本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 框架问题疑难解答
您可以使用此页面上的信息来解决 Audit Manager 中常见的框架问题。
**一般框架问题**
+ [在我的自定义框架详细信息页面上,系统提示我重新创建自定义框架](#recreate-framework-post-common-controls)
+ [我无法复制我的自定义框架](#cannot-use-custom-framework)
**框架共享问题**
+ [我已发送共享请求的状态显示为*失败*](#framework-sharing-error)
+ [我的共享请求旁边有一个蓝点。这意味着什么?](#framework-sharing-blue-dot)
+ [我的共享框架包含使用自定义 AWS Config 规则作为数据源的控件。收件人能否为这些控件收集证据?](#framework-sharing-custom-config-rules)
+ [我更新了共享框架中使用的自定义规则。我需要采取措施吗?](#framework-sharing-what-happens-when-a-rule-is-updated)
## 在我的自定义框架详细信息页面上,系统提示我重新创建自定义框架
![\[提示您重新创建评测的弹出消息的屏幕截图。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/troubleshooting-recreate-framework-post-common-controls-console.png)
如果您看到一条消息,显示**有更新的控件定义可用**,则表示 Audit Manager 现在为您自定义框架中的某些标准控件提供了更新的定义。
标准控件现在可以从 [](concepts.md#aws-managed-source)收集证据。这就表示,每当 Audit Manager 更新通用控件或核心控件的底层数据来源时,都会自动将这些更新应用于相关的标准控件。此举有助于您确保在云合规性环境发生变化时持续保持合规。为确保您从这些 AWS 托管资源中受益,我们建议您替换自定义框架中的控件。
在您的自定义框架中,Audit Manager 会指明哪些控件可以更换。您需要先更换这些控件,然后才能复制自定义框架。下次您编辑自定义框架时,我们会提示您更换这些控件以及您想要进行的任何其他编辑。
您可通过两种方式更换自定义框架中的控件:
**1. 重新创建自定义框架**
如果有大量控件可以更换,我们建议您重新创建自定义框架。如果您的自定义框架基于标准框架,这可能是最佳办法。
+ 例如,假设您以 [NIST SP 800-53 Rev 5](NIST800-53r5.md) 为起点创建了自定义框架。此标准框架有 1007 个标准控件,并且您添加了 20 个自定义控件。
+ 在这种情况下,最有效的办法是在框架库中找到 `NIST 800-53 (Rev. 5) Low-Moderate-High` 并[创建该框架的可编辑副本](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-custom-frameworks-from-existing.html)。在此期间,您可以添加先前使用的 20 个自定义控件。由于您现在使用标准框架的最新定义作为起点,因此您的自定义框架会自动继承所有 1007 个标准控件的最新定义。
**2. 编辑自定义框架**
如果只有少数控件可更换,我们建议您编辑自定义框架并手动更换这些控件。
+ 例如,假设您从头开始创建自定义框架。在您的自定义框架中,您添加了 20 个自己创建的自定义控件,以及来自 [ACSC 八大要点](essential-eight.md) 标准框架的 8 个标准控件。
+ 在这种情况下,由于最多有八个控件具有可用更新,因此最有效的办法是编辑您的自定义框架,并逐个更换这些控件。有关说明,请参阅以下过程。
### 手动更换自定义框架中的控件
**手动更换自定义框架中的控件**
1. 在[https://console.aws.amazon.com/auditmanager/家](https://console.aws.amazon.com/auditmanager/home)中打开 AWS Audit Manager 控制台。
1. 在左侧导航窗格中,选择**框架库**,然后选择**自定义框架**选项卡。
1. 选择想要编辑的框架,选择 **操作**,然后选择 **编辑**。
1. 在**编辑框架详细信息**页面上,选择**下一步**。
1. 在**编辑控件集**页面上,查看每个控件集的名称,了解其中是否有任何控件有可更换的版本。
1. 选择受影响的控件集将其展开,并确定其中哪些控件需要更换。
**提示**
如需更快地找出相关控件,请在搜索框中输入 **Replacement available**。
1. 选中复选框并选择**从控件集中移除**,即可移除受影响的控件。
1. 重新添加相同的控件。此操作可以将您刚刚移除的控件更换为最新的控件定义。
1. 在**添加控件**下,使用**控件类型**下拉列表并选择**标准控件**。
1. 找到刚移除的控件的更换版本。
**提示**
在某些情况下,更换控件的名称可能与原始控件的名称不完全相同。在这种情况下,更换控件的名称可能与原始控件的名称非常相似。只有极少数情况下,一个控件可能会被两个控件所取代,反之亦然。
如果您找不到更换控件,我们建议您进行部分搜索。为此,请输入原始控件名称的一部分,或输入能代表您要查找的控件的关键字。您也可以按合规性类型进行搜索,以进一步缩小结果列表的范围。
1. 选中控件旁边的复选框,并选择**添加到控件集**。
1. 在出现的弹出窗口中,选择**添加**进行确认。
1. 根据需要重复第 6-8 步,直到更换所有控件。
1. 选择**下一步**。
1. 在**查看并保存**页面上,选择**保存更改**。
## 我无法复制我的自定义框架
如果框架详细信息页面上没有**复制**按钮,就表示您需要更换自定义框架中的某些控件。
有关如何进行下一步操作的说明,请参阅[在我的自定义框架详细信息页面上,系统提示我重新创建自定义框架](#recreate-framework-post-common-controls)。
## 我已发送共享请求的状态显示为*失败*
如果您尝试共享自定义框架但操作失败,我们建议您检查以下内容:
1. 确保在收件人和指定区域中启用了 Audi AWS 账户 t Manager。有关支持的 AWS Audit Manager 区域列表,请参阅 *Amazon Web Services 一般参考*中的[AWS Audit Manager 终端节点和配额](https://docs.aws.amazon.com/general/latest/gr/audit-manager.html)。
1. 请确保在指定收款人账户时输入了正确的 AWS 账户 ID。
1. 确保您没有将 AWS Organizations 管理账户指定为收件人。您可以与委托管理员共享自定义框架,但是如果您尝试与管理账户共享自定义框架,则操作将失败。
1. 如果您使用客户托管密钥来加密您的 Audit Manager 数据,请确保您的 KMS 密钥已启用。如果您的 KMS 密钥已禁用,而您尝试共享自定义框架,则操作将失败。有关如何启用已禁用的 KMS 密钥的说明,请参阅*AWS Key Management Service 开发人员指南*中的[启用和禁用密钥](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html)。
## 我的共享请求旁边有一个蓝点。这意味着什么?
蓝点通知指示需要您注意的共享请求。
### 发件人的蓝点通知
在发送的处于*即将到期*状态的请求旁边会出现一个蓝色的通知点。Audit Manager 会显示蓝点通知,这样您就可以提醒收件人在共享请求到期之前对其采取行动。
要使蓝色通知点消失,收件人必须接受或拒绝请求。如果您撤销共享请求,蓝点也会消失。
您可以使用以下步骤来检查是否有任何即将到期的共享请求,并向收件人发送提醒 (可选),提醒其采取行动。
**查看已发送请求的通知**
1. 在[https://console.aws.amazon.com/auditmanager/家](https://console.aws.amazon.com/auditmanager/home)中打开 AWS Audit Manager 控制台。
1. 如果您收到共享请求通知,Audit Manager 会在导航菜单图标旁边显示红点。
![\[最小化导航菜单图标屏幕截图,上面有一个红点,表示通知。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/framework_sharing-navigation_minimized_notification-console.png)
1. 展开导航窗格并查看 **共享请求** 旁边的内容。通知徽章指示需要注意的共享请求数量。
![\[展开的导航菜单的屏幕截图,其中突出显示了共享框架请求,以及显示一条通知的通知徽章。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/framework_sharing-navigation_expanded_notification-console.png)
1. 选择**共享请求**,然后选择**已发送请求**选项卡。
1. 查找蓝点以识别在未来 30 天内到期的共享请求。或者,您也可以通过从**所有状态**筛选条件下拉列表中选择**即将到期**来查看即将到期的共享请求。
![\[收到的共享请求的屏幕截图,框架名称旁有一个蓝点。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/framework_sharing-blue_dot_notification-sent_requests-console.png)
1. (可选) 提醒收件人他们需要在共享请求到期之前对其采取行动。此步骤为可选项,因为 Audit Manager 会在控制台中发送通知,通知收件人共享请求处于有效状态或即将到期的时间。但是,您也可以使用首选沟通渠道向收件人发送自己的提醒。
### 收件人蓝点通知
在收到的处于*有效*或*即将到期*状态的共享请求旁边会出现一个蓝色的通知点。Audit Manager 会显示蓝点通知,提醒您在共享请求到期之前对其采取行动。要使蓝色通知点消失,您必须[接受或拒绝](https://docs.aws.amazon.com/audit-manager/latest/userguide/responding-to-shared-framework-requests.html#responding-to-shared-framework-requests-step-2)请求。如果发件人撤销共享请求,蓝点也会消失。
您可以使用以下过程检查是否存在有效和即将到期的共享请求。
**如需查看已收到请求的通知**
1. 在[https://console.aws.amazon.com/auditmanager/家](https://console.aws.amazon.com/auditmanager/home)中打开 AWS Audit Manager 控制台。
1. 如果您收到共享请求通知,Audit Manager 会在导航菜单图标旁边显示红点。
![\[最小化导航菜单图标屏幕截图,上面有一个红点,表示通知。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/framework_sharing-navigation_minimized_notification-console.png)
1. 展开导航窗格并查看 **共享请求** 旁边的内容。通知徽章指示需要您注意的共享请求数量。
![\[展开的导航菜单的屏幕截图,其中突出显示了共享请求,以及显示一条通知的通知徽章。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/framework_sharing-navigation_expanded_notification-console.png)
1. 选择 **共享请求**。默认情况下,此页面在**已收到的请求** 选项卡中打开。
1. 通过查找带有蓝点的项目,识别需要您采取行动的共享请求。
![\[收到的共享请求的屏幕截图,框架名称旁有一个蓝点。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/framework_sharing-blue_dot_notification-console.png)
1. (可选) 如仅需查看在未来 30 天内到期的请求,请找到**所有状态**下拉列表并选择**即将到期**。
## 我的共享框架包含使用自定义 AWS Config 规则作为数据源的控件。收件人能否为这些控件收集证据?
是的,您的收件人可以为这些控件收集证据,但是在此之前需要采取一些步骤。
要让 Audit Manager 使用 AWS Config 规则作为数据源映射收集证据,必须满足以下条件。这些标准适用于托管规则和自定义规则。
+ 该规则必须存在于收件人的 AWS 环境中。
+ 必须在收件人的 AWS 环境中启用该规则。
请记住,收款人的 AWS 环境中可能尚不存在您账户中的 AWS Config 规则。此外,当收件人接受共享请求时,Audit Manager 不会在其账户中重新创建您的任何自定义规则。要让收件人使用您的自定义规则作为数据源映射收集证据,他们必须在自己的实例中创建相同的自定义规则 AWS Config。接收者在中[创建](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules_nodejs.html)并[启用](https://docs.aws.amazon.com/config/latest/developerguide/setting-up-aws-config-rules-with-console.html)规则后 AWS Config,Audit Manager 可以从该数据源收集证据。
我们建议您与收件人沟通,让他们知道是否应在他们的实例中创建任何自定义 AWS Config 规则 AWS Config。
## 我更新了共享框架中使用的自定义规则。我需要采取措施吗?
**用于 AWS 环境中的规则更新**
在 AWS 环境中更新自定义规则时,无需在 Audit Manager 中执行任何操作。Audit Manager 按下表所述方式检测并处理规则更新。当检测到规则更新时,Audit Manager 不会通知您。
| 场景 | Audit Manager 会做什么 | 您需要了解的内容 |
| --- | --- | --- |
| 您的实例中的自定义规则**已更新** AWS Config。 | Audit Manager 继续使用更新的规则定义报告该规则的调查发现。 | 无需任何操作。 |
| 您的实例中的自定义规则**已删除** AWS Config。 | Audit Manager 停止报告已删除规则的调查发现。 | 无需任何操作。 如果需要,您可以[编辑使用已删除规则作为数据来源映射的自定义控件](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-controls.html)。然后,您可以移除已删除的规则,以清理控件的数据来源设置。否则,已删除的规则名称将保留为未使用的数据来源映射。 |
**用于 AWS 环境之外的规则更新**
在收件人的 AWS 环境中,Audit Manager 不会检测到规则更新。这是因为发件人和收件人各自在不同的 AWS 环境中工作。下表提供了针对此场景建议进行的操作。
| 您的角色 | 场景 | 建议的操作 |
| --- | --- | --- |
| 发件人 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/framework-issues.html) | 请联系收件人,告知他们更新情况。这样,他们就可以进行相同的更新并与最新的规则定义保持同步。 |
| 收件人 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/framework-issues.html) | 在您自己的 AWS Config实例中更新相应的规则。 |