Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Como integrar as evidências do Audit Manager em seu sistema GRC

PDF
RSS
Modo de foco
Como integrar as evidências do Audit Manager em seu sistema GRC - AWS Audit Manager
Pré-requisitosEtapa 1: habilitar o Audit ManagerEtapa 2: Configurar permissõesEtapa 3: controles do mapaEtapa 4: manter os mapeamentos atualizadosEtapa 5: criar avaliaçãoEtapa 6. Coletar evidênciasPreçosRecursos adicionais

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como cliente corporativo, você provavelmente tem atributos em vários data centers, incluindo outros fornecedores de nuvem e ambientes on-premises. Para coletar evidências desses ambientes, você pode usar soluções de GRC (Governança, Risco e Conformidade) de terceiros, como MetricStream CyberGRC ou RSA Archer. Ou você pode usar um sistema GRC proprietário que você desenvolveu internamente.

Este tutorial mostra como você pode integrar seu sistema GRC interno ou externo ao Audit Manager. Essa integração permite que os fornecedores coletem evidências sobre o AWS uso e as configurações de seus clientes e enviem essas evidências diretamente do Audit Manager para o aplicativo GRC. Ao fazer isso, você pode centralizar seus relatórios de conformidade em vários ambientes.

Para a finalidade deste tutorial:

  1. Um fornecedor é a entidade ou empresa proprietária do aplicativo GRC que está sendo integrado ao Audit Manager.

  2. Um cliente é a entidade ou empresa que usa AWS e também usa um aplicativo GRC interno ou externo.

nota

Em alguns casos, o aplicativo GRC pertence e é usado pela mesma empresa. Nesse cenário, o fornecedor é o grupo ou equipe que possui o aplicativo GRC e o cliente é a equipe ou grupo que usa o aplicativo GRC.

Este tutorial mostra como fazer o seguinte:

Pré-requisitos

Antes de iniciar, certifique-se de satisfazer as seguintes condições:
Algumas restrições a serem levadas em consideração:

  • O Audit Manager é regional AWS service (Serviço da AWS). Você deve configurar o Audit Manager separadamente em cada região em que executa suas AWS cargas de trabalho.

  • O Audit Manager não é compatível com a agregação de evidências de várias regiões em uma única região. Se seus recursos abrangem vários Regiões da AWS, você deve agregar as evidências em seu sistema GRC.

  • O Audit Manager tem cotas padrão para o número de atributos que você pode criar. Se necessário, é possível solicitar um aumento nas cotas padrão. Para obter mais informações, consulte Quotas and restrictions for AWS Audit Manager.

Etapa 1: habilitar o Audit Manager

Quem conclui esta etapa

Cliente

O que você precisa fazer

Comece habilitando o Audit Manager para seu Conta da AWS. Se sua conta fizer parte de uma organização, você poderá habilitar o Audit Manager usando sua conta de gerenciamento e, em seguida, especificar um administrador delegado para o Audit Manager.

Procedimento

Para habilitar o Audit Manager

Siga as instruções para Habilitar o Audit Manager. Repita o procedimento de configuração para todas as regiões em que você deseja coletar evidências.

dica

Se você usa AWS Organizations, é altamente recomendável que você configure um administrador delegado durante esta etapa. Ao usar uma conta de administrador delegado no Audit Manager, é possível usar o localizador de evidências para pesquisar evidências em todas as contas de membros de sua organização.

Etapa 2: Configurar permissões

Quem conclui esta etapa

Cliente

O que você precisa fazer

Nesta etapa, o cliente criará um perfil do IAM para sua conta. Em seguida, o cliente concede ao fornecedor as permissões para assumir a função.

Um diagrama que mostra como o perfil do IAM concede acesso à conta do fornecedor.

Procedimento

Para criar um perfil para a conta do cliente

Siga as instruções em Criação de um perfil para um usuário do IAM no Guia do usuário do IAM.

  • Na etapa 8 do fluxo de trabalho de criação de perfil, escolha Criar política e insira uma política para o perfil.

    O perfil também deve ter, no mínimo, as seguintes permissões:

    {
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid" : "AuditManagerAccess",
      "Effect" : "Allow",
      "Action" : [
        "auditmanager:*"
      ],
      "Resource" : "*"
    },
    {
      "Sid" : "OrganizationsAccess",
      "Effect" : "Allow",
      "Action" : [
        "organizations:ListAccountsForParent",
        "organizations:ListAccounts",
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:ListParents",
        "organizations:ListChildren"
      ],
      "Resource" : "*"
    },
    {
      "Sid" : "IAMAccess",
      "Effect" : "Allow",
      "Action" : [
        "iam:GetUser",
        "iam:ListUsers",
        "iam:ListRoles"
      ],
      "Resource" : "*"
    },        
    {
      "Sid" : "S3Access",
      "Effect" : "Allow",
      "Action" : [
        "s3:ListAllMyBuckets"
      ],
      "Resource" : "*"
    },
    {
      "Sid" : "KmsAccess",
      "Effect" : "Allow",
      "Action" : [
        "kms:DescribeKey",
        "kms:ListKeys",
        "kms:ListAliases"
      ],
      "Resource" : "*"
    },
    {
      "Sid" : "KmsCreateGrantAccess",
      "Effect" : "Allow",
      "Action" : [
        "kms:CreateGrant"
      ],
      "Resource" : "*",
      "Condition" : {
        "Bool" : {
          "kms:GrantIsForAWSResource" : "true"
        },
        "StringLike" : {
          "kms:ViaService" : "auditmanager.*.amazonaws.com"
        }
      }
    },
    {
      "Sid" : "SNSAccess",
      "Effect" : "Allow",
      "Action" : [
        "sns:ListTopics"
      ],
      "Resource" : "*"
    }, 
    {
      "Sid" : "TagAccess",
      "Effect" : "Allow",
      "Action" : [
        "tag:GetResources"
      ],
      "Resource" : "*"
    }
  ]
}

  • Na etapa 11 do fluxo de trabalho de criação da perfil, insira vendor-auditmanager como o Nome do perfil.

Para permitir que a conta do fornecedor assuma o perfil

Siga as instruções em Como conceder permissão aos usuários para trocar de perfil no Guia do usuário do IAM.

  • A declaração de política deve incluir o efeito Allow sobre o sts:AssumeRole action.

  • Ele também deve incluir o nome do recurso da Amazon (ARN) do perfil em um elemento de atributo.

  • Veja a seguir um exemplo de instrução de política que você pode usar.

    Nessa política, placeholder text substitua o pelo Conta da AWS ID do seu fornecedor.

    {
 "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::account-id:role/vendor-auditmanager"
  }
}

Etapa 3. Mapeie seus controles corporativos para os controles do Audit Manager

Quem conclui esta etapa

Cliente

O que você precisa fazer

Os fornecedores mantêm uma lista organizada de controles corporativos que os clientes podem usar em uma avaliação. Para integrar com o Audit Manager, os fornecedores devem criar uma interface que permita aos clientes mapear seus controles corporativos para os controles correspondentes do Audit Manager. Você pode mapear para common controls (preferencial) ou para standard controls. Você deve concluir esse mapeamento antes de iniciar qualquer avaliação no aplicativo GRC do fornecedor.

Um diagrama que mostra como os controles corporativos são mapeados para os controles do Audit Manager.

Essa é a forma recomendada de mapear seus controles corporativos para o Audit Manager. Isso ocorre porque os controles comuns estão estreitamente alinhados aos padrões comuns do setor. Isso facilita o mapeamento conforme os controles da sua empresa.

Com essa abordagem, o fornecedor cria uma interface que permite ao cliente realizar um mapeamento único entre os controles corporativos e os controles comuns correspondentes fornecidos pelo Audit Manager. Os fornecedores podem usar as operações de GetControlAPI ListControlsListCommonControls,, e para apresentar essas informações aos clientes. Depois que o cliente concluir o exercício de mapeamento, o fornecedor poderá usar esses mapeamentos para criar controles personalizados no Audit Manager.

Veja a seguir um exemplo de um mapeamento de controle comum:

Digamos que você tenha um controle corporativo chamado Asset Management. Esse controle corporativo é mapeado para dois controles comuns no Audit Manager (Asset performance management e Asset maintenance scheduling). Nesse caso, você deve criar um controle personalizado no Audit Manager (vamos chamá-lo de enterprise-asset-management). Em seguida, adicione Asset performance management e Asset maintenance scheduling como fontes de evidência ao novo controle personalizado. Essas fontes de evidências coletam evidências de apoio de um grupo predefinido de fontes de AWS dados. Isso fornece uma maneira eficiente de identificar as fontes de AWS dados que atendem aos requisitos de seu controle corporativo.

Procedimento

Para encontrar os controles comuns disponíveis para os quais você pode mapear

Siga as etapas para encontrar a lista de controles comuns disponíveis no Audit Manager.

Para criar um controle personalizado

  1. Siga as etapas para criar um controle personalizado que se alinhe ao controle da sua empresa.

    Ao especificar fontes de evidência na etapa 2 do fluxo de trabalho de criação de controle personalizado, faça o seguinte:

    • Escolha fontes gerenciadas pela AWS como fonte de evidência.

    • Selecione Usar um controle comum que corresponda à sua meta de conformidade.

    • Escolha até cinco controles comuns como fontes de evidência para o controle da sua empresa.

  2. Repita essa tarefa para todos os controles corporativos e crie controles personalizados correspondentes no Audit Manager para cada um.

Opção 1: mapear os controles corporativos para controles comuns (recomendado)

Essa é a forma recomendada de mapear seus controles corporativos para o Audit Manager. Isso ocorre porque os controles comuns estão estreitamente alinhados aos padrões comuns do setor. Isso facilita o mapeamento conforme os controles da sua empresa.

Com essa abordagem, o fornecedor cria uma interface que permite ao cliente realizar um mapeamento único entre os controles corporativos e os controles comuns correspondentes fornecidos pelo Audit Manager. Os fornecedores podem usar as operações de GetControlAPI ListControlsListCommonControls,, e para apresentar essas informações aos clientes. Depois que o cliente concluir o exercício de mapeamento, o fornecedor poderá usar esses mapeamentos para criar controles personalizados no Audit Manager.

Veja a seguir um exemplo de um mapeamento de controle comum:

Digamos que você tenha um controle corporativo chamado Asset Management. Esse controle corporativo é mapeado para dois controles comuns no Audit Manager (Asset performance management e Asset maintenance scheduling). Nesse caso, você deve criar um controle personalizado no Audit Manager (vamos chamá-lo de enterprise-asset-management). Em seguida, adicione Asset performance management e Asset maintenance scheduling como fontes de evidência ao novo controle personalizado. Essas fontes de evidências coletam evidências de apoio de um grupo predefinido de fontes de AWS dados. Isso fornece uma maneira eficiente de identificar as fontes de AWS dados que atendem aos requisitos de seu controle corporativo.

Procedimento

Para encontrar os controles comuns disponíveis para os quais você pode mapear

Siga as etapas para encontrar a lista de controles comuns disponíveis no Audit Manager.

Para criar um controle personalizado

  1. Siga as etapas para criar um controle personalizado que se alinhe ao controle da sua empresa.

    Ao especificar fontes de evidência na etapa 2 do fluxo de trabalho de criação de controle personalizado, faça o seguinte:

    • Escolha fontes gerenciadas pela AWS como fonte de evidência.

    • Selecione Usar um controle comum que corresponda à sua meta de conformidade.

    • Escolha até cinco controles comuns como fontes de evidência para o controle da sua empresa.

  2. Repita essa tarefa para todos os controles corporativos e crie controles personalizados correspondentes no Audit Manager para cada um.

O Audit Manager fornece um grande número de controles padrão predefinidos. Você pode realizar um mapeamento único entre os controles corporativos e esses controles padrão. Depois de identificar os controles padrão que correspondem aos controles da sua empresa, você pode adicionar esses controles padrão diretamente a uma estrutura personalizada. Se você escolher essa opção, não precisará criar nenhum controle personalizado no Audit Manager.

Procedimento

Para encontrar os controles padrão disponíveis para os quais você pode mapear

Siga as etapas para encontrar a lista de controles padrão disponíveis no Audit Manager.

Para criar um framework personalizado

  1. Siga as etapas para criar um framework personalizado no Audit Manager.

    Ao especificar um conjunto de controles na etapa 2 do procedimento de criação do framework, inclua os controles padrão que são mapeados para os controles da sua empresa.

  2. Repita essa tarefa para todos os controles corporativos até incluir todos os controles padrão correspondentes em seu framework personalizado.

O Audit Manager fornece um grande número de controles padrão predefinidos. Você pode realizar um mapeamento único entre os controles corporativos e esses controles padrão. Depois de identificar os controles padrão que correspondem aos controles da sua empresa, você pode adicionar esses controles padrão diretamente a uma estrutura personalizada. Se você escolher essa opção, não precisará criar nenhum controle personalizado no Audit Manager.

Procedimento

Para encontrar os controles padrão disponíveis para os quais você pode mapear

Siga as etapas para encontrar a lista de controles padrão disponíveis no Audit Manager.

Para criar um framework personalizado

  1. Siga as etapas para criar um framework personalizado no Audit Manager.

    Ao especificar um conjunto de controles na etapa 2 do procedimento de criação do framework, inclua os controles padrão que são mapeados para os controles da sua empresa.

  2. Repita essa tarefa para todos os controles corporativos até incluir todos os controles padrão correspondentes em seu framework personalizado.

Etapa 4. Mantenha seus mapeamentos de controle atualizados

Quem conclui esta etapa

Fornecedor, cliente

O que você precisa fazer

O Audit Manager atualiza continuamente controles comuns e controles padrão para garantir que eles usem as fontes de AWS dados mais recentes disponíveis. Isso indica que mapear controles é uma tarefa única: você não precisa gerenciar controles padrão depois de adicioná-los a um framework personalizado e não precisa gerenciar controles comuns depois de adicioná-los como fonte de evidência em seu controle personalizado. Sempre que um controle comum é atualizado, as mesmas atualizações são aplicadas automaticamente a todos os controles personalizados que usam esse controle comum como fonte de evidência.

No entanto, com o tempo, é possível que novos controles comuns e controles padrão estejam disponíveis para você usar como fontes de evidência. Com isso em mente, fornecedores e clientes devem criar um fluxo de trabalho para buscar periodicamente os controles comuns e controles padrão mais recentes do Audit Manager. Em seguida, você pode revisar os mapeamentos entre os controles corporativos e os controles do Audit Manager e atualizar os mapeamentos conforme necessário.

Durante o processo de mapeamento, você criou controles personalizados. Você pode usar o Audit Manager para editar esses controles personalizados para que eles usem os controles comuns mais recentes disponíveis como fontes de evidência. Depois que as atualizações de controle personalizado entrarem em vigor, suas avaliações existentes coletarão automaticamente evidências em relação aos controles personalizados atualizados. Não é necessário criar um novo framework ou avaliação.

Procedimento

Para encontrar os controles comuns mais recentes para os quais você pode mapear

Siga as etapas para encontrar os controles comuns disponíveis no Audit Manager.

Para editar um controle personalizado

  1. Siga as etapas para editar um controle personalizado no Audit Manager.

    Ao atualizar as fontes de evidência na etapa 2 do fluxo de trabalho de edição, faça o seguinte:

    • Escolha fontes gerenciadas pela AWS como fonte de evidência.

    • Selecione Usar um controle comum que corresponda à sua meta de conformidade.

    • Escolha o novo controle comum que você deseja usar como fonte de evidência para seu controle personalizado.

  2. Repita essa tarefa para todos os controles da sua empresa que você deseja atualizar.

Durante o processo de mapeamento, você criou controles personalizados. Você pode usar o Audit Manager para editar esses controles personalizados para que eles usem os controles comuns mais recentes disponíveis como fontes de evidência. Depois que as atualizações de controle personalizado entrarem em vigor, suas avaliações existentes coletarão automaticamente evidências em relação aos controles personalizados atualizados. Não é necessário criar um novo framework ou avaliação.

Procedimento

Para encontrar os controles comuns mais recentes para os quais você pode mapear

Siga as etapas para encontrar os controles comuns disponíveis no Audit Manager.

Para editar um controle personalizado

  1. Siga as etapas para editar um controle personalizado no Audit Manager.

    Ao atualizar as fontes de evidência na etapa 2 do fluxo de trabalho de edição, faça o seguinte:

    • Escolha fontes gerenciadas pela AWS como fonte de evidência.

    • Selecione Usar um controle comum que corresponda à sua meta de conformidade.

    • Escolha o novo controle comum que você deseja usar como fonte de evidência para seu controle personalizado.

  2. Repita essa tarefa para todos os controles da sua empresa que você deseja atualizar.

Nesse caso, os fornecedores devem criar um novo framework personalizado que inclua os controles padrão mais recentes disponíveis e, em seguida, criar uma nova avaliação usando esse novo framework. Depois de criar a nova avaliação, você pode marcar sua avaliação antiga como inativa.

Procedimento

Para encontrar os controles padrão mais recentes para os quais você pode mapear

Siga as etapas para encontrar os controles padrão disponíveis no Audit Manager.

Para criar um framework personalizado e adicionar os controles padrão mais recentes

Siga as etapas para criar um framework personalizado no Audit Manager.

Ao especificar um conjunto de controles na etapa 2 do fluxo de trabalho de criação do framework, inclua os novos controles padrão.

Para criar uma avaliação

Criar uma avaliação no aplicativo GRC.

Para alterar o status de uma avaliação para inativo

Siga as etapas para alterar o status de uma avaliação no Audit Manager.

Nesse caso, os fornecedores devem criar um novo framework personalizado que inclua os controles padrão mais recentes disponíveis e, em seguida, criar uma nova avaliação usando esse novo framework. Depois de criar a nova avaliação, você pode marcar sua avaliação antiga como inativa.

Procedimento

Para encontrar os controles padrão mais recentes para os quais você pode mapear

Siga as etapas para encontrar os controles padrão disponíveis no Audit Manager.

Para criar um framework personalizado e adicionar os controles padrão mais recentes

Siga as etapas para criar um framework personalizado no Audit Manager.

Ao especificar um conjunto de controles na etapa 2 do fluxo de trabalho de criação do framework, inclua os novos controles padrão.

Para criar uma avaliação

Criar uma avaliação no aplicativo GRC.

Para alterar o status de uma avaliação para inativo

Siga as etapas para alterar o status de uma avaliação no Audit Manager.

Etapa 5: criar uma avaliação

Quem conclui esta etapa

Aplicativo GRC, com informações do fornecedor

O que você precisa fazer

Como cliente, você não precisa criar uma avaliação diretamente no Audit Manager. Quando você inicia uma avaliação para determinados controles no aplicativo GRC, é ele que cria os recursos correspondentes para você no Audit Manager. Primeiro, o aplicativo GRC usa os mapeamentos que você criou para identificar os controles relevantes do Audit Manager. Em seguida, ele usa as informações de controle para criar um framework personalizado para você. Por fim, ele usa o framework personalizado recém-criado para gerar uma avaliação no Audit Manager.

A criação de uma avaliação no Audit Manager também requer um escopo. Esse escopo usa uma lista de Contas da AWS onde o cliente deseja realizar a avaliação e coletar evidências. Os clientes devem definir esse escopo diretamente no aplicativo GRC.

Como fornecedor, você precisa armazenar o assessmentId que está mapeado para a avaliação que foi iniciada no aplicativo GRC. Esse assessmentId é necessário para obter evidências do Audit Manager.

Para encontrar uma identificação de avaliação

  1. Use a ListAssessmentsoperação para visualizar suas avaliações no Audit Manager. Você pode usar o parâmetro status para exibir avaliações que estão ativas. 

    aws auditmanager list-assessments --status ACTIVE

  2. Na resposta, identifique a avaliação que deseja armazenar no aplicativo GRC e anote o assessmentId.

Etapa 6. Começar a coletar evidências

Quem conclui esta etapa

AWS Audit Manager, com informações do fornecedor

O que você precisa fazer

Depois de criar uma avaliação, demora até 24 horas para começar a coletar evidências. Neste momento, seus controles corporativos agora estão coletando ativamente evidências para sua avaliação do Audit Manager.

Recomendamos que você use o atributo localizador de evidências para consultar e encontrar evidências rapidamente no Audit Manager. Se usar o localizador de evidências como administrador delegado, poderá pesquisar evidências em todas as contas membros da sua organização. Ao usar uma combinação de filtros e agrupamentos, você pode restringir progressivamente o escopo da sua consulta de pesquisa. Por exemplo, se quiser uma visão de alto nível da integridade do sistema, faça uma pesquisa ampla e filtre por avaliação, intervalo de datas e conformidade de atributos. Se sua meta for remediar um atributo específico, você pode realizar uma pesquisa restrita para direcionar evidências de um controle ou ID de atributo específico. Depois de definir seus filtros, você pode agrupar e visualizar os resultados da correspondentes antes de criar um relatório de avaliação.

Para habilitar o localizador de evidências

Depois de habilitar o localizador de evidências, você pode escolher uma cadência para buscar evidências do Audit Manager para sua avaliação. Você também pode buscar evidências de um controle específico em uma avaliação e armazená-las no aplicativo GRC que está mapeado para o controle corporativo. Você pode usar as seguintes operações de API do Audit Manager para buscar evidências:

Preços

Não haverá nenhum custo adicional por essa configuração de integração, seja você um fornecedor ou um cliente. Os clientes são cobrados pelas evidências coletadas no Audit Manager. Para obter mais informações sobre precificação, consulte Precificação do AWS Audit Manager.

Recursos adicionais

Você pode aprender mais sobre os conceitos apresentados neste tutorial analisando os seguintes atributos:

  • Avaliações: aprenda sobre os conceitos e as tarefas de gerenciamento de uma avaliação.

  • Biblioteca de controle: aprenda sobre os conceitos e tarefas para gerenciar um controle personalizado.

  • Biblioteca de frameworks: conheça os conceitos e as tarefas para gerenciar um framework personalizado.

  • Localizador de evidências - Aprenda como exportar um arquivo CSV ou gerar um relatório de avaliação a partir dos resultados da consulta.

  • Centro de downloads - Aprenda como baixar relatórios de avaliação e exportações de CSV do Audit Manager.

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.