

AWS Audit Manager 不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [AWS Audit Manager 可用性变更](https://docs.aws.amazon.com/audit-manager/latest/userguide/audit-manager-availability-change.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为证据查找器配置默认导出目标
<a name="settings-export-destination"></a>


在证据查找器中运行查询时，可以将搜索结果导出为逗号分隔值（CSV）文件。使用此设置选择 Audit Manager 用于保存导出文件的默认 S3 存储桶。

## 先决条件
<a name="settings-export-destination-prerequisites"></a>

您的 S3 存储桶必须具有所需的权限策略才能 CloudTrail 向其写入导出文件。更具体地说，存储桶策略必须包括`s3:PutObject`操作和存储桶 ARN，并列 CloudTrail 为服务委托人。
+ 有关您可以使用的权限策略示例，请参阅[基于资源的策略示例 AWS Audit Manager](security_iam_resource-based-policy-examples.md)。
+ 有关将此策略附加至 S3 存储桶的说明，请参阅[使用 Amazon S3 控制台添加存储桶策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)。
+ 有关更多提示，请参阅本页面上的[导出目标的配置提示](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder-settings.html#settings-export-destination-tips)。

### 导出目标的配置提示
<a name="settings-export-destination-tips"></a>

为确保成功导出文件，我们建议您验证导出目标的以下配置。

**AWS 区域**  
您的客户托管密钥（如果您提供了）必须与您的评估区域相匹配。 AWS 区域 有关如何更改 KMS 密钥的说明，请参阅 [Audit Manager 数据加密设置](https://docs.aws.amazon.com/audit-manager/latest/userguide/general-settings.html#settings-KMS)。

**跨账户 S3 存储桶**  
Audit Manager 控制台不支持使用跨账户 S3 存储桶作为导出目标。可以使用 AWS CLI 或中的一个来指定跨账户存储桶 AWS SDKs，但为简单起见，我们建议您不要这样做。如果您确实选择使用跨账户 S3 存储桶作为导出目标，请考虑以下几点。  
+ 默认情况下，S3 对象（例如 CSV 导出）归上传对象的所有。 AWS 账户 您可以使用 [S3 对象所有权](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html)设置来更改此默认行为，以便由具有 `bucket-owner-full-control` 标准访问控制列表（ACL）的账户写入的任何新对象都会自动归存储桶所有者拥有。

  尽管这不是必需的，但我们建议您对跨账户存储桶设置进行以下更改。进行这些更改可确保存储桶所有者完全控制您发布到其存储桶的导出文件。
  + [将 S3 存储桶的对象所有权设置](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html#enable-object-ownership)为*首选存储桶所有者*，而不是默认的*对象写入者* 
  + [添加存储桶策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html#ensure-object-ownership)以确保上传到该存储桶的对象具有 `bucket-owner-full-control` ACL
+ 要允许 Audit Manager 将文件导出到跨账户 S3 存储桶，您必须将以下 S3 存储桶策略添加到您的导出目标存储桶。将 {{placeholder text}} 替换为您自己的信息。此策略中的 `Principal` 元素是负责评测并导出文件的用户或角色。`Resource` 指定要将文件导出到的跨账户 S3 存储桶。

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Sid": "Allow cross account file exports",
              "Effect": "Allow",
              "Principal": {
                  "AWS": "arn:aws:iam::{{111122223333}}:user/{{AssessmentOwnerUserName}}"
              },
              "Action": [
                  "s3:ListBucket",
                  "s3:PutObject",
                  "s3:GetObject",
                  "s3:GetBucketLocation",
                  "s3:PutObjectAcl",
                  "s3:DeleteObject"
              ],
              "Resource": [
                  "arn:aws:s3:::{{CROSS-ACCOUNT-BUCKET}}",
                  "arn:aws:s3:::{{CROSS-ACCOUNT-BUCKET/*}}"
              ]
          }
      ]
  }
  ```

------

## 过程
<a name="settings-export-destination-procedure"></a>

您可以使用 Audit Manager 控制台、 AWS Command Line Interface (AWS CLI) 或 Audit Manager API 更新此设置。

------
#### [ Audit Manager console ]

**在 Audit Manager 控制台上更新导出目标设置**

1. 从**证据查找器**设置选项卡中，转到**导出目标**部分。

1. 请选择以下选项之一：
   + 如果要移除当前 S3 存储桶，请选择**移除**以清除您的设置。
   + 如果您想首次保存默认 S3 存储桶，请继续执行步骤 3。

1. 指定要用于存储导出文件的 S3 存储桶。
   + 选择**浏览 S3**，从您的存储桶列表中选择。
   + 或者，您可以输入以下格式的存储桶 URI：**s3://bucketname/prefix**
**提示**  
要使目标存储桶井井有条，您可以为 CSV 导出创建一个可选文件夹。为此，请在**资源 URI** 框中的值前后附加一个斜杠 (**/**) 和一个前缀（例如 **/evidenceFinderCSVExports**）。然后，Audit Manager 在将 CSV 文件添加至存储桶时会包含此前缀，而且 Amazon S3 会生成由该前缀指定的路径。有关 Amazon S3 中前缀的更多信息，请参阅* Amazon Simple Storage Service *用户指南中的[ Amazon S3 控制台中的组织对象](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html)。

1. 完成操作后，选择**保存**。

有关如何创建 S3 存储桶的说明，请参阅 *Amazon S3 用户指南*中的[创建存储桶](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket.html)。

------
#### [ AWS CLI ]

**要更新您的导出目的地设置，请在 AWS CLI**  
运行 [update-settings](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/auditmanager/update-settings.html) 命令并使用 `--default-export-destination` 参数指定 S3 存储桶。

在以下示例中，{{placeholder text}}用您自己的信息替换：

```
aws auditmanager update-settings --default-export-destination destinationType=S3,destination=amzn-s3-demo-destination-bucket
```

有关如何创建 S3 存储桶的说明，请参阅《*AWS CLI 命令参考*》中的 [create-bucket](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/create-bucket.html)。

------
#### [ Audit Manager API ]

**使用 API 更新导出目标设置**  
调用[UpdateSettings](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_UpdateSettings.html)操作并使用[defaultExportDestination](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_UpdateSettings.html#auditmanager-UpdateSettings-request-defaultAssessmentReportsDestination)参数指定 S3 存储桶。

有关如何创建 S3 存储桶的说明，请参阅 *Amazon S3 API 参考[CreateBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html)*中的。

------