了解 AWS Audit Manager 的概念和术语 - Amazon Audit Manager
ACDEFRS

了解 AWS Audit Manager 的概念和术语

为了帮助您开始使用,此页面定义了 AWS Audit Manager 的术语并介绍了一些主要概念。

A

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

评测

您可以使用 Audit Manager 评测功能,自动收集与审计相关的证据。

此评测基于一个框架,该框架是一组与您的审计相关的控件。您可以通过标准框架或自定义框架创建评测。标准框架包含支持特定合规标准或法规的预先构建控件。相比之下,自定义框架包含控件,您可以根据具体的审计要求对这些控件进行自定义和分组。以框架为起点,您可以创建评测,指定要纳入审计范围内的 AWS 账户。

创建评测时,Audit Manager 会根据框架中定义的控件,自动开始评测您 AWS 账户中的资源。接下来,它会收集相关证据,并将其转换为便于审计师使用的格式。完成此操作后,它会将证据附加至您的评测控件。当需要进行审计时,您(或您选择的委托人)可以查看收集的证据,然后将其添加至评测报告。此评测报告可帮助您证明您的控件是否按预期运行。

证据收集是一个持续的过程,从您创建评测时开始。您可以通过将评测状态更改为非活动,以停止证据收集。或者,您可在控制层停止证据收集。为此,您可以将评测中特定控件的状态更改为非活动

有关如何创建和管理评测的说明,请参阅 在 AWS Audit Manager 中管理评测

评测报告

评测报告是通过 Audit Manager 评测生成的最终文档。这些报告汇总了为审计所收集的相关证据。它们链接至相关的证据文件夹。这些文件夹是根据评测中指定的控件命名和组织的。对于每项评测,您可以查看 Audit Manager 收集的证据,并决定要在评测报告中包含的证据。

要了解有关评测报告的更多信息,请参阅评测报告。若要了解如何生成评测报告,请参阅在 AWS Audit Manager 中准备评测报告

评测报告目标

评测报告目标是 Audit Manager 保存评测报告的默认 S3 桶。要了解更多信息,请参阅 配置默认评测报告目标

审核

审计是指对贵组织的资产、运营或业务诚信的独立审核。信息技术 (IT) 审计专门检查贵组织信息系统内部的控件。IT 审计旨在确定信息系统是否能保护资产、有效运行和维护数据完整性。所有这些对于满足合规标准或法律规定的监管要求很重要。

审计负责人

根据上下文,审计负责人一词有两种不同的含义。

在 Audit Manager 环境中,审计负责人是管理评测及其相关资源的用户或角色。Audit Manager 角色的职责包括创建评测、审核证据和生成评测报告。Audit Manager 是一项协作服务,当其他利益相关者参与评测,审计负责人将从中受益。例如,您可以将其他审计负责人添加至评测中以共享管理任务。或者,如果您是审计负责人,并且需要帮助解读为控件收集的证据,则可以将控件委托至在此领域有专长的利益相关者。这样的人被称为委托人角色。

从业务角度来看,审计负责人负责协调和监督其公司的审计准备工作,并向审计师提供证据。通常是指治理、风险和合规 (GRC) 专业人员,例如合规官或 GDPR 数据保护专员。GRC 专业人员拥有管理审计准备工作的专长和权力。更具体地说,他们了解合规性要求,可以分析、解释和编制报告数据。但是,其他业务角色也可以客串 Audit Manager 的审计负责人角色,不仅是负责此角色的 GRC 专业人员。例如,您可以选择由来自以下团队的技术专家设置和管理 Audit Manager 评测:

  • SecOps

  • IT/DevOps

  • 安全运营中心/事件响应

  • 拥有、开发、修复和部署云资产、并了解贵组织云基础架构的类似团队

您在 Audit Manager 评测中选择的指定审计负责人,在很大程度上取决于您的组织。这还取决于您的安全运营架构及审计的具体细节。在 Audit Manager 中,同一个人可以在一项评测中客串审计负责人角色,在另一项评测中客串委托人角色。

无论您选择如何使用 Audit Manager,您都可以使用审计负责人/委托人角色、并向每个用户授予特定的 IAM 策略,以管理整个组织的职责分工。通过这种两步方法,Audit Manager 可确保您完全控制个人评测的所有细节。有关更多信息,请参阅 AWS Audit Manager 中针对用户角色推荐的策略

AWS 托管式来源

AWS 托管式来源是 AWS 为您维护的证据来源。

每个 AWS 托管式来源都是与特定通用控件或核心控件对应的一组预定义的数据来源。当您使用通用控件作为证据来源时,您就会自动收集支持该通用控件的所有核心控件的证据。您也可以使用单个核心控件作为证据来源。

每当 AWS 托管式来源更新时,这些更新便会自动应用于使用该 AWS 托管式来源的所有自定义控件。这就表示您的自定义控件会根据该证据来源的最新定义收集证据。此举有助于您确保在云合规性环境发生变化时持续保持合规。

另请参阅:customer managed sourceevidence source

C

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

更改日志

对于评测中的每个控件,Audit Manager 都会跟踪该控件的用户活动。然后,您可以审核与特定控件相关活动的审计跟踪记录。有关变更日志中捕获的用户活动的更多信息,请参阅更改日志选项卡

云合规性

云合规性是一般性原则,即云交付的系统必须符合云客户所面临的标准。

通用控件

请参阅 control

合规法规

合规法规是由机构规定的法律、规则或者其他命令,通常用于规范行为。示例为 GDPR。

合规性标准

合规性标准是一套结构化的指导方针,详细说明了该组织遵守既定法规、规范或立法的流程。示例包括 PCI DSS 和 HIPAA。

控件

控件是为信息系统或组织规定的保障措施或对策。控件旨在保护您信息的机密性、完整性和可用性,并满足一系列既定要求。它们可以确保您的资源按预期运行,您的数据可靠,并且您的组织遵守适当的法律和法规。

在 Audit Manager 中,控件也可以提出供应商风险评测问卷。在这种情况下,控件一个特定的问题,它询问有关组织安全与合规状况的信息。

当您的 Audit Manager 评测中处于活动状态时,控件会持续收集证据。您还可以手动将证据添加到任何控件中。每份证据都是一份记录,方便您证明遵守了控件要求。

Audit Manager 提供以下类型的控件:

控件类型 描述

通用控件

您可以将通用控件视为一种有助于您实现控件目标的措施。由于通用控件并不特定于任何合规性标准,因此它们有助于您收集那些支持一系列重叠的合规性义务的证据。

例如,假设有一个名为 数据分类和处理的控件目标。为实现这一目标,您可以实施一种名为 访问控制的通用控件,来监控和检测未经授权访问您资源的行为。

  • 自动化通用控件为您收集证据。它们由一个或多个相关核心控件组成。反过来,这些核心控件中的每一个控件都会自动从一组预定义的 AWS 数据来源中收集相关证据。AWS 将为您管理这些底层数据来源,并在法规和标准发生变化以及发现新的数据来源时对其进行更新。

  • 手动通用控件要求您上传自己的证据。这是因为,它们通常需要提供实物记录,或有关在您 AWS 环境之外发生的事件的详细信息。因此,通常没有 AWS 数据来源可以提供支持手动通用控件要求的证据。

您无法编辑通用控件。但是,在创建自定义控件时,您可以使用任何通用控件作为证据来源。

核心控件

这是适用于您 AWS 环境的规范指引。您可以将核心控件视为一种有助于您满足通用控件要求的措施。

例如,假设您使用名为 访问控制的通用控件来监控未经授权访问您资源的行为。为了支持该通用控件,您可以使用名为 在 S3 存储桶中禁止公开读取访问的核心控件。

由于核心控件并不特定于任何合规性标准,因此它们可以收集那些支持一系列重叠的合规性义务的证据。每个核心控件使用一个或多个数据来源来收集有关特定 AWS 服务的证据。AWS 将为您管理这些底层数据来源,并在法规和标准发生变化以及发现新的数据来源时对其进行更新。

您无法编辑核心控件。但是,在创建自定义控件时,您可以使用任何核心控件作为证据来源。

标准控件

这是 Audit Manager 提供的预先构建控件。

您可以使用标准控件协助您为具体的合规性标准做好审计准备。每个标准控件都与 Audit Manager 中的特定标准framework相关,并收集可用于证明符合该框架的证据。标准控件从 AWS 管理的底层数据来源收集证据。每当法规和标准发生变化以及发现新的数据来源时,这些数据来源都会自动进行更新。

您无法编辑标准控件。但是,您可以创建任何标准控件的可编辑副本

自定义控件

这是您在 Audit Manager 中创建的控件,用于满足您的特定合规性要求。

您可以从头开始创建自定义控件,也可以创建现有标准控件的可编辑副本。创建自定义控件时,您可以定义特定的evidence source来确定 Audit Manager 从何处收集证据。创建新的自定义控件后,您可以编辑该控件或将其添加至自定义框架中。您也可以创建任何自定义控件的可编辑副本
控件域

您可以将控件域视为一类控件,这类控件并不特定于任何合规性标准。控件域的一个例子就是数据保护

出于简单的组织目的,控件通常按域分组。每个域都有多个目标。

控件域分组是 Audit Manager 控制面板最强大的功能之一。Audit Manager 会突出显示评测中存在不合规证据的控件,并按控件域对它们进行分组。这使您能够在准备审计时将补救工作重点放在特定主题域。

控件目标

控件目标描述了属于其下的通用控件的目标。每个目标可以有多个通用控件。如果这些通用控件成功实施,它们将有助于您实现目标。

每个控件目标都属于一个控件域。例如,数据保护控件域可能有一个名为 数据分类和处理的控件目标。为支持这一控件目标,您可以使用一种名为 访问控制的通用控件,来监控和检测未经授权访问您资源的行为。

核心控件

请参阅 control

自定义控件

请参阅 control

客户管理型来源

客户管理型来源是您定义的证据来源。

在 Audit Manager 中创建自定义控件时,可以使用此选项创建自己的单个数据来源。这使您可以灵活地从特定业务资源(例如自定义 AWS Config 规则)中收集自动证据。如果要向自定义控件中添加手动证据,也可以使用此选项。

当您使用客户管理型来源时,您负责维护自己创建的所有数据来源。

另请参阅:AWS managed sourceevidence source

D

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

数据来源

Audit Manager 使用数据来源为控件收集证据。数据来源具有以下属性:

  • 数据来源类型定义了 Audit Manager 从中收集证据的数据来源类型。

    • 对于自动证据,类型可以是 AWS Security HubAWS Config、AWS CloudTrailAWS API 调用

    • 如果您上传自己的证据,则类型为 手动

    • Audit Manager API 将数据来源类型称为 sourceType

  • 数据来源映射是一个关键字,用于指出从何处收集给定数据来源类型的证据。

    • 例如,这可能是 CloudTrail 事件名称或 AWS Config 规则名称。

    • Audit Manager API 将数据来源映射称为 sourceKeyword

  • 数据来源名称标记了一对数据来源类型和映射。

    • 对于标准控件,Audit Manager 提供了默认名称。

    • 对于自定义控件,您可以提供自己的名称。

    • Audit Manager API 将数据来源命名为sourceName

单个控件可包含多种数据来源类型和多个映射。例如,控件可能会从混合数据来源类型 (例如AWS Config和 Security Hub) 中收集证据。另一个控件可能通过多个AWS Config规则映射,将AWS Config作为其唯一的数据来源类型。

下表列出了自动数据来源类型,并显示了一些相应映射的示例。

数据来源类型 描述 映射示例
AWS Security Hub

使用此数据来源类型捕获资源安全状况的快照。

Audit Manager 使用 Security Hub 控件的名称作为映射关键字,并直接通过 Security Hub 报告该安全检查结果。

EC2.1
AWS Config

使用此数据来源类型捕获资源安全状况的快照。

Audit Manager 使用 AWS Config 规则的名称作为映射关键字,并直接通过 AWS Config 报告该安全检查结果。

SNS_ENCRYPTED_KMS
AWS CloudTrail

使用此数据来源类型,跟踪审计中所需的特定用户活动。

Audit Manager 使用 CloudTrail 事件的名称作为映射关键字,并从您的 CloudTrail 日志中收集相关用户活动。

CreateAccessKey
AWS API 调用

使用此数据来源类型,通过对特定AWS 服务的 API 调用来拍摄资源配置的快照。

Audit Manager 使用 API 调用名称作为映射关键字,并收集 API 响应。

kms_ListKeys
委托人

委托人是权限有限的 AWS Audit Manager 用户。委托人通常具有专业的业务或技术专长。例如,这些专长可能涉及数据留存政策、培训计划、网络基础设施或身份管理。委托人可以帮助审计负责人审核收集到的证据,以了解属于其专长的控件。委托人可以审核控件集及其相关证据、添加评论、上传其他证据,以及更新各个控件的状态(您分配给它们以供审核)。

审计负责人将特定的控件分配给委托人,而非整个评测。因此,委托人的评测访问权限有限。有关如何委托控件集的说明,请参阅AWS Audit Manager 中的委托

E

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

证据

证据是一种记录,其中包含遵守控件要求所需的信息。证据示例包括用户调用变更活动和系统配置快照。

Audit Manager 主要包含两类证据:自动证据手动证据

证据类型

描述

自动证据

这是 Audit Manager 自动收集的证据。包含以下三类自动证据:

  1. 合规性检查 - 合规性检查的结果是从AWS Security Hub、AWS Config或两者中捕获的。

    合规性检查的示例包括来自 Security Hub 的 PCI DSS 控件的安全检查结果,以及 HIPAA 控件的AWS Config规则评测。

    有关更多信息,请参阅AWS Audit Manager 支持的 AWS Config 规则AWS Audit Manager 支持的 AWS Security Hub 控件

  2. 用户活动 - 发生更改资源配置的用户活动时,会从 CloudTrail 日志中捕获该活动。

    用户活动的示例包括路由表更新、Amazon RDS 实例备份设置更改以及 S3 桶加密策略更改。

    有关更多信息,请参阅 AWS Audit Manager 支持的 AWS CloudTrail 事件名称

  3. 配置数据 - 每天、每周或每月直接从AWS 服务中捕获资源配置的快照。

    配置快照的示例包括 VPC 路由表的路由列表、Amazon RDS 实例备份设置以及 S3 桶加密策略。

    有关更多信息,请参阅 AWS Audit Manager 支持的 AWS API 调用
手动证据

这是您自己添加至 Audit Manager 的证据。您可通过三种方式添加自己的证据:

  1. 从 Amazon S3 导入文件

  2. 从浏览器上传文件

  3. 输入风险评测问题的文字回答

有关更多信息,请参阅 在AWS Audit Manager中添加手动证据

自动收集证据从您创建评测开始。这是一个持续的进程,Audit Manager 根据证据类型和基础数据来源,以不同的频率收集证据。有关更多信息,请参阅 了解 AWS Audit Manager 如何收集证据

有关如何审核评测证据的说明,请参阅在 AWS Audit Manager 中审核证据

证据来源

证据来源定义控件从何处收集证据。它可以是单个数据来源,也可以是与通用控件或核心控件对应的一组预定义的数据来源。

创建自定义控件时,您可以从 AWS 托管式来源和/或客户管理型来源中收集证据。

提示

建议使用 AWS 托管式来源。每当 AWS 托管式来源更新时,这些更新便会自动应用于使用这些来源的所有自定义控件。这就表示您的自定义控件会始终根据该证据来源的最新定义收集证据。此举有助于您确保在云合规性环境发生变化时持续保持合规。

另请参阅:AWS managed sourcecustomer managed source

证据收集方法

控件可以通过两种方式收集证据。

证据收集方法

描述

自动

自动控件自动从 AWS 数据来源收集证据。这种自动证据可以帮助您证明完全或部分遵守了控件要求。
手动

手动控件要求您上传自己的证据,以证明遵守了控件要求。
注意

您可以将手动证据附加至任何自动控件中。在许多情况下,需要将自动和手动证据相结合,以证明完全遵守控件。尽管 Audit Manager 可以提供有用且关联的自动证据,但有些自动证据可能只能证明部分合规。在这种情况下,您可以用自己的证据补充 Audit Manager 提供的自动证据。

例如:

  • AWS 生成式人工智能最佳实践框架 v2包含一个名为 Error analysis 的控件。此控件要求您识别何时在模型使用中检测到不准确之处。它还要求您进行彻底的错误分析,以了解根本原因并采取纠正措施。

  • 为支持这种控制,Audit Manager 会自动收集证据,显示您的评测运行的AWS 账户地点是否启用了 CloudWatch 警报。您可以使用这些证据证明您的警报和检查配置正确,从而证明部分遵守了控件。

  • 为了证明完全合规,您可以用手动证据补充自动证据。例如,您可以上传显示错误分析流程、上报和报告的阈值、以及根本原因分析结果的策略或程序。您可以使用此手动证据证明既定政策已经到位,并且在出现提示时已采取纠正措施。

有关更详细的示例,请参阅具有混合数据来源的控件

导出目的地

导出目标为默认 S3 桶,Audit Manager 会保存您从证据查找器中导出的文件。有关更多信息,请参阅 为证据查找器配置默认导出目标

F

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

框架

Audit Manager 框架用于组织和自动执行特定标准或风险治理原则的评测。这些框架包括一系列预先构建或客户定义的控件,有助于您将 AWS 资源与这些控件的要求对应起来。

Audit Manager 中有两种类型的框架。

框架类型

描述

标准框架

这种预先构建的框架基于 AWS 针对各种合规性标准和法规的最佳实践。

您可以使用标准框架,来协助您为特定的合规性标准或法规(例如 PCI DSS 或 HIPAA)做好审计准备。
自定义框架

这是您以 Audit Manager 用户的身份定义的一种自定义框架。

您可以使用这些自定义框架,来协助您根据具体的 GRC 要求做好审计准备。

有关如何创建和管理框架的说明,请参阅在 AWS Audit Manager 中使用框架库管理框架

注意

AWS Audit Manager 协助收集与核实特定合规性标准和法规遵守情况相关的证据。但是,它本身并不能评测您的合规情况。因此,通过 AWS Audit Manager 收集的证据可能不包括审计所需的、有关您的 AWS 使用情况的所有信息。AWS Audit Manager不能代替法律顾问或合规专家。

框架共享

您可以使用在 AWS Audit Manager 中共享自定义框架特征,在各个 AWS 账户和区域之间快速共享您的自定义框架。若要共享自定义框架,请创建共享请求。然后,接收者有 120 天的时间接受或拒绝此请求。当他们接受时,Audit Manager 会将共享自定义框架复制到其框架库中。除了复制自定义框架外,Audit Manager 还会复制该框架中包含的、所有自定义控件。这些自定义控件已添加至收件人的控件库。Audit Manager 不复制标准框架或控件。这是因为默认情况下,这些资源已可用于每账户和区域。

R

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

资源

资源是在审计过程中评测的有形资产或信息资产。AWS 资源示例包括 Amazon EC2 实例、Amazon RDS 实例、Amazon RDS 实例、Amazon S3 桶、Amazon VPC 子集。

资源评测

资源评测是评测单个资源的进程。该评测基于控件要求。当评测处于活动状态时,Audit Manager 会对评测范围内的每个资源进行资源评测。资源评测运行以下一系列任务:

  1. 收集证据,包括资源配置、事件日志和调查结果

  2. 转换证据并将其映射至控件

  3. 存储和追踪证据谱系以实现完整性

资源合规性

资源合规性是指在收集合规性检查证据时评测的资源评测状态。

Audit Manager 会为使用 AWS Config 并以 Security Hub 为数据来源类型的控件收集合规性检查证据。在这个收集证据期间,可能需要评测多种资源。因此,一份合规性检查证据可包含一个或多个资源。

您可以使用证据查找器中的资源合规性筛选条件来浏览资源级别的合规状态。搜索完成后,您可以预览与您的搜索查询匹配的资源。

在证据查找器中,资源合规性包含三个可能得值:

描述

不合规

这是指存在合规性检查问题的资源。

如果 Security Hub 报告了资源的失败结果,或者AWS Config报告了不合规结果,就会发生这种情况。
合规

这是指没有合规性检查问题的资源。

如果 Security Hub 报告了资源的 通过 结果,或者AWS Config报告了合规结果,就会发生这种情况。
尚无定论

这是指无法进行合规性检查或不适用的资源。

如果 AWS Config 或 Security Hub 是基础数据来源类型,但这些服务未启用,则会发生这种情况。

如果基础数据来源类型不支持合规性检查(例如手动证据、AWS API 调用或 CloudTrail),也会发生这种情况。

S

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

范围内的服务

由 Audit Manager 管理哪些 AWS 服务属于您的评测范围。如果您之前有过评测,则您过去可能手动指定了范围内的服务。2024 年 6 月 4 日之后,您无法再手动指定或编辑范围内的服务。

范围内的服务是指您的评测要收集其相关证据的 AWS 服务。当您将某项服务纳入评测范围后,Audit Manager 会评测此服务的资源。一些资源示例包括下面这些:

  • 一个 Amazon EC2 实例

  • 一个 S3 存储桶

  • IAM 用户或角色

  • 一个 DynamoDB 表

  • 网络组件,如 Amazon 虚拟私有云(VPC)、安全组,或网络访问控制列表 (ACL)

例如,如果 Amazon S3 属于范围内的服务,则 Audit Manager 可收集有关您 S3 存储桶的证据。收集的确切证据由控件的data source决定。例如,如果数据来源类型为AWS Config,而数据来源映射是AWS Config规则(例如s3-bucket-public-write-prohibited),则 Audit Manager 会收集此规则评测的结果作为证据。

注意

切记,范围内的服务不同于数据来源类型,后者也可以是AWS 服务或其他类型。有关更多信息,请参阅本指南疑难解答部分的范围内的服务和数据来源类型有什么区别?

标准控件

请参阅 control