为 AWS Audit Manager 启用推荐的特征和 AWS 服务 - Amazon Audit Manager
关键点 推荐的功能推荐的集成后续步骤

为 AWS Audit Manager 启用推荐的特征和 AWS 服务

现在您已经启用了 AWS Audit Manager,可以设置推荐的特征和集成来充分利用这项服务了。

关键点

为在 Audit Manager 中获得最佳体验,我们建议您设置以下功能并启用以下 AWS 服务。

任务

设置推荐的 Audit Manager 功能

在启用 Audit Manager 之后,我们建议您启用证据查找器功能。

证据查找器 提供了一种在 Audit Manager 中搜索证据的强大功能。您可以使用证据查找器快速查询证据,而不必通过浏览嵌套程度很高的证据文件夹来查找所需内容。如果您以委派管理员的身份使用证据查找器,则可以在组织中的所有成员账户中搜索证据。

使用筛选条件和分组的组合,可以逐步缩小搜索查询的范围。例如,如果您想从高层次查看系统运行状况,请进行广泛搜索并按评测、日期范围以及资源合规性进行筛选。如果您的目标是修复特定资源,则可以执行狭窄搜索,以瞄准特定控件或资源 ID 的证据。定义筛选条件后,您可分组并预览匹配的搜索结果,然后再创建评测报告。

设置与其他 AWS 服务 的推荐集成

我们强烈建议您启用以下 AWS 服务,以在 Audit Manager 中获得最佳体验。

  • AWS Organizations - 您可以使用组织对多个账户运行 Audit Manager 评测,并将证据整合到委托管理员账户中。

  • AWS Security HubAWS Config - Audit Manager 将这些 AWS 服务作为证据收集的数据来源。启用 AWS Config 和 Security Hub 后,Audit Manager 可以充分运行其全部功能,直接从这些服务收集全面的证据并准确报告合规性检查结果。

重要

如果您不启用并配置 AWS Config 及 Security Hub,将无法在 Audit Manager 评测中为许多控件收集预期的证据。因此,您可能会面临某些控件的证据收集不完整或失败的风险。更具体地说:

  • 如果 Audit Manager 尝试使用 AWS Config 作为控件数据来源,但未启用所需的 AWS Config 规则,则将不会为这些控件收集任何证据。

  • 同样,如果 Audit Manager 尝试使用 Security Hub 作为控件数据来源,但未在 Security Hub 中启用所需的标准,则将不会为这些控件收集任何证据。

要降低这些风险并确保全面收集证据,请在创建 Audit Manager 评测之前,按照本页上的步骤启用和配置 AWS Config 及 Security Hub。

Audit Manager 中的许多控件都需要 AWS Config 作为数据来源类型。要支持这些控件,您必须在支持 Audit Manager 的每个 AWS 区域 中的所有账户上启用 AWS Config。

Audit Manager 不为您管理 AWS Config。您可以按照以下步骤启用 AWS Config 并配置其设置。

重要

启用 AWS Config 是一项可选建议。但是,如果您启用 AWS Config,则以下设置是必需的。如果 Audit Manager 尝试为使用 AWS Config 作为数据来源类型的控件收集证据,但未按下面所述设置 AWS Config,则不会为这些控件收集任何证据。

将 AWS Config 与 Audit Manager 集成的任务

步骤 1:启用 AWS Config

您可以使用 AWS Config 控制台或 API 启用 AWS Config。有关说明,请参阅 AWS Config 开发人员指南AWS Config 入门

第 2 步:配置 AWS Config 设置以用于 Audit Manager。

启用 AWS Config后,请确保您还启用了 AWS Config 规则部署了合规包,以满足审计相关的标准要求。此步骤可确保 Audit Manager 可以导入所启用的 AWS Config 规则的调查发现。

启用 AWS Config 规则后,我们建议您查看该规则的参数。然后,您应根据所选合规性框架的要求验证这些参数。如果需要,您可以更新 AWS Config 中规则的参数,以确保其符合框架要求。这将有助于确保您的评测收集给定框架的正确合规性检查证据。

例如,假设您正在为 CIS v1.2.0 创建评测。该框架有一个名为 1.4 - 确保访问密钥每 90 天或更短时间轮换一次的控件。在 AWS Config 中,access-keys-rotated 规则有一个包含 90 天默认值的 maxAccessKeyAge 参数。因此,该规则与控件要求保持一致。如果您未使用默认值,请确保使用的值大于等于 CIS v1.2.0 中要求的 90 天。

您可在 AWS Config 文档中找到每条托管规则的默认参数详细信息。有关如何配置规则的说明,请参阅使用 AWS Config 托管规则

Audit Manager 中的许多控件都需要将 Security Hub 作为数据来源类型。要支持这些控件,必须对支持 Audit Manager 的每个区域中的所有账户启用 Security Hub。

Audit Manager 不为您管理 Security Hub。您可以按照以下步骤启用 Security Hub 并配置其设置。

重要

启用 Security Hub 是一项可选建议。但是,如果您启用 Security Hub,则以下设置是必需的。如果 Audit Manager 尝试为使用 Security Hub 作为数据来源类型的控件收集证据,但未按下面所述设置 Security Hub,则不会为这些控件收集任何证据。

将 AWS Security Hub 与 Audit Manager 集成的任务

步骤 1:启用 AWS Security Hub

您可以使用控制台或 API 来启用 Security Hub。有关说明,请参阅 AWS Security Hub 用户指南中的设置 AWS Security Hub

第 2 步:配置 Security Hub 设置以用于 Audit Manager。

在启用 Security Hub 之后,请确保您还执行以下操作:

  • 启用 AWS Config 并配置资源记录 - Security Hub 使用服务相关的 AWS Config 规则对控件进行大部分的安全检查。要支持这些控件,必须启用 AWS Config 并配置为记录您在每个启用的标准中启用的控件所需的资源。

  • 启用所有安全标准 - 此步骤可确保 Audit Manager 可以导入所有支持的合规标准的调查发现。

  • 在 Security Hub 中开启合并控件调查发现设置 - 如果您在 2023 年 2 月 23 日当天或之后启用 Security Hub,则此设置默认处于启用状态

    注意

    启用合并的调查发现时,Security Hub 会为每项安全检查生成一个结果(即使在多个标准中使用相同的检查结果也是如此)。每项 Security Hub 调查发现都作为一项独特的资源评测收集在 Audit Manager 中。因此,合并的调查发现会减少 Audit Manager 针对 Security Hub 的调查结果执行的独特资源评测总数。因此,使用合并的调查发现通常可以降低您的 Audit Manager 使用成本。有关使用 Security Hub 作为数据来源类型的更多信息,请参阅 AWS Audit Manager 支持的 AWS Security Hub 控件。有关 Audit Manager 定价的更多信息,请参阅 AWS Audit Manager 定价

第 3 步:为贵组织配置 Organizations 设置

如果您使用 AWS Organizations 并想从您的成员账户中收集 Security Hub 证据,则还必须在 Security Hub 中执行以下步骤。

设置组织的 Security Hub 设置

  1. 登录到 AWS Management Console,然后通过以下网址打开 AWS Security Hub 控制台:https://console.aws.amazon.com/securityhub/

  2. 使用您的 AWS Organizations 管理账户,将一个账户指定为 Security Hub 的委托管理员。有关更多信息,请参阅 AWS Security Hub 用户指南中的指定 Security Hub 管理员账户

    注意

    确保您在 Security Hub 中指定的委托管理员账户与您在 Audit Manager 中使用的委托管理员账户相同。

  3. 使用您的组织委托管理员账户,转到设置、账户,选择所有账户,然后通过选择自动注册将其添加为成员。有关更多信息,请参阅 AWS Security Hub 用户指南中的启用组织中的成员账户

  4. 为组织的每个成员账户启用 AWS Config。有关更多信息,请参阅 AWS Security Hub 用户指南中的启用组织中的成员账户

  5. 为组织的每个成员账户启用 PCI DSS 安全标准。默认情况下,AWS CIS 基金会基准标准和 AWS 基础最佳实践标准已启用。有关更多信息,请参阅 AWS Security Hub 用户指南中的启用安全标准

Audit Manager 通过与 AWS Organizations 集成,支持多个账户。Audit Manager 可跨多个账户运行评测,将证据合并至委托管理员账户。委托管理员有权以组织作为信任区域创建和管理 Audit Manager 资源。只有管理账户才能指定委托管理员。

重要

启用 AWS Organizations 是一项可选建议。但是,如果您启用 AWS Organizations,则以下设置是必需的。

将 AWS Organizations 与 Audit Manager 集成的任务

步骤 1:创建或加入组织

如果您的 AWS 账户 不是组织的成员,则可以创建或加入组织。有关更多说明,请参阅 AWS Organizations 用户指南中的创建并管理组织

步骤 2:启用组织中的所有功能。

接下来,您必须启用组织中的所有功能。有关更多说明,请参阅 AWS Organizations 用户指南中的启用组织中的所有功能

步骤 3:为 Audit Manager 指定委托管理员

我们建议您使用组织管理账户启用 Audit Manager,然后指定委托管理员。之后,您可以使用委托管理员账户登录并运行评测。作为最佳做法,我们建议您仅使用委托管理员账户而不是管理账户创建评测。

要在启用 Audit Manager 后添加或更改委派管理员,请参阅添加委派管理员更改委派管理员

后续步骤

既然您已经使用推荐的设置完成了 Audit Manager 的设置,那么就可以开始使用这项服务了。