了解 AWS Audit Manager 概念和術語 - AWS Audit Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

了解 AWS Audit Manager 概念和術語

為了協助您開始使用,此頁面定義術語並說明以下項目的一些關鍵概念: AWS Audit Manager.

A

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

評估

您可以使用 Audit Manager 評估來自動收集與稽核相關的證據。

評估是以架構為基礎,架構是與稽核相關的一組控制項。您可以從標準架構或自訂架構建立評估。標準架構包含支援特定合規標準或法規的預建控制集。相反地,自訂架構包含的控制項可讓您根據特定稽核需求自訂和分組。使用架構作為起點,您可以建立指定 AWS 帳戶 您想要包含在稽核範圍內的項目。

當您建立評估時,Audit Manager 會自動開始評估 AWS 帳戶 基於框架中定義的控件。接著,收集相關證據並將其轉換為易於稽核的格式。執行此操作後,它會將證據附加到評估中的控制項中。當需要進行稽核時,您或您選擇的委派代表可以檢閱收集的證據,然後將其新增至評估報告中。此評估報告可協助您證明您的控制項如期運作。

證據收集程序為持續過程,會在您建立評估時開始。您可以將評估狀態變更為非作用中,以停止證據收集。或者,您可以在控制層級停止證據收集。您可以將評估中的特定控制項狀態變更為非作用中來執行此操作。

如需有關建立與管理評估的說明,請參閱 在 中管理評估 AWS Audit Manager

評估報告

評估報告是由 Audit Manager 評估產生的最終文件。這些報告為您總結稽核收集的相關證據。它們連結到相關證據文件夾。資料夾會根據評估中所指定的控制項來命名和組織。對於每項評估,您可以檢閱 Audit Manager 收集的證據,並決定要在評估報告中包含哪些證據。

如需進一步了解評估報告,請參閱 評估報告。如需了解如何產生評估報告,請參閱 在 中準備評估報告 AWS Audit Manager

評估報告目的地

評估報告目的地是 Audit Manager 儲存您的評估報告的預設 S3 儲存貯體。如需進一步了解,請參閱 設定您的預設評估報告目標

稽核

稽核是對您組織的資產、營運或業務完整性進行獨立檢查。資訊技術 (IT) 稽核會特別檢查組織資訊系統內的控制項。IT 稽核的目標是判斷資訊系統是否保護資產並有效運作,以及維護資料完整性。所有這些對於滿足合規標準或法規規定的監管要求至關重要。

稽核擁有者

稽核擁有者一詞會根據前後關聯性而有兩種不同的意義。

在 Audit Manager 的前後關聯性中,稽核擁有者是管理評估及其相關資源的使用者或角色。此 Audit Manager 角色的職責包括建立評估、檢閱證據以及產生評估報告。Audit Manager 是一項協作服務,當其他利益關係者參與其評估時,稽核擁有者將受益匪淺。例如,您可以將其他稽核擁有者新增至您的評估,以共享管理任務。或者,如果您是稽核擁有者,且需要協助解譯為控制項所收集的證據,您可以將該控制集委派給在該領域擁有專業知識的利益關係者。這樣的人被稱為委派代表角色。

在商業術語中,稽核擁有者是協調和監督其公司的稽核準備工作,並向稽核人員提供證據的人。通常,這是一名治理、風險和法規遵循 (GRC) 專業人員,例如合規官或GDPR資料保護官。GRC專業人士擁有管理審計準備的專業知識和權力。具體來說,他們了解合規需求,並可以分析、解譯和準備報告資料。不過,其他業務角色也可以假設稽核擁有者的稽核管理員角色,不僅GRC專業人員會擔任此角色。例如,您可以選擇由以下團隊之一的技術專家進行設定和管理 Audit Manager 評估:

  • SecOps

  • 資訊科技/DevOps

  • 安全營運中心/事件回應

  • 相關團隊負責擁有、開發、修復和部署雲端資產,以及了解組織雲端基礎架構

您在 Audit Manager 評估中,選擇指定誰作為稽核擁有者,這很大程度上取決於您的組織。這同時取決於您如何架構安全性作業,以及其稽核細節。在 Audit Manager 中,同一個人可以在一項評估中擔任稽核擁有者角色,在另一個評估中擔任委派代表角色。

無論您選擇如何使用 Audit Manager,都可以使用稽核擁有者/委派人物角色管理整個組織的職責分離,並將特定IAM策略授與每位使用者。透過這兩個步驟的方法,Audit Manager 可確保您完全掌控個別評估的所有細節。如需詳細資訊,請參閱 中的使用者角色建議政策 AWS Audit Manager

AWS 受管理來源

同時 AWS 託管來源是證據來源 AWS 為您維護。

每個 AWS Managed source 是預先定義的資料來源群組,可對應至特定的通用控制項或核心控制項。當您使用通用控制項做為證據來源時,您會自動收集支援該通用控制項的所有核心控制項的證據。您也可以使用個別核心控制項做為證據來源。

每當一個 AWS 受管理的來源已更新,相同的更新會自動套用至使用該控制項的所有自訂控制項 AWS 受管理的來源。這表示您的自訂控制項會針對該證據來源的最新定義收集證據。這可協助您確保在雲端合規環境變更時持續遵循法規遵循。

另請參閱:customer managed sourceevidence source

C

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

Changelog

Audit Manager 會針對評估中的每個控制項追蹤該控制項的使用者活動。您可以檢閱與特定控制項相關之活動的稽核記錄。如需有關在變更記錄檔中擷取哪些使用者活動的詳細資訊,請參閱Changelog 索引標籤

雲端合規

雲端合規是雲端交付的系統必須符合雲端客戶所面臨的標準的一般原則。

共同控制

請參閱 control

合規監管

合規監管是由當局規定的法律、規則或其他命令,通常用於規範行為。其中一個例子是GDPR。

合規標準

合規標準是一套結構化的準則,詳細說明組織維持與既定法規、規範或立法一致的過程。範例包括PCIDSS和HIPAA。

控制項

控制項是為資訊系統或組織規定的保護或對策。控制項旨在保護您資訊的機密性、完整性和可用性,並符合一組定義的要求。它們可確保您的資源如預期運作、資料可靠,而且您的組織遵守適用的法律和法規。

在 Audit Manager 中,控制項還可以代表供應商風險評估問卷中的一個問題。在這種情況下,控制項是一個特定的問題,詢問有關組織的安全性和合規性狀況的資訊。

控制項會在 Audit Manager 評估中處於有效狀態時持續收集證據。您也可以手動將證據新增至任何控制項。每個證據都是一條記錄,可幫助您證明是否符合控制項的要求。

Audit Manager 提供下列類型的控制項:

控制類型 描述

共同控制

您可以將共同的控制項視為可協助您達成控制目標的動作。由於通用控制項並非針對任何合規標準,因此可協助您收集可支援一系列重疊合規義務的證據。

例如,假設有一個稱為數據分類和處理的控制目標。為了達成此目標,您可以實作稱為存取控制的通用控制項,以監控和偵測資源的未經授權存取。

  • 自動化通用控制項會為您收集證據。它們由一個或多個相關核心控制項的群組組成。反過來,這些核心控制項都會自動從預先定義的群組中收集相關證據 AWS 資料來源。 AWS 為您管理這些基礎資料來源,並在法規和標準變更以及識別新資料來源時更新這些資料來源。

  • 手動通用控制要求您上傳自己的證據。這是因為它們通常需要提供物理記錄,或者有關發生在您之外的事件的詳細信息 AWS 環境。出於這個原因,通常沒有 AWS 可產生證據以支援手動通用控制項需求的資料來源。

您無法編輯通用控制項。不過,當您建立自訂控制項時,您可以使用任何通用控制項做為證據來源。

核心控制

這是您的規定指南 AWS 環境。您可以將核心控制項視為可協助您符合共同控制項需求的動作。

例如,假設您使用稱為「存取控制」的通用控制項來監控資源的未經授權存取。若要支援此通用控制項,您可以在 S3 儲存貯體中使用稱為「封鎖公用讀取存取」的核心控制項。

由於核心控制項並非特定於任何合規標準,因此它們會收集可支援一系列重疊合規義務的證據。每個核心控制項都使用一或多個資料來源來收集有關特定資料的證據 AWS 服務. AWS 為您管理這些基礎資料來源,並在法規和標準變更以及識別新資料來源時更新這些資料來源。

您無法編輯核心控制項。不過,當您建立自訂控制項時,您可以使用任何核心控制項做為證據來源。

標準控制

這是 Audit Manager 提供的預先建置控制項。

您可以使用標準控制項來協助您針對特定合規標準進行稽核準備。每個標準控制項都與 Audit Manager framework 中的特定標準相關,並收集證據供您用來證明是否符合該架構。標準控制項會從基礎資料來源收集證據, AWS 管理。每當法規和標準發生變化以及識別新的資料來源時,這些資料來源都會自動更新。

您無法編輯標準控制項。但是,您可以製作任何標準控制項的可編輯副本

自訂控制

這是您在 Audit Manager 中建立的控制項,以符合您的特定規範遵循需求。

您可以從頭開始建立自訂控制項,或建立現有標準控制項的可編輯複本。建立自訂控制項時,您可以定義特evidence source定的控制項,以決定 Audit Manager 從何處收集證據。建立自訂控制項之後,您可以編輯該控制項或將其新增至自訂架構。您也可以製作任何自訂控制項的可編輯副本

控制網域

您可以將控制網域視為控制項類別,這些控制項並非特定於任何規範標準。控制網域的一個範例是資料保護

出於簡單的組織目的,控制項通常依網域分組。每個網域都有多個目標。

控制項網域群組是 Audit Manager 儀表板最強大的功能之一。Audit Manager 會強調顯示評估中具有不合規證據的控制項,並依控制項網域進行分組。這可讓您在準備稽核時,將修復工作集中在特定主題領域上。

控制目標

控制目標描述了落在其下方的共同控制項的目標。每個目標都可以有多個共同的控制項。如果這些通用控制項已成功實作,它們會協助您達成目標。

每個控制目標都屬於控制域之下。例如,資料保護控制網域可能具有名為「資料分類和處理」的控制目標。若要支援此控制目標,您可以使用稱為「存取控制」的通用控制項來監控和偵測資源的未經授權存取。

核心控制

請參閱 control

自訂控制

請參閱 control

客戶管理來源

客戶管理來源是您定義的證據來源。

在 Audit Manager 中建立自訂控制項時,您可以使用此選項建立您自己的個別資料來源。這使您可以靈活地從特定業務資源(例如自定義)收集自動證據 AWS Config 規則。如果您想要將手動證據新增至自訂控制項,也可以使用此選項。

當您使用客戶管理的來源時,您必須負責維護您建立的所有資料來源。

另請參閱:AWS managed sourceevidence source

D

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

資料來源

Audit Manager 會使用資料來源收集控制項的證據。資料來源具有下列屬性:

  • 資料來源類型定義 Audit Manager 從哪一種類型的資料來源收集證據。

    • 對於自動證據,類型可以是 AWS Security Hub, AWS Config, AWS CloudTrail, 或 AWS API呼叫。

    • 如果您上傳自己的證據,類型為「手動」。

    • Audit Manager 將資料來源類型API稱為 sourceType.

  • 資料來源對應是指定資料來源類型從何處收集證據的關鍵字。

    • 例如,這可能是 CloudTrail 事件的名稱或事件的名稱 AWS Config 規則。

    • Audit Manager 將對映的資料來源API稱為 sourceKeyword.

  • 資料來源名稱會標示資料來源類型和對映的配對。

    • 對於標準控制項,Audit Manager 會提供預設名稱。

    • 對於自定義控件,您可以提供自己的名稱。

    • Audit Manager API 將資料來源名稱稱稱稱稱稱稱稱為sourceName

單一控制項可以有多個資料來源類型和多個映射項目。例如,一個控制項可能會從資料來源類型的混合中收集證據 (例如 AWS Config 和 Security Hub)。另一個控件可能有 AWS Config 作為其唯一的數據源類型,具有多個 AWS Config 規則作為映射。

下表列出自動化資料來源類型,並顯示一些映射項目的範例。

Data source type (資料來源類型) 說明 映射範例
AWS Security Hub

使用此資料來源類型可擷取資源安全狀態的快照。

Audit Manager 會使用 Security Hub 控制項的名稱作為映射關鍵字,並直接從安全性中心報告該安全檢查的結果。

EC2.1

AWS Config

使用此資料來源類型可擷取資源安全狀態的快照。

Audit Manager 使用 AWS Config 規則作為映射關鍵字,並直接從中報告該規則檢查的結果 AWS Config.

SNS_ENCRYPTED_KMS

AWS CloudTrail

使用此資料來源類型可追蹤稽核中所需的特定使用者活動。

Audit Manager 會使用 CloudTrail 事件的名稱做為對應關鍵字,並從 CloudTrail 記錄中收集相關的使用者活動。

CreateAccessKey

AWS API呼叫

使用此資料來源類型,透過API呼叫特定資源組態建立快照 AWS 服務.

Audit Manager 會使用API呼叫名稱作為對應關鍵字,並收集API回應。

kms_ListKeys

委派代表

代表是一個 AWS Audit Manager 權限有限的使用者。委派代表通常在多個不同領域具備專業的業務或技術專長。例如,這些專業知識可能涵蓋資料保留政策、培訓計劃、網路基礎結構或身分管理等領域。委派代表可幫助稽核擁有者檢閱其專業領域內的控制項所收集到的證據。委派代表可以檢閱控制集及其相關證據,以及新增評論、上傳其他證據,並更新您指派給他們檢閱的各控制項狀態。

稽核擁有者會指派特定控制集給委派代表,而非整個評估。因此,委派代表對評估的存取權限有限。如需關於委派控制集的說明,請參閱 中的代表團 AWS Audit Manager

E

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

證據

證據是包含證明是否符合控制項要求所需資訊的記錄。證據的範例包括使用者調用的變更活動,以及系統組態快照集。

Audit Manager 中主要分為兩種證據類型:自動化證據手動證據

證據類型

描述

自動化證據

這是 Audit Manager 自動收集的證據。自動化證據包括以下三種類別:

  1. 符合性檢查 — 從擷取符合性檢查的結果 AWS Security Hub, AWS Config,或兩者兼而有之。

    符合性檢查的範例包括來自 Security Hub 的PCIDSS控制項的安全性檢查結果,以及 AWS Config HIPAA控制項的規則評估。

    如需詳細資訊,請參閱 AWS Config 規則 支援 AWS Audit ManagerAWS Security Hub 支援的控制項 AWS Audit Manager

  2. 使用者活動 — 會在活動發生時從 CloudTrail 記錄擷取變更資源配置的使用者活動。

    使用者活動的範例包括路由表更新、Amazon RDS 執行個體備份設定變更,以及 S3 儲存貯體加密政策變更。

    如需詳細資訊,請參閱AWS CloudTrail 支援的事件名稱 AWS Audit Manager

  3. 組態資料 — 資源組態的快照會直接從 AWS 服務 每天,每週或每月。

    組態快照的範例包括VPC路由表的路由清單、Amazon RDS 執行個體備份設定和 S3 儲存貯體加密政策。

    如需詳細資訊,請參閱AWS 支援的 API 呼叫 AWS Audit Manager

手動證據

這是您自行新增至 Audit Manager 的證據。新增自己的證據有以下三種方法:

  1. 從 Amazon S3 匯入檔案

  2. 從瀏覽器上傳檔案

  3. 輸入風險評估問題的文字回覆

如需詳細資訊,請參閱在 中新增手動證據 AWS Audit Manager

自動化證據收集會在您建立評估時啟動。這是一個持續的程序,Audit Manager 會根據證據類型和基礎資料來源,以不同的頻率收集證據。如需詳細資訊,請參閱了解如何 AWS Audit Manager 收集證據

如需關於檢閱評估中證據的說明,請參閱在 中檢閱證據 AWS Audit Manager

證據來源

證據來源定義控制項從何處收集證據。它可以是個別資料來源,也可以是對應至通用控制項或核心控制項的預先定義資料來源群組。

建立自訂控制項時,您可以從中收集證據 AWS 受管理來源、客戶管理來源,或兩者兼而有之。

提示

我們建議您使用 AWS 受管理的來源。每當一個 AWS 受管理的來源會更新,相同的更新會自動套用至使用這些來源的所有自訂控制項。這表示您的自訂控制項一律會針對該證據來源的最新定義收集證據。這可協助您確保在雲端合規環境變更時持續遵循法規遵循。

另請參閱:AWS managed sourcecustomer managed source

證據收集方法

控制項可以透過兩種方式收集證據。

證據收集方法

描述

自動化

自動化控制項會自動收集證據 AWS 資料來源。自動化證據可以幫助您證明對此控制項的完全或部分合規性。

手動

手動控制要求您上傳自己的證據,以證明是否符合控制。

注意

您可以將手動證據附加到任何自動化控制項。在許多情況下,需要結合自動化和手動證據來證明控制項完全合規。雖然 Audit Manager 可以提供有用且相關的自動化證據,但某些自動化證據可能只會顯示部分合規性。在這種情況下,您可以用自己的證據來補充 Audit Manager 提供自動化證據。

例如:

  • AWS 生成式 AI 最佳實務架構 v2包含一個名為的控制項Error analysis。此控制項需要您分辨在模型使用中何時偵測到不準確性。並要求您進行徹底的錯誤分析,以了解根本原因並採取糾正措施。

  • 為了支援此控制項,Audit Manager 會收集自動證據,以顯示是否已啟用 CloudWatch警示 AWS 帳戶 您的評估正在執行的位置。您可以使用此證據來證明對控制項的部分合規,以證明您的警報和檢查已正確配置。

  • 為了證明完全合規,您可以用手動證據補充自動化證據。例如,您可以上傳顯示錯誤分析過程、升級和報告的閾值,以及根本原因分析結果的策略或程序。您可以使用此手動證據來證明建立的策略已到位,並在出現提示時採取了糾正措施。

如需更詳細的範例,請參閱混合資料來源的控制項

匯出目的地

匯出目的地是預設 S3 儲存貯體,Audit Manager 會儲存您從證據搜尋工具匯出的檔案。如需詳細資訊,請參閱設定證據搜尋器的預設匯出目的地

F

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

架構

Audit Manager 架構會針對特定標準或風險治理原則,建構並自動化評估。這些框架包括一系列預先構建或客戶定義的控件,它們可以幫助您映射 AWS 這些控制項需求的資源。

Audit Manager 中有兩種類型的架構。

框架類型

描述

標準框架

這是一個預構建的框架,基於 AWS 各種合規性標準和法規的最佳實踐。

您可以使用標準架構協助針對特定合規性標準或法規進行稽核準備工作,例如PCIDSS或HIPAA。

自定義框架

這是您定義為 Audit Manager 使用者的自訂架構。

您可以使用自訂架構,根據您的特定GRC需求協助稽核準備工作。

如需有關建立與管理架構的說明,請參閱 使用框架庫來管理框架 AWS Audit Manager

注意

AWS Audit Manager 協助收集與驗證符合特定合規標準和法規相關的證據。不過,這不會評估您的合規狀態。通過收集的證據 AWS Audit Manager 因此可能不包含有關您的所有信息 AWS 稽核所需的使用方式。 AWS Audit Manager 不是法律顧問或合規專家的替代品。

架構共享

您可以使用該共享自定義框架 AWS Audit Manager功能快速共享您的自定義框架 AWS 帳戶 和地區。如果共享自訂架構,您可以建立共享要求。接著收件者有 120 天的時間接受或拒絕要求。當他們接受時,Audit Manager 會將共享的自訂架構複寫到其架構程式庫中。除了複寫自訂架構之外,Audit Manager 也會複寫該架構中包含的所有自訂控制集和控制項。這些自訂控制項會新增至收件者的控制項程式庫。Audit Manager 不會複寫標準架構或控制項。這是因為這些資源在每個帳戶和區域中,已預設為可用。

R

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

資源

資源是在稽核中評估的實體或資訊資產。的例子 AWS 資源包括 Amazon EC2 實例,Amazon RDS 實例,Amazon S3 存儲桶和 Amazon VPC 子網。

資源評估

資源評估是評估個別資源的程序。此評估基於控制項的需求。當評估處於有效狀態時,Audit Manager 會針對評估範圍內的每個獨立資源執行資源評估。資源評估會執行下列任務:

  1. 收集證據,包括資源配置,事件日誌和調查結果

  2. 將證據轉換並映射到控制項

  3. 儲存和追蹤證據的歷程,以實現完整性

資源合規性

資源合規性是指在收集合規檢查證據時,對資源進行評估的狀態。

Audit Manager 會針對使用的控制項收集符合性檢查 AWS Config 和 Security Hub 作為數據源類型。證據收集期間,可能會評估多個資源。因此,單一合規檢查證據可以包含一或多個資源。

您可以使用證據搜尋工具中的資源合規性篩選器來搜索資源層級的合規狀態。搜尋完成後,您就可以預覽符合搜尋條件的資源。

在證據搜尋工具中,資源合規有三種可能的值:

Value

描述

不符合規定

這是指具有合規性檢查問題的資源。

如果 Security Hub 報告資源的失敗結果,或者如果 AWS Config 報告不相容的結果。

符合

這是指沒有符合性檢查問題的資源。

如果 Security Hub 報告資源的「通過」結果,或者如果 AWS Config 報告符合標準的結果。

不確定的

這是指符合性檢查不可用或不適用的資源。

這種情況發生在 AWS Config 或 Security Hub 是基礎資料來源類型,但這些服務未啟用。

如果基礎數據源類型不支持合規檢查(例如手動證據, AWS API呼叫,或 CloudTrail)。

S

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

服務範圍

稽核管理員管理哪些 AWS 服務 在您的評估範圍內。如果您有較舊的評估,可能是您過去手動指定範圍內的服務。在 2024 年 6 月 4 日之後,您無法手動指定或編輯範圍內的服務。

範圍內的服務是 AWS 服務 您的評估會收集有關的證據。當服務包含在評估範圍內時,Audit Manager 會評估該服務的資源。一些範例資源包括如下:

  • Amazon EC2 實例

  • S3 儲存貯體

  • IAM使用者或角色

  • DynamoDB 資料表

  • 網路元件,例如 Amazon Virtual Private Cloud (VPC)、安全群組或網路存取控制清單 (ACL) 表

例如,如果 Amazon S3 是範圍內的服務,Audit Manager 可以收集有關 S3 儲存貯體的證據。收集的確切證據由控件確定data source。例如,如果資料來源類型為 AWS Config,而資料來源對映為 AWS Config 規則 (例如s3-bucket-public-write-prohibited),Audit Manager 會收集該規則評估的結果作為證據。

注意

請記住,範圍內的服務與數據源類型不同,該數據源類型也可以是 AWS 服務 或者別的東西。如需詳細資訊,請參閱範圍內的服務和資料來源類型有什麼不同?本指南的「疑難排解」一節中的。

標準控制

請參閱 control