本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設置 AWS Marketplace 供應商洞察
以下過程描述了在 AWS Marketplace 軟件即服務(SaaS)列表上設置 AWS Marketplace 供應商見解的高級步驟。
在您的 SaaS 清單上設置 AWS Marketplace 供應商見解
-
(選擇性) 上傳認證。
-
(選擇性) 啟用 AWS Audit Manager 自動化評估。
建立安全性描述檔
安全性設定檔可讓您的購買者詳細瞭解軟體產品的安全性狀態。安全性設定檔使用關聯的資料來源,包括自我評估、認證和自 AWS Audit Manager 動評估。
注意
您可以建立有限數量的安全性設定檔。若要建立更多安全性設定檔,請要求提高配額。如需詳細資訊,請參閱AWS AWS 一般參考.
建立安全性設定檔
-
使用可存取 AWS Marketplace 賣家帳戶的使用IAM者或角色登入。
-
選擇「產品」,然後選取「SaaS」以導覽至 Saas 產品頁面。
-
選擇一個產品。
-
選擇「供應商洞察」標籤,然後選擇「聯絡 Support」以新增安全性設定檔。
-
填寫表格,然後選擇「提交」。
AWS Marketplace 賣家營運團隊會建立安全性設定檔。當安全性設定檔準備就緒時,他們會傳送通知電子郵件訊息給表單上識別的收件者。
上傳認證
認證是一種資料來源,可提供跨多個維度產品安全狀態的證據。 AWS Marketplace 供應商洞察支援下列認證:
-
美聯儲RAMP認證 — 驗證符合美國政府雲端安全標準
-
GDPR合規報告 — 證明遵守《通用數據保護條例》(GDPR)要求,保護個人數據和個人隱私權
-
HIPAA合規報告 — 證明遵守《Health 保險可攜性與責任法案》(HIPAA) 法規,保護受保護的健康資訊
-
ISO/IEC27001 審計報告 — 確認符合國際標準化組織 ()/國際電工委員會 (ISOIEC) 27001,強調資訊安全標準
-
PCIDSS審計報告 — 證明是否符合安全標準委員會制定的PCI保安標準
-
SOC2 類型 2 稽核報告 — 確認符合服務組織控制 (SOC) 資料隱私權和安全性控制
若要上傳認證
-
在「供應商見解」索引標籤上,導覽至「資料來源」區段。
-
在認證下,選擇上傳認證。
-
在 [認證詳細資料] 下,提供所需的資訊並上傳認證。
-
(選擇性) 在標籤下,新增標籤。
注意
有關標籤的資訊,請參閱標記資AWS源使用指南中的標記AWS資源。
-
選擇 [上傳認證]。
注意
認證會自動與目前的安全性設定檔產生關聯。您也可以關聯已上傳的認證。在產品詳細資訊頁面上,選擇認證下的關聯認證,從清單中選取認證,然後選擇關聯認證。
上傳認證後,您可以使用產品詳細資料頁面上的 [下載認證] 按鈕下載認證。您也可以使用「更新證明」按鈕來更新證明明細。
認證狀態會變更為,ValidationPending直到驗證認證詳細資料為止。在處理資料來源期間和之後,都會顯示替代狀態:
-
可用 — 已上傳資料來源,且系統驗證順利完成。
-
AccessDenied— AWS Marketplace 供應商洞察不再可以讀取數據源的外部源引用。
-
ResourceNotFound— 資料來源的外部來源參照不再可供讀 VendorInsights 取。
-
ResourceNotSupported— 已上傳資料來源,但尚不支援提供的來源。如需有關驗證錯誤的詳細資訊,請參閱狀態訊息。
-
ValidationPending— 已上傳資料來源,但系統驗證仍在執行中。目前階段沒有適合您的行動項目。狀態會更新為「可用」 ResourceNotSupported、或 ValidationFailed。
-
ValidationFailed— 已上傳資料來源,但由於一個或多個原因,系統驗證失敗。如需有關驗證錯誤的詳細資訊,請參閱狀態訊息。
-
上傳自我評估
自我評估是一種資料來源,可提供產品安全性狀態的證據。 AWS Marketplace 供應商洞察支持以下自我評估:
-
AWS Marketplace 供應商洞察自我評估
-
一致評估倡議問卷 (CAIQ)。如需詳細資訊,請參閱雲端安全聯盟網站上的內容
。CAIQ
上傳自我評估
在 https://console.aws.amazon.com/市
集開啟 AWS Marketplace 主控台。 -
在「供應商見解」索引標籤上,導覽至「資料來源」區段。
-
在「自我評估」下,選擇「上傳自我評估」
-
在「自我評估詳細資料」下,完成下列資訊:
-
名稱 — 輸入自我評估的名稱。
-
類型 — 從清單中選擇評估類型。
注意
如果您選擇「供應商見解安全性自我評估」,請選擇「下載範本」以下載自我評估。針對試算表中的每個答案,選擇「是」、「否」或「N/A」。
-
-
若要上傳已完成的評估,請選擇「上傳自我評估」。
-
(選擇性) 在標籤下,新增標籤。
注意
有關標籤的資訊,請參閱標記資 AWS 源使用指南中的標記 AWS 資源。
-
選擇 [上傳自我評估]。
注意
自我評估會自動與目前的安全性設定檔產生關聯。您也可以將已上傳的自我評估建立關聯。在產品詳細資訊頁面上,選擇「自我評估」下的「關聯自我評估」,從清單中選取自我評估,然後選擇「關聯自我評估」。
上傳自我評估後,您可以使用產品詳細資料頁面上的「下載自我評估」按鈕進行下載。您也可以使用「更新自我評估」按鈕來更新自我評估詳細資訊。
狀態會更新為下列其中一項:
-
可用 — 已上傳資料來源,且系統驗證順利完成。
-
AccessDenied— 資料來源的外部來源參照不再可供讀 VendorInsights 取。
-
ResourceNotFound— 資料來源的外部來源參照不再可供讀 VendorInsights 取。
-
ResourceNotSupported— 已上傳資料來源,但尚不支援提供的來源。如需有關驗證錯誤的詳細資訊,請參閱狀態訊息。
-
ValidationPending— 已上傳資料來源,但系統驗證仍在執行中。目前階段沒有適合您的行動項目。狀態會更新為「可用」 ResourceNotSupported、或 ValidationFailed。
-
ValidationFailed— 已上傳資料來源,但由於一個或多個原因,系統驗證失敗。如需有關驗證錯誤的詳細資訊,請參閱狀態訊息。
-
啟用 AWS Audit Manager 自動化評估
AWS Marketplace 供應商洞察使用多個 AWS 服務 來自動為您的安全配置文件收集證據。
您需要下列資源 AWS 服務 以進行自動化評估:
-
AWS Audit Manager— 為了簡化 AWS Marketplace 供應商洞察設置,我們使用 AWS CloudFormation Stack 和 StackSets,它負責佈建和配置必要的資源。堆疊集會建立自動化評估,其中包含由自動填入的控制項 AWS Config。
若要取得有關的更多資訊 AWS Audit Manager,請參閱AWS Audit Manager 使用者指南。
-
AWS Config-堆棧集部署一 AWS Config 致性包來設置必要的規則。 AWS Config 這些規則可讓 Audit Manager 自動評估收集其中 AWS 服務 部署的其他人的即時證據 AWS 帳戶。如需有關 AWS Config 功能的詳細資訊,請參閱開AWS Config 發人員指南。
注意
您可能會注意到初始錄製月份的帳戶活動與 AWS Config 後續月份相比有所增加。在初始啟動載入程序期間, AWS Config 檢閱您帳戶中選取 AWS Config 要記錄的所有資源。
如果您執行暫時工作負載,您可能會看到活動增加, AWS Config 因為它會記錄與建立和刪除這些暫時資源相關聯的組態變更。暫時性工作負載是暫時使用因需要而載入和執行的運算資源。
臨時EMR工作負載的範例包括 Amazon 彈性運算雲端 (AmazonEC2) 競價型執行個體、Amazon 任務和. AWS Auto Scaling AWS Lambda若要避免因執行臨時工作負載而增加的活動,您可以在關閉的情況下在單獨的帳戶中執行這些類型的工作負載。 AWS Config 此方法可避免增加組態記錄和規則評估。
-
Amazon S3 — 堆棧集創建以下兩個 Amazon Simple Storage Service (Amazon S3) 存儲桶:
-
vendor-insights-stack-set-輸出桶-{帳戶號碼}-此存儲桶包含來自堆棧集運行的輸出。 AWS Marketplace 賣方營運團隊會使用輸出來完成您的自動化資料來源建立程序。
-
vendor-insights-assessment-reports-bucket-{帳戶號碼} — 將評估報告 AWS Audit Manager 發佈到此 Amazon S3 儲存貯體。如需有關發佈評估報告的詳細資訊,請參閱AWS Audit Manager 使用指南中的評估報告。
如需有關 Amazon S3 功能的詳細資訊,請參閱 Amazon S3 使用者指南。
-
-
IAM-入職堆棧集在您的帳戶中提供以下 AWS Identity and Access Management (IAM)角色:
-
部署
VendorInsightsPrerequisiteCFT.yml範本時,它會建立管理員角色AWSVendorInsightsOnboardingStackSetsAdmin和執行角色AWSVendorInsightsOnboardingStackSetsExecution。堆疊集會使用系統管理員角色,同時將所需的堆疊部署至 AWS 區域 多個。管理員角色扮演執行角色,將必要的父堆疊和巢狀堆疊部署為「 AWS Marketplace 供應商見解」設定程序的一部分。如需有關自我管理權限的詳細資訊,請參閱AWS CloudFormation 使用指南中的授與自我管理權限。 -
該
AWSVendorInsightsRole角色為供 AWS Marketplace 應商洞察提供了讀取 AWS Audit Manager 資源評估的訪問權限。 AWS Marketplace 供應商洞察會在您的供應 AWS Marketplace 商洞察個人資料中顯示評估中找到的證據。 -
為
AWSVendorInsightsOnboardingDelegationRole供 AWS Marketplace 應商洞察提供對存vendor-insights-stack-set-output-bucket儲桶中列表和讀取對象的訪問權限。此功能可讓目 AWS Marketplace 錄營運團隊協助您設定 AWS Marketplace 廠商洞察資料檔。 -
AWSAuditManagerAdministratorAccess角色提供管理員存取權,以啟用或停用 AWS Audit Manager、更新設定以及管理評量、控制項和架構。您或您的團隊可以擔任此角色,以針對中的自動評估採取行動 AWS Audit Manager。
-
若要啟用 AWS Audit Manager 自動化評估,您必須部署上架堆疊。
部署入職堆疊
為了簡化 AWS Marketplace 供應商洞察設置 StackSets,我們使用 AWS CloudFormation Stack 和負責佈建和配置必要資源。如果您有多個帳戶或多個 AWS 區域 SaaS 解決方案,可 StackSets 讓您從中央管理帳戶部署入職堆疊。
若要取得有關的更多資訊 CloudFormation StackSets,請參閱使用指南 AWS CloudFormation StackSets中的〈AWS CloudFormation 使用〉。
AWS Marketplace 供應商洞察設置要求您使用以下 CloudFormation 模板:
-
VendorInsightsPrerequisiteCFT— 設定必要的管理員角色和權限,以便 CloudFormation StackSets 在您的帳戶中執行。在賣家帳戶中建立此堆疊。 -
VendorInsightsOnboardingCFT— 設定必要的權限 AWS 服務 並設定適當IAM的權限。這些權限允許 AWS Marketplace 供應商洞察收集在您的 SaaS 產品的數據, AWS 帳戶 並在您的 AWS Marketplace 供應商見解個人資料中顯示數據。在託管 SaaS 解決方案的賣家帳戶和生產帳戶中創建此堆棧 StackSets。
建立 VendorInsightsPrerequisiteCFT 堆疊。
藉由執行VendorInsightsPrerequisiteCFT CloudFormation 堆疊,您可以設定啟動上架堆疊集的IAM權限。
建立VendorInsightsPrerequisiteCFT堆疊的步驟
-
從 GitHub網站上的供應商見解範AWS 本資料夾
中檢閱並下載最新 VendorInsightsPrerequisiteCFT.yml檔案。 -
AWS Management Console 使用您的 AWS Marketplace 賣家帳戶登錄,然後在 https://console.aws.amazon.com/cloud
form 中打開 AWS CloudFormation 控制台。 -
在 CloudFormation 主控台導覽窗格中,選擇 [堆疊],然後從下拉式清單中選擇 [建立堆疊] 和 [使用新資源 (標準)]。(如果看不見導覽窗格,請在左上角選取並展開導覽窗格。)
-
在「指定範本」下,選擇「上傳範本檔案」。若要上傳您下載的
VendorInsightsPrerequisiteCFT.yml檔案,請使用 [選擇檔案]。然後選擇下一步。 -
輸入堆疊的名稱,然後選擇 [下一步]。
-
(選擇性) 視需要設定堆疊選項。
選擇 Next (下一步)。
-
在 Review (檢閱) 頁面上,檢視您的選擇。若要進行變更,請在您要變更的區域中選擇 「編輯」。您必須先選取 [權能] 區域中的確認核取方塊,才能建立堆疊。
選擇提交。
-
建立堆疊之後,請選擇 [資源] 索引標籤,並記下所建立的下列角色:
-
AWSVendorInsightsOnboardingStackSetsAdmin -
AWSVendorInsightsOnboardingStackSetsExecution
-
建立VendorInsightsOnboardingCFT堆疊組
藉由執行VendorInsightsOnboardingCFT CloudFormation 堆疊集,您可以設定必要的, AWS 服務 並設定適當的IAM權限。這使 AWS Marketplace 供應商洞察可以收集在您的 SaaS 產品中運行的數據, AWS 帳戶 並將其顯示在您的 AWS Marketplace 供應商洞察個人資料中。
如果您有多帳戶解決方案,或者您有單獨的賣家和生產帳戶,則必須在多個帳戶中部署此堆疊。 StackSets 可讓您從建立必要條件堆疊的管理帳戶執行此動作。
堆疊集是使用自我管理的權限來部署。如需詳細資訊,請參閱AWS CloudFormation 使用者指南中的建立具有自我管理許可的堆疊集。
建立VendorInsightsOnboardingCFT堆疊組
-
從 GitHub網站上的供應商見解範AWS 本資料夾
中檢閱並下載最新 VendorInsightsOnboardingCFT.yml檔案。 -
AWS Management Console 使用您的 AWS Marketplace 賣家帳戶登錄,然後在 https://console.aws.amazon.com/cloud
formation 中打開 AWS CloudFormation 控制台。 -
在 CloudFormation 主控台瀏覽窗格中,選擇 [建立] StackSet。(如果看不見導覽窗格,請在左上角選取並展開導覽窗格。)
-
在 [權限] 下,針對系統管理員IAM角色選擇角色名稱,然後從下拉式清單中選AWSVendorInsightsOnboardingStackSetsAdmin擇角色名稱。
-
輸入
AWSVendorInsightsOnboardingStackSetsExecution作為IAM執行角色名稱。 -
在「指定範本」下,選擇「上傳範本檔案」。若要上傳您下載的
VendorInsightsOnboardingCFT.yml檔案,請使用 [選擇檔案],然後選擇 [下一步]。 -
提供下列 StackSet 參數,然後選擇 [下一步]。
-
CreateVendorInsightsAutomatedAssessment— 此參數會 AWS Audit Manager 在您的 AWS 帳戶. 如果您有個別的管理和生產帳戶,則只應針對生產帳戶選取此選項,而不能針對管理帳戶選取此選項。 -
CreateVendorInsightsIAMRoles— 此參數提供一個IAM角色,該角色允許 AWS Marketplace 供應商洞察讀取 AWS 帳戶. -
PrimaryRegion— 此參數會設定 SaaS 部署 AWS 區域 的主要參數。這是在您的. 中建立 S3 儲存貯體的區域 AWS 帳戶。如果您的 SaaS 產品僅部署到一個區域,則該區域為主要區域。
-
-
根據需要配置 StackSet 選項。將 [執行] 組態保持為非作用中,然後選擇 [下一步]。
-
設定部署選項。如果您有多帳戶解決方案,則可以將堆疊集設定為在多個帳戶和區域中部署為單一作業。選擇 Next (下一步)。
注意
如果您有多帳戶解決方案,我們不建議以單一堆疊集的形式部署到所有帳戶。密切注意步驟 7 中定義的參數。您可能想要啟用或停用某些參數,視您要部署的帳戶類型而定。 StackSets 將相同的參數套用至單一部署中的所有指定帳戶。您可以將堆疊集中的帳戶分組,以縮短部署時間,但是您仍然需要針對多帳戶解決方案多次部署。
重要
如果您要部署到多個區域,您列出的第一個區域必須是
PrimaryRegion. 將「區域並行」選項保留為「連續」的預設設定。 -
在 Review (檢閱) 頁面上,檢視您的選擇。若要進行變更,請在您要變更的區域中選擇 「編輯」。您必須先選取 [權能] 區域中的確認核取方塊,才能建立堆疊集。
選擇提交。
每個區域的堆疊集大約需要 5 分鐘才能完成。
