本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 控件和控制集问题排查
您可以使用此页面上的信息来解决 Audit Manager 中控件的常见问题。
**一般性问题**
+ [我在评测中看不到任何控件或控制集](#cannot-view-controls)
+ [我无法上传手动证据至控件](#cannot-upload-manual-evidence)
+ [如果控件显示可“更换”,表示什么意思?](#control-replacement-available)
**AWS Config 集成问题**
+ [我需要使用多个 AWS Config 规则作为单个控件的数据源](#need-to-use-multiple-rules)
+ [配置控件数据来源时,自定义规则选项不可用](#custom-rule-option-unavailable)
+ [自定义规则选项可用,但下拉列表中没有显示任何规则](#no-custom-rules-displayed)
+ [部分自定义规则可用,但我看不到我想要使用的规则](#custom-rule-missing)
+ [我找不到我想要使用的托管规则](#managed-rule-missing)
+ [我想共享一个自定义框架,但它有使用自定义 AWS Config 规则作为数据源的控件。收件人能否为这些控件收集证据?](#shared-frameworks-with-custom-aws-config-rules)
+ [在 AWS Config中更新自定义规则后会发生什么? 我是否需要在 Audit Manager 中执行任何操作?](#a-rule-is-updated)
## 我在评测中看不到任何控件或控制集
简而言之,如需查看评测的控件,必须将您指定为该评测的审计负责人。此外,您需要必要的 IAM 权限才能查看和管理相关的 Audit Manager 资源。
如果您需要访问评测中的控件,请要求该评测的审计负责人之一将您指定为审计负责人。在[创建](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-assessments.html#choose-audit-owners)或[编辑](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-assessment.html#edit-choose-audit-owners)评测时,您可以指定审计负责人。
此外,请确保您具备管理评测所需的权限。我们建议审计所有者使用该[AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html)政策。如果您需要有关 IAM 权限的帮助,请联系您的管理员或 [AWS Support](https://aws.amazon.com/contact-us/)。有关如何将策略附加到 IAM 身份的更多信息,请参阅 *IAM 用户指南*中的[向用户添加权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)以及[添加和移除 IAM 身份权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。
## 我无法上传手动证据至控件
如果您无法手动将证据上传到控件,可能原因是因为该控件处于*非活动*状态。
如需上传手动证据至控件,您必须先将控件状态更改为*正在审核*或*已审核*。有关说明,请参阅[更改中评估控制的状态 AWS Audit Manager](change-assessment-control-status.md)。
**重要**
每人每天 AWS 账户 只能手动将最多 100 个证据文件上传到对照组。超过此每日配额,会导致该控件的任何其他手动上传失败。如果您需要将大量手动证据上传至单个控件,请在几天内分批上传证据。
## 如果控件显示可“更换”,表示什么意思?
![\[提示您重新创建评测的弹出消息的屏幕截图。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/troubleshooting-control-replacement-available-console.png)
如果您看到此消息,则表示您自定义框架中的一个或多个标准控件有更新的控件定义。我们建议您更换这些控件,以便可以受益于 Audit Manager 现在提供的改进的证据来源。
有关如何进行下一步操作的说明,请参阅[在我的自定义框架详细信息页面上,系统提示我重新创建自定义框架](framework-issues.md#recreate-framework-post-common-controls)。
## 我需要使用多个 AWS Config 规则作为单个控件的数据源
您可以将托管规则和自定义规则组合用于单个控件。为此,请为控件定义多个证据来源,然后为每个证据来源选择首选的规则类型。您可以为单个自定义控件定义最多 100 个客户管理型数据来源。
## 配置控件数据来源时,自定义规则选项不可用
这意味着您无权查看您 AWS 账户 或组织的自定义规则。更具体地说,您无权在 Audit Manager 控制台中执行该[DescribeConfigRules](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeConfigRules.html)操作。
要解决此问题,请联系您的 AWS 管理员寻求帮助。如果您是 AWS 管理员,则可以通过[管理 IAM policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) 为您的用户或群组提供权限。
## 自定义规则选项可用,但下拉列表中没有显示任何规则
这意味着您 AWS 账户 或组织中没有可用的自定义规则。
如果您还没有任何自定义规则 AWS Config,则可以创建一个。有关说明,请参阅 *AWS Config 开发人员指南*中的 [AWS Config 自定义规则](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules.html)。
如果您希望看到自定义规则,请查看以下问题排查项目。
## 部分自定义规则可用,但我看不到我想要使用的规则
以下其中一个问题可导致您看不到希望找到的自定义规则。
**您的账户已排除在规则之外**
您正在使用的委托管理员账户可能排除在规则之外。
您组织的管理账户(或其中一个 AWS Config 委派管理员账户)可以使用 AWS Command Line Interface (AWS CLI) 创建自定义组织规则。创建时,他们可以指定[需要从规则中排除的账户列表](https://docs.aws.amazon.com/config/latest/APIReference/API_PutOrganizationConfigRule.html#config-PutOrganizationConfigRule-request-ExcludedAccounts)。如果您的账户在此列表中,则该规则在 Audit Manager 中不可用。
要解决此问题,请联系您的 AWS Config 管理员寻求帮助。如果您是 AWS Config 管理员,则可以通过运行[put-organization-config-rule](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-organization-config-rule.html)命令来更新已排除帐户的列表。
**该规则在 AWS Config中创建和启用失败**
自定义规则也可能创建和启用失败。如果[创建规则时出错](https://docs.aws.amazon.com/config/latest/APIReference/API_PutConfigRule.html#API_PutConfigRule_Errors),或者规则[未启用](https://docs.aws.amazon.com/config/latest/developerguide/setting-up-aws-config-rules-with-console.html),则该规则不会出现在 Audit Manager 的可用规则列表中。
我们建议您联系 AWS Config 获取有关该问题的帮助。
**该规则属于托管规则**
如果您在自定义规则的下拉列表中找不到要查找的规则,则该规则可能是托管规则。
您可以使用 [AWS Config 控制台](https://console.aws.amazon.com/config/)来验证规则是否为托管规则。为此,从左侧导航菜单中,选择**规则**,然后在表格中查找规则。如果规则是托管规则,则**类型**列显示 **AWS 托管**。
![\[AWS Config 控制台中显示的托管规则。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/rules-managed-console.png)
确认属于托管规则后,返回 Audit Manager 并选择**托管规则**作为规则类型。然后,在托管规则的下拉列表中查找托管规则标识符关键字。
![\[与 Audit Manager 控制台的托管规则下拉列表中的规则相同。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/control_data_source-managed_rule-console.png)
## 我找不到我想要使用的托管规则
在 Audit Manager 控制台的下拉列表中选择规则之前,请确保已选择**托管规则**作为规则类型。
![\[在 Audit Manager 控制台中选择的托管规则选项。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/ruletype-managed-console.png)
如果您仍然看不到期望找到的托管规则,有可能您查找的是规则*名称*。您必须查找规则*标识符*。
如果您使用的是默认托管规则,则名称和标识符相似。名称为小写并使用破折号 (例如,`iam-policy-in-use`)。标识符为大写并使用下划线 (例如,`IAM_POLICY_IN_USE`)。要查找默认托管规则的标识符,请查看[支持的 AWS Config 托管规则关键字列表](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources-config.html#aws-config-managed-rules),然后点击要使用的规则的链接。这将带您查看该托管规则的 AWS Config 文档。您可以在文档中找到名称和标识符。在 Audit Manager 下拉列表中查找标识符关键字。
![\[托管规则名称和标识符,如 AWS Config 文档所示。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/ruleidentifier-configdocs.png)
如果您使用的是自定义托管规则,则可以使用 [AWS Config 控制台](https://console.aws.amazon.com/config/)查找规则标识符。例如,假设您要使用名为 `customized-iam-policy-in-use` 的托管规则。要查找此规则的标识符,请转到 AWS Config 控制台,在左侧导航菜单中选择**规则**,然后在表格中选择规则。
![\[在 AWS Config 控制台的规则表中具有自定义名称的托管规则。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/managedrule-customname-configconsole.png)
选择**编辑** 以打开有关托管规则的详细信息。
![\[AWS Config 控制台中的编辑规则选项。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/editrule-configconsole.png)
在**详细信息**部分,您可以找到创建托管规则依据的源标识符 (`IAM_POLICY_IN_USE`)。
![\[AWS Config 控制台中的托管规则详细信息。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/ruledetails-configconsole.png)
现在,您可以返回 Audit Manager 控制台,从下拉列表中选择相同的标识符关键字。
![\[在 Audit Manager 控制台中显示的托管规则标识符。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/ruleidentifier-console.png)
## 我想共享一个自定义框架,但它有使用自定义 AWS Config 规则作为数据源的控件。收件人能否为这些控件收集证据?
是的,收件人可以为这些控件收集证据,但是在此之前需要采取一些步骤。
要让 Audit Manager 使用 AWS Config 规则作为数据源映射收集证据,必须满足以下条件。这适用于托管规则和自定义规则。
1. 该规则必须存在于收件人的 AWS 环境中
1. 必须在收件人的 AWS 环境中启用该规则
请记住,收款人 AWS 环境中可能不存在您账户中的自定义 AWS Config 规则。此外,当收件人接受共享请求时,Audit Manager 不会在其账户中重新创建您的任何自定义规则。要让收件人使用您的自定义规则作为数据源映射收集证据,他们必须在自己的实例中创建相同的自定义规则 AWS Config。在收件人[创建](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules.html)并[启用](https://docs.aws.amazon.com/config/latest/developerguide/setting-up-aws-config-rules-with-console.html)规则后,Audit Manager 可以从该数据来源收集证据。
我们建议您与收件人沟通,告知他们是否需要在他们的 AWS Config实例中创建任何自定义规则。
## 在 AWS Config中更新自定义规则后会发生什么? 我是否需要在 Audit Manager 中执行任何操作?
**用于 AWS 环境中的规则更新**
如果您在 AWS 环境中更新自定义规则,则无需在 Audit Manager 中执行任何操作。Audit Manager 可检测并处理规则更新,如下表中所述。当检测到规则更新时,Audit Manager 不会通知您。
| 场景 | Audit Manager 会做什么 | 您需要了解的内容 |
| --- | --- | --- |
| 您的实例中的自定义规则**已更新** AWS Config | Audit Manager 继续使用更新的规则定义报告该规则的调查发现。 | 无需任何操作。 |
| 您的实例中的自定义规则**已被删除** AWS Config | Audit Manager 停止报告已删除规则的调查发现。 | 无需任何操作。 如果需要,您可以[编辑使用已删除规则作为数据来源映射的自定义控件](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-controls.html)。这样做有助于通过移除已删除的规则来清除数据来源设置。否则,已删除的规则名称将保留为未使用的数据来源映射。 |
**用于 AWS 环境之外的规则更新**
如果在您的 AWS 环境之外更新了自定义规则,则 Audit Manager 不会检测到规则更新。如果您使用共享的自定义框架,则需要考虑这一点。这是因为,在这种情况下,发件人和收件人各自在不同的 AWS 环境中工作。下表提供了针对此场景建议进行的操作。
| 您的角色 | 场景 | 建议的操作 |
| --- | --- | --- |
| 发件人 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/control-issues.html) | 让收件人知道您的更新。这样,他们就可以应用相同的更新并与最新的规则定义保持同步。 |
| 收件人 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/control-issues.html) | 在您自己的 AWS Config实例中更新相应的规则。 |