本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
评测报告问题排查
您可以使用此页面上的信息来解决 Audit Manager 中常见的评测报告问题。
主题
我的评测报告生成失败
您的评测报告可能由于多种原因而无法生成。您可以开始通过检查最常见的原因进行问题排查。从以下核对清单入手:
-
检查您的任何 AWS 区域 信息是否不匹配:
-
您的客户托管密钥是否与您的 AWS 区域 评估相符? AWS 区域
如果您为 Audi KMS t Manager 数据加密提供了自己的密钥,则该密钥必须与您的评估 AWS 区域 相同。要解决此问题,请将KMS密钥更改为与您的评估位于同一区域的密钥。有关如何更改KMS密钥的说明,请参阅配置您的数据加密设置。
-
您的客户托管密钥与您的 S3 存储桶 AWS 区域 的密钥是否匹配? AWS 区域
如果您为 Audit Manager 数据加密提供了自己的KMS密钥,则该密钥必须与您 AWS 区域 用作评估报告目标的 S3 存储桶相同。要解决此问题,您可以更改KMS密钥或 S3 存储桶,使它们与您的评估位于同一个区域。有关如何更改KMS密钥的说明,请参阅配置您的数据加密设置。有关如何更改 S3 存储桶的说明,请参阅配置您的默认评估报告目的地。
-
-
检查您用作评测报告目的地的 S3 桶的权限:
-
生成评估报告的IAM实体是否拥有 S3 存储桶的必要权限?
该IAM实体必须具有所需的 S3 存储桶权限才能在该存储桶中发布报告。我们提供了一个策略示例以供您使用。
-
S3 存储桶是否有要求使用 SSE-KMS 进行服务器端加密 (SSE) 的存储桶策略?
如果是,则该存储桶策略中使用的KMS密钥必须与您的 Audit Manager 数据加密设置中指定的密KMS钥相匹配。如果您未在 Audit Manager 设置中配置KMS密钥,而且 S3 存储桶策略需要SSE,请确保存储桶策略允许 SSE-S3。有关如何更改KMS密钥的说明,请参阅配置您的数据加密设置。有关如何更改 S3 存储桶的说明,请参阅配置您的默认评估报告目的地。
-
如果您仍然无法成功生成评测报告,请查看此页面上的以下问题。
我按照上述核对清单操作,但我的评测报告仍然无法生成
Audit Manager 限制了您可以向评测报告中添加的证据数量。该限制取决于您的评估 AWS 区域 情况、用作评估报告目标的 S3 存储桶的区域,以及您的评估是否使用客户托管 AWS KMS key。
-
同区域报告的上限为 22,000 (S3 桶和评测处于同一 AWS 区域)
-
跨区域报告的上限为 3,500 (S3 桶和评测处于不同 AWS 区域)
-
如果评估使用客户托管KMS密钥,则限制为 3,500
如果您尝试生成包含更多证据的报告,该操作可能会失败。
作为一种变通方法,您可以生成多份评测报告,而不是生成一份较大的评测报告。通过这样做,您可以将评测中的证据导出为大小更易于管理的批次。
当我尝试生成报告时,出现拒绝访问的错误消息
如果您的评估是由您的 Audit Manager 设置中指定的KMS密钥不属于的委派管理员帐户创建的,则会收到access denied
错误消息。为避免此错误,在为 Audit Manager 指定委派管理员时,请确保委派的管理员帐户有权访问您在设置 Audit Manager 时提供的KMS密钥。
如果您对用作评测报告目的地的 S3 桶没有写入权限,也可能会收到 access denied
错误消息。
如果您遇到 access denied
错误,确保您满足以下要求:
-
您在 Audit Manager 设置中的KMS密钥向被授权的管理员授予权限。您可以按照AWS Key Management Service 开发者指南中允许其他账户中的用户使用KMS密钥中的说明进行配置。有关如何在 Audit Manager 中查看和更改加密设置的说明,请参阅配置您的数据加密设置。
-
您的权限策略授予您对用作评测报告目的地的 S3 桶的写入权限。更具体地说,您的权限策略包含
s3:PutObject
操作、指定 S3 存储桶的操作以及用于加密评估报告的密KMS钥。ARN有关您可以使用的策略示例,请参阅示例 2(评测报告目标权限)。
注意
如果您更改了 Audit Manager 数据加密设置,则这些更改将应用于您今后创建的新评测。这包括您根据新评测创建的任何评测报告。
这些更改不适用于您在更改加密设置之前已创建的评测。除现有评测报告外,这还包括您根据现有评测创建的新评测报告。现有的评估及其所有评估报告继续使用旧密钥。KMS如果生成评估报告的IAM身份没有使用旧KMS密钥的权限,则可以在密钥策略级别授予权限。
我无法解压评测报告
如果您无法在 Windows 上解压评测报告,很可能因为其文件路径有多个嵌套的文件夹或长名称导致 Windows 资源管理器无法解压该报告。这是因为,在 Windows 文件命名系统下,文件夹路径、文件名和文件扩展名不能超过 259 个字符。否则,这会导致 Destination Path Too Long
错误。
要解决此问题,请尝试将 zip 文件移动到其当前位置的父文件夹。然后,您可以再次尝试在其中进行提取。或者,您也可以尝试缩短 zip 文件的名称或将其提取到文件路径较短的其他位置。
我在报告中选择证据名称不会将我重定向到证据详情
如果您在浏览器中与评估报告进行交互,或者使用操作系统上安装的默认PDF阅读器,则可能会出现此问题。某些浏览器和系统默认PDF读取器不允许打开相对链接。这意味着,尽管超链接可能在评估报告摘要中起作用PDF(例如目录中的超链接控件名称),但是当您尝试从评估摘要PDF导航到单独的证据详细信息时,超链接将被忽略。PDF
如果您遇到此问题,我们建议您使用专门的PDF读者与评估报告进行互动。为了确保体验的可靠性,我们建议您安装和使用 Adobe Acrobat Reader,您可以在 Adobe 网站
我的评测报告生成一直处于进行中状态,我不确定这会对我的账单产生什么影响
评测报告的生成对计费没有影响。我们仅根据您评测收集的证据向您收费。有关定价的更多信息,请参阅 AWS Audit Manager
定价
其他 资源
以下页面包含有关通过证据查找器生成评测报告的问题排查指南: