启用 AWS Audit Manager - Amazon Audit Manager
先决条件过程后续步骤

启用 AWS Audit Manager

现在您已经完成了设置 Audit Manager 的先决条件,可以在您的 AWS 环境中启用这项服务了。

在本页面上,您将学习如何使用 Audit Manager 控制台、AWS Command Line Interface (AWS CLI) 或 Audit Manager API 来启用 Audit Manager。选择最能满足您需求的方法,然后按照相应的步骤启动并运行 Audit Manager。

先决条件

确保您已完成设置 AWS Audit Manager 的先决条件中所述的所有任务。

过程

您可以使用 AWS Management Console、Audit Manager API 或 AWS Command Line Interface (AWS CLI) 启用 Audit Manager。

Audit Manager console
使用控制台启用 Audit Manager

  1. https://console.aws.amazon.com/auditmanager/home 处打开 AWS Audit Manager 控制台。

  2. 使用您的 IAM 身份凭证登录。

  3. 选择设置 AWS Audit Manager

    设置操作调用的屏幕截图。

  4. 权限下,无需执行任何操作。这是因为 Audit Manager 使用服务相关角色代表您连接到数据来源。您可以通过选择查看 IAM 服务相关角色权限来查看服务相关角色。

    Audit Manager 设置选项中权限部分的屏幕截图。

  5. 数据加密下,默认选项是 Audit Manager 创建和管理用于安全存储数据的 AWS KMS key。

    Audit Manager 设置的默认加密设置的屏幕截图。

    如果您要使用自己的客户托管密钥对 Audit Manager 中的数据进行加密,请选中自定义加密设置(高级)旁边的复选框。您可以选择现有 KMS 密钥或创建新的密钥

    Audit Manager 设置的自定义加密设置的屏幕截图。

  6. (可选)在委托的管理员 - 可选下,如果您希望 Audit Manager 为多个账户运行评测,则可以指定委托管理员账户。有关更多信息和建议,请参阅启用和设置 AWS Organizations

    Audit Manager 设置选项中委派管理员部分的屏幕截图。

  7. (可选)在 AWS Config - 可选下,我们建议您启用 AWS Config 以获得最佳体验。这使 Audit Manager 能够使用 AWS Config 规则生成证据。有关说明和推荐的设置,请参阅启用和设置 AWS Config

    Audit Manager 设置选项中 AWS Config 部分的屏幕截图。

  8. (可选)在 Security Hub - 可选下,我们建议您启用 Security Hub 以获得最佳体验。这使 Audit Manager 能够使用 Security Hub 检查生成证据。有关说明和推荐的设置,请参阅启用和设置 AWS Security Hub

    Audit Manager 设置选项中 Security Hub 部分的屏幕截图。

  9. 选择完成设置以完成设置过程。

    显示如何在控制台中完成 Audit Manager 设置的屏幕截图。
AWS CLI
使用 AWS CLI 启用 Audit Manager

在命令行中,使用以下设置参数运行 register-account 命令:

  • --kms-key(可选)— 使用此参数以使用您自己的客户托管密钥加密您的 Audit Manager 数据。如果您未在此处指定选项,Audit Manager 会代表您创建并管理 AWS KMS key,以安全存储您的数据。

  • --delegated-admin-account(可选)— 使用此参数为 Audit Manager 指定您组织的委托管理员账户。如果您未在此处指定选项,则不会注册任何委托管理员。

输入示例(将占位符文本替换为您自己的信息):

aws auditmanager register-account \ 
--kms-key arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab \
--delegated-admin-account 111122224444

输出示例:

{
    "status": "ACTIVE"
}

有关 AWS CLI 的更多信息以及 AWS CLI 工具的安装说明,请参阅 AWS Command Line Interface 用户指南中的以下内容。

Audit Manager API
使用 Audit Manager API 启用 Audit Manager

RegisterAccount 操作与以下设置参数结合使用:

  • kmsKey(可选)— 使用此参数以使用您自己的客户托管密钥加密您的 Audit Manager 数据。如果您未在此处指定选项,Audit Manager 会代表您创建并管理 AWS KMS key,以安全存储您的数据。

  • delegatedAdminAccount(可选)— 使用此参数为 Audit Manager 指定您组织的委托管理员账户。如果您未指定,则不会注册任何委托管理员。

输入示例(将占位符文本替换为您自己的信息):

{
    "kmsKey":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "delegatedAdminAccount":"111122224444"
}

输出示例:

{
  "status": "ACTIVE"
}

后续步骤

在启用 Audit Manager 之后,我们建议您设置一些推荐的特征和集成,以便获得最佳体验。有关更多信息,请参阅 为 AWS Audit Manager 启用推荐的特征和 AWS 服务