucket do S3 ao destino do relatório de avaliação: Substitua o espaço reservado de texto por suas próprias informações. O elemento Principal dessa política é o usuário ou a função que possui a avaliação e cria o relatório de avaliação. Resource Especifica o bucket do S3 entre contas onde o relatório é publicado.

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Sid": "Allow cross account assessment report publishing",
          "Effect": "Allow",
          "Principal": {
              "AWS": "arn:aws:iam::AssessmentOwnerAccountId:user/AssessmentOwnerUserName"
          },
          "Action": [
              "s3:ListBucket",
              "s3:PutObject",
              "s3:GetObject",
              "s3:GetBucketLocation",
              "s3:PutObjectAcl",
              "s3:DeleteObject"
          ],
          "Resource": [
              "arn:aws:s3:::CROSS-ACCOUNT-BUCKET",
              "arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*"
          ]
      }
  ]
}
Mostrar maisMostrar menos

Procedimento

Você pode atualizar essa configuração usando o console Audit Manager, o AWS Command Line Interface (AWS CLI), ou API Audit Manager.

Audit Manager console
Para atualizar o destino padrão do relatório de avaliação no console do Audit Manager

  1. Na guia configurações Avaliação, vá para a seção Destino do relatório de avaliação

  2. Para usar um bucket do S3 existente, selecione um nome de bucket no menu suspenso.

  3. Para criar um novo bucket do S3, escolha Criar um novo bucket.

  4. Quando terminar, escolha Salvar.

AWS CLI
Para atualizar o destino padrão do relatório de avaliação no AWS CLI

Execute o comando update-settings e use o parâmetro --default-assessment-reports-destination para especificar um bucket do S3.

No exemplo a seguir, substitua o texto do espaço reservado por suas próprias informações.

aws auditmanager update-settings --default-assessment-reports-destination destinationType=S3,destination=s3://amzn-s3-demo-destination-bucket
Audit Manager API
Para atualizar o destino padrão do relatório de avaliação usando a API

Chame a operação UpdateSettings e use o parâmetro defaultAssessmentReportsDestination para especificar um bucket do S3.

Recursos adicionais