AWS Audit Manager ya no está abierto a nuevos clientes. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte Cambio en la disponibilidad de AWS Audit Manager.
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS Audit Manager cambio de disponibilidad
AWS Audit Manager es un servicio que le permite ver e informar sobre el estado de cumplimiento de sus AWS recursos con marcos de control como SOC2 el PCI DSS y la HIPAA. Audit Manager está pasando al modo de mantenimiento y, a partir del 30 de abril de 2026, los clientes ya no podrán configurar el servicio en cuentas nuevas. Los clientes actuales que hayan configurado Audit Manager para una sola cuenta en una región pueden seguir utilizando el servicio para esa cuenta dentro de esa región, incluida la creación de nuevas evaluaciones, pero no podrán configurar Audit Manager para regiones adicionales o cuentas nuevas. Los clientes que hayan configurado Audit Manager en la cuenta de administración de una organización podrán añadir cuentas de esa organización a las evaluaciones, pero no podrán extender el uso a regiones adicionales ni configurar Audit Manager para nuevas organizaciones.
Mientras esté en modo de mantenimiento, el equipo de servicio seguirá prestando soporte al servicio. Esto incluye corregir el código y mantener las asignaciones de las fuentes de datos para los marcos compatibles actualmente. Sin embargo, el equipo de servicio no creará nuevas funciones, ni añadirá soporte para nuevos marcos o nuevas versiones de marcos existentes, ni añadirá soporte para nuevas regiones.
Se recomienda a los clientes que busquen soluciones de gestión del cumplimiento que exploren los paquetes de conformidad incluidos en AWS Config. Los paquetes de conformidad proporcionan un medio para implementar y monitorear los controles de detección, en forma de Config Rules, en múltiples cuentas y regiones. Ofrecen plantillas prediseñadas para marcos comunes (como HIPAA, NIST o PCI-DSS) y permiten la creación de reglas personalizadas. Los paquetes de conformidad se pueden gestionar a nivel de una sola cuenta o en todas las cuentas de los miembros de una organización. AWS Organizations
Tras implementar un paquete de conformidad, puede ver el estado de conformidad de sus recursos en el panel de control asociado. Como alternativa, puedes usar el panel de cumplimiento de los recursos de Config para ver un inventario de tus AWS recursos, junto con su estado de cumplimiento, en varias AWS cuentas y regiones.
Limitaciones de los paquetes de conformidad para los clientes de Audit Manager
AWS Config actualmente no ofrece plantillas de paquetes de conformidad para todos los marcos compatibles con Audit Manager, incluido SOC2 el GDPR. La siguiente tabla proporciona un mapeo que resalta las brechas existentes en la actualidad. Para obtener actualizaciones sobre las plantillas del paquete de conformidad disponibles, consulte la documentación del producto.
AWS Config no proporciona una función de informes de auditoría que sea directamente equivalente a la exportación de Audit Manager. Sin embargo, los clientes pueden exportar las pruebas para respaldar los estados de conformidad AWS Config mediante uno o más de los mecanismos que se describen en la sección siguiente.
Desde los paneles de control del paquete de conformidad, los clientes pueden ver el estado de cumplimiento de cada una de las reglas de configuración asociadas. Los clientes pueden profundizar en una regla y ver el estado de cada recurso individual y las pruebas, en forma de elemento de configuración de ese recurso.
AWS Config registra únicamente los elementos de configuración (CIs) como prueba de conformidad. A diferencia de Audit Manager, no recopila AWS CloudTrail registros ni AWS Security Hub controla ni realiza llamadas a la API a los servicios de destino. La evidencia recopilada por AWS Config es menos exhaustiva, pero es más fácil de consultar. Toda la evidencia recopilada por AWS Config se asigna al estado de cumplimiento de un AWS recurso, mediante una regla de configuración. En consecuencia, a diferencia de Audit Manager, AWS Config no presenta pruebas «no concluyentes».
Asignación de AWS Audit Manager marcos a paquetes de conformidad AWS Config
| AWS Audit Manager Marcos | AWS Config Plantilla de paquete de conformidad |
|---|---|
| Essential Eight del ACSC | Prácticas operativas recomendadas para ACSC Essential 8 |
| ACSC ISM 02 March 2023 | Mejores prácticas operativas para el ACSC ISM: parte 1; mejores prácticas operativas para el ACSC ISM: parte 2 |
| Ejemplo de marco de trabajo de Audit Manager | -- Sin equivalente -- |
| AWS Control Tower Barandillas | AWS Control Tower Paquete de conformidad con las barandas Detective |
| AWS Marco de mejores prácticas de IA generativa, versión 2 | Prácticas operativas recomendadas para IA y ML |
| AWS License Manager | -- Sin equivalente -- |
| AWS Mejores prácticas fundamentales de seguridad | Mejores prácticas operativas para el pilar de seguridad de AWS Well-Architected Framework, además de paquetes de mejores prácticas de seguridad para varios servicios individuales |
| AWS Mejores prácticas operativas | -- Sin equivalente -- |
| AWS Well-Architected Framework WAF v10 | Mejores prácticas operativas para el pilar de confiabilidad de AWS un marco de buena arquitectura; mejores prácticas operativas para el pilar de seguridad de AWS un marco de buena arquitectura |
| CCCS Medium Cloud Control | Mejores prácticas operativas para CCCS-Medium |
| Índice de AWS referencia CIS v1.2.0 | -- Sin equivalente -- |
| Índice de AWS referencia CIS v1.3.0 | -- Sin equivalente -- |
| Índice de AWS referencia CIS v1.4.0 | Mejores prácticas operativas para CIS-AWS-v1.4 nivel 1; -CIS-AWS-v1.4 nivel 2 Operational-Best-Practices-for |
| Controles CIS v7.1, IG1 | -- Sin equivalente -- |
| Controles de seguridad críticos CIS versión 8.0, IG1 | Mejores prácticas operativas para controles de seguridad críticos de CIS v8- IG1 |
| FedRAMP Security Baseline Controls r4 | Mejores prácticas operativas para FedRAMP (baja); -FedRAMP (moderada); Operational-Best-Practices-for -FedRAMP (alta parte 1); Operational-Best-Practices-for -FedRAMP (alta parte 2) Operational-Best-Practices-for |
| GDPR 2016 | -- Sin equivalente -- |
| Gramm-Leach-Bliley Acta | Ley de mejores prácticas operativas para Gramm-Leach-Biley |
| Title 21 CFR Part 11 | Mejores prácticas operativas para la FDA-21CFR, parte 11 |
| EU GMP Annex 11, v1 | Mejores prácticas operativas para el GXP-UE-Anex-11 |
| HIPAA Security Rule: Feb 2003 | Mejores prácticas operativas para la seguridad de la HIPAA |
| HIPAA Omnibus Final Rule | Mejores prácticas operativas para la seguridad de la HIPAA |
| Anexo A de la norma de la ISO/IEC 27001:2013 | -- Sin equivalente -- |
| NIST SP 800-53 Rev 5 | Mejores prácticas operativas para el NIST-800-53-Rev-5 |
| Marco de Ciberseguridad del NIST v1.1 | Mejores prácticas operativas para el NIS-CSF |
| NIST SP 800-171 Rev 2 | Mejores prácticas operativas para el NIST-800-171 |
| PCI DSS V3.2.1 | Prácticas operativas recomendadas para el PCI DSS 3.2.1 |
| PCI DSS V4.0 | Mejores prácticas operativas para el PCI-DSS-v4.0 |
| SSAE-18 SOC 2 | -- Sin equivalente -- |
Exportación de pruebas de AWS Config
- AWS Config Consulta avanzada (se recomienda para exportar elementos de configuración de recursos individuales como prueba)
-
Puede utilizar las consultas SQL de la AWS Config consola para seleccionar recursos específicos y exportar su configuración actual en formato CSV o JSON.
-
Cómo: Ve a AWS Config > Consultas avanzadas.
-
Ejemplo de consulta:
SELECT resourceId, resourceType, configuration, tags, compliance WHERE resourceType = 'AWS::EC2::Instance' AND resourceId = 'i-xxxxxxxxx' -
Exportar: selecciona «Ejecutar» y, a continuación, «Exportar resultados» a CSV.
-
Ideal para: informes seleccionados sobre un subconjunto de recursos.
-
- GetResourceConfigHistory API (recomendada para un historial completo)
-
Si los auditores necesitan ver el estado de conformidad de un recurso durante un período de tiempo específico (no solo el estado actual), utilice la CLI/API.
-
Cómo: Utilice el
get-resource-config-historycomando de. AWS CLI -
Ejemplo de comando:
aws configservice get-resource-config-history \ --resource-typeAWS::EC2::Instance\ --resource-idi-xxxxxxxxx\ --regionus-east-1 -
Resultado: devuelve un objeto JSON detallado con los cambios de configuración, incluido el estado de conformidad en el momento de cada cambio.
-
- Amazon Athena y Amazon Quick (se recomiendan para consultas filtradas en varios recursos)
-
Los clientes pueden usar Amazon Athena para crear y ejecutar consultas basadas en SQL a partir de los datos de configuración de recursos registrados por. AWS Config Los clientes también pueden importar los datos a Amazon Quick para crear análisis y paneles. Para obtener más información, consulte Visualización de AWS Config datos con Amazon Athena y Amazon Quick
.
Comparación de soluciones de conformidad
| Característica | AWS Audit Manager | AWS Config — Paquetes de conformidad |
|---|---|---|
| Controles gestionados | Proporciona 35 marcos gestionados, incluidos marcos regulatorios e industriales SOC2, como PCI DSS e HIPAA, y AWS marcos de mejores prácticas. | Proporciona más de 100 plantillas de paquetes de conformidad predefinidas, que incluyen paquetes normativos y sectoriales, como PCI DSS e HIPAA, y paquetes de mejores prácticas operativas. AWS |
| Personalización | Cree controles y marcos personalizados. | Cree reglas personalizadas y plantillas autodefinidas. |
| Configuración | Cree evaluaciones basadas en un marco. | Implemente un paquete de conformidad. |
| Recopilación de evidencias | Recopila evidencia de cuatro fuentes de datos: (1) llamadas a la API de servicio, (2) AWS Security Hub controles, (3) AWS CloudTrail eventos y (4) Config Rules. Los clientes primero deben implementar Rules mediante AWS Config o AWS Control Tower. | Registra las pruebas como elementos de configuración que respaldan las evaluaciones de las reglas de configuración. |
| Cuadros de control de conformidad | Los paneles de evaluación proporcionan una visión y un panorama diarios de los controles con pruebas de incumplimiento. | Los paneles de control del paquete de conformidad proporcionan la puntuación general de conformidad, el cronograma de cumplimiento y una visión por regla. Profundice para ver la postura de cumplimiento por recurso y las pruebas de respaldo, en forma de elementos de configuración. |
| Remediación de recursos no conformes | No admitido. | Los clientes pueden definir e iniciar planes de remediación. |
| Formatos de evidencia | Resultados de la evaluación de la regla de configuración; resultados de llamadas individuales a la API, por ejemplo, iam.getPolicy; hallazgos. AWS Security Hub | Resultados de la evaluación de la regla de configuración; elementos de configuración. |
| Informes de auditoría | Las pruebas se pueden seleccionar para incluirlas en un informe de auditoría, que se puede exportar en formato PDF. Además, admite la exportación en formato CSV desde la herramienta de búsqueda de pruebas. | Los elementos de configuración individuales se pueden exportar a través de la herramienta Config Advance Query. Los clientes pueden crear scripts CLI para exportar pruebas a través del servicio APIs. |
Inhabilitando AWS Audit Manager
Al deshabilitar Audit Manager, se detiene la recopilación de nuevas pruebas, pero no se eliminan las pruebas existentes, a menos que seleccione explícitamente esta opción. Las pruebas se conservarán durante dos años a partir de la fecha de su recopilación. Como cliente actual, puede volver a habilitar el servicio para acceder a las pruebas y reanudar la recopilación de pruebas.
Los clientes pueden deshabilitar Audit Manager para la cuenta a través de la pestaña de configuración de la consola o de la CLI.
Los clientes que hayan implementado Audit Manager para una organización deben deshabilitar el servicio desde la cuenta de administración de la organización. De forma predeterminada, la cuenta de administrador delegado no tiene los permisos necesarios para deshabilitar Audit Manager para la organización.
Recursos adicionales
-
AWS Config — Documentación de los paquetes de conformidad
-
AWS Audit Manager — Documentación de Evidence Finder
Preguntas frecuentes
- ¿Se va a cerrar el AWS Audit Manager servicio?
-
¿No?. El servicio Audit Manager pasa al modo de mantenimiento. Los clientes existentes pueden seguir utilizando el servicio con normalidad.
- ¿Por qué se AWS pasa a Audit Manager al modo de mantenimiento?
-
Podemos ofrecer una experiencia de cliente mejor y más integrada si invertimos en AWS Config la gestión del cumplimiento.
- ¿Puedo utilizarla AWS Config para la gestión del cumplimiento hoy mismo?
-
Sí. Los paquetes de conformidad se AWS Config pueden utilizar como una herramienta para gestionar el cumplimiento de los AWS recursos con marcos como PCI DSS, FedRAMP e HIPAA. Los paquetes de conformidad permiten a los clientes implementar de forma colectiva controles de detección para diferentes marcos y proporcionan un panel que muestra el cumplimiento de los niveles de recursos.
- ¿Cuáles son las ventajas de migrar AWS Config para utilizarlos en la gestión del cumplimiento?
-
Para los clientes que buscan una solución para supervisar el cumplimiento de AWS los recursos con marcos como el PCI DSS, los paquetes de conformidad incluidos AWS Config ofrecen una solución más completa y práctica. Los clientes pueden (1) implementar controles de detección para una cuenta individual o para toda la organización, (2) acceder a un panel que muestra un puntaje de cumplimiento, (3) profundizar y ver el estado de cumplimiento de los recursos individuales, (4) acceder a un cronograma de un recurso que muestre cómo la postura de cumplimiento cambió con el tiempo, (4) obtener pruebas, en forma de elementos de configuración, que respalden el estado de cumplimiento de un recurso para un control.
- ¿Los paquetes de conformidad sustituyen directamente AWS Config a los marcos de trabajo de Audit Manager?
-
No. Los paquetes de conformidad son una poderosa herramienta que los clientes pueden utilizar para gestionar el nivel de cumplimiento de sus AWS recursos. Sin embargo, los paquetes de conformidad no son equivalentes a los marcos de Audit Manager. Las plantillas del paquete de conformidad proporcionadas para marcos como PCI DSS contienen solo los controles básicos técnicos que se pueden evaluar como reglas de configuración. Una plantilla de paquete de conformidad no contiene el conjunto completo de controles de auditoría que una organización debe cumplir para superar una auditoría de PCI DSS; no hay ninguna regla de configuración que verifique que la organización ha documentado sus políticas de seguridad y procedimientos operativos. Si bien los paneles de Compliance Pack proporcionan una señal clara de la postura de cumplimiento de sus AWS recursos evaluados por Config Rules, AWS Config no ofrecen una solución general de gestión del cumplimiento para capturar, organizar y compartir pruebas del conjunto completo de controles requeridos por un marco como el PCI DSS. Se recomienda a los clientes que busquen una solución a este problema que consideren soluciones de socios, como las de Vanta y Drata, que se pueden utilizar conjuntamente AWS Config para proporcionar una solución de automatización del cumplimiento. end-to-end
- ¿Existen paquetes de conformidad para todos los marcos compatibles con Audit Manager?
-
No, actualmente hay varios marcos en Audit Manager para los que no existe el Conformance Pack correspondiente. AWS Config La tabla anterior proporciona un mapeo de los marcos de Audit Manager a los paquetes de conformidad de Config. Las brechas más notables son SOC2 el GDPR. Consulte los anuncios de AWS Config «Novedades» para ver si hay actualizaciones sobre las nuevas versiones del Conformance Pack. Además de las plantillas de paquetes de conformidad predefinidas que proporciona AWS, los clientes pueden definir sus propias plantillas de paquetes de conformidad que se agrupan con las reglas de configuración y permiten a los clientes definir acciones de corrección para los recursos no conformes.
- ¿Los clientes pueden exportar pruebas para que las utilicen los auditores? AWS Config
-
AWS Config proporciona algunas herramientas para exportar pruebas del cumplimiento de los recursos. Consulte la página de cambios de disponibilidad para obtener información sobre el uso de estas herramientas.
- Como cliente actual, ¿puedo seguir utilizando Audit Manager de forma habitual?
-
Sí. Como cliente actual, puede seguir utilizando Audit Manager con normalidad, lo que incluye la creación y el mantenimiento de evaluaciones, la revisión de las pruebas y la generación de informes de auditoría. Los clientes que hayan implementado Audit Manager en su organización pueden ampliar las evaluaciones para incluir nuevas cuentas de la organización.
- Como cliente actual con una implementación de una sola cuenta, ¿puedo implementar Audit Manager para mi organización?
-
No. A partir del 30 de abril de 2026, los clientes con implementaciones de una sola cuenta no podrán implementar Audit Manager en una organización.
- ¿Cómo compruebo si Audit Manager está configurado en una cuenta?
-
Para las implementaciones de una sola cuenta, los clientes pueden iniciar sesión en la cuenta y navegar dentro de la consola hasta el servicio Audit Manager para ver si Audit Manager está configurado en esa cuenta. En el caso de Organizations, los clientes deben hacerlo desde la cuenta de administración.
- ¿Cómo desactivo Audit Manager?
-
Los clientes pueden deshabilitar Audit Manager para la cuenta a través de la pestaña de configuración de la consola o de la CLI. Los clientes que hayan implementado Audit Manager para una organización deben deshabilitar el servicio desde la cuenta de administración de la organización; de forma predeterminada, la cuenta de administrador delegado para Audit Manager no tiene los permisos necesarios. Al deshabilitar Audit Manager, se detiene la recopilación de nuevas pruebas, pero no se eliminan las pruebas existentes, a menos que seleccione explícitamente esta opción. Las pruebas se conservarán durante dos años a partir de la fecha de su recopilación. Como cliente actual, puede volver a habilitar el servicio para acceder a las pruebas y reanudar la recopilación de pruebas.
- ¿Cómo puedo seguir accediendo a las pruebas una vez que haya desactivado Audit Manager?
-
La forma más fácil de seguir accediendo a las pruebas recopiladas por Audit Manager es habilitar primero Evidence Finder antes de deshabilitar el servicio. Al activar Evidence Finder, Audit Manager exporta las pruebas a un lago de CloudTrail datos, al que podrá seguir accediendo después de haber desactivado Audit Manager.
- ¿Cómo puedo usarlo AWS Control Tower para la gestión del cumplimiento?
-
AWS Control Tower proporciona un catálogo de controles preventivos, proactivos y de detección (implementados como Config Rules) que están codificados por marco. Le permite implementar todos los controles relevantes para estos marcos en uno o más miembros de su OUs organización. Con la nueva experiencia de solo controles, ya no es un requisito previo que la organización se haya creado como zona de aterrizaje. Las ventajas AWS Control Tower son que proporciona una visión a nivel de la unidad organizativa de los recursos que no cumplen con las normas. AWS Control Tower no utiliza los paquetes de conformidad para implementar las reglas de configuración y, por lo tanto, no verá el paquete de conformidad a menos que también lo implemente. Tampoco es compatible con los flujos de trabajo de corrección.
- ¿Cómo puedo utilizarlo AWS Security Hub CSPM para la gestión del cumplimiento?
-
Para aquellos marcos que están mapeados a un estándar de seguridad, AWS Security Hub CSPM ofrece una alternativa a la AWS Config gestión del cumplimiento y la corrección en una sola cuenta. Al habilitar el estándar desde la consola CSPM de Security Hub, se implementa un conjunto de reglas vinculadas a servicios para el marco asociado. Los clientes pueden ver un panel de cumplimiento que muestra la puntuación general de cumplimiento y el estado de cada control, con la opción de desglosar el nivel de los recursos individuales. Security Hub CSPM permite a los clientes descargar el hallazgo de la regla en formato json y añade una clasificación de gravedad para el control que ayuda a los clientes a priorizar los planes de remediación. Con la configuración central, puede configurar Security Hub CSPM en varias regiones, cuentas y unidades organizativas ()OUs. Sin embargo, Security Hub CSPM proporciona estándares de seguridad solo para un número limitado de marcos, incluidos NIST 800-53 y PCI-DSS.
