疑難排解架構問 - AWS Audit Manager
在我的自定義框架詳細信息頁面上,系統提示我重新創建自定義框架我無法製作我的自定義框架的副本我傳送的共享要求狀態顯示為失敗我的共享要求旁邊有一個藍點。這代表什麼意思?我的共享框架具有使用自定義 AWS Config 規則作為數據源的控件。收件人可以收集這些控制項的證據嗎?我更新了共享架構中使用的自訂規則。我需要採取任何動作嗎?

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

疑難排解架構問

您可以使用此頁面上的資訊來解決 Audit Manager 中常見的架構問題。

一般框架問題
框架共享問題

在我的自定義框架詳細信息頁面上,系統提示我重新創建自定義框架

提示您重新建立評估的快顯訊息的螢幕擷取畫面。

如果您看到一則訊息,指出已更新的控制項定義可用,這表示 Audit Manager 現在會針對自訂架構中的某些標準控制項提供較新的定義。

標準控制現在可以從中收集證據AWS managed source。這表示每當 Audit Manager 更新通用控制項或核心控制項的基礎資料來源時,相同的更新都會自動套用至相關的標準控制項。這可協助您確保在雲端合規環境變更時持續遵循法規遵循。為了確保您從這些受 AWS 管理的來源中受益,我們建議您更換自訂架構中的控制項。

在您的自訂架構中,Audit Manager 會指出哪些控制項有可用的取代項目。您必須先取代這些控制項,才能複製自訂架構。下次您編輯自訂架構時,我們會提示您取代這些控制項以及您想要進行的任何其他編輯。

有兩種方法可以替換自定義框架中的控件:

1. 重新創建自定義框架

如果大量控制項有可用的替代項目,建議您重新建立自訂架構。如果您的自定義框架基於標準框架,這可能是最好的選擇。

  • 例如,假設您使用NIST SP 800-53 修訂版 5作為起點創建了自定義框架。這個標準架構有 1007 個標準控制項,而且您新增了 20 個自訂控制項。

  • 在這種情況下,最有效的選擇是NIST 800-53 (Rev. 5) Low-Moderate-High在框架庫中查找並製作該框架的可編輯副本。在此過程中,您可以添加之前使用的 20 個自定義控件。因為您現在使用標準架構的最新定義做為起點,所以您的自訂架構會自動繼承所有 1007 個標準控制項的最新定義。

2. 編輯您的自訂架構

如果少數控制項有可用的替代項目,建議您編輯自訂架構並手動取代控制項。

  • 例如,假設您從頭開始創建了自定義框架。在您的自訂架構中,您新增了 20 個您自己建立的自訂控制項,以及標準架構中的八個標ACSC Essential Eight 準控制項。

  • 在這種情況下,由於最多八個控制項會有可用的更新,因此最有效的選項是編輯您的自訂架構,並逐一取代這些控制項。如需詳細資訊,請參閱下列程序。

手動取代自訂架構中的控制項

  1. https://console.aws.amazon.com/auditmanager/首頁開啟 AWS Audit Manager 主控台。

  2. 在左側導覽窗格中,選擇 [架構資料庫],然後選擇 [自訂架構] 索引標籤。

  3. 選擇您要停止的機群,選擇動作,然後選擇停止

  4. 在 [編輯架構詳細資料] 頁面上,選擇 [下一步

  5. 在 [編輯控制集] 頁面上,檢閱每個控制項集的名稱,以查看其任何控制項是否有可用的取代項目。

  6. 選擇受影響的控制集以將其展開,並識別需要更換其控制項。

    提示

    若要更快速地識別控制項,請Replacement available在搜尋方塊中輸入。

  7. 選取核取方塊並選擇 [從控制集移除],以移除受影響的控制項

  8. 重新添加相同的控件。此動作會以最新的控制項定義取代您剛移除的控制項。

    1. 在 [新增控制項] 下,使用 [控制項類型] 下拉式清單,並選取 [標準

    2. 尋找剛移除之控制項的取代項目。

      提示

      在某些情況下,取代控制項名稱可能與原始控制項名稱不完全相同。在此情況下,取代控制項名稱可能與原始控制項名稱非常相似。在極少數情況下,一個控制項可能會被兩個控制項取代 (或其他方式)。

      如果找不到取代控制項,建議您進行部分搜尋。若要這麼做,請輸入原始控制項名稱的一部分,或是代表您要尋找之項目的關鍵字。您也可以依規範遵循類型進一步縮小結果清單的範圍。

    3. 選取控制項旁邊的核取方塊,然後選擇 [新增至控制集]。

    4. 在出現的快顯視窗中,選擇「新增」以確認。

  9. 視需要重複步驟 6-8,直到您取代所有控制項為止。

  10. 選擇下一步

  11. 在 [檢閱並儲存] 頁面上,選擇 [儲存變更]。

我無法製作我的自定義框架的副本

如果框架詳細信息頁面上的「創建複製」按鈕不可用,這意味著您需要替換自定義框架中的某些控件。

如需如何繼續操作的指示,請參閱在我的自定義框架詳細信息頁面上,系統提示我重新創建自定義框架

我傳送的共享要求狀態顯示為失敗

如果您嘗試共享自訂架構,但作業失敗,建議您檢查下列項目:

  1. 請確定已在收件者 AWS 帳戶 和指定區域中啟用 Audit Manager。如需支援的 AWS Audit Manager 區域清單,請參閱 Amazon Web Services 一般參考中的AWS Audit Manager 端點和配額

  2. 確保您在指定收件人帳戶時輸入了正確的 AWS 帳戶 ID。

  3. 請確定您未將 AWS Organizations 管理帳戶指定為收件者。您可以與委派系統管理員共享自訂架構,但是如果您嘗試與管理帳戶共享自訂架構,則作業會失敗。

  4. 如果您使用客戶管理的金鑰來加密 Audit Manager 資料,請確定您的KMS金鑰已啟用。如果您的KMS金鑰已停用,而您嘗試共用自訂架構,則作業會失敗。如需如何啟用已停用金KMS鑰的指示,請參閱AWS Key Management Service 開發人員指南中的啟用和停用金鑰

我的共享要求旁邊有一個藍點。這代表什麼意思?

藍點通知表示有共享要求需要您過目。

已傳送的共享要求旁會出現藍色通知圓點,且狀態為即將到期。Audit Manager 會顯示藍點通知,以便提醒收件者在共享要求到期之前對其採取行動。

若要讓藍點通知消失,收件者必須接受或拒絕要求。如果您撤銷共享要求,藍點也會消失。

您可以使用下列程序來檢查,是否有任何即將到期的共享要求,並傳送選擇性提醒給收件者採取行動。

若要檢視已傳送要求的通知

  1. https://console.aws.amazon.com/auditmanager/首頁開啟 AWS Audit Manager 主控台。

  2. 如果您有共享要求通知,Audit Manager 會在導覽功能表圖示旁邊顯示一個紅點。

    最小化導航菜單圖標的屏幕截圖,帶有表示通知的紅點。

  3. 展開瀏覽窗格,然後查看共享要求的旁邊。通知圖示會指出需要處理的共享要求數目。

    展開導覽選單的螢幕擷取畫面,顯示共享架構要求,並有一個顯示“1 個通知”的通知圖示。

  4. 選擇共享要求,然後選擇傳送要求索引標籤。

  5. 尋找藍點,找出未來 30 天內到期的共享要求。或者,您也可以從所有狀態 篩選器下拉式清單中選取即將到期,檢視即將到期的共享要求。

    收到的共享要求的螢幕截圖,架構名稱旁邊帶有一個藍點。

  6. (選擇性)提醒收件者,他們需要在共享要求到期前對其採取行動。此步驟為選擇性步驟,因為 Audit Manager 會在主控台中傳送通知,以便在共享要求處於作用中或即將到期時通知收件者。但是,您也可以使用偏好的通訊管道向收件人發送自己的提醒。

已傳送的共享要求旁會出現藍色通知圓點,且狀態為作用中即將到期。Audit Manager 會顯示藍點通知,以便提醒收件者在共享請求到期之前對其採取行動。若要讓藍點通知消失,收件者必須接受或拒絕要求。如果傳送者撤銷共享要求,藍點也會消失。

您可以使用下列程序檢查作用中和即將到期的共享要求。

若要檢視已接收請求的通知

  1. https://console.aws.amazon.com/auditmanager/首頁開啟 AWS Audit Manager 主控台。

  2. 如果您有共享要求通知,Audit Manager 會在導覽功能表圖示旁邊顯示一個紅點。

    最小化導航菜單圖標的屏幕截圖,帶有表示通知的紅點。

  3. 展開瀏覽窗格,然後查看共享要求的旁邊。通知圖示會指出需要您處理的共享要求數目。

    展開導覽選單的螢幕擷取畫面,顯示共享要求,以及出現一個通知的通知圖示。

  4. 選擇共享要求。依預設,此頁面會在已接收的要求索引標籤上開啟。

  5. 尋找帶有藍點的項目,以找出需要執行動作的共享要求。

    收到的共享要求的螢幕截圖,架構名稱旁邊帶有一個藍點。

  6. (選擇性)若只要檢視未來 30 天內到期的要求,請尋找所有狀態下拉式清單,然後選取即將到期

我的共享框架具有使用自定義 AWS Config 規則作為數據源的控件。收件人可以收集這些控制項的證據嗎?

是的,收件人可以收集這些控制的證據,但需要幾個步驟來實現這一目標。

若要讓 Audit Manager 使用 AWS Config 規則作為資料來源對應來收集證據,必須符合下列條件。這些條件同時適用於受管規則和自訂規則。

  • 規則必須存在於收件者的 AWS 環境中。

  • 此規則必須在收件者的 AWS 環境中啟用。

請記住,您帳戶中的 AWS Config 規則可能不存在於收件者的 AWS 環境中。此外,當收件者接受共享要求時,Audit Manager 不會在其帳戶中重新建立您的任何自訂規則。若要讓收件者使用您的自訂規則作為資料來源對應來收集證據,他們必須在的執行個體中建立相同的自訂規則 AWS Config。收件者在中建立啟用規則後 AWS Config,Audit Manager 可以從該資料來源收集證據。

我們建議您與收件者通訊,讓他們知道是否應在其執行個體中建立任何自訂 AWS Config 規則 AWS Config。

我更新了共享架構中使用的自訂規則。我需要採取任何動作嗎?

針對 AWS 環境中的規則更新

當您更新 AWS 環境中的自訂規則時,Audit Manager 中不需要任何動作。Audit Manager 會依照下表所述的方式偵測和處理規則更新。偵測到規則更新時,Audit Manager 不會另行通知。

案例 Audit Manager 會做什麼 您需要執行的事項

自訂規則會在您的執行個體中更新 AWS Config。

 Audit Manager 會繼續使用更新的規則定義報告該規則的調查結果。 不需採取任何動作。

自訂規則會在您的執行個體中刪除 AWS Config。

 Audit Manager 會停止報告已刪除規則的調查結果。

不需採取任何動作。

如果需要,您可以編輯自訂控制項,使用已刪除規則作為資料來源映射項目。然後,您可以移除已刪除的規則,以清除控制項的資料來源設定。否則,刪除的規則名稱會保留為未使用的資料來源映射項目。
適用於 AWS 環境外部的規則更新

在收件者的 AWS 環境中,Audit Manager 不會偵測到規則更新。這是因為寄件者和收件者各自在不同的 AWS 環境中工作。下表提供適用於此方案的建議作法。

您的角色 案例 建議的動作

寄件者

  • 您共享使用自訂規則作爲資料來源映射項目的架構。

  • 共用架構之後,您就更新或刪除了中的其中一個規則 AWS Config。

 請連絡收件者,通知他們相關更新。如此一來,他們就可以套用相同的更新,並與最新的規則定義保持同步。
收件人

  • 您接受使用自訂規則做為資料來源映射項目的共享架構。

  • 在的執行個體中重新建立自訂規則之後 AWS Config,寄件者就會更新或刪除其中一個規則。

 在您自己的 AWS Config執行個體中進行對應的規則更新。