選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

將 Audit Manager 證據整合到您的 GRC 系統

PDF
RSS
焦點模式
將 Audit Manager 證據整合到您的 GRC 系統 - AWS Audit Manager
先決條件步驟 1:啟用 Audit Manager步驟 2:設定許可步驟 3:映射控制步驟 4:讓映射保持更新步驟 5:建立評估步驟 6. 收集證據定價其他資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

身為企業客戶,您可能擁有跨多個資料中心的資源,包括其他雲端廠商和內部部署環境。若要從這些環境收集證據,您可以使用第三方 GRC (治理、風險與合規) 解決方案,例如 MetricStream CyberGRC 或 RSA Archer。或者,您可以使用您自行開發的專屬 GRC 系統。

本教學課程說明如何將內部或外部 GRC 系統與 Audit Manager 整合。此整合可讓廠商收集客戶 AWS 用量和組態的相關證據,並將該證據直接從 Audit Manager 傳送至 GRC 應用程式。如此一來,您就可以跨多個環境集中管理合規報告。

在本教學課程中:

  1. 供應商是擁有與 Audit Manager 整合之 GRC 應用程式的實體或公司。

  2. 客戶是使用 的實體或公司 AWS,也使用內部或外部 GRC 應用程式。

注意

在某些情況下,GRC 應用程式由相同公司擁有和使用。在此案例中,廠商是擁有 GRC 應用程式的群組或團隊,而客戶是使用 GRC 應用程式的團隊或群組。

此教學課程會讓您了解如何執行以下操作:

先決條件

開始之前,請確定您符合下列條件:
要記住的一些限制:

  • Audit Manager 是區域性的 AWS 服務。您必須在執行 AWS 工作負載的每個區域中分別設定 Audit Manager。

  • Audit Manager 不支援將多個區域的證據彙總到單一區域。如果您的資源跨越多個 AWS 區域,您必須在 GRC 系統中彙總證據。

  • Audit Manager 具有您可以建立的資源數量的預設配額。如有需要,您可以請求增加這些預設配額。如需詳細資訊,請參閱配額和 的限制 AWS Audit Manager。

步驟 1:啟用 Audit Manager

誰完成此步驟

客戶

您需要執行的事項

首先為您的 啟用 Audit Manager AWS 帳戶。如果您的帳戶是組織的一部分,您可以使用管理帳戶啟用 Audit Manager,然後為 Audit Manager 指定委派管理員。

程序

啟用 Audit Manager

依照指示啟用 Audit Manager。針對您要收集證據的所有區域重複設定程序。

提示

如果您使用 AWS Organizations,強烈建議您在此步驟中設定委派管理員。當您在 Audit Manager 中使用委派管理員帳戶時,您可以使用證據搜尋工具來搜尋組織中所有成員帳戶的證據。

步驟 2:設定許可

誰完成此步驟

客戶

您需要執行的事項

在此步驟中,客戶會為其帳戶建立 IAM 角色。然後,客戶會授予廠商擔任角色的許可。

顯示 IAM 角色如何授予廠商帳戶存取權的圖表。

程序

為客戶帳戶建立角色

請按照 IAM 使用者指南為 IAM 使用者建立角色 中的指示進行操作。

  • 在角色建立工作流程的步驟 8 中,選擇建立政策並輸入角色的政策。

    角色至少必須具有下列許可:

    {
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid" : "AuditManagerAccess",
      "Effect" : "Allow",
      "Action" : [
        "auditmanager:*"
      ],
      "Resource" : "*"
    },
    {
      "Sid" : "OrganizationsAccess",
      "Effect" : "Allow",
      "Action" : [
        "organizations:ListAccountsForParent",
        "organizations:ListAccounts",
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:ListParents",
        "organizations:ListChildren"
      ],
      "Resource" : "*"
    },
    {
      "Sid" : "IAMAccess",
      "Effect" : "Allow",
      "Action" : [
        "iam:GetUser",
        "iam:ListUsers",
        "iam:ListRoles"
      ],
      "Resource" : "*"
    },        
    {
      "Sid" : "S3Access",
      "Effect" : "Allow",
      "Action" : [
        "s3:ListAllMyBuckets"
      ],
      "Resource" : "*"
    },
    {
      "Sid" : "KmsAccess",
      "Effect" : "Allow",
      "Action" : [
        "kms:DescribeKey",
        "kms:ListKeys",
        "kms:ListAliases"
      ],
      "Resource" : "*"
    },
    {
      "Sid" : "KmsCreateGrantAccess",
      "Effect" : "Allow",
      "Action" : [
        "kms:CreateGrant"
      ],
      "Resource" : "*",
      "Condition" : {
        "Bool" : {
          "kms:GrantIsForAWSResource" : "true"
        },
        "StringLike" : {
          "kms:ViaService" : "auditmanager.*.amazonaws.com"
        }
      }
    },
    {
      "Sid" : "SNSAccess",
      "Effect" : "Allow",
      "Action" : [
        "sns:ListTopics"
      ],
      "Resource" : "*"
    }, 
    {
      "Sid" : "TagAccess",
      "Effect" : "Allow",
      "Action" : [
        "tag:GetResources"
      ],
      "Resource" : "*"
    }
  ]
}

  • 在角色建立工作流程的步驟 11 中,輸入 vendor-auditmanager做為角色名稱

允許廠商帳戶擔任該角色

請遵循《IAM 使用者指南》中授予使用者切換角色的許可中的指示。

  • 政策陳述式必須包含對 Allow的影響sts:AssumeRole action

  • 它還必須在資源元素中包含角色的 Amazon Resource Name (ARN)。

  • 以下是您可以使用的政策陳述式範例。

    在此政策中,將預留位置文字取代為您廠商的 AWS 帳戶 ID。

    {
 "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::account-id:role/vendor-auditmanager"
  }
}

步驟 3。將您的企業控制項映射至 Audit Manager 控制項

誰完成此步驟

客戶

您需要執行的事項

供應商會維護一份精選的企業控制清單,供客戶在評估中使用。若要與 Audit Manager 整合,廠商必須建立 界面,讓客戶將其企業控制映射至對應的 Audit Manager 控制。您可以映射到 common control(偏好) 或 standard control。您必須先完成此映射,才能在廠商的 GRC 應用程式中啟動任何評估。

顯示企業控制項如何映射至 Audit Manager 控制項的圖表。

這是將企業控制項映射至 Audit Manager 的建議方法。這是因為常見控制項與常見產業標準密切一致。這可讓您更輕鬆地將它們映射到您的企業控制項。

透過此方法,廠商會建立界面,讓客戶在其企業控制項與 Audit Manager 提供的對應常見控制項之間執行一次性映射。供應商可以使用 ListControlsListCommonControlsGetControl API 操作,將此資訊提供給客戶。客戶完成映射練習後,廠商就可以使用這些映射在 Audit Manager 中建立自訂控制項

以下是常見控制項映射的範例:

假設您有一個名為 的企業控制項Asset Management。此企業控制映射至 Audit Manager (Asset performance managementAsset maintenance scheduling) 中的兩個常見控制。在此情況下,您必須在 Audit Manager 中建立自訂控制項 (我們將命名為 enterprise-asset-management)。然後,將 Asset performance managementAsset maintenance scheduling 作為證據來源新增至新的自訂控制項。這些證據來源會從預先定義的 AWS 資料來源群組收集支援證據。這為您提供一種有效率的方式,來識別對應至企業控制需求的 AWS 資料來源。

程序

尋找您可以映射到的可用常見控制項

依照步驟尋找 Audit Manager 中可用的常見控制項清單

建立自訂控制項

  1. 依照步驟建立符合企業控制的自訂控制項。

    當您在自訂控制項建立工作流程的步驟 2 中指定證據來源時,請執行下列動作:

    • 選擇AWS 受管來源做為證據來源。

    • 選取使用符合您合規目標的常見控制項

    • 選擇最多五個常用控制項做為企業控制項的證據來源。

  2. 針對所有企業控制項重複此任務,並在 Audit Manager 中為每個控制項建立對應的自訂控制項。

選項 1:將企業控制映射至常見控制 (建議)

這是將企業控制項映射至 Audit Manager 的建議方法。這是因為常見控制項與常見產業標準密切一致。這可讓您更輕鬆地將它們映射到您的企業控制項。

透過此方法,廠商會建立界面,讓客戶在其企業控制項與 Audit Manager 提供的對應常見控制項之間執行一次性映射。供應商可以使用 ListControlsListCommonControlsGetControl API 操作,將此資訊提供給客戶。客戶完成映射練習後,廠商就可以使用這些映射在 Audit Manager 中建立自訂控制項

以下是常見控制項映射的範例:

假設您有一個名為 的企業控制項Asset Management。此企業控制映射至 Audit Manager (Asset performance managementAsset maintenance scheduling) 中的兩個常見控制。在此情況下,您必須在 Audit Manager 中建立自訂控制項 (我們將命名為 enterprise-asset-management)。然後,將 Asset performance managementAsset maintenance scheduling 作為證據來源新增至新的自訂控制項。這些證據來源會從預先定義的 AWS 資料來源群組收集支援證據。這為您提供一種有效率的方式,來識別對應至企業控制需求的 AWS 資料來源。

程序

尋找您可以映射到的可用常見控制項

依照步驟尋找 Audit Manager 中可用的常見控制項清單

建立自訂控制項

  1. 依照步驟建立符合企業控制的自訂控制項。

    當您在自訂控制項建立工作流程的步驟 2 中指定證據來源時,請執行下列動作:

    • 選擇AWS 受管來源做為證據來源。

    • 選取使用符合您合規目標的常見控制項

    • 選擇最多五個常用控制項做為企業控制項的證據來源。

  2. 針對所有企業控制項重複此任務,並在 Audit Manager 中為每個控制項建立對應的自訂控制項。

Audit Manager 提供大量預先建置的標準控制項。您可以在企業控制項和這些標準控制項之間執行一次性映射。識別與企業控制項對應的標準控制項之後,您可以將這些標準控制項直接新增至自訂架構。如果您選擇此選項,則不需要在 Audit Manager 中建立任何自訂控制項。

程序

尋找您可以映射至 的可用標準控制項

依照步驟在 Audit Manager 中尋找可用的標準控制項清單

建立自訂架構

  1. 依照步驟在 Audit Manager 中建立自訂架構

    當您在架構建立程序的步驟 2 中指定控制項集時,請包含映射至企業控制項的標準控制項。

  2. 針對所有企業控制項重複此任務,直到您已在自訂架構中包含所有對應的標準控制項為止。

Audit Manager 提供大量預先建置的標準控制項。您可以在企業控制項和這些標準控制項之間執行一次性映射。識別與企業控制項對應的標準控制項之後,您可以將這些標準控制項直接新增至自訂架構。如果您選擇此選項,則不需要在 Audit Manager 中建立任何自訂控制項。

程序

尋找您可以映射至 的可用標準控制項

依照步驟在 Audit Manager 中尋找可用的標準控制項清單

建立自訂架構

  1. 依照步驟在 Audit Manager 中建立自訂架構

    當您在架構建立程序的步驟 2 中指定控制項集時,請包含映射至企業控制項的標準控制項。

  2. 針對所有企業控制項重複此任務,直到您已在自訂架構中包含所有對應的標準控制項為止。

步驟 4. 保持更新控制項映射

誰完成此步驟

供應商、客戶

您需要執行的事項

Audit Manager 會持續更新常見控制項和標準控制項,以確保它們使用最新的可用 AWS 資料來源。這表示映射控制項是一項一次性任務:在將標準控制項新增至自訂架構之後,您不需要管理標準控制項,而且在將它們新增為自訂控制項中的證據來源之後,您不需要管理常見控制項。每當通用控制項更新時,相同的更新會自動套用至使用該通用控制項做為證據來源的所有自訂控制項。

不過,隨著時間的推移,新的常見控制項和標準控制項可能會變成可供您使用做為證據來源。考慮到這一點,廠商和客戶應建立工作流程,以定期從 Audit Manager 擷取最新的常見控制項和標準控制項。然後,您可以檢閱企業控制項和 Audit Manager 控制項之間的映射,並視需要更新映射。

在映射過程中,您已建立自訂控制項。您可以使用 Audit Manager 編輯這些自訂控制項,以便它們使用最新的可用常見控制項做為證據來源。自訂控制項更新生效後,您現有的評估會自動針對更新的自訂控制項收集證據。您不需要建立新的架構或評估。

程序

尋找您可以映射到的最新常見控制項

依照步驟在 Audit Manager 中尋找可用的常見控制項

編輯自訂控制項

  1. 依照步驟在 Audit Manager 中編輯自訂控制項

    當您在編輯工作流程的步驟 2 中更新證據來源時,請執行下列動作:

    • 選擇AWS 受管來源做為證據來源。

    • 選取使用符合您合規目標的常見控制項

    • 選擇您要用作自訂控制項證據來源的新常見控制項。

  2. 針對您要更新的所有企業控制項重複此任務。

在映射過程中,您已建立自訂控制項。您可以使用 Audit Manager 編輯這些自訂控制項,以便它們使用最新的可用常見控制項做為證據來源。自訂控制項更新生效後,您現有的評估會自動針對更新的自訂控制項收集證據。您不需要建立新的架構或評估。

程序

尋找您可以映射到的最新常見控制項

依照步驟在 Audit Manager 中尋找可用的常見控制項

編輯自訂控制項

  1. 依照步驟在 Audit Manager 中編輯自訂控制項

    當您在編輯工作流程的步驟 2 中更新證據來源時,請執行下列動作:

    • 選擇AWS 受管來源做為證據來源。

    • 選取使用符合您合規目標的常見控制項

    • 選擇您要用作自訂控制項證據來源的新常見控制項。

  2. 針對您要更新的所有企業控制項重複此任務。

在此情況下,廠商必須建立新的自訂架構,其中包含最新的可用標準控制項,然後使用這個新的架構建立新的評估。建立新評估之後,您可以將舊評估標記為非作用中。

程序

尋找您可以映射到的最新標準控制項

依照步驟在 Audit Manager 中尋找可用的標準控制項

建立自訂架構並新增最新的標準控制項

依照步驟在 Audit Manager 中建立自訂架構

當您在架構建立工作流程的步驟 2 中指定控制項集時,請包含新的標準控制項。

建立評估

在 GRC 應用程式中建立評估。

將評估的狀態變更為非作用中

依照步驟在 Audit Manager 中變更評估的狀態

在此情況下,廠商必須建立新的自訂架構,其中包含最新的可用標準控制項,然後使用這個新的架構建立新的評估。建立新評估之後,您可以將舊評估標記為非作用中。

程序

尋找您可以映射到的最新標準控制項

依照步驟在 Audit Manager 中尋找可用的標準控制項

建立自訂架構並新增最新的標準控制項

依照步驟在 Audit Manager 中建立自訂架構

當您在架構建立工作流程的步驟 2 中指定控制項集時,請包含新的標準控制項。

建立評估

在 GRC 應用程式中建立評估。

將評估的狀態變更為非作用中

依照步驟在 Audit Manager 中變更評估的狀態

步驟 5:建立評估

誰完成此步驟

GRC 應用程式,以及廠商的輸入

您需要執行的事項

身為客戶,您不需要直接在 Audit Manager 中建立評估。當您在 GRC 應用程式中啟動特定控制項的評估時,GRC 應用程式會在 Audit Manager 中為您建立對應的資源。首先,GRC 應用程式會使用您建立的映射來識別相關的 Audit Manager 控制項。接下來,它會使用控制項資訊來為您建立自訂架構。最後,它會使用新建立的自訂架構,在 Audit Manager 中建立評估。

在 Audit Manager 中建立評估也需要一個範圍。此範圍會取得 AWS 帳戶 客戶想要執行評估並收集證據的 清單。客戶必須直接在 GRC 應用程式中定義此範圍。

身為廠商,您需要存放映射至 GRC 應用程式中所啟動評估的 assessmentIdassessmentId 這是從 Audit Manager 擷取證據的必要項目。

尋找評估 ID

  1. 使用 ListAssessments 操作在 Audit Manager 中檢視您的評估。您可以使用 狀態參數來檢視作用中的評估。

    aws auditmanager list-assessments --status ACTIVE

  2. 在回應中,識別您要存放在 GRC 應用程式中的評估,並記下 assessmentId

步驟 6. 開始收集證據

誰完成此步驟

AWS Audit Manager,具有來自廠商的輸入

您需要執行的事項

建立評估後,最多需要 24 小時才能開始收集證據。此時,您的企業控制現在正在積極收集 Audit Manager 評估的證據。

建議您使用證據搜尋工具功能,在 Audit Manager 中快速查詢和尋找證據。如果您以委派管理員的身分使用證據搜尋工具,您可以在組織中的所有成員帳戶中搜尋證據。使用篩選條件和分組的組合,您可以逐步縮小搜尋查詢的範圍。例如,如果您想要系統健全狀況的高階檢視,請擴大搜尋範圍,並依據評估、日期範圍和資源合規性進行篩選。如果您的目標是修復特定資源,則可以縮小搜尋範圍,以針對特定控制項或資源 ID 的證據作為目標。定義篩選條件後,您可以先分組並預覽相符的搜尋結果,然後再建立評估報告。

啟用證據搜尋工具

啟用證據搜尋工具後,您可以決定從 Audit Manager 擷取證據以進行評估的節奏。您也可以在評估中擷取特定控制項的證據,並將證據存放在映射至企業控制項的 GRC 應用程式中。您可以使用下列 Audit Manager API 操作來擷取證據:

定價

無論您是廠商還是客戶,您都不會為此整合設定產生任何額外費用。客戶需支付 Audit Manager 中收集的證據費用。如需定價的詳細資訊,請參閱 AWS Audit Manager 定價

其他資源

您可以檢閱下列資源,進一步了解本教學課程中介紹的概念:

  • 評估 – 了解管理評估的概念和任務。

  • 控制程式庫 – 了解管理自訂控制項的概念和任務。

  • 架構程式庫 – 了解管理自訂架構的概念和任務。

  • 證據搜尋工具 - 了解如何從查詢結果匯出 CSV 檔案或產生評估報告。

  • 下載中心 - 了解如何從 Audit Manager 下載評估報告和 CSV 匯出。

在本頁面

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。