审计查找结果隐藏
当您运行审计时,它会报告所有不合规资源的查找结果。这意味着您的审计报告包含您正在努力缓解问题的资源的查找结果以及已知不合规资源(如测试设备或损坏设备)的查找结果。审计将继续报告在连续审计运行中仍然不合规的资源的查找结果,这可能会向您的报告中添加不需要的信息。使用审计查找结果,您可以在定义的时间段内隐藏或筛选出查找结果,直到资源的问题被解决,若是针对与测试或损坏设备关联的资源,则可无限期地隐藏结果。
注意
缓解操作不适用于被隐藏的审计结果。有关缓解操作的更多信息,请参阅 缓解操作。
有关审计检查结果隐藏配额的信息,请参阅 AWS IoT Device Defender 端点与配额。
审计查找结果隐藏的工作原理
当您为不合规的资源创建审计查找结果隐藏时,您的审计报告和通知的行为会有所不同。
您的审计报告将包含一个新部分,其中列出与报告关联的所有隐藏的查找结果。当我们评估审计检查是否合规时,不会考虑隐藏查找结果。当您在命令行界面 (CLI) 中使用 describe-audit-task 命令时,每个审计检查也会返回隐藏的资源计数。
对于审计通知,当我们评估审计检查是否合规时,不会考虑隐藏的查找结果。AWS IoT Device Defender 发布到 Amazon CloudWatch 和 Amazon Simple Notification Service (Amazon SNS) 的每个审计检查通知中也包含隐藏资源计数。
如何在控制台中使用审计查找结果隐藏
要隐藏审计报告中的查找结果
以下流程介绍了如何在 AWS IoT 控制台中创建审计查找结果隐藏。
-
在 AWS IoT 控制台
的导航窗格中,展开 Defend(防护),然后选择 Audit(审计)、Results(结果)。 -
选择您要查看的审计报告。
-
在 Non-compliant checks(不合规检查)部分,在 Check name(检查名称)项下,选择您感兴趣的审计检查。
-
在审计检查详细信息屏幕上,如果存在您不想看到的查找结果,请选择查找结果旁边的选项按钮。然后,选择 Actions(操作),接着选择您希望审计查找结果隐藏持续的时长。
注意
您可以在控制台中选择 1 week(1 周)、1 month(1 个月)、3 months(3 个月)、6 months(6 个月)或 Indefinitely(无限期),作为审计查找结果隐藏的到期日期。如果要设置特定的到期日期,则只能在 CLI 或 API 中执行此操作。无论到期日期为何,您都可以随时取消审计查找结果隐藏。
-
确认隐藏详细信息,然后选择 Enable suppresion(启用隐藏)。
-
创建审计查找结果隐藏后,将显示一个提示,确认审计查找结果隐藏已创建。
在审计报告中查看隐藏的结果
-
在 AWS IoT 控制台
的导航窗格中,展开 Defend(防护),然后选择 Audit(审计)、Results(结果)。 -
选择您要查看的审计报告。
-
在 Suppressed findings(隐藏查找结果)部分,查看已针对您选择的审计报告隐藏了哪些审计结果。
列出审计查找结果隐藏
-
在 AWS IoT 控制台
的导航窗格中,展开 Defend(防护),然后选择 Audit(审计)、Finding suppressions(查找结果隐藏)。 
要编辑审计查找结果隐藏
-
在 AWS IoT 控制台
的导航窗格中,展开 Defend(防护),然后选择 Audit(审计)、Finding suppressions(查找结果隐藏)。 -
选择要编辑的审计查找结果隐藏旁边的选项按钮。下一步,选择 Actions(操作)、Edit(编辑)。
-
在 Edit audit finding suppression(编辑查找结果隐藏)窗口中,您可以更改 Suppression duration(隐藏时长)或者 Description (optional)(描述(可选))。
-
执行您的更改后,选择 Save(保存)。Finding suppressions(查找结果隐藏)窗口将打开。
要删除审计查找结果隐藏
-
在 AWS IoT 控制台
的导航窗格中,展开 Defend(防护),然后选择 Audit(审计)、Finding suppressions(查找结果隐藏)。 -
选择要删除的审计查找结果隐藏旁边的选项按钮,然后选择 Actions(操作)、Delete(删除)。
-
在 Delete audit finding suppression(删除审计查找结果隐藏)窗口中,在文本框中输入
delete以确认删除,然后选择 Delete(删除)。Finding suppressions(查找结果隐藏)窗口将打开。
如何在 CLI 中使用审计查找结果隐藏
您可以使用以下 CLI 命令来创建和管理审计查找结果隐藏。
您输入的 resource-identifier 取决于您需要隐藏查找结果的 check-name。下表详细说明了哪些检查需要哪个 resource-identifier 来用于创建和编辑隐藏。
注意
隐藏命令不意味着关闭审计。审计仍会在您的 AWS IoT 设备上运行。隐藏仅适用于审计结果。
check-name |
resource-identifier |
|---|---|
AUTHENTICATE_COGNITO_ROLE_OVERLY_PERMISSIVE_CHECK |
cognitoIdentityPoolId |
CA_CERT_APPROACHING_EXPIRATION_CHECK |
caCertificateId |
CA_CERTIFICATE_KEY_QUALITY_CHECK |
caCertificateId |
CONFLICTING_CLIENT_IDS_CHECK |
clientId |
DEVICE_CERT_APPROACHING_EXPIRATION_CHECK |
deviceCertificateId |
DEVICE_CERTIFICATE_KEY_QUALITY_CHECK |
deviceCertificateId |
DEVICE_CERTIFICATE_SHARED_CHECK |
deviceCertificateId |
IOT_POLICY_OVERLY_PERMISSIVE_CHECK |
policyVersionIdentifier |
IOT_ROLE_ALIAS_ALLOWS_ACCESS_TO_UNUSED_SERVICES_CHECK |
roleAliasArn |
IOT_ROLE_ALIAS_OVERLY_PERMISSIVE_CHECK |
roleAliasArn |
LOGGING_DISABLED_CHECK |
account |
REVOKED_CA_CERT_CHECK |
caCertificateId |
REVOKED_DEVICE_CERT_CHECK |
deviceCertificateId |
UNAUTHENTICATED_COGNITO_ROLE_OVERLY_PERMISSIVE_CHECK |
cognitoIdentityPoolId |
要创建和应用审计查找结果隐藏
以下流程介绍如何在 AWS CLI 中创建审计查找结果隐藏。
-
使用
create-audit-suppression命令创建审计查找结果隐藏。以下示例为根据 Logging disabled(禁用的日志记录)这项检查为 AWS 账户123456789012创建了审计查找结果隐藏。aws iot create-audit-suppression \ --check-nameLOGGING_DISABLED_CHECK\ --resource-identifier account=123456789012\ --client-request-token28ac32c3-384c-487a-a368-c7bbd481f554\ --suppress-indefinitely \ --description "Suppresses logging disabled check because I don't want to enable logging for now."此命令无任何输出。
审计查找结果隐藏 API
以下 API 可用于创建和管理审计查找结果隐藏。
要对特定审计查找结果进行筛选,您可以使用 ListAuditFindings API。
