本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 對架構問題進行故障診斷
您可以使用此頁面上的資訊來解決 Audit Manager 中的常見架構問題。
**一般架構問題**
+ [在自訂架構詳細資訊頁面上,系統會提示我重新建立自訂架構](#recreate-framework-post-common-controls)
+ [我無法複製自訂架構](#cannot-use-custom-framework)
**架構共用問題**
+ [我傳送的共享要求狀態顯示為*失敗*](#framework-sharing-error)
+ [我的共享要求旁邊有一個藍點。這代表什麼意思?](#framework-sharing-blue-dot)
+ [我的共用架構具有使用自訂 AWS Config 規則做為資料來源的控制項。收件人可以收集這些控制項的證據嗎?](#framework-sharing-custom-config-rules)
+ [我更新了共享架構中使用的自訂規則。我需要採取任何動作嗎?](#framework-sharing-what-happens-when-a-rule-is-updated)
## 在自訂架構詳細資訊頁面上,系統會提示我重新建立自訂架構
![\[快顯訊息的螢幕擷取畫面,提示您重新建立評估。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/troubleshooting-recreate-framework-post-common-controls-console.png)
如果您看到一則訊息,指出**有可用的更新控制項定義**,這表示 Audit Manager 現在為自訂架構中的一些標準控制項提供較新的定義。
標準控制項現在可以從 收集證據[](concepts.md#aws-managed-source)。這表示每當 Audit Manager 更新通用或核心控制項的基礎資料來源時,相同的更新會自動套用至相關的標準控制項。這可協助您在雲端合規環境變更時確保持續合規。為了確保您受益於這些 AWS 受管來源,我們建議您取代自訂架構中的控制項。
在您的自訂架構中,Audit Manager 會指出哪些控制項有可用的替代項目。您需要先取代這些控制項,才能複製自訂架構。下次編輯自訂架構時,我們會提示您將這些控制項取代為您想要進行的任何其他編輯。
有兩種方式可以取代自訂架構中的控制項:
**1. 重新建立您的自訂架構**
如果大量控制項有可用的替代項目,建議您重新建立自訂架構。如果您的自訂架構是以標準架構為基礎,這可能是最佳選項。
+ 例如,假設您使用 [NIST SP 800-53 修訂版 5](NIST800-53r5.md)作為起點建立自訂架構。此標準架構有 1007 個標準控制項,而且您新增了 20 個自訂控制項。
+ 在這種情況下,最有效率的選項是在架構程式庫`NIST 800-53 (Rev. 5) Low-Moderate-High`中找到 [,並製作該架構的可編輯副本](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-custom-frameworks-from-existing.html)。在此過程中,您可以新增與之前相同的 20 個自訂控制項。由於您現在使用標準架構的最新定義做為起點,因此您的自訂架構會自動繼承所有 1007 標準控制項的最新定義。
**2. 編輯您的自訂架構**
如果少數控制項有可用的替代項目,建議您編輯自訂架構,並手動取代控制項。
+ 例如,假設您從頭開始建立自訂架構。在自訂架構中,您新增了自己建立的 20 個自訂控制項,以及標準架構中的八個[ACSC 基本八項](essential-eight.md)標準控制項。
+ 在這種情況下,由於最多八個控制項會有可用的更新,因此最有效率的選項是編輯您的自訂架構,並逐一取代這些控制項。如需詳細資訊,請參閱下列程序。
### 手動取代自訂架構中的控制項
**手動取代自訂架構中的控制項**
1. 開啟 AWS Audit Manager 主控台,[網址為 https://console.aws.amazon.com/auditmanager/home](https://console.aws.amazon.com/auditmanager/home)。
1. 在左側導覽窗格中,選擇**架構程式庫**,然後選擇**自訂架構**索引標籤。
1. 選擇您要停止的機群,選擇**動作**,然後選擇**停止**。
1. 在**編輯架構詳細資訊**頁面上,選擇**下一步**。
1. 在**編輯控制集**頁面上,檢閱每個控制集的名稱,以查看其任何控制項是否有可用的替代項目。
1. 選擇受影響的控制集以展開它,並識別需要取代哪些控制項。
**提示**
若要更快速識別控制項,**Replacement available**請在搜尋方塊中輸入 。
1. 選取核取方塊,然後選擇**從控制集移除,以移除受影響的控制項**。
1. 重新新增相同的控制項。此動作會將您剛移除的控制項取代為最新的控制項定義。
1. 在**新增控制項**下,使用**控制項類型**下拉式清單,然後選取**標準控制項**。
1. 尋找您剛移除之控制項的取代。
**提示**
在某些情況下,取代控制項名稱可能與原始名稱不同。在這種情況下,替換控制項名稱可能與原始名稱非常相似。在極少數情況下,一個控制項可能會被兩個控制項取代 (或反之亦然)。
如果您找不到替代控制項,我們建議您執行部分搜尋。若要執行此作業,請輸入部分原始控制項名稱,或代表您正在尋找內容的關鍵字。您也可以依合規類型搜尋,進一步縮小結果清單。
1. 選取控制項旁的核取方塊,然後選擇**新增至控制項集**。
1. 在出現的快顯視窗中,選擇**新增**以確認。
1. 視需要重複步驟 6-8,直到您取代所有控制項為止。
1. 選擇**下一步**。
1. 在**檢閱和儲存**頁面上,選擇**儲存變更**。
## 我無法複製自訂架構
如果架構詳細資訊頁面上無法使用**複製**按鈕,這表示您需要取代自訂架構中的一些控制項。
如需如何繼續的指示,請參閱 [在自訂架構詳細資訊頁面上,系統會提示我重新建立自訂架構](#recreate-framework-post-common-controls)。
## 我傳送的共享要求狀態顯示為*失敗*
如果您嘗試共享自訂架構,但作業失敗,建議您檢查下列項目:
1. 確定已在收件人的 AWS 帳戶 和指定的區域中啟用 Audit Manager。如需支援 AWS Audit Manager 區域的清單,請參閱《*Amazon Web Services 一般參考*》中的[AWS Audit Manager 端點和配額](https://docs.aws.amazon.com/general/latest/gr/audit-manager.html)。
1. 請確定您在指定收件人帳戶時輸入正確的 AWS 帳戶 ID。
1. 請確定您未將 AWS Organizations 管理帳戶指定為收件人。您可以與委派系統管理員共享自訂架構,但是如果您嘗試與管理帳戶共享自訂架構,則作業會失敗。
1. 如果您使用客戶管理金鑰來加密 Audit Manager 資料,請確保您的 KMS 金鑰已啟用。如果您的 KMS 金鑰已停用,而您嘗試共享自訂架構,則作業會失敗。關於如何啟用已停用 KMS 金鑰的指南,請參閱 *AWS Key Management Service 開發人員指南*中的[啟用和停用金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html)。
## 我的共享要求旁邊有一個藍點。這代表什麼意思?
藍點通知表示有共享要求需要您過目。
### 寄件者藍點通知
已傳送的共享要求旁會出現藍色通知圓點,且狀態為*即將到期*。Audit Manager 會顯示藍點通知,以便提醒收件者在共享要求到期之前對其採取行動。
若要讓藍點通知消失,收件者必須接受或拒絕要求。如果您撤銷共享要求,藍點也會消失。
您可以使用下列程序來檢查,是否有任何即將到期的共享要求,並傳送選擇性提醒給收件者採取行動。
**若要檢視已傳送要求的通知**
1. 開啟 AWS Audit Manager 主控台,[網址為 https://console.aws.amazon.com/auditmanager/home](https://console.aws.amazon.com/auditmanager/home)。
1. 如果您有共享要求通知,Audit Manager 會在導覽功能表圖示旁邊顯示一個紅點。
![\[最小化導覽功能表圖示的螢幕擷取畫面,其中紅點表示通知。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/framework_sharing-navigation_minimized_notification-console.png)
1. 展開瀏覽窗格,然後查看**共享要求**的旁邊。通知圖示會指出需要處理的共享要求數目。
![\[展開導覽選單的螢幕擷取畫面,顯示共享架構要求,並有一個顯示“1 個通知”的通知圖示。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/framework_sharing-navigation_expanded_notification-console.png)
1. 選擇**共享要求**,然後選擇**傳送要求**索引標籤。
1. 尋找藍點,找出未來 30 天內到期的共享要求。或者,您也可以從**所有狀態** 篩選器下拉式清單中選取**即將到期**,檢視即將到期的共享要求。
![\[收到的共享要求的螢幕截圖,架構名稱旁邊帶有一個藍點。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/framework_sharing-blue_dot_notification-sent_requests-console.png)
1. (選擇性)提醒收件者,他們需要在共享要求到期前對其採取行動。此步驟為選擇性步驟,因為 Audit Manager 會在主控台中傳送通知,以便在共享要求處於作用中或即將到期時通知收件者。但是,您也可以使用偏好的通訊管道向收件人發送自己的提醒。
### 收件者藍點通知
已傳送的共享要求旁會出現藍色通知圓點,且狀態為*作用中*或*即將到期*。Audit Manager 會顯示藍點通知,以便提醒收件者在共享請求到期之前對其採取行動。若要讓藍點通知消失,收件者必須[接受或拒絕](https://docs.aws.amazon.com/audit-manager/latest/userguide/responding-to-shared-framework-requests.html#responding-to-shared-framework-requests-step-2)要求。如果傳送者撤銷共享要求,藍點也會消失。
您可以使用下列程序檢查作用中和即將到期的共享要求。
**若要檢視已接收請求的通知**
1. 開啟 AWS Audit Manager 主控台,[網址為 https://console.aws.amazon.com/auditmanager/home](https://console.aws.amazon.com/auditmanager/home)。
1. 如果您有共享要求通知,Audit Manager 會在導覽功能表圖示旁邊顯示一個紅點。
![\[最小化導覽功能表圖示的螢幕擷取畫面,其中紅點表示通知。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/framework_sharing-navigation_minimized_notification-console.png)
1. 展開瀏覽窗格,然後查看**共享要求**的旁邊。通知圖示會指出需要您處理的共享要求數目。
![\[展開導覽選單的螢幕擷取畫面,顯示共享要求,以及出現一個通知的通知圖示。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/framework_sharing-navigation_expanded_notification-console.png)
1. 選擇**共享要求**。依預設,此頁面會在**已接收的要求**索引標籤上開啟。
1. 尋找帶有藍點的項目,以找出需要執行動作的共享要求。
![\[收到的共享要求的螢幕截圖,架構名稱旁邊帶有一個藍點。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/framework_sharing-blue_dot_notification-console.png)
1. (選擇性)若只要檢視未來 30 天內到期的要求,請尋找**所有狀態**下拉式清單,然後選取**即將到期**。
## 我的共用架構具有使用自訂 AWS Config 規則做為資料來源的控制項。收件人可以收集這些控制項的證據嗎?
是的,收件人可以收集這些控制的證據,但需要幾個步驟來實現這一目標。
若要讓 Audit Manager 使用 AWS Config 規則做為資料來源映射來收集證據,下列項目必須是 true。這些條件同時適用於受管規則和自訂規則。
+ 規則必須存在於收件人 AWS 的環境中。
+ 規則必須在收件人 AWS 環境中啟用。
請記住,您帳戶中的 AWS Config 規則可能尚未存在於收件人 AWS 的環境中。此外,當收件者接受共享要求時,Audit Manager 不會在其帳戶中重新建立您的任何自訂規則。若要讓收件人使用您的自訂規則做為資料來源映射來收集證據,他們必須在其執行個體中建立相同的自訂規則 AWS Config。收件人在 中[建立](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules_nodejs.html)並[啟用](https://docs.aws.amazon.com/config/latest/developerguide/setting-up-aws-config-rules-with-console.html)規則後 AWS Config,Audit Manager 可以從該資料來源收集證據。
我們建議您與收件人通訊,讓他們知道是否應該在其執行個體中建立任何自訂 AWS Config 規則 AWS Config。
## 我更新了共享架構中使用的自訂規則。我需要採取任何動作嗎?
**對於您 AWS 環境中的規則更新**
當您更新 AWS 環境中的自訂規則時,Audit Manager 中不需要任何動作。Audit Manager 會依照下表所述的方式偵測和處理規則更新。偵測到規則更新時,Audit Manager 不會另行通知。
| 案例 | Audit Manager 會做什麼 | 您需要執行的事項 |
| --- | --- | --- |
| 自訂規則會在您的 執行個體中**更新** AWS Config。 | Audit Manager 會繼續使用更新的規則定義報告該規則的調查結果。 | 不需採取任何動作。 |
| 自訂規則會在您的 執行個體****中刪除 AWS Config。 | Audit Manager 會停止報告已刪除規則的調查結果。 | 不需採取任何動作。 如果需要,您可以[編輯自訂控制項](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-controls.html),使用已刪除規則作為資料來源映射項目。然後,您可以移除已刪除的規則,以清除控制項的資料來源設定。否則,刪除的規則名稱會保留為未使用的資料來源映射項目。 |
**適用於您 AWS 環境外的規則更新**
在收件人 AWS 的環境中,Audit Manager 不會偵測規則更新。這是因為寄件者和收件人各自在不同的 AWS 環境中工作。下表提供適用於此方案的建議作法。
| 您的角色 | 案例 | 建議的動作 |
| --- | --- | --- |
| 寄件者 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/framework-issues.html) | 請連絡收件者,通知他們相關更新。如此一來,他們就可以套用相同的更新,並與最新的規則定義保持同步。 |
| 收件人 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/framework-issues.html) | 在您自己的 AWS Config執行個體中進行對應的規則更新。 |