Configurar el destino predeterminado del informe de evaluación - AWS Audit Manager
Requisitos previosProcedimientoRecursos adicionales de

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configurar el destino predeterminado del informe de evaluación

Al generar un informe de evaluación, Audit Manager publica el informe en el bucket de S3 que elija. Este depósito de S3 se denominaassessment report destination. Puede elegir el bucket de S3 en el que Audit Manager almacena sus informes de evaluación.

Requisitos previos

Consejos de configuración para el destino de su informe de evaluación

Para garantizar la correcta generación del informe de evaluación, le recomendamos que utilice las siguientes configuraciones para el destino del informe de evaluación.

Buckets de la misma región

Le recomendamos que utilice un bucket de S3 que se encuentre en la misma Región de AWS de su evaluación. Si utiliza un bucket y una evaluación de la misma región, el informe de evaluación puede incluir hasta 22 000 elementos de evidencias. Por el contrario, si utiliza un bucket y una evaluación entre regiones, solo se pueden incluir 3500 elementos de evidencias.

Región de AWS

La Región de AWS clave gestionada por el cliente (si la ha proporcionado) debe coincidir con la región de la evaluación y el depósito S3 de destino del informe de evaluación. Para obtener instrucciones sobre cómo cambiar la clave KMS, consulteConfiguración de los ajustes de cifrado de datos. Para obtener una lista de regiones admitidas de Audit Manager, consulte AWS Audit Manager Puntos de conexión y cuotas de en la Referencia general de Amazon Web Services.

Cifrado de buckets de S3

Si el destino de su informe de evaluación tiene una política de buckets que requiere el cifrado del servidor (SSE) mediante SSE-KMS, entonces, la clave de KMS utilizada en esa política de buckets debe coincidir con la clave de KMS que configuró en los ajustes de cifrado de datos de Audit Manager. Si no ha configurado una clave KMS en la configuración de Audit Manager y la política de buckets de destino de su informe de evaluación requiere SSE, asegúrese de que la política de buckets permita SSE-S3. Para obtener instrucciones sobre cómo configurar la clave KMS que se utiliza para el cifrado de datos, consulteConfiguración de los ajustes de cifrado de datos.

Buckets de S3 entre cuentas

La consola de Audit Manager no admite el uso de un bucket de S3 entre cuentas como destino del informe de evaluación. Es posible especificar un segmento multicuenta como destino del informe de evaluación mediante el AWS SDK AWS CLI o uno de ellos, pero por motivos de simplicidad, le recomendamos que no lo haga. Si opta por utilizar un bucket de S3 entre cuentas como destino del informe de evaluación, tenga en cuenta las siguientes cuestiones.

  • De forma predeterminada, los objetos de S3 (como los informes de evaluación) son propiedad de quien carga el objeto. Cuenta de AWS Puede utilizar la configuración de Propiedad de objetos de S3 para cambiar este comportamiento predeterminado, de modo que cualquier nuevo objeto escrito por cuentas con la lista de control de acceso (ACL) predefinida bucket-owner-full-control se convierta automáticamente en propiedad del propietario del bucket.

    Aunque no es obligatorio, le recomendamos que realice los siguientes cambios en la configuración del bucket entre cuentas. Al realizar estos cambios, se garantiza que el propietario del bucket tenga el control total de los informes de evaluación que usted publique en su bucket.

  • Para permitir que Audit Manager publique informes en un bucket de S3 entre cuentas, debe añadir la siguiente política de buckets de S3 al destino de su informe de evaluación. Sustituya el texto del marcador de posición por su propia información. El elemento Principal de esta política es el usuario o el rol propietario de la evaluación y crea el informe de la evaluación. El Resource especifica el bucket de S3 entre cuentas en el que se publica el informe.

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Sid": "Allow cross account assessment report publishing",
          "Effect": "Allow",
          "Principal": {
              "AWS": "arn:aws:iam::AssessmentOwnerAccountId:user/AssessmentOwnerUserName"
          },
          "Action": [
              "s3:ListBucket",
              "s3:PutObject",
              "s3:GetObject",
              "s3:GetBucketLocation",
              "s3:PutObjectAcl",
              "s3:DeleteObject"
          ],
          "Resource": [
              "arn:aws:s3:::CROSS-ACCOUNT-BUCKET",
              "arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*"
          ]
      }
  ]
}
Mostrar másMostrar menos

Procedimiento

Puede actualizar esta configuración mediante la consola Audit Manager, la AWS Command Line Interface (AWS CLI) o la API Audit Manager.

Audit Manager console
Para actualizar el destino predeterminado del informe de evaluación en la consola Audit Manager

  1. En la pestaña de configuración de la Evaluación, vaya a la sección Destino del informe de evaluación.

  2. Para usar un depósito de S3 existente, seleccione un nombre de depósito en el menú desplegable.

  3. Para crear un nuevo depósito de S3, selecciona Crear un depósito nuevo.

  4. Cuando haya terminado, elija Guardar.

AWS CLI
Para actualizar el destino predeterminado del informe de evaluación en el AWS CLI

Ejecute el comando update-settings y utilice el parámetro --default-assessment-reports-destination para especificar un bucket de S3.

En el siguiente ejemplo, reemplace cada placeholder text con su propia información:

aws auditmanager update-settings --default-assessment-reports-destination destinationType=S3,destination=s3://DOC-EXAMPLE-DESTINATION-BUCKET
Audit Manager API
Para actualizar el destino predeterminado del informe de evaluación mediante la API

Llame a la UpdateSettingsoperación y utilice el parámetro defaultAssessmentReportsDestination para especificar un bucket de S3.

Recursos adicionales de