本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
您可以使用 Audit Manager 捕获 AWS CloudTrail 管理事件和全球服务事件作为审计证据。创建或编辑自定义控件时,可以将一个或多个 CloudTrail 事件名称指定为用于证据收集的数据源映射。然后,Audit Manager 会根据您选择的关键字筛选您的 CloudTrail 日志,并将结果作为用户活动证据导入。
注意
Audit Manager 仅捕获管理事件和全局服务事件。数据事件和见解事件不能作为证据。有关不同类型 CloudTrail 事件的更多信息,请参阅AWS CloudTrail 用户指南中的CloudTrail 概念。
除上述情况外,Audit Manager 不支持以下 CloudTrail 事件:
-
kms_ GenerateDataKey
-
kms_Decrypt
-
sts_ AssumeRole
-
kinesis 视频_ GetDataEndpoint
-
kinesis 视频_ GetSignalingChannelEndpoint
-
kinesis 视频_ DescribeSignalingChannel
-
kinesis 视频_ DescribeStream
自 2023 年 5 月 11 日起,Audit Manager 不再支持只读 CloudTrail 事件作为证据收集的关键词。我们总共删除了 3,135 个只读关键词。由于客户和 AWS 服务 两者都向进行读取调用 APIs,因此只读事件很嘈杂。因此,只读关键字会收集大量不可靠或与审计无关的证据。只读关键词包括List
Describe
、和 Get
API 调用(例如,GetObject和 Amazon S3 ListBuckets的只读关键词)。如果您使用其中一个关键字来收集证据,则无需执行任何操作。这些关键词已自动从 Audit Manager 控制台和您的评测中删除,并且不再为这些关键词收集证据。
其他资源
-
如需帮助解决有关此数据来源类型的证据收集问题,请参阅我的评测没有从 AWS CloudTrail中收集用户活动证据。
-
要使用此数据来源类型创建自定义控件,请参阅在中创建自定义控件 AWS Audit Manager。
-
要创建使用您的自定义控件的自定义框架,请参阅在中创建自定义框架 AWS Audit Manager。
-
要将自定义控件添加到现有自定义框架,请参阅在中编辑自定义框架 AWS Audit Manager。