创建安全配置文件上传认证文件上传自我评估启用 AWS Audit Manager 自动评估

设置 AWS Marketplace 供应商见解

以下过程描述了在 AWS Marketplace 软件即服务 (SaaS) 列表上设置 “ AWS Marketplace 供应商见解” 的高级步骤。

在你的 SaaS 列表上设置 “ AWS Marketplace 供应商见解”

创建安全配置文件.
（可选）上传认证文件。
上传自我评估.
（可选）启用 AWS Audit Manager 自动评估。

创建安全配置文件

安全配置文件可让您的买家详细了解您的软件产品的安全状况。安全配置文件使用相关的数据源，包括自我评估、认证和 AWS Audit Manager 自动评估。

注意

您可以创建有限数量的安全配置文件。要创建更多安全配置文件，可以请求增加限额。有关更多信息，请参阅 AWS 一般参考 中的 AWS 服务限额。

要创建安全配置文件，请执行以下操作：

使用有权访问 AWS Marketplace 卖家账户的 IAM 用户或角色登录。
选择产品，然后选择 SaaS 以导航到 SaaS 产品页面。
选择产品。
选择 Vendor Insights 选项卡，然后选择联系支持团队以添加安全配置文件。
填写表单，然后选择提交。

AWS Marketplace 卖家运营团队将创建安全配置文件。安全配置文件准备就绪后，他们将向表单上标识的收件人发送电子邮件通知。

上传认证文件

认证是一种数据源，可在多个维度上提供产品安全状况的证据。 AWS Marketplace 供应商见解支持以下认证：

FedRAMP 认证 – 验证是否符合美国政府的云安全标准
GDPR 合规报告 – 证明遵守了《通用数据保护条例》(GDPR) 的要求，保护了个人数据和个人的隐私
HIPAA 合规报告 – 证明遵守了《健康保险责任与保护法》(HIPAA) 法规，保护受保护的健康信息
ISO/IEC 27001 audit report – Confirms compliance with International Organization for Standardization (ISO)/International电工委员会 (IEC) 27001，强调信息安全标准
PCI DSS 审计报告 – 证明符合 PCI 安全标准委员会制定的安全标准
SOC2 2 类审计报告 – 确认遵守服务组织控制 (SOC) 数据隐私和安全控制

要上传认证文件，请执行以下操作：

在 Vendor Insights 选项卡上，导航至数据来源部分。
在认证下，选择上传认证文件。
在认证详情下，提供所需的信息并上传认证文件。
（可选）在标签下，添加新标签。

注意
有关标签的更多信息，请参阅《AWS 资源标记用户指南》中的标记 AWS 资源。
选择上传认证文件。

注意
该认证会自动与当前的安全配置文件关联。您还可以关联已经上传的认证文件。在产品详细信息页面上，在认证下选择关联认证，从列表中选择认证文件，然后选择关联认证。
上传认证文件后，可以使用产品详细信息页面上的下载认证文件按钮进行下载。也可以使用更新认证文件按钮更新认证文件详细信息。

认证状态将更改为，ValidationPending直到认证详细信息得到验证。在处理数据来源期间和之后，会显示另一种状态：
- 可用 - 数据来源已上传，系统验证成功完成。
- AccessDenied— AWS Marketplace 供应商见解无法再访问数据源的外部来源参考以供读取。
- ResourceNotFound— 数据源的外部源引用不再可供读 VendorInsights 取。
- ResourceNotSupported— 数据源已上传，但所提供的数据源尚不支持。有关验证错误的详细信息，请参阅状态消息。
- ValidationPending— 数据源已上传，但系统验证仍在运行。现阶段没有适合您的操作项目。状态已更新为 “可用” ResourceNotSupported、或 ValidationFailed。
- ValidationFailed— 数据源已上传，但由于一个或多个原因，系统验证失败。有关验证错误的详细信息，请参阅状态消息。

上传自我评估

自我评估是一种数据源，可提供产品安全状况的证据。 AWS Marketplace 供应商见解支持以下自我评估：

AWS Marketplace 供应商洞察自我评估
共识评估调查问卷（CAIQ）。有关更多信息，请参阅云安全联盟网站上的什么是 CAIQ。

要上传自我评估，请执行以下操作：

在 https://console.aws.amazon.com/marketplac AWS Marketplace e 上打开控制台。
在 Vendor Insights 选项卡上，导航至数据来源部分。
在自我评估下，选择上传自我评估。
在自我评估详情下，填写以下信息：
1. 名称 – 输入自我评估的名称。
2. 类型 – 从列表中选择评估类型。
  
  注意
  如果您选择了 Vendor Insights 安全自我评估，请选择下载模板以下载自我评估。为电子表格中的每个答案选择是、否或不适用。
要上传已完成的评估，请选择上传自我评估。
（可选）在标签下，添加新标签。

注意
有关标签的信息，请参阅《标记 AWS 资源用户指南》中的为 AWS 资源添加标签。
选择上传自我评估。

注意
自我评估会自动与当前的安全配置文件相关联。您还可以关联已经上传的自我评估。在产品详细信息页面上，在自我评估下选择关联自我评估，从列表中选择自我评估，然后选择关联自我评估。
上传自我评估后，可以使用产品详细信息页面上的下载自我评估按钮进行下载。也可以使用更新自我评估按钮更新自我评估详细信息。

状态更新为以下项之一：
- 可用 - 数据来源已上传，系统验证成功完成。
- AccessDenied— 数据源的外部源引用不再可供读 VendorInsights 取。
- ResourceNotFound— 数据源的外部源引用不再可供读 VendorInsights 取。
- ResourceNotSupported— 数据源已上传，但所提供的数据源尚不支持。有关验证错误的详细信息，请参阅状态消息。
- ValidationPending— 数据源已上传，但系统验证仍在运行。现阶段没有适合您的操作项目。状态已更新为 “可用” ResourceNotSupported、或 ValidationFailed。
- ValidationFailed— 数据源已上传，但由于一个或多个原因，系统验证失败。有关验证错误的详细信息，请参阅状态消息。

启用 AWS Audit Manager 自动评估

AWS Marketplace Vendor Insights 使用多个 AWS 服务来自动为您的安全配置文件收集证据。

您需要以下资源 AWS 服务和资源才能进行自动评估：

AWS Audit Manager— 为了简化 V AWS Marketplace endor Insights 的设置 StackSets，我们使用了 AWS CloudFormation Stacks 和，它们负责配置和配置必要的资源。堆栈集可创建包含由 AWS Config自动填充控制措施的自动评估。

有关的更多信息 AWS Audit Manager，请参阅《AWS Audit Manager 用户指南》。
AWS Config— 堆栈集部署 AWS Config 一致性包以设置必要的 AWS Config 规则。这些规则允许 Audit Manager 自动评估为其中 AWS 服务部署的其他人收集实时证据 AWS 账户。有关 AWS Config 功能的更多信息，请参阅《AWS Config 开发人员指南》。

注意
您可能会注意到，与随后的几个月 AWS Config 相比，在记录的最初一个月中，您的账户活动有所增加。在最初的引导过程中， AWS Config 请查看您账户中您选择 AWS Config 要记录的所有资源。
如果您运行临时工作负载，则可能会看到活动增加， AWS Config 因为它记录了与创建和删除这些临时资源相关的配置更改。临时工作负载 是临时使用在需要时加载和运行的计算资源。
临时工作负载的示例包括亚马逊弹性计算云 (Amazon EC2) 竞价型实例、亚马逊 EMR 任务和。 AWS Auto Scaling AWS Lambda为了避免因运行临时工作负载而增加活动，您可以在关闭的情况下在单独的帐户中运行这些类型的工作负载。 AWS Config 这种方法可以避免增加配置记录和规则评估。
Amazon S3 – 堆栈集创建以下两种 Amazon Simple Storage Service (Amazon S3) 存储桶：
- vendor-insights-stack-set-output-bucket-{账号} — 此存储桶包含堆栈集运行的输出。 AWS Marketplace 卖家运营团队使用输出来完成您的自动数据源创建流程。
- vendor-insights-assessment-reports-bucket-{账号} — 向此 Amazon S3 存储桶 AWS Audit Manager 发布评估报告。有关发布评估报告的更多信息，请参阅《AWS Audit Manager 用户指南》中的评估报告。
  
  有关 Amazon S3 特征的更多信息，请参阅 Amazon S3 用户指南。
IAM — 入职堆栈集在您的账户中配置以下 AWS Identity and Access Management (IAM) 角色：
- 部署 VendorInsightsPrerequisiteCFT.yml 模板后，它会创建管理员角色 AWSVendorInsightsOnboardingStackSetsAdmin 和运行角色 AWSVendorInsightsOnboardingStackSetsExecution。堆栈集使用管理员角色将所需的堆栈同时部署到多个 AWS 区域中。作为 Vendo AWS Marketplace r Insights 设置过程的一部分，管理员角色扮演执行角色，部署必要的父堆栈和嵌套堆栈。有关自行管理权限的更多信息，请参阅《AWS CloudFormation 用户指南》中的授予自行管理权限。
- 该AWSVendorInsightsRole角色为 V AWS Marketplace endor Insights 提供了阅读 AWS Audit Manager 资源中评估的权限。 AWS Marketplace 供应商见解会在您的 AWS Marketplace 供应商见解资料中显示评估中发现的证据。
- 为 AWSVendorInsightsOnboardingDelegationRole V AWS Marketplace endor Insights 提供了列出和读取vendor-insights-stack-set-output-bucket存储桶中对象的权限。此功能允许 AWS Marketplace 目录运营团队协助您设置 “ AWS Marketplace 供应商见解” 档案。
- 该AWSAuditManagerAdministratorAccess角色提供管理权限，用于启用或禁用 AWS Audit Manager、更新设置以及管理评估、控制和框架。您或您的团队可以代入此角色，在 AWS Audit Manager中采取措施进行自动评估。

要启用 AWS Audit Manager 自动评估，您必须部署入职堆栈。

部署载入堆栈

为了简化 V AWS Marketplace endor Insights 的设置 StackSets，我们使用了 AWS CloudFormation Stacks 和，它们负责配置和配置必要的资源。如果您有多个账户或多个 AWS 区域 SaaS 解决方案， StackSets 请允许您从中央管理账户部署入职堆栈。

有关的更多信息 CloudFormation StackSets，请参阅《AWS CloudFormation 用户指南》 AWS CloudFormation StackSets中的 “使用”。

AWS Marketplace 供应商见解设置要求您使用以下 CloudFormation 模板：

VendorInsightsPrerequisiteCFT— 设置在您的账户 CloudFormation StackSets 中运行所需的管理员角色和权限。在您的卖家账户中创建此堆栈。
VendorInsightsOnboardingCFT – 设置所需的 AWS 服务并配置相应的 IAM 权限。这些权限允许 V AWS Marketplace endor Insights 收集在您中运行的 SaaS 产品的数据， AWS 账户并在您的 AWS Marketplace 供应商见解资料中显示这些数据。在您的卖家账户和通过托管 SaaS 解决方案的生产账户中创建此堆栈 StackSets。

创建 VendorInsightsPrerequisiteCFT 堆栈

通过运行VendorInsightsPrerequisiteCFT CloudFormation 堆栈，您可以设置 IAM 权限以开始加载堆栈集。

要创建 VendorInsightsPrerequisiteCFT 堆栈

查看并从 GitHub网站上的 “供应商见解模板AWS 样本存储库” 文件夹中下载最新VendorInsightsPrerequisiteCFT.yml文件。
AWS Management Console 使用您的 AWS Marketplace 卖家账户登录，然后在 https://console.aws.amazon.com/cloudformat ion 上打开 AWS CloudFormation 控制台。
在 CloudFormation 控制台导航窗格中，选择堆栈，然后从下拉列表中选择创建堆栈和使用新资源（标准）。（如果导航窗格不可见，请在左上角选择并展开导航窗格。）
在指定模板下，选择上传模板文件。要上传您下载的 VendorInsightsPrerequisiteCFT.yml 文件，请使用选择文件。然后选择下一步。
输入堆栈的名称，然后选择下一步。
（可选）根据需要配置堆栈选项。

选择下一步。
在审核页面上，审核您的选择。要进行更改，请在要更改的区域中选择编辑。在创建堆栈之前，必须选中功能区域中的确认复选框。

选择提交。
创建堆栈后，选择资源选项卡并记下已创建的以下角色：
- AWSVendorInsightsOnboardingStackSetsAdmin
- AWSVendorInsightsOnboardingStackSetsExecution

创建 VendorInsightsOnboardingCFT 堆栈集

通过运行VendorInsightsOnboardingCFT CloudFormation 堆栈集，您可以设置所需的 IAM 权限 AWS 服务并配置相应的 IAM 权限。这允许 AWS Marketplace 供应商洞察收集在您中运行的 SaaS 产品的数据， AWS 账户并将其显示在您的 AWS Marketplace 供应商洞察资料中。

如果您有多账户解决方案，或者您有单独的卖家账户和生产账户，则必须将此堆栈部署到多个账户。 StackSets 允许您使用创建先决条件堆栈的管理帐户执行此操作。

堆栈集要使用自行管理的权限部署。有关更多信息，请参阅《AWS CloudFormation 用户指南》中的创建具有自行管理权限的堆栈集。

要创建 VendorInsightsOnboardingCFT 堆栈集

查看并从 GitHub网站上的 “供应商见解模板AWS 样本存储库” 文件夹中下载最新VendorInsightsOnboardingCFT.yml文件。
AWS Management Console 使用您的 AWS Marketplace 卖家账户登录，然后在 https://console.aws.amazon.com/cloudformat ion 上打开 AWS CloudFormation 控制台...
在 CloudFormation 控制台导航窗格中，选择创建 StackSet。（如果导航窗格不可见，请在左上角选择并展开导航窗格。）
在 “权限” 下，为管理员角色选择 IAM 角色名称，然后从下拉列表中选择角色名称。AWSVendorInsightsOnboardingStackSetsAdmin
输入 AWSVendorInsightsOnboardingStackSetsExecution 作为 IAM 执行角色名称。
在指定模板下，选择上传模板文件。要上传您下载的 VendorInsightsOnboardingCFT.yml 文件，请使用选择文件，然后选择下一步。
提供以下 StackSet 参数，然后选择 “下一步”。
- CreateVendorInsightsAutomatedAssessment— 此参数在您的中设置 AWS Audit Manager 自动评估 AWS 账户。如果您有单独的管理帐户和生产帐户，则应仅为生产帐户选择此选项，而不应为管理帐户选择此选项。
- CreateVendorInsightsIAMRoles— 此参数预置了一个 IAM 角色，允许 AWS Marketplace 供应商洞察读取您的评估数据 AWS 账户。
- PrimaryRegion – 此参数为您的 SaaS 部署设置主参数 AWS 区域。这是在您的中创建 S3 存储桶的区域 AWS 账户。如果您的 SaaS 产品仅部署到一个区域，则该区域为主要区域。
根据需要配置 StackSet 选项。将执行配置保持为非活动，然后选择下一步。
配置部署选项。如果您有多账户解决方案，则可以将堆栈集配置为通过单个操作跨多个账户和区域进行部署。选择下一步。

注意
如果您有多账户解决方案，我们不建议将解决方案作为单个堆栈集部署到所有账户。请密切注意步骤 7 中定义的参数。您可能需要启用或禁用某些参数，具体取决于您要部署到的账户的类型。 StackSets 在单个部署中将相同的参数应用于所有指定帐户。您可以通过对堆栈集中的账户进行分组来缩短部署时间，但是对于多账户解决方案，您仍然需要多次部署。

重要
如果您要部署到多个区域，则列出的第一个区域必须是 PrimaryRegion。将区域并发选项保留为顺序的默认设置。
在审核页面上，审核您的选择。要进行更改，请在要更改的区域中选择编辑。在创建堆栈集之前，必须选中功能区域中的确认复选框。

选择提交。

每个区域的堆栈集大约需要 5 分钟才能完成。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

了解 AWS Marketplace 供应商见解

编辑配置文件