AWS 支持的 API 调用 AWS Audit Manager - AWS Audit Manager

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS 支持的 API 调用 AWS Audit Manager

您可以使用 Audit Manager 捕获 AWS 环境的快照作为审计的证据。创建或编辑自定义控件时,可以将一个或多个 AWS API 调用指定为用于证据收集的数据源映射。然后,Audit Manager 会对相关 AWS 服务资源进行 API 调用,并收集 AWS 资源配置详细信息的快照。

对于 API 调用范围内的每项资源,Audit Manager 都会捕获配置快照并将其转换为证据。这会导致每个资源只有一份证据,而不是每个 API 调用有一份证据。

例如,如果 ec2_DescribeRouteTables API 调用从五个路由表中捕获配置快照,那么对于单个 API 调用,您总共将获得五份证据。每份证据都是单个路由表的配置的快照。

关键点

分页的 API 调用

许多人 AWS 服务 收集和存储大量数据。因此,当listdescribeget API 调用尝试返回您的数据时,可能会产生很多结果。如果数据量太大而无法在单个响应中返回,则可以通过使用分页将结果分成更易于管理的部分。这会将结果分为“多页”的数据,从而使响应更易于处理。

其中一些支持自定义控件数据来源的 API 调用是分页的。这意味着它们首先返回部分结果,并要求后续请求返回整个结果集。例如,Amazon RDS DescribeDBInstances 操作一次最多返回 100 个实例,并且需要后续请求才能返回下一页的结果。

自 2023 年 3 月 8 日起,Audit Manager 支持将分页的 API 调用作为证据收集的数据来源。以前,如果将分页的 API 调用用作数据来源,则 API 响应中只会返回您的一部分资源(最多 100 个结果)。现在,Audit Manager 多次调用分页的 API 操作,并获取每页结果,直到返回所有资源。然后,对于每项资源,Audit Manager 都会捕获配置快照并将其保存为证据。由于您的完整资源集现已在 API 响应中捕获,因此您很可能会注意到 2023 年 3 月 8 日之后收集的证据数量有所增加。

Audit Manager 会自动为您处理 API 调用分页。如果您创建使用分页的 API 调用作为数据来源的自定义控件,则无需指定任何分页参数。

支持自定义控件数据来源的 API 调用

在您的自定义控件中,您可以使用以下 API 调用中的任何一个作为数据来源。然后,Audit Manager 可以使用这些 API 调用来收集有关您的 AWS 使用情况的证据。

支持的 API 调用 Audit Manager 如何使用此 API 收集证据
acm_ GetAccountConfiguration 收集与您的 AWS 账户账户关联的账户配置选项快照。
acm_ ListCertificates 检索证书 ARN 和域名列表。
自动缩放_ DescribeAutoScalingGroups 收集有关您的 Auto Scaling 群组的快照 AWS 账户。
备份_ ListBackupPlans 检索您的所有有效备份计划的列表 AWS 账户。
基岩_ GetModelInvocationLoggingConfiguration 收集当前配置值的快照,以便记录中模型的模型调用日志。 AWS 账户
云前_ ListDistributions

检索您的所有发行版的列表 AWS 账户。

cloudtrail_ DescribeTrails

收集与您的 AWS 账户当前区域关联的一个或多个跟踪记录的设置快照。
cloudtrail_ ListTrails 检索您的路径列表 AWS 账户。

云监视_ DescribeAlarms

收集用于 AWS 账户的警报配置快照。
config_ DescribeConfigRules 检索有关您的 AWS Config 规则的详细信息。
config_ DescribeDeliveryChannels 收集 AWS 账户中传递通道的配置快照。
直接连接_ DescribeDirectConnectGateways 检索所有 AWS Direct Connect 网关的列表。
直接连接_ DescribeVirtualGateways 检索 AWS 账户拥有的虚拟专用网关列表。
docdb_ DescribeCertificates 收集 AWS 账户的证书列表。
docdb_describedB ClusterParameterGroups 收集 AWS 账户的 DBCLusterParameterGroup 描述列表。
docdb_DescribeDBInstances 收集有关为 AWS 账户预置的 Amazon DynamoDB 实例的信息。

云监视_ DescribeAlarms

收集有关您的警报的信息 AWS 账户。

cloudtrail_ DescribeTrails

收集与您的关联的一条或多条路径的设置快照 AWS 账户。

dynamodb_ DescribeTable

收集 AWS 账户中 DynamoDB 表的配置快照。

当您将此 API 用作数据来源时,无需提供特定 DynamoDB 表格的名称。相反,Audit Manager 使用 ListTables 操作来列出您的所有表格。然后,对于列出的每个表格,Audit Manager 都会执行 DescribeTable 操作以生成该资源的证据。

dynamodb_ ListBackups 检索与您的 AWS 账户关联的 DynamoDB 备份列表。

dynamodb_ ListTables

检索与您的 AWS 账户 和当前端点关联的所有表名称列表。
ec2_ DescribeAddresses 收集弹性 IP 地址快照。
ec2_ DescribeCustomerGateways 收集 VPN 客户网关快照。
ec2_ DescribeEgressOnlyInternetGateways 收集仅限出口的互联网网关快照。

ec2_ DescribeFlowLogs

收集流日志快照。

ec2_ DescribeInstances

收集实例的快照。
ec2_ DescribeInternetGateways 收集互联网网关快照。
ec2_ DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations 收集您的虚拟接口组与本地网关路由表之间关联的描述 AWS 账户。
ec2_ DescribeLocalGateways 收集本地网关快照。
ec2_ DescribeLocalGatewayVirtualInterfaces 收集本地网关虚拟接口的快照。
ec2_ DescribeNatGateways 收集 NAT 网关快照。

ec2_ DescribeNetworkAcls

收集网络 ACL 快照。

ec2_ DescribeRouteTables

收集路由表快照。

ec2_ DescribeSecurityGroups

收集安全组快照。
ec2_ DescribeSecurityGroupRules 收集您的一个或多个安全组规则的快照。
ec2_ DescribeTransitGateways 收集中转网关快照。

ec2_ DescribeVolumes

收集 VPC 端节的快照。

ec2_ DescribeVpcs

收集 VPC 的快照。

ec2_ DescribeVpcEndpoints

收集 VPC 端节的快照。
ec2_ DescribeVpcEndpointConnections 收集与您的 VPC 终端节点服务的 VPC 终端节点连接的快照,包括等待您接受的所有终端节点。
ec2_ DescribeVpcEndpointServiceConfigurations 收集您的 VPC 终端节点服务配置的快照 AWS 账户。
ec2_ DescribeVpcPeeringConnections 收集 VPN 连接的快照。
ec2_ DescribeVpnConnections 收集 VPN 连接的快照。
ec2_ DescribeVpnGateways 收集虚拟专用网关的快照。
ec2_ GetEbsDefaultKmsKeyId 为您在当前区域收集默认 AWS KMS key 的 EBS AWS 账户 加密快照。
ec2_ GetEbsEncryptionByDefault 描述当前区域中的 AWS 账户 是否默认启用了 EBS 加密。
ecs_ DescribeClusters 收集 ECS 集群的快照。
eks_ DescribeAddonVersions 收集附加组件版本的快照。
elasticache_ DescribeCacheClusters 收集预置集群的快照。
elasticache_ DescribeServiceUpdates 收集 Amazon 服务更新的快照 ElastiCache。
弹性文件系统_ DescribeAccessPoints 收集您的 Amazon EFS 接入点的快照 AWS 账户。

弹性文件系统_ DescribeFileSystems

收集 Amazon EFS 文件系统的快照。
弹性负载均衡 v2_ DescribeLoadBalancers

收集您的 AWS 账户负载均衡器的快照。

elasticloadbalancingv2_DescribeSSLPolicies 收集用于 SSL 协商的策略快照。
弹性负载均衡 v2_ DescribeTargetGroups 收集 ELB 目标组的快照。
elasticmapreduce_ ListSecurityConfigurations 检索对 AWS 账户可见的安全配置列表,以及创建日期和时间及其名称。
活动_ ListConnections 检索您的 Amazon EventBridge 连接列表 AWS 账户。
活动_ ListEventBuses 检索您的中的 Amazon EventBridge 事件总线列表 AWS 账户,包括默认事件总线、自定义事件总线和合作伙伴事件总线。
活动_ ListEventSources 检索已与 AWS 账户共享的合作伙伴事件源的列表。
活动_ ListRules 检索您的 Amazon EventBridge 规则列表。
消防水带_ ListDeliveryStreams 检索传输流的列表。
fsx_ DescribeFileSystems 收集 AWS 账户拥有的文件系统快照。
guardduty_ ListDetectors

检索您的 Amazon GuardDuty 探测器资源的列表。detectorIds

我是 _ GenerateCredentialReport

为您的 AWS 账户生成凭证报告。

我是 _ GetAccountPasswordPolicy

收集 AWS 账户的密码策略快照。

我是 _ GetAccountSummary

收集 AWS 账户中 IAM 实体使用情况和 IAM 配额的快照。

我是 _ ListGroups

检索与您的可用路径前缀关联的 IAM 群组列表 AWS 账户。
我是 _ 身份证 ListOpen ConnectProviders 检索 AWS 账户中定义的 IAM OpenID Connect(OIDC)提供商资源对象列表。

我是 _ ListPolicies

检索 AWS 账户中可用的所有托管策略列表,包括您自己的客户定义的托管策略和所有 AWS 托管策略。

我是 _ ListRoles

检索与您的可用路径前缀关联的 IAM 角色列表 AWS 账户。
iam_ListSAMLProviders 检索 AWS 账户的 IAM 中定义的 SAML 提供商资源对象列表。

我是 _ ListUsers

检索您的中的 IAM 用户列表 AWS 账户。
iam_ mfa ListVirtual Devices 检索 AWS 账户中定义的虚拟 MFA 设备列表。
kafka_ ListClusters 检索您的 AWS 账户中的 Amazon MSK 集群列表。
kafka_ ListKafkaVersions 检索 AWS 账户中 Apache Kafka 版本对象列表。
运动学_ ListStreams 检索 Kinesis 数据流列表。

kms_ GetKeyPolicy

Audit Manager 使用此 API 收集 AWS 账户中 AWS KMS keys 密钥策略的快照。

当您将此 API 用作数据源时,无需提供特定的 API 的名称 AWS KMS key。相反,Audit Manager 使用 ListKeys 操作来列出您的所有 KMS 密钥。然后,对于列出的每个 KMS 密钥,Audit Manager 都会执行 GetKeyPolicy 操作以生成该资源的证据。

kms_ GetKeyRotationStatus

Audit Manager 使用此 API 来收集您的 AWS KMS keys 中是否启用了自动轮换的快照 AWS 账户。

当您将此 API 用作数据源时,无需提供特定的 API 的名称 AWS KMS key。相反,Audit Manager 使用 ListKeys 操作来列出您的所有 KMS 密钥。然后,对于列出的每个 KMS 密钥,Audit Manager 都会执行 GetKeyRotationStatus 操作以生成该资源的证据。

kms_ ListKeys 检索您的列表 AWS 账户. AWS KMS keys
lambda_ ListFunctions 检索您的中的 Lambda 函数列表 AWS 账户,以及每个函数的版本特定配置。
rds_DescribeDBClusters 收集您的 AWS 账户现有 Amazon Aurora 数据库集群和多可用区数据库集群的快照。

rds_DescribeDBInstances

收集 AWS 账户中预置的 RDS 实例的快照。
rds_ DescribeDbInstanceAutomatedBackups 收集您的中当前实例和已删除实例的备份快照 AWS 账户。
rds_ DescribeDbSecurityGroups 收集您SecurityGroups 中数据库的快照 AWS 账户。

redshift_ DescribeClusters

收集 AWS 账户中预置的 Amazon Redshift 集群的快照。

s3_ GetBucketEncryption

收集显示 S3 存储桶默认加密配置的快照。

当您将此 API 用作数据来源时,无需提供特定 S3 存储桶的名称。相反,Audit Manager 使用 ListBuckets 操作来列出您的所有存储桶。然后,对于列出的每个存储桶,Audit Manager 都会执行 GetBucketEncryption 操作以生成该资源的证据。

Audit Manager 只能为与您的评估 AWS 区域 相同创建的存储桶提供加密状态。如果您需要查看多个 S3 存储桶中的所有 S3 存储桶的加密状态 AWS 区域,我们建议您在每个拥有 S3 存储桶 AWS 区域 的地方创建评估。

s3_ ListBuckets

检索您的 AWS 账户中的 S3 存储桶列表。
sagemaker_ ListAlgorithms 检索您的机器学习算法列表 AWS 账户。
sagemaker_ ListDomains 检索您的域名列表 AWS 账户。
sagemaker_ ListEndpoints 检索您的终端节点列表 AWS 账户。
sagemaker_ ListEndpointConfigs 检索您的终端节点配置列表 AWS 账户。
sagemaker_ ListFlowDefinitions 检索您的中的流程定义列表 AWS 账户。
sagemaker_ ListHumanTaskUis 检索您的中的人工任务界面列表 AWS 账户。
sagemaker_ ListLabelingJobs 检索您的中的标签作业列表 AWS 账户。
sagemaker_ ListModels 检索您的模型列表 AWS 账户。
sagemaker_ ListModelBiasJobDefinitions 在您的中检索模型偏差作业定义列表 AWS 账户。
sagemaker_ ListModelCards 检索您的模型卡片列表 AWS 账户。
sagemaker_ ListModelQualityJobDefinitions 检索您的模型质量监控任务定义列表 AWS 账户。
sagemaker_ ListMonitoringAlerts 检索给定监控计划的警报列表。
sagemaker_ ListMonitoringSchedules 检索您的中所有监控计划的列表 AWS 账户。
sagemaker_ ListTrainingJobs 检索您的中的训练作业列表 AWS 账户。
sagemaker_ ListUserProfiles 检索您的用户个人资料列表 AWS 账户。
秘密管理器_ ListSecrets 检索存储在您的中的密钥列表 AWS 账户,不包括标记为删除的密钥。
sns_ ListTopics 检索您 AWS 账户的 SNS 主题列表。
sqs_ ListQueues 检索您 AWS 账户的 SQS 队列列表。
waf-regional_ ListWebAcls 检索您的 WebaclSummary 对象列表。 AWS 账户
waf-regional_ ListRules 检索您的RuleSummary对象列表 AWS 账户。
waf_ ListRuleGroups 检索您的规则组的RuleGroupSummary对象列表 AWS 账户。
waf_ ListRules 检索您的RuleSummary对象列表 AWS 账户。
waf_ ListWebAcls 检索您的 WebaclSummary 对象列表。 AWS 账户

AWS License Manager 标准框架中使用的 API 调用

AWS License Manager 标准框架中,Audit Manager 使用名为 GetLicenseManagerSummary 的自定义活动来收集证据。该活动调用以下三个 License Manager API:

然后,返回的数据将转换为证据,并附加到评测中的相关控件中。

示例

假设您使用了两个许可产品 (SQL Service 2017Oracle Database Enterprise Edition)。首先,该GetLicenseManagerSummary活动会调用 ListLicenseConfigurationsAPI,它会提供您账户中许可证配置的详细信息。接下来,它通过调用ListUsageForLicenseConfigurationListAssociationsForLicenseConfiguration为每个许可证配置添加其他上下文数据。最后,它将许可证配置数据转换为证据,并将其附加到框架中的相应控件中(4.5 —SQL Server 2017 的客户托管许可证3.0.4 - Oracle Database Enterprise Edition 的客户管理许可证)。

如果您使用的许可产品不受框架中的任何控件保护,则该许可证配置数据将作为证据附加至以下控件中:5.0 - 其他许可证的客户托管许可证

其他 资源