設定您的預設評估報告目標

當您產生評估報告時，Audit Manager 會將報告發佈到您選擇的 S3 儲存貯體。此 S3 儲存貯體稱為assessment report destination. 您可以選擇 Audit Manager 將評估報告存放在其中的 S3 儲存貯體。

必要條件

評估報告目的地的組態提示

為確保成功產生評估報告，我們建議您針對評估報告目標使用下列設定。

相同區域儲存貯體

我們建議您使用與您的評估處於相同 AWS 區域的 S3 儲存貯體。當您使用相同區域儲存貯體和評估時，您的評估報告最多可包含 22,000 個證據項目。相反地，當您使用跨區域儲存貯體和評估時，只能包含 3,500 個證據項目。

AWS 區域

您 AWS 區域的客戶受管金鑰 (如果提供的話) 必須與評估區域和評估報告目標 S3 儲存貯體相符。如需如何變更KMS金鑰的指示，請參閱設定您的資料加密設定。如需支援的 Audit Manager 區域清單，請參閱 Amazon Web Services 一般參考中的 AWS Audit Manager 端點和配額。

S3 儲存貯體加密

如果您的評估報告目標具有需要使用 SSE- 的伺服器端加密 (SSE) 的儲存貯體策略KMS，則該KMS儲存貯體策略中使用的KMS金鑰必須與您在 Audit Manager 資料加密設定中設定的金鑰相符。如果您尚未在 Audit Manager 設定中設定KMS金鑰，且您的評估報告目標儲存貯體政策需要SSE，請確定儲存貯體政策允許 SSE-S3。如需如何設定用於資料加密之KMS金鑰的指示，請參閱設定您的資料加密設定。

跨帳戶 S3 儲存貯體

Audit Manager 主控台不支援將跨帳戶 S3 儲存貯體用作評估報告目的地。您可以使用 AWS CLI 或其中一個指定跨帳戶儲存貯體作為評估報告目的地 AWS SDKs，但為了簡單起見，我們建議您不要這麼做。如果您選擇將跨帳戶 S3 儲存貯體用作評估報告目的地，請考慮以下幾點。

根據預設，S3 物件 (例如評估報告) 由上 AWS 帳戶傳物件所擁有。您可以使用 S3 物件擁有權設定來變更此預設行為，讓具有bucket-owner-full-control固定存取控制清單 (ACL) 的帳戶所寫入的任何新物件都會自動成為儲存貯體擁有者所擁有。

我們雖不要求，但建議您對跨帳戶儲存貯體設定進行下列變更。進行這些變更可確保儲存貯體擁有者完全控制您發佈至其儲存貯體的評估報告。
- 將 S3 儲存貯體的物件擁有權設定為首選儲存貯體擁有者，而非預設物件寫入器
- 新增值區政策，以確保上傳至該值區的物件具有 bucket-owner-full-control ACL

如需允許 Audit Manager 在跨帳戶 S3 儲存貯體中發佈報告，您必須將下列 S3 儲存貯體政策新增至評估報告目的地。更換 placeholder text 使用您自己的信息。此政策中的 Principal 元素是擁有評估並建立評估報告的使用者或角色。Resource 指定發佈報告的跨帳戶 S3 儲存貯體。


{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Sid": "Allow cross account assessment report publishing",
          "Effect": "Allow",
          "Principal": {
              "AWS": "arn:aws:iam::AssessmentOwnerAccountId:user/AssessmentOwnerUserName"
          },
          "Action": [
              "s3:ListBucket",
              "s3:PutObject",
              "s3:GetObject",
              "s3:GetBucketLocation",
              "s3:PutObjectAcl",
              "s3:DeleteObject"
          ],
          "Resource": [
              "arn:aws:s3:::CROSS-ACCOUNT-BUCKET",
              "arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*"
          ]
      }
  ]
}

顯示較多

顯示較少