本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 為 啟用建議的 功能和 AWS 服務 AWS Audit Manager
<a name="setup-recommendations"></a>





現在您已啟用 AWS Audit Manager，是時候設定建議的功能和整合，以充分利用服務。

## 重點
<a name="setup-recommendations-key-points"></a>

為了在 Audit Manager 中獲得最佳體驗，建議您設定下列功能並啟用下列 AWS 服務。

**任務​**
+ [設定建議的 Audit Manager 功能](#setup-recommendations-features)
+ [設定與其他 的建議整合 AWS 服務](#setup-recommendations-services)
  + [啟用和設定 AWS Config](#config-recommendations)
  + [啟用和設定 AWS Security Hub CSPM](#securityhub-recommendations)
  + [啟用和設定 AWS Organizations](#enabling-orgs)

## 設定建議的 Audit Manager 功能
<a name="setup-recommendations-features"></a>

在您啟用 Audit Manager 之後，建議您啟用證據搜尋工具功能。

**[證據搜尋工具](evidence-finder.md)**提供了一種在 Audit Manager 之中搜尋索證據的強大方法。您可以使用證據搜尋工具快速查詢證據，不須一頭栽進證據資料夾，想辦法找出您要查找的內容。如果您以委派管理員的身分使用證據搜尋工具，您可以在組織中的所有成員帳戶中搜尋證據。

使用篩選條件和分組的組合，您可以逐步縮小搜尋查詢的範圍。例如，如果您想要系統健全狀況的高階檢視，請擴大搜尋範圍，並依據評估、日期範圍和資源合規性進行篩選。如果您的目標是修復特定資源，則可以縮小搜尋範圍，以針對特定控制項或資源 ID 的證據作為目標。定義篩選條件後，您可以先分組並預覽相符的搜尋結果，然後再建立評估報告。

## 設定與其他 的建議整合 AWS 服務
<a name="setup-recommendations-services"></a>

為了在 Audit Manager 中獲得最佳體驗，強烈建議您啟用下列項目 AWS 服務：
+ **AWS Organizations**— 您可以使用 Organizations 對多個帳戶執行 Audit Manager 評估，並將證據合併到委派管理員帳戶中。
+ **AWS Security Hub CSPM** 和 **AWS Config** – Audit Manager 依賴這些 AWS 服務 作為證據收集的資料來源。當您啟用 AWS Config 和 Security Hub CSPM 時，Audit Manager 可以使用其完整功能運作，收集完整的證據並直接從這些服務準確報告合規檢查的結果。

**重要**  
如果您未啟用和設定 AWS Config 和 Security Hub CSPM，您將無法在 Audit Manager 評估中收集許多控制項的預期證據。因此，對於某些控制項，您會面臨未完成或失敗證據收集的風險。更具體地說：  
如果 Audit Manager 嘗試使用 AWS Config 做為控制項資料來源，但未啟用必要的 AWS Config 規則，則不會收集這些控制項的證據。
同樣地，如果 Audit Manager 嘗試使用 Security Hub CSPM 做為控制資料來源，但 Security Hub CSPM 中未啟用必要的標準，則不會收集這些控制項的證據。
若要降低這些風險並確保收集完整證據，請遵循此頁面上的步驟，在建立 Audit Manager 評估之前啟用和設定 AWS Config 和 Security Hub CSPM。

### 啟用和設定 AWS Config
<a name="config-recommendations"></a>



Audit Manager 中的許多控制項需要 AWS Config 做為資料來源類型。若要支援這些控制項，您必須在啟用 AWS 區域 Audit Manager AWS Config 的每個帳戶中啟用 。

Audit Manager 不會 AWS Config 為您管理 。您可以按照以下步驟啟用 AWS Config 和配置其設定。

**重要**  
啟用 AWS Config 是選用的建議。但是，如果啟用 AWS Config，則需要以下設定。如果 Audit Manager 嘗試收集 AWS Config 做為資料來源類型之控制項的證據，且未如下述 AWS Config 設定，則不會收集這些控制項的證據。

**要 AWS Config 與 Audit Manager 整合的任務**
+ [步驟 1：啟用 AWS Config](#enabling-config)
+ [步驟 2：設定您的 AWS Config 設定以搭配 Audit Manager 使用](#set-up-config)

#### 步驟 1：啟用 AWS Config
<a name="enabling-config"></a>

您可以使用 AWS Config 主控台或 API AWS Config 來啟用 。如需指示，請參閱*AWS Config 開發人員指南*中的[AWS Config入門](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html)。

#### 步驟 2：設定您的 AWS Config 設定以搭配 Audit Manager 使用
<a name="set-up-config"></a>

啟用 之後 AWS Config，請確定您也為稽核相關的合規標準[啟用 AWS Config 規則](https://docs.aws.amazon.com/config/latest/developerguide/setting-up-aws-config-rules-with-console.html)或[部署一致性套件](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-console.html)。此步驟可確保 Audit Manager 可以針對您啟用的 AWS Config 規則匯入調查結果。

啟用 AWS Config 規則後，建議您檢閱該規則的參數。然後，您應該根據所選合規性架構的要求來驗證這些參數。如果需要，您可以[更新 AWS Config中的規則參數](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_manage-rules.html)，確保其符合架構需求。這將有助於確保您的評估為該給定架構收集正確的合規檢查證據。

例如，假設您正在為 CIS v1.2.0 建立評估。此架構包含一個名為 [1.4 — 確保存取金鑰每 90 天或更短的時間輪換一次](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls.html#securityhub-cis-controls-1.4)的控制項。在 AWS Config中，[存取金鑰輪換](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html)的規則具有預設值 90 天的`maxAccessKeyAge`參數。因此，該規則符合控制項的需求。如果您不使用預設值，請確保您使用的值等於或大於 CIS v1.2.0 的 90 天要求。

您可以在 [AWS Config 文件](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)中找到每個受管規則的預設參數詳細資訊。如需如何設定規則的指示，請參閱[使用 AWS Config 受管規則](https://docs.aws.amazon.com/config/latest/developerguide/managing-aws-managed-rules.html)。

### 啟用和設定 AWS Security Hub CSPM
<a name="securityhub-recommendations"></a>



Audit Manager 中的許多控制項需要 Security Hub CSPM 作為資料來源類型。若要支援這些控制項，您必須在啟用 Audit Manager 的每個區域中的所有帳戶上啟用 Security Hub CSPM。

Audit Manager 不會為您管理 Security Hub CSPM。您可以依照下列步驟來啟用 Security Hub CSPM 並設定其設定。

**重要**  
啟用 Security Hub CSPM 是選用的建議。不過，如果您啟用 Security Hub CSPM，則需要下列設定。如果 Audit Manager 嘗試收集使用 Security Hub CSPM 作為資料來源類型的控制項的證據，且未如下述設定 Security Hub CSPM，則不會收集這些控制項的證據。

**要 AWS Security Hub CSPM 與 Audit Manager 整合的任務**
+ [步驟 1：啟用 AWS Security Hub CSPM](#enabling-securityhub)
+ [步驟 2：設定 Security Hub CSPM 設定以搭配 Audit Manager 使用](#set-up-securityhub)
+ [步驟 3：為您的組織設定 Organizations 設定](#set-up-securityhub-orgs)

#### 步驟 1：啟用 AWS Security Hub CSPM
<a name="enabling-securityhub"></a>

您可以使用主控台或 API 來啟用 Security Hub CSPM。如需指示，請參閱*AWS Security Hub CSPM 使用者指南*中的[設定 AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)。

#### 步驟 2：設定 Security Hub CSPM 設定以搭配 Audit Manager 使用
<a name="set-up-securityhub"></a>

啟用 Security Hub CSPM 之後，請務必也執行下列動作：
+ [啟用 AWS Config 和設定資源記錄](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html) – Security Hub CSPM 使用服務連結 AWS Config 規則來執行其控制項的大部分安全檢查。若要支援這些控制項， AWS Config 必須啟用並設定 ，以記錄您在每個啟用的標準中啟用的控制項所需的資源。
+ [啟用所有安全標準](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-enable-disable.html#securityhub-standard-enable-console) – 此步驟可確保 Audit Manager 可以匯入所有支援合規標準的調查結果。
+ [在 Security Hub CSPM 中開啟合併控制調查結果設定](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#turn-on-consolidated-control-findings) - 如果您在 2023 年 2 月 23 日或之後啟用 Security Hub CSPM，則此設定預設為*開啟*。
**注意**  
當您啟用合併調查結果時，Security Hub CSPM 會為每個安全檢查產生單一調查結果 （即使跨多個標準使用相同的檢查）。每個 Security Hub CSPM 調查結果會在 Audit Manager 中收集為一個唯一的資源評估。因此，合併調查結果會導致 Audit Manager 為 Security Hub CSPM 調查結果執行的唯一資源評估總數減少。因此，使用合併的調查結果通常有效降低 Audit Manager 使用成本。如需使用 Security Hub CSPM 做為資料來源類型的詳細資訊，請參閱 [AWS Security Hub CSPM 支援的控制項 AWS Audit Manager](control-data-sources-ash.md)。如需 Audit Manager 定價的詳細資訊，請參閱[AWS Audit Manager 定價](https://aws.amazon.com/audit-manager/pricing/)。

#### 步驟 3：為您的組織設定 Organizations 設定
<a name="set-up-securityhub-orgs"></a>

如果您使用 AWS Organizations 且想要從成員帳戶收集 Security Hub CSPM 證據，您還必須在 Security Hub CSPM 中執行以下步驟。

**設定組織的 Security Hub CSPM 設定**

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

1. 使用您的 AWS Organizations 管理帳戶，將 帳戶指定為 Security Hub CSPM 的委派管理員。如需詳細資訊，請參閱*AWS Security Hub CSPM 《 使用者指南*》中的[指定 Security Hub CSPM 管理員帳戶](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html#designate-admin-console)。
**注意**  
請確定您在 Security Hub CSPM 中指定的委派管理員帳戶與您在 Audit Manager 中使用的帳戶相同。

1. 使用您的 Organizations 委派管理員帳戶，移至 **設定、帳戶**，選取所有帳戶，然後選取 **自動註冊** 將其新增為成員。如需詳細資訊，請參閱*AWS Security Hub CSPM 使用者指南*中的[啟用組織中的成員帳戶](https://docs.aws.amazon.com/securityhub/latest/userguide/orgs-accounts-enable.html)。

1.  AWS Config 為組織的每個成員帳戶啟用 。如需詳細資訊，請參閱*AWS Security Hub CSPM 使用者指南*中的[啟用組織中的成員帳戶](https://docs.aws.amazon.com/securityhub/latest/userguide/orgs-accounts-enable.html)。

1. 為組織的每個成員帳戶啟用 PCI DSS 安全標準。 AWS CIS Foundations Benchmark 標準和 AWS 基礎最佳實務標準預設為啟用。如需詳細資訊，請參閱*AWS Security Hub CSPM 使用者指南*中的[啟用安全標準](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-enable-disable.html#securityhub-standard-enable-console)。

### 啟用和設定 AWS Organizations
<a name="enabling-orgs"></a>



Audit Manager 透過與 的整合支援多個帳戶 AWS Organizations。Audit Manager 可以對多個帳戶執行評估，並將證據合併到委派管理員帳戶中。委派管理員擁有建立及管理以組織做為信任區域之 Audit Manager 資源的許可。只有管理帳戶可以指定委派管理員。

**重要**  
啟用 AWS Organizations 是選用的建議。不過，如果您啟用 AWS Organizations，則需要下列設定。

**要 AWS Organizations 與 Audit Manager 整合的任務**
+ [步驟 1：建立或加入組織](#enabling-orgs-create)
+ [步驟 2：啟用您組織中的所有功能](#enabling-orgs-enable-all-features)
+ [步驟 3：為 Audit Manager 指定委派管理員](#enabling-orgs-designate)

#### 步驟 1：建立或加入組織
<a name="enabling-orgs-create"></a>

如果您的 AWS 帳戶 不屬於組織，您可以建立或加入組織。如需指示，請參閱*AWS Organizations 使用者指南*中的[建立和管理組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)。

#### 步驟 2：啟用您組織中的所有功能
<a name="enabling-orgs-enable-all-features"></a>

下一步，必須啟用您組織中的所有功能。如需指示，請參閱*AWS Organizations 使用者指南*中的[啟用組織中的所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。

#### 步驟 3：為 Audit Manager 指定委派管理員
<a name="enabling-orgs-designate"></a>

建議您使用 Organizations 管理帳戶啟用 Audit Manager 管理員，然後指定委派管理員。之後，您可以使用委派管理員帳戶登入並執行評估。根據最佳實務，建議您僅使用委派管理員帳戶來建立評估，而不是使用管理帳戶。

若要在啟用 Audit Manager 後新增或變更委派管理員，請參閱 [新增委派管理員](add-delegated-admin.md)和 [變更委派管理員](change-delegated-admin.md)。

## 後續步驟
<a name="whatnow-setup"></a>

現在您已使用建議設定設定 Audit Manager，即可開始使用 服務。
+ 若要開始使用您的第一個評估，請參閱 [稽核擁有者教學課程：建立評估](tutorial-for-audit-owners.md)。
+ 若要在未來更新您的設定，請參閱 [檢閱和設定您的 AWS Audit Manager 設定](console-settings.md)。