本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
控制項和控制集問題疑難排解
請參考此頁面提供的資訊來解決 Audit Manager 中控制項的常見問題。
AWS Config 整合問題
我在評估中看不到任何控制項或控制集
簡而言之,若要檢視評估的控制項,您必須被指定為該評估的稽核擁有者。此外,您還需要必要的IAM權限才能檢視和管理相關 Audit Manager 資源。
如果您需要存取評估中的控制項,請要求該評估的一位稽核擁有者將您指定為稽核擁有者。您可以在建立或編輯評估時指定稽核擁有者。
同樣請確保您具備管理評估的所需權限。我們建議稽核擁有者使用AWSAuditManagerAdministratorAccess策略。如果您需要IAM權限方面的協助,請聯絡您的系統管理員或 Sup AWS port
我無法將手動證據上傳到控制項
如果您無法手動將證據上傳至控制項,可能是因為控制項處於非作用中狀態。
若要將手動證據上傳至控制項,您必須先將控制項狀態變更為審核中或已審核。如需說明,請參閱變更評估控制項的狀態 AWS Audit Manager。
重要
每個控制項每天最多只 AWS 帳戶 能手動上傳 100 個證據檔案至控制項。超過這個每日配額,會導致該控制項的任何額外手動上傳失敗。如果您需要將大量手動證據上傳至單一控制項,請在數天內分批上傳證據。
如果控制項顯示「可用更換」,這代表什麼意思?
如果您看到此訊息,表示自訂架構中的一或多個標準控制項可使用更新的控制項定義。我們建議您取代這些控制項,以便您可以從 Audit Manager 現在提供的改良的證據來源中獲益。
如需如何繼續操作的指示,請參閱在我的自定義框架詳細信息頁面上,系統提示我重新創建自定義框架。
我需要使用多個 AWS Config 規則作為單個控件的數據源
您可以將受管規則和自訂規則的組合用於單一控制項。若要這麼做,請為控制項定義多個證據來源,然後為每個證據來源選取偏好的規則類型。您可以為單一自訂控制項定義多達 100 個客戶管理的資料來源。
當我設定控制項資料來源時,無法使用自訂規則選項
這表示您沒有檢視您的 AWS 帳戶 或組織的自訂規則的權限。更具體地說,您沒有在 Audit Manager 主控台中執行DescribeConfigRules作業的權限。
若要解決此問題,請聯絡您的 AWS 管理員以取得協助。如果您是系統管理 AWS 員,則可以透過管理IAM原則來為使用者或群組提供權限。
自訂規則選項可用,但下拉式清單中沒有顯示任何規則
這表示您的 AWS 帳戶 或組織中沒有啟用和使用任何自訂規則。
如果您在中還沒有任何自訂規則 AWS Config,可以建立規則。如需指示,請參閱 AWS Config 開發人員指南中的 AWS Config 自訂規則。
若您預期看到自訂規則,請參閱下述疑難排解項目。
一些自訂規則可用,但我看不到我想要使用的規則
如果您看不到預期查找的自訂規則,可能是下列問題之一所致。
- 您的帳戶已從規則中排除
-
您使用的委派系統管理員帳戶可能已從規則中排除。
您組織的管理帳戶 (或其中一個 AWS Config 委派管理員帳戶) 可以使用 AWS Command Line Interface (AWS CLI) 建立自訂組織規則。當進行此操作時,他們可以指定要排除的帳戶列表,使這些帳戶不受該規則約束。如果您的帳戶在此清單中,則 Audit Manager 中無法使用該規則。
若要解決此問題,請聯絡您的 AWS Config 管理員以取得協助。如果您是 AWS Config 系統管理員,則可以執行put-organization-config-rule命令來更新排除帳戶的清單。
- 規則未在 AWS Config中成功建立和啟用
-
也有可能未成功建立和啟用自訂規則。如果在建立規則時發生錯誤,或未啟用該規則,則該規則不會顯示在 Audit Manager 的可用規則清單中。
如需協助您解決此問題,建議您聯絡 AWS Config 管理員。
- 此規則為受管規則
-
如果您在自訂規則的下拉式清單中找不到您要尋找的規則,則該規則可能是受管規則。
您可以使用 AWS Config 主控台
來驗證規則是否為受管規則。若要這麼做,請在左側導覽功能表中選擇規則,然後在表格中查找規則。如果規則是受管規則,類型欄會顯示 AWS 受管。 
確認它是受管規則之後,請返回 Audit Manager 並選取受管規則作為規則類型。然後,在受管規則的下拉式清單中,尋找受管規則識別碼關鍵字。
我看不到要使用的受管規則
在您從 Audit Manager 主控台的下拉式清單中選取規則之前,請確定已選取受管規則作為規則類型。
如果您仍然看不到預期尋找的受管規則,可能是您正在尋找規則名稱。相反地,您必須尋找規則識別碼。
如果您使用的是預設受管規則,其名稱和識別碼會類似。名稱以小寫字母表示,並使用破折號 (例如,iam-policy-in-use)。識別碼為大寫,並使用底線 (例如,IAM_POLICY_IN_USE)。若要尋找預設受管規則的識別碼,請檢閱支援的 AWS Config 受管規則關鍵字清單,然後追蹤您要使用之規則的連結。這會帶您前往該受管規則的 AWS Config 文件集。從這裡,您可以看到名稱和識別碼。在 Audit Manager 下拉式清單中尋找識別碼關鍵字。
如果您使用自訂受管規則,可以使用主AWS Config 控台customized-iam-policy-in-use 的受管規則。若要尋找此規則的識別碼,請移至 AWS Config 主控台,選擇左側導覽功能表中的 [規則],然後選擇表格中的規則。
選擇編輯以開啟有關受管規則的詳細資料。
在詳細資訊一節下,您可以找到從 (IAM_POLICY_IN_USE) 建立的受管規則的來源識別碼。
您現在可以返回 Audit Manager 主控台,並從下拉式清單中選取相同的識別碼關鍵字。
我想共享一個自定義框架,但它具有使用自定義 AWS Config 規則作為數據源的控件。收件人可以收集這些控制項的證據嗎?
是的,收件人可以收集這些控制的證據,但需要幾個步驟來實現這一目標。
若要讓 Audit Manager 使用 AWS Config 規則作為資料來源對應來收集證據,必須符合下列條件。同樣適用於受管理規則和自訂規則。
-
規則必須存在於收件者的 AWS 環境中
-
必須在收件者的 AWS 環境中啟用規則
請記住,您帳戶中的自定義 AWS Config 規則可能不存在於收件人的 AWS 環境中。此外,當收件者接受共享要求時,Audit Manager 不會在其帳戶中重新建立您的任何自訂規則。若要讓收件者使用您的自訂規則作為資料來源對應來收集證據,他們必須在的執行個體中建立相同的自訂規則 AWS Config。收件者建立並啟用規則後,Audit Manager 可以從該資料來源收集證據。
我們建議您與收件者通訊,讓他們知道是否需要在其 AWS Config執行個體中建立任何自訂規則。
在 AWS Config中更新自訂規則時會發生什麼情況? 我需要在 Audit Manager 中採取任何動作嗎?
針對 AWS 環境中的規則更新
如果您更新 AWS 環境中的自訂規則,則不需要在 Audit Manager 中執行任何動作。Audit Manager 會依照下表所述偵測和處理規則更新。偵測到規則更新時,Audit Manager 不會另行通知。
| 案例 | Audit Manager 會做什麼 | 您需要執行的事項 |
|---|---|---|
|
自訂規則會在您的執行個體中更新 AWS Config |
Audit Manager 會繼續使用更新的規則定義報告該規則的調查結果。 | 不需採取任何動作。 |
|
自訂規則會在您的執行個體中刪除 AWS Config |
Audit Manager 會停止報告已刪除規則的調查結果。 |
不需採取任何動作。 如果需要,您可以編輯自訂控制項,使用已刪除規則作為資料來源映射項目。這樣做有助於透過移除已刪除的規則,來清除資料來源設定。否則,刪除的規則名稱會保留為未使用的資料來源映射項目。 |
適用於 AWS 環境外部的規則更新
如果在您的 AWS 環境之外更新了自訂規則,則 Audit Manager 不會偵測規則更新。如果您使用共享的自訂架構,這將是需要考慮的因素。這是因為,在這個案例中,寄件者和收件者各自在不同的 AWS 環境中工作。下表提供適用於此方案的建議作法。
| 您的角色 | 案例 | 建議的動作 |
|---|---|---|
|
寄件者 |
|
通知收件者您的更新。如此一來,他們就可以套用相同的更新,並與最新的規則定義保持同步。 |
| 收件人 |
|
在您自己的 AWS Config執行個體中進行對應的規則更新。 |
