Como configurar seu destino de exportação padrão para o localizador de evidências - AWS Audit Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como configurar seu destino de exportação padrão para o localizador de evidências

Ao executar consultas no localizador de evidências, você pode exportar os resultados da pesquisa para um arquivo de valores separados por vírgula (CSV). Use essa configuração para escolher o bucket padrão do S3 onde o Audit Manager salvará seus arquivos exportados.

Pré-requisitos

Seu bucket do S3 deve ter a política de permissões exigida para permitir que o CloudTrail grave os arquivos de exportação nele. Mais especificamente, a política do bucket deve incluir uma ação s3:PutObject e o ARN do bucket, além de listar o CloudTrail como entidade principal do serviço.

Dicas de configuração para seu destino de exportação

Para garantir uma exportação de arquivo bem-sucedida, recomendamos que você verifique as seguintes configurações para seu destino de exportação:

Região da AWS

A Região da AWS da sua chave gerenciada pelo cliente (caso tenha fornecido uma) deve corresponder a Região de sua avaliação. Para obter instruções sobre como alterar a chave do KMS, consulte Configurações de criptografia de dados Audit Manager.

Buckets do S3 entre contas

O uso de um bucket do S3 entre contas como destino de exportação não é suportado no console do Audit Manager. É possível especificar um bucket entre contas usando o AWS CLI ou um dos SDKs AWS; para simplificar, recomendamos que não faça isso. Se você optar por usar um bucket do S3 entre contas como destino de exportação, considere os seguintes pontos.

  • Por padrão, objetos S3, como exportações CSV, são de propriedade da Conta da AWS que carrega o objeto. Você pode usar a configuração Propriedade de Objeto S3 para alterar esse comportamento padrão, o que permite que novos objetos gravados por contas com a lista de controle de acesso (ACL) padrão bucket-owner-full-control tornem-se automaticamente propriedade do proprietário do bucket.

    Embora não seja obrigatório, recomendamos que você faça as seguintes alterações nas configurações entre contas do bucket. Fazer essas alterações garante que o proprietário do bucket terá controle total dos arquivos exportados publicados por você no bucket dele.

  • Para permitir que o Audit Manager exporte arquivos para um bucket do S3 entre contas, você deve adicionar a seguinte política de bucket do S3 ao seu destino de exportação do bucket. Substitua o espaço reservado de texto por suas próprias informações. O elemento Principal dessa política é o usuário ou a função que possui a avaliação e exporta o arquivo. Resource Especifica o bucket do S3 entre contas para onde o arquivo é exportado.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Allow cross account file exports", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::AssessmentOwnerAccountId:user/AssessmentOwnerUserName" }, "Action": [ "s3:ListBucket", "s3:PutObject", "s3:GetObject", "s3:GetBucketLocation", "s3:PutObjectAcl", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::CROSS-ACCOUNT-BUCKET", "arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*" ] } ] }

Procedimento

Você pode atualizar essa configuração usando o console Audit Manager, o AWS Command Line Interface (AWS CLI), ou API Audit Manager.

Audit Manager console
Para atualizar suas configurações de destino de exportação no console do Audit Manager
  1. Na guia de configurações do Localizador de evidências, vá para a seção Destino da exportação.

  2. Escolha uma das seguintes opções:

    • Se você quiser remover o bucket atual do S3, escolha Remover para limpar suas configurações.

    • Se você quiser salvar um bucket padrão do S3 pela primeira vez, vá para a etapa 3.

  3. Especifique o bucket do S3 no qual deseja armazenar seus arquivos exportados.

    • Escolha Navegar S3 para escolher em uma lista de buckets.

    • Como alternativa, você pode inserir o URI do bucket nesse formato: s3://bucketname/prefix

    dica

    Para manter seu bucket de destino organizado, você pode criar uma pasta opcional para suas exportações de CSV. Para fazer isso, acrescente uma barra (/) e um prefixo ao valor na caixa URI de Atributo (por exemplo, /evidenceFinderCSVExports). Em seguida, o Audit Manager incluirá esse prefixo ao adicionar o arquivo CSV ao bucket e o Amazon S3 irá gerar o caminho especificado pelo prefixo. Para obter mais informações sobre prefixos de objeto e pastas no Amazon S3, consulte Organizando objetos no console do Amazon S3 no Guia do Usuário Amazon Simple Storage Service.

  4. Quando terminar, escolha Salvar.

Para obter mais informações sobre como criar um bucket do S3, consulte Criando um bucket, no Guia do Usuário Amazon S3.

AWS CLI
Para atualizar suas configurações de destino de exportação no AWS CLI

Execute o comando update-settings e use o parâmetro --default-export-destination para especificar um bucket do S3.

No exemplo a seguir, substitua o texto do espaço reservado por suas próprias informações.

aws auditmanager update-settings --default-export-destination destinationType=S3,destination=amzn-s3-demo-destination-bucket

Para obter instruções sobre como criar um bucket do S3, consulte create-bucket na AWS CLI Referência de Comando.

Audit Manager API
Para atualizar suas configurações de destino de exportação usando a API

Chame a operação UpdateSettings e use o parâmetro defaultExportDestination para especificar um bucket do S3.

Para obter instruções sobre como criar um bucket do S3, consulte CreateBucket na Referência de API Amazon S3.