設定 AWS Marketplace Vendor Insights - AWS Marketplace
建立安全性描述檔上傳憑證上傳自我評定啟用 AWS Audit Manager 自動評估

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 AWS Marketplace Vendor Insights

下列程序說明在軟體上 AWS Marketplace 設定 AWS Marketplace Vendor Insights as a Service (SaaS清單的高階步驟。

在 SaaS 清單上設定 AWS Marketplace Vendor Insights

  1. 建立安全性描述檔.

  2. (選用) 上傳憑證

  3. 上傳自我評定.

  4. (選用) 啟用 AWS Audit Manager 自動評估

建立安全性描述檔

安全設定檔可為您的買家提供軟體產品安全狀態的詳細洞察。安全設定檔使用相關聯的資料來源,包括自我評估、認證和 AWS Audit Manager 自動評估。

注意

您可以建立有限數量的安全設定檔。若要建立更多安全設定檔,請請求提高配額。如需詳細資訊,請參閱中的AWS 服務配額AWS 一般參考

建立安全性設定檔

  1. 使用具有 AWS Marketplace 賣方帳戶存取權IAM的使用者或角色登入。

  2. 選擇產品,然後選擇 SaaS 以導覽至 SaaS 產品頁面。

  3. 選擇產品

  4. 選擇 Vendor Insights 索引標籤,然後選擇聯絡支援以新增安全設定檔

  5. 完成表單,然後選擇提交

    AWS Marketplace 賣方操作團隊將建立安全設定檔。當安全設定檔準備就緒時,他們將向表單上識別的收件人傳送通知電子郵件訊息。

上傳憑證

憑證是一種資料來源,可針對多個維度提供產品安全狀態的證據。 AWS Marketplace Vendor Insights 支援下列憑證:

  • 聯RAMP準會認證 – 驗證是否符合美國政府雲端安全標準

  • GDPR 合規報告 – 示範遵循一般資料保護規則 (GDPR) 要求,保護個人資料和個人的隱私權

  • HIPAA 合規報告 – 示範遵循健康保險可攜性和責任法案 (HIPAA) 法規,保護受保護的健康資訊

  • ISO/IEC 27001 audit report – Confirms compliance with International Organization for Standardization (ISO)/International 電工委員會 (IEC) 27001,強調資訊安全標準

  • PCI DSS 稽核報告 – 示範遵循安全標準協會設定的PCI安全標準

  • SOC 2 類型 2 稽核報告 – 確認遵循 Service Organizational Control (SOC) 資料隱私權和安全控制

若要上傳憑證

  1. Vendor Insights 索引標籤上,導覽至資料來源區段。

  2. 憑證 下,選擇上傳憑證

  3. 憑證詳細資訊 下,提供請求的資訊並上傳憑證。

  4. (選用) 在標籤 下,新增標籤。

    注意

    如需標籤的相關資訊,請參閱 標記AWS資源使用者指南 中的標記AWS資源

  5. 選擇上傳憑證。

    注意

    認證會自動與目前的安全設定檔建立關聯。您也可以關聯已上傳的憑證。在產品詳細資訊頁面上,選擇憑證下的關聯憑證,從清單中選擇憑證,然後選擇關聯憑證。

    上傳憑證之後,您可以使用產品詳細資訊頁面上的下載憑證按鈕來下載憑證。您也可以使用更新憑證按鈕來更新憑證詳細資訊。

    認證狀態會變更為 ,ValidationPending直到驗證認證詳細資訊為止。處理資料來源期間和之後,會出現替代狀態:

    • 可用 – 已上傳資料來源,且已成功完成系統驗證。

    • AccessDenied – 資料來源的外部來源參考不再可供 AWS Marketplace Vendor Insights 讀取。

    • ResourceNotFound – 資料來源的外部來源參考不再可供 VendorInsights 讀取。

    • ResourceNotSupported – 已上傳資料來源,但尚未支援提供的來源。如需有關驗證錯誤的詳細資訊,請參閱 狀態訊息。

    • ValidationPending – 資料來源已上傳,但系統驗證仍在執行中。在此階段,您沒有任何動作項目。狀態會更新為可用 ResourceNotSupported,或 ValidationFailed。

    • ValidationFailed – 資料來源已上傳,但系統驗證因一或多個原因失敗。如需有關驗證錯誤的詳細資訊,請參閱 狀態訊息。

上傳自我評定

自我評定是一種資料來源,可提供產品安全狀態的證據。 AWS Marketplace 廠商洞見支援下列自我評定:

  • AWS Marketplace Vendor Insights 自我評估

  • 共識評估計畫問卷 (CAIQ)。如需詳細資訊,請參閱 Cloud Security Alliance 網站上的什麼是 CAIQ

若要上傳自我評定

  1. https://console.aws.amazon.com/marketplace 開啟 AWS Marketplace 主控台。

  2. Vendor Insights 索引標籤上,導覽至資料來源區段。

  3. 自我評定 下,選擇上傳自我評定

  4. 自我評估詳細資訊 下,完成下列資訊:

    1. 名稱 – 輸入自我評估的名稱。

    2. 類型 – 從清單中選擇評估類型。

      注意

      如果您選擇 Vendor Insights Security 自我評定 ,則選擇下載範本以下載自我評定。為試算表中的每個答案選擇不適用

  5. 若要上傳已完成的評估,請選擇上傳自我評估。

  6. (選用) 在標籤 下,新增標籤。

    注意

    如需標籤的相關資訊,請參閱 標記 AWS 資源使用者指南 中的標記 AWS 資源

  7. 選擇上傳自我評定。

    注意

    自我評估會自動與目前的安全設定檔建立關聯。您也可以關聯已上傳的自我評估。在產品詳細資訊頁面上,選擇自我評定下方的關聯自我評定,從清單中選擇自我評定,然後選擇關聯自我評定。

    上傳自我評估後,您可以使用產品詳細資訊頁面上的下載自我評估按鈕進行下載。您也可以使用更新自我評估按鈕來更新自我評估詳細資訊。

    狀態會更新為下列其中一項:

    • 可用 – 已上傳資料來源,且已成功完成系統驗證。

    • AccessDenied – 資料來源的外部來源參考不再可供 VendorInsights 讀取。

    • ResourceNotFound – 資料來源的外部來源參考不再可供 VendorInsights 讀取。

    • ResourceNotSupported – 已上傳資料來源,但尚未支援提供的來源。如需有關驗證錯誤的詳細資訊,請參閱 狀態訊息。

    • ValidationPending – 資料來源已上傳,但系統驗證仍在執行中。在此階段,您沒有任何動作項目。狀態會更新為可用 ResourceNotSupported,或 ValidationFailed。

    • ValidationFailed – 資料來源已上傳,但系統驗證因一或多個原因失敗。如需有關驗證錯誤的詳細資訊,請參閱 狀態訊息。

啟用 AWS Audit Manager 自動評估

AWS Marketplace Vendor Insights 使用多個 AWS 服務 自動收集安全設定檔的證據。

您需要下列 AWS 服務 和資源才能進行自動化評估:

  • AWS Audit Manager – 為了簡化 AWS Marketplace Vendor Insights 設定,我們使用 AWS CloudFormation Stacks 和 StackSets,負責佈建和設定必要的資源。堆疊集會建立自動評估,其中包含由 自動填入的控制項 AWS Config。

    如需 的詳細資訊 AWS Audit Manager,請參閱 AWS Audit Manager 使用者指南

  • AWS Config – 堆疊集會部署 AWS Config 一致性套件,以設定必要的 AWS Config 規則。這些規則允許 Audit Manager 自動評估收集該 中 AWS 服務 部署之其他 的即時證據 AWS 帳戶。如需 AWS Config 功能的詳細資訊,請參閱 AWS Config 開發人員指南

    注意

    與後續月份 AWS Config 相比,您可能會在記錄的初始月份注意到帳戶中的活動增加。在初始引導程序期間, 會 AWS Config 檢閱您選取要 AWS Config 記錄之帳戶中的所有資源。

    如果您執行暫時性工作負載,您可能會看到來自 的活動增加, AWS Config 因為它會記錄與建立和刪除這些臨時資源相關的組態變更。暫時性工作負載是暫時使用因需要而載入和執行的運算資源。

    暫時性工作負載的範例包括 Amazon Elastic Compute Cloud (Amazon EC2) Spot 執行個體 AWS Auto Scaling、Amazon EMR任務和 AWS Lambda。為了避免增加執行暫時性工作負載的活動,您可以在 AWS Config 關閉的個別帳戶中執行這些類型的工作負載。此方法可避免增加組態記錄和規則評估。

  • Amazon S3 – 堆疊集會建立下列兩個 Amazon Simple Storage Service (Amazon S3) 儲存貯體:

    • vendor-insights-stack-set-output-bucket-{account number} – 此儲存貯體包含堆疊集執行的輸出。 AWS Marketplace 賣方操作團隊會使用輸出來完成您的自動資料來源建立程序。

    • vendor-insights-assessment-reports-bucket-{account number} – 將評估報告 AWS Audit Manager 發佈到此 Amazon S3 儲存貯體。如需發佈評估報告的詳細資訊,請參閱 AWS Audit Manager 使用者指南 中的評估報告

      如需 Amazon S3 功能的詳細資訊,請參閱 Amazon S3 使用者指南

  • IAM – 入職堆疊集會在您的帳戶中佈建下列 AWS Identity and Access Management (IAM) 角色:

    • 部署VendorInsightsPrerequisiteCFT.yml範本時,它會建立管理員角色AWSVendorInsightsOnboardingStackSetsAdmin和執行角色 AWSVendorInsightsOnboardingStackSetsExecution。堆疊集使用管理員角色,將所需的堆疊同時部署到多個 AWS 區域 堆疊中。管理員角色擔任執行角色,以部署必要的父層和巢狀堆疊,作為 AWS Marketplace Vendor Insights 設定程序的一部分。如需自我管理許可的詳細資訊,請參閱 AWS CloudFormation 使用者指南 中的授予自我管理許可

    • AWSVendorInsightsRole角色提供 AWS Marketplace Vendor Insights 讀取 AWS Audit Manager 資源中評估的存取權。 AWS Marketplace Vendor Insights 會在 AWS Marketplace 您的 Vendor Insights 設定檔上的評估上顯示證據。

    • 為 AWS Marketplace Vendor Insights AWSVendorInsightsOnboardingDelegationRole提供對儲存vendor-insights-stack-set-output-bucket貯體中清單和讀取物件的存取權。此功能可讓 AWS Marketplace 目錄操作團隊協助您設定 AWS Marketplace Vendor Insights 設定檔。

    • AWSAuditManagerAdministratorAccess角色提供管理存取權,以啟用或停用 AWS Audit Manager、更新設定和管理評估、控制項和架構。您或您的團隊可以擔任此角色,在 中採取自動評估的動作 AWS Audit Manager。

若要啟用 AWS Audit Manager 自動評估,您必須部署引導堆疊。

部署引導堆疊

為了簡化 AWS Marketplace Vendor Insights 設定,我們使用 AWS CloudFormation Stacks 和 StackSets,負責佈建和設定必要的資源。如果您有多個帳戶或多個 AWS 區域 SaaS 解決方案, StackSets 可讓您從中央管理帳戶部署引導堆疊。

如需 的詳細資訊 CloudFormation StackSets,請參閱 使用者指南 中的使用 AWS CloudFormation StackSetsAWS CloudFormation

AWS Marketplace Vendor Insights 設定要求您使用下列 CloudFormation 範本:

  • VendorInsightsPrerequisiteCFT – 設定在 CloudFormation StackSets 帳戶中執行的必要管理員角色和許可。在賣方帳戶中建立此堆疊。

  • VendorInsightsOnboardingCFT – 設定所需的 AWS 服務 ,並設定適當的IAM許可。這些許可允許 AWS Marketplace Vendor Insights 收集在您的 中執行的 SaaS 產品的資料, AWS 帳戶 並在您的 AWS Marketplace Vendor Insights 設定檔上顯示資料。在透過 託管 SaaS 解決方案的賣方帳戶和生產帳戶中建立此堆疊 StackSets。

建立 VendorInsightsPrerequisiteCFT 堆疊

透過執行VendorInsightsPrerequisiteCFT CloudFormation 堆疊,您可以設定啟動引導堆疊集的IAM許可。

若要建立 VendorInsightsPrerequisiteCFT 堆疊

  1. 檢閱並從網站上的 AWS Sample Repo for Vendor Insights 範本資料夾 GitHub下載最新的VendorInsightsPrerequisiteCFT.yml檔案。

  2. AWS Management Console 使用您的 AWS Marketplace 賣方帳戶登入 ,然後在 https://console.aws.amazon.com/cloudformation 開啟 AWS CloudFormation 主控台。

  3. 在 CloudFormation 主控台導覽窗格中,選擇堆疊 ,然後從下拉式清單中選擇建立堆疊使用新資源 (標準)。(如果看不到導覽窗格,請在左上角選取並展開導覽窗格。)

  4. 指定範本 下,選擇上傳範本檔案 。若要上傳您下載VendorInsightsPrerequisiteCFT.yml的檔案,請使用選擇檔案 。然後選擇下一步

  5. 輸入堆疊的名稱,然後選擇下一步。

  6. (選用) 視需要設定堆疊選項。

    選擇 Next (下一步)

  7. Review (檢閱) 頁面上,檢視您的選擇。若要進行變更,請在您要變更的區域中選擇編輯。在建立堆疊之前,您必須先選取能力區域中的確認核取方塊。

    選擇提交

  8. 建立堆疊後,請選擇資源索引標籤,並記下建立的下列角色:

    • AWSVendorInsightsOnboardingStackSetsAdmin

    • AWSVendorInsightsOnboardingStackSetsExecution

建立 VendorInsightsOnboardingCFT 堆疊集

透過執行VendorInsightsOnboardingCFT CloudFormation 堆疊集,您可以設定所需的 AWS 服務 並設定適當的IAM許可。這可讓 AWS Marketplace Vendor Insights 收集在您的 中執行的 SaaS 產品的資料, AWS 帳戶 並將其顯示在 AWS Marketplace 您的 Vendor Insights 設定檔中。

如果您有多個帳戶解決方案,或者如果您有單獨的賣方和生產帳戶,則必須在多個帳戶中部署此堆疊。 StackSets 允許您從您建立先決條件堆疊的管理帳戶中執行此操作。

堆疊集使用自我管理許可進行部署。如需詳細資訊,請參閱AWS CloudFormation 使用者指南中的建立具有自我管理許可的堆疊集

若要建立 VendorInsightsOnboardingCFT 堆疊集

  1. 檢閱並從網站上的 GitHub AWS Sample Repo for Vendor Insights 範本資料夾下載最新的VendorInsightsOnboardingCFT.yml檔案。

  2. AWS Management Console 使用您的 AWS Marketplace 賣方帳戶登入 ,然後在 https://console.aws.amazon.com/cloudformation 開啟 AWS CloudFormation 主控台。

  3. 在 CloudFormation 主控台導覽窗格中,選擇建立 StackSet。(如果看不到導覽窗格,請在左上角選取並展開導覽窗格。)

  4. 許可 下,針對管理員角色選擇IAM角色名稱 ,然後從下拉式清單AWSVendorInsightsOnboardingStackSetsAdmin中選擇角色名稱。

  5. 輸入 AWSVendorInsightsOnboardingStackSetsExecution作為IAM執行角色名稱

  6. 指定範本 下,選擇上傳範本檔案 。若要上傳您下載VendorInsightsOnboardingCFT.yml的檔案,請使用選擇檔案,然後選擇下一步。

  7. 提供下列 StackSet 參數,然後選擇下一個

    • CreateVendorInsightsAutomatedAssessment – 此參數會在您的 中設定 AWS Audit Manager 自動評估 AWS 帳戶。如果您有單獨的管理和生產帳戶,則只能為生產帳戶選擇此選項,而不是為管理帳戶選擇此選項。

    • CreateVendorInsightsIAMRoles – 此參數會佈建IAM角色,允許 AWS Marketplace Vendor Insights 讀取您 中的評估資料 AWS 帳戶。

    • PrimaryRegion – 此參數會設定 SaaS 部署 AWS 區域 的主要 。這是在您的 中建立 S3 儲存貯體的區域 AWS 帳戶。如果您的 SaaS 產品僅部署到一個區域,則該區域是主要區域。

  8. 視需要設定 StackSet 選項。將執行組態保留為非作用中 ,然後選擇下一步

  9. 設定部署選項。如果您有多個帳戶解決方案,您可以將堆疊集設定為在多個帳戶和區域之間部署為單一操作。選擇 Next (下一步)

    注意

    如果您有多個帳戶解決方案,我們不建議將 部署到所有帳戶作為單一堆疊集。請密切注意步驟 7 中定義的參數。視您要部署的帳戶類型而定,您可能想要啟用或停用某些參數。 StackSets 將相同的參數套用至單一部署中的所有指定帳戶。您可以透過分組堆疊集中的帳戶來縮短部署時間,但您仍然需要為多個帳戶解決方案多次部署。

    重要

    如果您要部署到多個區域,則您列出的第一個區域必須是 PrimaryRegion。將區域並行選項保留為連續 的預設設定。

  10. Review (檢閱) 頁面上,檢視您的選擇。若要進行變更,請在您要變更的區域中選擇編輯。在建立堆疊集之前,您必須先選取能力區域中的確認核取方塊。

    選擇提交

    堆疊集每個區域大約需要 5 分鐘才能完成。