Voraussetzungen Verfahren Weitere Ressourcen

Konfiguration Ihres Standardziels für Bewertungsberichte

Wenn Sie einen Bewertungsbericht generieren, veröffentlicht Audit Manager den Bericht im S3-Bucket Ihrer Wahl. Dieser S3-Bucket wird als bezeichnetassessment report destination. Sie können den S3-Bucket auswählen, in dem Audit Manager Ihre Bewertungsberichte speichert.

Voraussetzungen

Konfigurationstipps für das Ziel Ihres Bewertungsberichts

Um die erfolgreiche Erstellung Ihres Bewertungsberichts sicherzustellen, empfehlen wir Ihnen, die folgenden Konfigurationen für Ihr Bewertungsberichtziel zu verwenden.

Buckets derselben Region

Wir empfehlen, einen S3-Bucket zu verwenden, der sich im selben AWS-Region wie Ihre Bewertung befindet. Wenn Sie einen Bucket und eine Bewertung in derselben Region verwenden, kann Ihr Bewertungsbericht bis zu 22.000 Nachweiselemente enthalten. Umgekehrt können bei Verwendung eines regionsübergreifenden Buckets und einer regionsübergreifenden Bewertung nur 3.500 Nachweiselemente berücksichtigt werden.

AWS-Region

Der AWS-Region von Ihrem Kunden verwaltete Schlüssel (falls Sie einen angegeben haben) muss mit der Region Ihrer Bewertung und dem Ziel-S3-Bucket Ihres Bewertungsberichts übereinstimmen. Anweisungen zum Ändern des KMS Schlüssels finden Sie unterKonfiguration Ihrer Datenverschlüsselungseinstellungen. Eine Liste der unterstützen Regionen für Audit Manager finden Sie unter AWS Audit Manager Endpunkte und Kontingente in Allgemeine Amazon Web Services-Referenz.

S3-Bucket-Verschlüsselung

Wenn Ihr Bewertungsberichtziel über eine Bucket-Richtlinie verfügt, die serverseitige Verschlüsselung (SSE) mit SSE- erfordertKMS, muss der in dieser Bucket-Richtlinie verwendete KMS Schlüssel mit dem KMS Schlüssel übereinstimmen, den Sie in Ihren Audit Manager Manager-Datenverschlüsselungseinstellungen konfiguriert haben. Wenn Sie in Ihren Audit Manager Manager-Einstellungen keinen KMS Schlüssel konfiguriert haben und Ihre Ziel-Bucket-Richtlinie für Ihren Bewertungsbericht dies erfordertSSE, stellen Sie sicher, dass die Bucket-Richtlinie SSE-S3 zulässt. Anweisungen zur Konfiguration des KMS Schlüssels, der für die Datenverschlüsselung verwendet wird, finden Sie unterKonfiguration Ihrer Datenverschlüsselungseinstellungen.

Kontoübergreifende S3-Buckets

Die Verwendung eines kontoübergreifenden S3-Buckets als Ziel für Ihren Bewertungsbericht wird in der Audit Manager-Konsole nicht unterstützt. Sie können einen kontoübergreifenden Bucket als Ziel für Ihren Bewertungsbericht angeben, indem Sie den AWS CLI oder einen der beiden verwenden. Der Einfachheit halber empfehlen wir jedoch AWS SDKs, dies nicht zu tun. Wenn Sie sich dafür entscheiden, einen kontoübergreifenden S3-Bucket als Ziel für Ihren Bewertungsbericht zu verwenden, sollten Sie die folgenden Punkte berücksichtigen.

Standardmäßig gehören S3-Objekte — wie z. B. Bewertungsberichte — demjenigen, der das Objekt hochlädt. AWS-Konto Sie können die Einstellung S3-Objektbesitz verwenden, um dieses Standardverhalten so zu ändern, dass alle neuen Objekte, die von Konten mit der gespeicherten Zugriffskontrollliste (ACL) geschrieben wurden, automatisch dem bucket-owner-full-control Bucket-Besitzer gehören.

Dies ist zwar keine Voraussetzung, wir empfehlen Ihnen jedoch, die folgenden Änderungen an Ihren kontoübergreifenden Bucket-Einstellungen vorzunehmen. Durch diese Änderungen wird sichergestellt, dass der Bucket-Besitzer die volle Kontrolle über die Bewertungsberichte hat, die Sie in seinem Bucket veröffentlichen.
- Setzen Sie den Objekteigentum des S3-Buckets auf Bucket Owner Preferred und nicht auf den standardmäßigen Objektschreiber
- Fügen Sie eine Bucket-Richtlinie hinzu, um sicherzustellen, dass Objekte, die in diesen Bucket hochgeladen werden, die bucket-owner-full-control ACL

Damit Audit Manager Berichte in einem kontoübergreifenden S3-Bucket veröffentlichen kann, müssen Sie Ihrem Bewertungsberichtziel die folgende S3-Bucket-Richtlinie hinzufügen. Ersetzen Sie den placeholder text mit Ihren eigenen Informationen. Das Principal Element in dieser Richtlinie ist der Benutzer oder die Rolle, die für die Bewertung verantwortlich ist und die den Bewertungsbericht erstellt. Der Resource gibt den kontoübergreifenden S3-Bucket an, in dem der Bericht veröffentlicht wird.


{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Sid": "Allow cross account assessment report publishing",
          "Effect": "Allow",
          "Principal": {
              "AWS": "arn:aws:iam::AssessmentOwnerAccountId:user/AssessmentOwnerUserName"
          },
          "Action": [
              "s3:ListBucket",
              "s3:PutObject",
              "s3:GetObject",
              "s3:GetBucketLocation",
              "s3:PutObjectAcl",
              "s3:DeleteObject"
          ],
          "Resource": [
              "arn:aws:s3:::CROSS-ACCOUNT-BUCKET",
              "arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*"
          ]
      }
  ]
}

Weniger anzeigen

Verfahren

Sie können diese Einstellung mit der Audit Manager-Konsole, dem AWS Command Line Interface (AWS CLI) oder dem Audit Manager aktualisierenAPI.

Weitere Ressourcen

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Konfiguration Ihrer standardmäßigen Audit-Inhaber

Konfiguration Ihrer Audit Manager Manager-Benachrichtigungen

Konfiguration Ihres Standardziels für Bewertungsberichte

Voraussetzungen

Konfigurationstipps für das Ziel Ihres Bewertungsberichts

Verfahren

So aktualisieren Sie Ihr Standardziel für Bewertungsberichte in der Audit Manager Manager-Konsole

Um Ihr standardmäßiges Ziel für Bewertungsberichte zu aktualisieren, finden Sie im AWS CLI

Um Ihr standardmäßiges Ziel für Bewertungsberichte zu aktualisieren, verwenden Sie API

Weitere Ressourcen