Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configurar el destino de exportación predeterminado para el buscador de evidencias
Al realizar consultas en el buscador de evidencias, puede exportar los resultados de la búsqueda a un archivo de valores separados por comas (CSV). Utilice esta configuración para elegir el bucket de S3 predeterminado en el que Audit Manager guarda los archivos exportados.
Requisitos previos
Su bucket de S3 debe tener la política de permisos requerida para poder CloudTrail escribir en él los archivos de exportación. Más específicamente, la política de bucket debe incluir una s3:PutObject
acción y el bucketARN, y figurar CloudTrail como principal de servicio.
-
Para ver un ejemplo de política de permisos que puede usar, consulteEjemplo 3 (permisos de destino de exportación).
-
Para obtener instrucciones sobre cómo adjuntar esta política a su bucket de S3, consulte Añadir una política de bucket mediante la consola de Amazon S3.
-
Para obtener más consejos, consulte los Consejos de configuración para su destino de exportación en esta página.
Consejos de configuración para el destino de su exportación
Para garantizar una exportación de archivos correcta, le recomendamos que compruebe las siguientes configuraciones para el destino de su exportación.
- Región de AWS
-
La Región de AWS clave administrada por el cliente (si la proporcionó) debe coincidir con la región de su evaluación. Para obtener instrucciones sobre cómo cambiar la KMS clave, consulte Configuración de cifrado de datos de Audit Manager.
- Buckets de S3 entre cuentas
La consola de Audit Manager no admite el uso de un bucket de S3 entre cuentas como destino de su exportación. Es posible especificar un depósito multicuenta mediante una AWS CLI o una de las AWS SDKs, pero por motivos de simplicidad, le recomendamos que no lo haga. Si opta por utilizar un bucket de S3 entre cuentas como destino de su exportación, tenga en cuenta las siguientes cuestiones.
-
De forma predeterminada, los objetos de S3 (como las CSV exportaciones) son propiedad de quien carga el Cuenta de AWS objeto. Puedes usar la configuración de propiedad de objetos de S3 para cambiar este comportamiento predeterminado, de modo que cualquier objeto nuevo que escriban cuentas con la
bucket-owner-full-control
lista de control de acceso predefinida (ACL) pase automáticamente a ser propiedad del propietario del bucket.Aunque no es obligatorio, le recomendamos que realice los siguientes cambios en la configuración del bucket entre cuentas. Al realizar estos cambios, se garantiza que el propietario del bucket tenga el control total de los archivos exportados que publica en su bucket.
-
Establezca la propiedad del objeto del bucket de S3 en el propietario del bucket preferido, en lugar de en el escritor de objetos predeterminado
-
Añada una política de compartimentos para garantizar que los objetos cargados en ese depósito cuenten con
bucket-owner-full-control
ACL
-
-
Para permitir que Audit Manager exporte archivos a un depósito S3 entre cuentas, debe agregar la siguiente política de bucket de S3 a su bucket de destino de exportación. Sustituya el
placeholder text
con su propia información. ElPrincipal
elemento de esta política es el usuario o rol propietario de la evaluación y exporta el archivo. ElResource
especifica el bucket de S3 entre cuentas al que se exporta el archivo.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow cross account file exports", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
AssessmentOwnerAccountId
:user/AssessmentOwnerUserName
" }, "Action": [ "s3:ListBucket", "s3:PutObject", "s3:GetObject", "s3:GetBucketLocation", "s3:PutObjectAcl", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::CROSS-ACCOUNT-BUCKET
", "arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*
" ] } ] }
-
Procedimiento
Puede actualizar esta configuración mediante la consola Audit Manager, el AWS Command Line Interface (AWS CLI) o el Audit ManagerAPI.