理解 AWS Audit Manager 概念和術語 - AWS Audit Manager
ACDEFRS

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

理解 AWS Audit Manager 概念和術語

為了協助您入門,本頁面定義了術語和解釋了 AWS Audit Manager的一些重要概念。

A

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

評估

您可以使用 Audit Manager 評估來自動收集與稽核相關的證據。

評估是以架構為基礎,架構是與稽核相關的一組控制項。您可以從標準架構或自訂架構建立評估。標準架構包含支援特定合規標準或法規的預建控制集。相反地,自訂架構包含控制項,您可以根據特定稽核需求自訂和分組。使用架構作為起點,您可以建立評估,以指 AWS 帳戶 定要包含在稽核範圍中的內容。

當您建立評估時,Audit Manager 會 AWS 帳戶 根據架構中定義的控制項,自動開始評估您中的資源。接著,收集相關證據並將其轉換為易於稽核的格式。執行此操作後,它會將證據附加到評估中的控制項中。當需要進行稽核時,您或您選擇的委派代表可以檢閱收集的證據,然後將其新增至評估報告中。此評估報告可協助您證明您的控制項如期運作。

證據收集程序為持續過程,會在您建立評估時開始。您可以將評估狀態變更為非作用中,以停止證據收集。或者,您可以在控制層級停止證據收集。您可以將評估中的特定控制項狀態變更為非作用中來執行此操作。

如需有關建立與管理評估的說明,請參閱 管理評估 AWS Audit Manager

評估報告

評估報告是由 Audit Manager 評估產生的最終文件。這些報告為您總結稽核收集的相關證據。它們連結到相關證據文件夾。資料夾會根據評估中所指定的控制項來命名和組織。對於每項評估,您可以檢閱 Audit Manager 收集的證據,並決定要在評估報告中包含哪些證據。

如需進一步了解評估報告,請參閱 評估報告。如需了解如何產生評估報告,請參閱 準備評估報告 AWS Audit Manager

評估報告目的地

評估報告目的地是 Audit Manager 儲存您的評估報告的預設 S3 儲存貯體。如需進一步了解,請參閱設定您的預設評估報告目標

稽核

稽核是對您組織的資產、營運或業務完整性進行獨立檢查。資訊技術 (IT) 稽核會特別檢查組織資訊系統內的控制項。IT 稽核的目標是判斷資訊系統是否保護資產並有效運作,以及維護資料完整性。所有這些對於滿足合規標準或法規規定的監管要求至關重要。

稽核擁有者

稽核擁有者一詞會根據前後關聯性而有兩種不同的意義。

在 Audit Manager 的前後關聯性中,稽核擁有者是管理評估及其相關資源的使用者或角色。此 Audit Manager 角色的職責包括建立評估、檢閱證據以及產生評估報告。Audit Manager 是一項協作服務,當其他利益關係者參與其評估時,稽核擁有者將受益匪淺。例如,您可以將其他稽核擁有者新增至您的評估,以共享管理任務。或者,如果您是稽核擁有者,且需要協助解譯為控制項所收集的證據,您可以將該控制集委派給在該領域擁有專業知識的利益關係者。這樣的人被稱為委派代表角色。

在商業術語中,稽核擁有者是協調和監督其公司的稽核準備工作,並向稽核人員提供證據的人。一般而言,這是控管、風險和合規 (GRC) 專業人員,例如合規官員或 GDPR 資料保護官。GRC 專業人員擁有管理稽核準備的專業知識和權力。具體來說,他們了解合規需求,並可以分析、解譯和準備報告資料。不過,其他業務角色也可以承擔稽核擁有者的 Audit Manager 角色,不僅是由 GRC 專業人員來擔任。例如,您可以選擇由以下團隊之一的技術專家進行設定和管理 Audit Manager 評估:

  • SecOps

  • 資訊科技/DevOps

  • 安全營運中心/事件回應

  • 相關團隊負責擁有、開發、修復和部署雲端資產,以及了解組織雲端基礎架構

您在 Audit Manager 評估中,選擇指定誰作為稽核擁有者,這很大程度上取決於您的組織。這同時取決於您如何架構安全性作業,以及其稽核細節。在 Audit Manager 中,同一個人可以在一項評估中擔任稽核擁有者角色,在另一個評估中擔任委派代表角色。

無論您選擇如何使用 Audit Manager,都可以使用稽核擁有者/委派角色管理整個組織的職責分離,並將特定的 IAM 政策授予每位使用者。透過這兩個步驟的方法,Audit Manager 可確保您完全掌控個別評估的所有細節。如需詳細資訊,請參閱 中使用者角色的建議政策 AWS Audit Manager

AWS 受管理來源

AWS 託管來源是為您 AWS 維護的證據來源。

每個 AWS 受管理的來源都是預先定義的資料來源群組,可對應至特定的通用控制項或核心控制項。當您使用通用控制項做為證據來源時,您會自動收集支援該通用控制項的所有核心控制項的證據。您也可以使用個別核心控制項做為證據來源。

每當受 AWS 管理的來源更新時,相同的更新都會自動套用至使用該 AWS 受管理來源的所有自訂控制項。這表示您的自訂控制項會針對該證據來源的最新定義收集證據。這可協助您確保在雲端合規環境變更時持續遵循法規遵循。

另請參閱:customer managed sourceevidence source

C

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

Changelog

Audit Manager 會針對評估中的每個控制項追蹤該控制項的使用者活動。您可以檢閱與特定控制項相關之活動的稽核記錄。如需有關在變更記錄檔中擷取哪些使用者活動的詳細資訊,請參閱Changelog 索引標籤

雲端合規

雲端合規是雲端交付的系統必須符合雲端客戶所面臨的標準的一般原則。

共同控制

請參閱control

合規監管

合規監管是由當局規定的法律、規則或其他命令,通常用於規範行為。一個範例是 GDPR。

合規標準

合規標準是一套結構化的準則,詳細說明組織維持與既定法規、規範或立法一致的過程。範例包括 PCI DSS 和 HIPAA。

控制項

控制項是為資訊系統或組織規定的保護或對策。控制項旨在保護您資訊的機密性、完整性和可用性,並符合一組定義的要求。它們可確保您的資源如預期運作、資料可靠,而且您的組織遵守適用的法律和法規。

在 Audit Manager 中,控制項還可以代表供應商風險評估問卷中的一個問題。在這種情況下,控制項是一個特定的問題,詢問有關組織的安全性和合規性狀況的資訊。

控制項會在 Audit Manager 評估中處於有效狀態時持續收集證據。您也可以手動將證據新增至任何控制項。每個證據都是一條記錄,可幫助您證明是否符合控制項的要求。

Audit Manager 提供下列類型的控制項:

控制類型 描述

共同控制

您可以將共同的控制項視為可協助您達成控制目標的動作。由於通用控制項並非針對任何合規標準,因此可協助您收集可支援一系列重疊合規義務的證據。

例如,假設有一個稱為數據分類和處理的控制目標。為了達成此目標,您可以實作稱為存取控制的通用控制項,以監控和偵測資源的未經授權存取。

  • 自動化通用控制項會為您收集證據。它們由一個或多個相關核心控制項的群組組成。反過來,這些核心控制項都會自動從預先定義的 AWS 資料來源群組收集相關證據。 AWS 為您管理這些基礎資料來源,並在法規和標準變更以及識別新資料來源時更新這些資料來源。

  • 手動通用控制要求您上傳自己的證據。這是因為它們通常需要提供實體記錄,或關於發生在您 AWS 環境之外的事件的詳細資料。因此,通常沒有 AWS 資料來源可以產生證據來支援手動通用控制項的需求。

您無法編輯通用控制項。不過,當您建立自訂控制項時,您可以使用任何通用控制項做為證據來源。

核心控制

這是您 AWS 環境的規範準則。您可以將核心控制項視為可協助您符合共同控制項需求的動作。

例如,假設您使用稱為「存取控制」的通用控制項來監控資源的未經授權存取。若要支援此通用控制項,您可以在 S3 儲存貯體中使用稱為「封鎖公用讀取存取」的核心控制項。

由於核心控制項並非特定於任何合規標準,因此它們會收集可支援一系列重疊合規義務的證據。每個核心控制項都使用一或多個資料來源來收集有關特定資料的證據 AWS 服務。 AWS 為您管理這些基礎資料來源,並在法規和標準變更以及識別新資料來源時更新這些資料來源。

您無法編輯核心控制項。不過,當您建立自訂控制項時,您可以使用任何核心控制項做為證據來源。

標準控制

這是 Audit Manager 提供的預先建置控制項。

您可以使用標準控制項來協助您針對特定合規標準進行稽核準備。每個標準控制項都與 Audit Manager framework 中的特定標準相關,並收集證據供您用來證明是否符合該架構。標準控制項會從 AWS 管理的基礎資料來源收集證據。每當法規和標準發生變化以及識別新的資料來源時,這些資料來源都會自動更新。

您無法編輯標準控制項。但是,您可以製作任何標準控制項的可編輯副本

自訂控制

這是您在 Audit Manager 中建立的控制項,以符合您的特定規範遵循需求。

您可以從頭開始建立自訂控制項,或建立現有標準控制項的可編輯複本。建立自訂控制項時,您可以定義特evidence source定的控制項,以決定 Audit Manager 從何處收集證據。建立自訂控制項之後,您可以編輯該控制項或將其新增至自訂架構。您也可以製作任何自訂控制項的可編輯副本
控制網域

您可以將控制網域視為控制項類別,並非特定於任何合規性標準。控制網域的一個範例是資料保護

出於簡單的組織目的,控制項通常依網域分組。每個網域都有多個目標。

控制項網域群組是 Audit Manager 儀表板最強大的功能之一。Audit Manager 會強調顯示評估中具有不合規證據的控制項,並依控制項網域進行分組。這可讓您在準備稽核時,將修復工作集中在特定主題領域上。

控制目標

控制目標描述了落在其下方的共同控制項的目標。每個目標都可以有多個共同的控制項。如果這些通用控制項已成功實作,它們會協助您達成目標。

每個控制目標都屬於控制域之下。例如,資料保護控制網域可能具有名為「資料分類和處理」的控制目標。若要支援此控制目標,您可以使用稱為「存取控制」的通用控制項來監控和偵測資源的未經授權存取。

核心控制

請參閱control

自訂控制

請參閱control

客戶管理來源

客戶管理的來源是您定義的證據來源。

在 Audit Manager 中建立自訂控制項時,您可以使用此選項建立您自己的個別資料來源。這使您可以靈活地從業務特定資源(例如自定義 AWS Config 規則)收集自動證據。如果您想要將手動證據新增至自訂控制項,也可以使用此選項。

當您使用客戶管理的來源時,您必須負責維護您建立的所有資料來源。

另請參閱:AWS managed sourceevidence source

D

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

資料來源

Audit Manager 會使用資料來源收集控制項的證據。資料來源具有下列屬性:

  • 資料來源類型定義 Audit Manager 從哪一種類型的資料來源收集證據。

    • 對於自動證據,類型可以是AWS Security HubAWS Config AWS CloudTrail、AWS API 呼叫。

    • 如果您上傳自己的證據,則類型為「手動」。

    • Audit Manager API 會將資料 source Type 稱為來源類型。

  • 資料來源對應是指定資料來源類型從何處收集證據的關鍵字。

    • 例如,這可能是 CloudTrail 事件的名稱或 AWS Config 規則的名稱。

    • Audit Manager API 會將資料來源對應稱為來關鍵字。

  • 資料來源名稱會標示資料來源類型和對映的配對。

    • 對於標準控制項,Audit Manager 會提供預設名稱。

    • 對於自定義控件,您可以提供自己的名稱。

    • Audit Manager API 會將資料來源名稱稱為 sourceName

單一控制項可以有多個資料來源類型和多個映射項目。例如,一個控制項可能會從混合的資料來源類型 (例如 AWS Config 和 Security Hub) 收集證據。另一個控件可能具有 AWS Config 作為其唯一的數據源類型,多個 AWS Config 規則作為映射。

下表列出自動化資料來源類型,並顯示一些映射項目的範例。

Data source type (資料來源類型) 說明 映射範例
AWS Security Hub

使用此資料來源類型可擷取資源安全狀態的快照。

Audit Manager 會使用 Security Hub 控制項的名稱作為映射關鍵字,並直接從安全性中心報告該安全檢查的結果。

EC2.1
AWS Config

使用此資料來源類型可擷取資源安全狀態的快照。

Audit Manager 會使用 AWS Config 規則的名稱作為對應關鍵字,並直接從中報告該規則檢查的結果 AWS Config。

SNS_ENCRYPTED_KMS
AWS CloudTrail

使用此資料來源類型可追蹤稽核中所需的特定使用者活動。

Audit Manager 會使用 CloudTrail 事件的名稱做為對應關鍵字,並從 CloudTrail 記錄中收集相關的使用者活動。

CreateAccessKey
AWS API 呼叫

使用此資料來源類型,透過 API 呼叫特定資源組態建立快照 AWS 服務。

Audit Manager 會使用 API 呼叫的名稱作為映射關鍵字,並收集 API 回應。

kms_ListKeys
委派代表

委派人是具有有限權限的 AWS Audit Manager 使用者。委派代表通常在多個不同領域具備專業的業務或技術專長。例如,這些專業知識可能涵蓋資料保留政策、培訓計劃、網路基礎結構或身分管理等領域。委派代表可幫助稽核擁有者檢閱其專業領域內的控制項所收集到的證據。委派代表可以檢閱控制集及其相關證據,以及新增評論、上傳其他證據,並更新您指派給他們檢閱的各控制項狀態。

稽核擁有者會指派特定控制集給委派代表,而非整個評估。因此,委派代表對評估的存取權限有限。如需關於委派控制集的說明,請參閱 中的代表團 AWS Audit Manager

E

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

證據

證據是包含證明是否符合控制項要求所需資訊的記錄。證據的範例包括使用者調用的變更活動,以及系統組態快照集。

Audit Manager 中主要分為兩種證據類型:自動化證據手動證據

證據類型

描述

自動化證據

這是 Audit Manager 自動收集的證據。自動化證據包括以下三種類別:

  1. 符合性檢查 — 符合性檢查的結果是從 AWS Security Hub AWS Config、或兩者擷取。

    符合性檢查的範例包括安全中心針對 PCI DSS 控制項的安全性檢查結果,以及 HIPAA 控制項的 AWS Config 規則評估。

    如需詳細資訊,請參閱 AWS Config 規則 支持 AWS Audit ManagerAWS Security Hub 支援的控制項 AWS Audit Manager

  2. 使用者活動 — 會在活動發生時從 CloudTrail 記錄擷取變更資源配置的使用者活動。

    使用者活動的範例包括路由表更新、Amazon RDS 執行個體備份設定變更,以及 S3 儲存貯體加密政策變更。

    如需詳細資訊,請參閱 AWS CloudTrail 支援的事件名稱 AWS Audit Manager

  3. 組態資料 — 資源組態的快照會直接從 AWS 服務 的每日、每週或每月擷取。

    組態快照的範例包括 VPC 路由表的路由清單、Amazon RDS 執行個體備份設定以及 S3 儲存貯體加密政策。

    如需詳細資訊,請參閱 AWS 支援的 API 呼叫 AWS Audit Manager
手動證據

這是您自行新增至 Audit Manager 的證據。新增自己的證據有以下三種方法:

  1. 從 Amazon S3 匯入檔案

  2. 從瀏覽器上傳檔案

  3. 輸入風險評估問題的文字回覆

如需詳細資訊,請參閱 在中添加手動證據 AWS Audit Manager

自動化證據收集會在您建立評估時啟動。這是一個持續的程序,Audit Manager 會根據證據類型和基礎資料來源,以不同的頻率收集證據。如需詳細資訊,請參閱 了解如何 AWS Audit Manager 收集證據

如需關於檢閱評估中證據的說明,請參閱檢閱中的證據 AWS Audit Manager

證據來源

證據來源定義控制項從何處收集證據。它可以是個別資料來源,也可以是對應至通用控制項或核心控制項的預先定義資料來源群組。

建立自訂控制項時,您可以從 AWS 受管理來源、客戶管理來源或兩者收集證據。

提示

我們建議您使用 AWS 受管理的來源。每當受 AWS 管理的來源更新時,相同的更新都會自動套用至使用這些來源的所有自訂控制項。這表示您的自訂控制項一律會針對該證據來源的最新定義收集證據。這可協助您確保在雲端合規環境變更時持續遵循法規遵循。

另請參閱:AWS managed sourcecustomer managed source

證據收集方法

控制項可以透過兩種方式收集證據。

證據收集方法

描述

自動化

自動化控制項會自動從 AWS 資料來源收集證據。自動化證據可以幫助您證明對此控制項的完全或部分合規性。
手動

手動控制要求您上傳自己的證據,以證明是否符合控制。
注意

您可以將手動證據附加到任何自動化控制項。在許多情況下,需要結合自動化和手動證據來證明控制項完全合規。雖然 Audit Manager 可以提供有用且相關的自動化證據,但某些自動化證據可能只會顯示部分合規性。在這種情況下,您可以用自己的證據來補充 Audit Manager 提供自動化證據。

例如:

  • AWS 生成人工智慧最佳實務架構 v2包含一個名為的控制項Error analysis。此控制項需要您分辨在模型使用中何時偵測到不準確性。並要求您進行徹底的錯誤分析,以了解根本原因並採取糾正措施。

  • 為了支援此控制項,Audit Manager 會收集自動證據,以顯示是否已針對您的評估執行 AWS 帳戶 位置啟用 CloudWatch警示。您可以使用此證據來證明對控制項的部分合規,以證明您的警報和檢查已正確配置。

  • 為了證明完全合規,您可以用手動證據補充自動化證據。例如,您可以上傳顯示錯誤分析過程、升級和報告的閾值,以及根本原因分析結果的策略或程序。您可以使用此手動證據來證明建立的策略已到位,並在出現提示時採取了糾正措施。

如需更詳細的範例,請參閱混合資料來源的控制項

匯出目的地

匯出目的地是預設 S3 儲存貯體,Audit Manager 會儲存您從證據搜尋工具匯出的檔案。如需詳細資訊,請參閱 設定證據搜尋器的預設匯出目的地

F

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

架構

Audit Manager 架構會針對特定標準或風險治理原則,建構並自動化評估。這些架構包含一組預先建置或客戶定義的控制項,可協助您將 AWS 資源對應至這些控制項的需求。

Audit Manager 中有兩種類型的架構。

框架類型

描述

標準框架

這是一個預先構建的框架,基於各種合規性標準和法規的 AWS 最佳實踐。

您可以使用標準架構協助針對特定合規性標準或法規 (例如 PCI DSS 或 HIPAA) 進行稽核準備。
自定義框架

這是您定義為 Audit Manager 使用者的自訂架構。

您可以使用自訂架構,根據您的特定 GRC 需求協助稽核準備工作。

如需有關建立與管理架構的說明,請參閱 使用框架庫來管理框架 AWS Audit Manager

注意

AWS Audit Manager 協助收集與驗證符合特定合規標準和法規相關的證據。不過,這不會評估您的合規狀態。 AWS Audit Manager 因此,透過收集的證據可能不包含稽核所需的所有有關您 AWS 使用情況的資訊。 AWS Audit Manager 不是法律顧問或合規專家的替代品。

架構共享

您可以使用共享自定義框架 AWS Audit Manager此功能在 AWS 帳戶 和區域之間快速共用您的自訂架構。如果共享自訂架構,您可以建立共享要求。接著,收件者有 120 天的時間接受或拒絕要求。當他們接受時,Audit Manager 會將共享的自訂架構複寫到其架構程式庫中。除了複寫自訂架構之外,Audit Manager 也會複寫該架構中包含的所有自訂控制集和控制項。這些自訂控制項會新增至收件者的控制項程式庫。Audit Manager 不會複寫標準架構或控制項。這是因為這些資源在每個帳戶和區域中,已預設為可用。

R

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

資源

資源是在稽核中評估的實體或資訊資產。 AWS 資源範例包括 Amazon EC2 執行個體、Amazon RDS 執行個體、Amazon S3 儲存貯體和 Amazon VPC 子網路。

資源評估

資源評估是評估個別資源的程序。此評估基於控制項的需求。當評估處於有效狀態時,Audit Manager 會針對評估範圍內的每個獨立資源執行資源評估。資源評估會執行下列任務:

  1. 收集證據,包括資源配置,事件日誌和調查結果

  2. 將證據轉換並映射到控制項

  3. 儲存和追蹤證據的歷程,以實現完整性

資源合規性

資源合規性是指在收集合規檢查證據時,對資源進行評估的狀態。

Audit Manager 會針對使用 AWS Config 和 Security Hub 做為資料來源類型的控制項收集符合性檢查證據。證據收集期間,可能會評估多個資源。因此,單一合規檢查證據可以包含一或多個資源。

您可以使用證據搜尋工具中的資源合規性篩選器來搜索資源層級的合規狀態。搜尋完成後,您就可以預覽符合搜尋條件的資源。

在證據搜尋工具中,資源合規有三種可能的值:

Value

描述

不符合規定

這是指具有合規性檢查問題的資源。

如果 Security Hub 報告資源的失敗結果,或 AWS Config 報告不合規的結果,就會發生這種情況。
相容性

這是指沒有符合性檢查問題的資源。

如果 Security Hub 報告資源的「通過」結果,或報 AWS Config 告「合」結果,就會發生這種情況。
不確定的

這是指符合性檢查不可用或不適用的資源。

如果 AWS Config 或 Security Hub 是基礎資料來源類型,但這些服務未啟用,就會發生這種情況。

如果基礎資料來源類型不支援合規性檢查 (例如手動證據、 AWS API 呼叫或 CloudTrail),也會發生這種情況。

S

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

服務範圍

Audit Manager AWS 服務 會管理您評估範圍內的哪些項目。如果您有較舊的評估,可能是您過去手動指定範圍內的服務。在 2024 年 6 月 4 日之後,您無法手動指定或編輯範圍內的服務。

範圍內的服務是 AWS 服務 指您的評估會收集有關的證據。當服務包含在評估範圍內時,Audit Manager 會評估該服務的資源。一些範例資源包括如下:

  • Amazon EC2 執行個體

  • S3 儲存貯體

  • IAM 使用者或角色

  • DynamoDB 資料表

  • 網路元件,例如 Amazon 虛擬私有雲端 (VPC)、安全群組或網路存取控制清單 (ACL) 表

例如,如果 Amazon S3 是範圍內的服務,Audit Manager 可以收集有關 S3 儲存貯體的證據。收集的確切證據由控件確定data source。例如,如果資料來源類型為 AWS Config,而資料來源對映是 AWS Config 規則 (例如s3-bucket-public-write-prohibited),則 Audit Manager 會收集該規則評估的結果作為證據。

注意

請記住,範圍內的服務與數據源類型不同,數據源類型也可以是 AWS 服務 其他類型。如需詳細資訊,請參閱範圍內的服務和資料來源類型有什麼不同?本指南的「疑難排解」一節中的。

標準控制

請參閱control