评测报告问题排查 - AWS Audit Manager
我的评测报告生成失败我按照上述核对清单操作,但我的评测报告仍然无法生成当我尝试生成报告时,出现拒绝访问的错误消息我无法解压评测报告我在报告中选择证据名称不会将我重定向到证据详情我的评测报告生成一直处于进行中状态,我不确定这会对我的账单产生什么影响其他 资源

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

评测报告问题排查

您可以使用此页面上的信息来解决 Audit Manager 中常见的评测报告问题。

我的评测报告生成失败

您的评测报告可能由于多种原因而无法生成。您可以开始通过检查最常见的原因进行问题排查。从以下核对清单入手:

  1. 检查您的任何 AWS 区域 信息是否不匹配:

    1. 您的客户托管密钥是否与您的 AWS 区域 评估相符? AWS 区域

      如果您为 Audi KMS t Manager 数据加密提供了自己的密钥,则该密钥必须与您的评估 AWS 区域 相同。要解决此问题,请将KMS密钥更改为与您的评估位于同一区域的密钥。有关如何更改KMS密钥的说明,请参阅配置您的数据加密设置

    2. 您的客户托管密钥与您的 S3 存储桶 AWS 区域 的密钥是否匹配? AWS 区域

      如果您为 Audit Manager 数据加密提供了自己的KMS密钥,则该密钥必须与您 AWS 区域 用作评估报告目标的 S3 存储桶相同。要解决此问题,您可以更改KMS密钥或 S3 存储桶,使它们与您的评估位于同一个区域。有关如何更改KMS密钥的说明,请参阅配置您的数据加密设置。有关如何更改 S3 存储桶的说明,请参阅配置您的默认评估报告目的地

  2. 检查您用作评测报告目的地的 S3 桶的权限:

    1. 生成评估报告的IAM实体是否拥有 S3 存储桶的必要权限?

      该IAM实体必须具有所需的 S3 存储桶权限才能在该存储桶中发布报告。我们提供了一个策略示例以供您使用。

    2. S3 存储桶是否有要求使用 SSE-KMS 进行服务器端加密 (SSE) 的存储桶策略?

      如果是,则该存储桶策略中使用的KMS密钥必须与您的 Audit Manager 数据加密设置中指定的密KMS钥相匹配。如果您未在 Audit Manager 设置中配置KMS密钥,而且 S3 存储桶策略需要SSE,请确保存储桶策略允许 SSE-S3。有关如何更改KMS密钥的说明,请参阅配置您的数据加密设置。有关如何更改 S3 存储桶的说明,请参阅配置您的默认评估报告目的地

如果您仍然无法成功生成评测报告,请查看此页面上的以下问题。

我按照上述核对清单操作,但我的评测报告仍然无法生成

Audit Manager 限制了您可以向评测报告中添加的证据数量。该限制取决于您的评估 AWS 区域 情况、用作评估报告目标的 S3 存储桶的区域,以及您的评估是否使用客户托管 AWS KMS key。

  1. 同区域报告的上限为 22,000 (S3 桶和评测处于同一 AWS 区域)

  2. 跨区域报告的上限为 3,500 (S3 桶和评测处于不同 AWS 区域)

  3. 如果评估使用客户托管KMS密钥,则限制为 3,500

如果您尝试生成包含更多证据的报告,该操作可能会失败。

作为一种变通方法,您可以生成多份评测报告,而不是生成一份较大的评测报告。通过这样做,您可以将评测中的证据导出为大小更易于管理的批次。

当我尝试生成报告时,出现拒绝访问的错误消息

如果您的评估是由您的 Audit Manager 设置中指定的KMS密钥不属于的委派管理员帐户创建的,则会收到access denied错误消息。为避免此错误,在为 Audit Manager 指定委派管理员时,请确保委派的管理员帐户有权访问您在设置 Audit Manager 时提供的KMS密钥。

如果您对用作评测报告目的地的 S3 桶没有写入权限,也可能会收到 access denied 错误消息。

如果您遇到 access denied 错误,确保您满足以下要求:

  • 您在 Audit Manager 设置中的KMS密钥向被授权的管理员授予权限。您可以按照AWS Key Management Service 开发者指南中允许其他账户中的用户使用KMS密钥中的说明进行配置。有关如何在 Audit Manager 中查看和更改加密设置的说明,请参阅配置您的数据加密设置

  • 您的权限策略授予您对用作评测报告目的地的 S3 桶的写入权限。更具体地说,您的权限策略包含s3:PutObject操作、指定 S3 存储桶的操作以及用于加密评估报告的密KMS钥。ARN有关您可以使用的策略示例,请参阅示例 2(评测报告目标权限)

注意

如果您更改了 Audit Manager 数据加密设置,则这些更改将应用于您今后创建的新评测。这包括您根据新评测创建的任何评测报告。

这些更改不适用于您在更改加密设置之前已创建的评测。除现有评测报告外,这还包括您根据现有评测创建的新评测报告。现有的评估及其所有评估报告继续使用旧密钥。KMS如果生成评估报告的IAM身份没有使用旧KMS密钥的权限,则可以在密钥策略级别授予权限。

我无法解压评测报告

如果您无法在 Windows 上解压评测报告,很可能因为其文件路径有多个嵌套的文件夹或长名称导致 Windows 资源管理器无法解压该报告。这是因为,在 Windows 文件命名系统下,文件夹路径、文件名和文件扩展名不能超过 259 个字符。否则,这会导致 Destination Path Too Long 错误。

要解决此问题,请尝试将 zip 文件移动到其当前位置的父文件夹。然后,您可以再次尝试在其中进行提取。或者,您也可以尝试缩短 zip 文件的名称或将其提取到文件路径较短的其他位置。

如果您在浏览器中与评估报告进行交互,或者使用操作系统上安装的默认PDF阅读器,则可能会出现此问题。某些浏览器和系统默认PDF读取器不允许打开相对链接。这意味着,尽管超链接可能在评估报告摘要中起作用PDF(例如目录中的超链接控件名称),但是当您尝试从评估摘要PDF导航到单独的证据详细信息时,超链接将被忽略。PDF

如果您遇到此问题,我们建议您使用专门的PDF读者与评估报告进行互动。为了确保体验的可靠性,我们建议您安装和使用 Adobe Acrobat Reader,您可以在 Adobe 网站上下载该阅读器。还有其他PDF阅读器可供选择,但事实证明,Adobe Acrobat Reader 可以始终如一地可靠地处理 Audit Manager 评估报告。

我的评测报告生成一直处于进行中状态,我不确定这会对我的账单产生什么影响

评测报告的生成对计费没有影响。我们仅根据您评测收集的证据向您收费。有关定价的更多信息,请参阅 AWS Audit Manager 定价

其他 资源

以下页面包含有关通过证据查找器生成评测报告的问题排查指南: