AWS Audit Manager n'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Audit Manager la section Modification de la disponibilité.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS Audit Manager changement de disponibilité
AWS Audit Manager est un service qui vous permet de visualiser et de signaler le niveau de conformité de vos AWS ressources avec des cadres de contrôle tels que SOC2 les normes PCI DSS et HIPAA. Audit Manager passe en mode maintenance et, à compter du 30 avril 2026, les clients ne pourront plus configurer le service dans de nouveaux comptes. Les clients existants qui ont configuré Audit Manager pour un seul compte dans une région peuvent continuer à utiliser le service pour ce compte dans cette région, y compris pour créer de nouvelles évaluations ; mais ils ne seront pas en mesure de configurer Audit Manager pour des régions supplémentaires ou de nouveaux comptes. Les clients qui ont configuré Audit Manager dans le compte de gestion d'une organisation pourront ajouter des comptes de cette organisation aux évaluations, mais ils ne pourront pas étendre l'utilisation à d'autres régions ou configurer Audit Manager pour de nouvelles organisations.
En mode maintenance, l'équipe de service continuera de prendre en charge le service. Cela inclut les corrections de code et la maintenance des mappages de sources de données pour les frameworks actuellement pris en charge. Toutefois, l'équipe de service ne créera pas de nouvelles fonctionnalités, n'ajoutera pas de support pour de nouveaux frameworks ou de nouvelles versions de frameworks existants, ni n'ajoutera de support pour de nouvelles régions.
Les clients à la recherche de solutions de gestion de la conformité sont invités à explorer les packs de conformité disponibles dans AWS Config. Les packs de conformité permettent de déployer et de surveiller les contrôles de détection, sous la forme de règles de configuration, sur plusieurs comptes et régions. Ils proposent des modèles prédéfinis pour les frameworks courants (tels que HIPAA, NIST, PCI-DSS) et permettent la création de règles personnalisées. Les packs de conformité peuvent être gérés au niveau d'un seul compte ou de tous les comptes membres d'une organisation dans AWS Organizations.
Après avoir déployé un pack de conformité, vous pouvez consulter l'état de conformité de vos ressources dans le tableau de bord associé. Vous pouvez également utiliser le tableau de bord Config Resource Compliance pour consulter un inventaire de vos AWS ressources, ainsi que leur état de conformité, sur plusieurs AWS comptes et régions.
Limites des packs de conformité pour les clients d'Audit Manager
AWS Config ne propose pas actuellement de modèles de pack de conformité pour tous les frameworks pris en charge par Audit Manager, y compris SOC2 le RGPD. Le tableau ci-dessous fournit une cartographie qui met en évidence les lacunes actuelles. Pour obtenir des mises à jour sur les modèles de packs de conformité disponibles, consultez la documentation du produit.
AWS Config ne fournit pas de fonctionnalité de rapport d'audit directement équivalente à l'exportation d'Audit Manager. Toutefois, les clients peuvent exporter des preuves à l'appui des statuts de conformité AWS Config en utilisant un ou plusieurs des mécanismes décrits dans la section ci-dessous.
À partir des tableaux de bord du pack de conformité, les clients peuvent consulter l'état de conformité de chacune des règles de configuration associées. Les clients peuvent approfondir une règle et consulter le statut de chaque ressource individuelle ainsi que les preuves, sous la forme de l'élément de configuration correspondant à cette ressource.
AWS Config enregistre uniquement les éléments de configuration (CIs) comme preuve de conformité. Contrairement à Audit Manager, il ne collecte pas AWS CloudTrail les journaux, ne AWS Security Hub contrôle pas et ne fait pas d'appels d'API aux services cibles. Les preuves recueillies par AWS Config sont moins exhaustives, mais plus faciles à consulter. Toutes les preuves collectées par AWS Config sont mappées à l'état de conformité d'une AWS ressource, via une règle de configuration. Par conséquent, contrairement à Audit Manager, AWS Config il ne présente pas de preuves « non concluantes ».
Associer AWS Audit Manager les frameworks aux AWS Config packs de conformité
| AWS Audit Manager Framework | AWS Config Modèle de pack de conformité |
|---|---|
| ACSC Essential Eight | Bonnes pratiques de fonctionnement pour ACSC Essentials 8 |
| ACSC ISM 02 mars 2023 | Meilleures pratiques opérationnelles pour ACSC ISM - Partie 1 ; Meilleures pratiques opérationnelles pour ACSC ISM - Partie 2 |
| Exemple de framework d'Audit Manager | -- Pas d'équivalent -- |
| AWS Control Tower Rambardes | AWS Control Tower Pack de conformité Detective Guardrails |
| AWS Cadre des meilleures pratiques en matière d'IA générative v2 | Bonnes pratiques de fonctionnement pour l'IA et le ML |
| AWS License Manager | -- Pas d'équivalent -- |
| AWS Bonnes pratiques fondamentales en matière de sécurité | Meilleures pratiques opérationnelles pour le pilier de sécurité AWS Well-Architected Framework, ainsi que des packs de meilleures pratiques de sécurité pour plusieurs services individuels |
| AWS Bonnes pratiques opérationnelles | -- Pas d'équivalent -- |
| AWS Framework WAF version 10 de Well-Architected | Meilleures pratiques opérationnelles pour le pilier de fiabilité du framework AWS Well-Architected ; meilleures pratiques opérationnelles pour le pilier de sécurité du framework AWS Well-Architected |
| CCCS Medium Cloud Control | Meilleures pratiques opérationnelles pour CCCS-Medium |
| AWS Benchmark CIS v1.2.0 | -- Pas d'équivalent -- |
| AWS Benchmark CIS v1.3.0 | -- Pas d'équivalent -- |
| AWS Benchmark CIS v1.4.0 | Meilleures pratiques opérationnelles pour CIS-AWS-v1.4-Level1 ; -CIS-AWS-V1.4-Level2 Operational-Best-Practices-for |
| CIS Controls v7.1, IG1 | -- Pas d'équivalent -- |
| Contrôles de sécurité critiques du CIS version 8.0, IG1 | Meilleures pratiques opérationnelles pour les contrôles de sécurité critiques du CIS - V8- IG1 |
| Contrôles de base de sécurité FedRAMP r4 | Meilleures pratiques opérationnelles pour FedRAMP (faible) ; Operational-Best-Practices-for -FedRAMP (modéré) ; -FedRAMP (partie supérieure 1) ; Operational-Best-Practices-for -FedRAMP (partie supérieure 2) Operational-Best-Practices-for |
| GDPR 2016 | -- Pas d'équivalent -- |
| Gramm-Leach-Bliley Loi | Meilleures pratiques opérationnelles pour la loi Gramm-Leach Bliley |
| Titre 21 CFR Part 11 | Meilleures pratiques opérationnelles pour la FDA-21CFR-Part-11 |
| Annexe 11 des normes GMP de l'UE, v1 | Meilleures pratiques opérationnelles pour l'annexe 11 du GXP-EU-UE |
| Règle de sécurité HIPAA : février 2003 | Meilleures pratiques opérationnelles pour la sécurité HIPAA |
| Règle finale omnibus HIPAA | Meilleures pratiques opérationnelles pour la sécurité HIPAA |
| ISO/IEC 27001:2013 Annexe A | -- Pas d'équivalent -- |
| NIST SP 800-53 Rév. 5 | Meilleures pratiques opérationnelles pour le NIST-800-53-Rev-5 |
| Cadre de cybersécurité du NIST v1.1 | Meilleures pratiques opérationnelles pour le NIST-CSF |
| NIST SP 800-171 Rév. 2 | Meilleures pratiques opérationnelles pour le NIST-800-171 |
| PCI DSS V3.2.1 | Bonnes pratiques de fonctionnement pour PCI DSS 3.2.1 |
| PCI DSS V4.0 | Meilleures pratiques opérationnelles pour la norme PCI-DSS-V4.0 |
| ÉSAE-18 SOC 2 | -- Pas d'équivalent -- |
Exportation de preuves depuis AWS Config
- AWS Config Requête avancée (recommandée pour exporter des éléments de configuration de ressources individuels à titre de preuve)
-
Vous pouvez utiliser des requêtes SQL dans la AWS Config console pour sélectionner des ressources spécifiques et exporter leur configuration actuelle au format CSV ou JSON.
-
Comment : Accédez à AWS Config > Requêtes avancées.
-
Exemple de requête :
SELECT resourceId, resourceType, configuration, tags, compliance WHERE resourceType = 'AWS::EC2::Instance' AND resourceId = 'i-xxxxxxxxx' -
Exporter : Choisissez « Exécuter » puis « Exporter les résultats » au format CSV.
-
Idéal pour : des rapports sélectionnés sur un sous-ensemble de ressources.
-
- GetResourceConfigHistory API (recommandée pour un historique complet)
-
Si les auditeurs ont besoin de connaître l'état de conformité d'une ressource sur une période donnée (et pas seulement son état actuel), utilisez la CLI/API.
-
Comment : utilisez la
get-resource-config-historycommande dans le AWS CLI. -
Exemple de commande :
aws configservice get-resource-config-history \ --resource-typeAWS::EC2::Instance\ --resource-idi-xxxxxxxxx\ --regionus-east-1 -
Résultat : renvoie un objet JSON détaillé des modifications de configuration, y compris l'état de conformité au moment de chaque modification.
-
- Amazon Athena et Amazon Quick (recommandés pour les requêtes filtrées sur plusieurs ressources)
-
Les clients peuvent utiliser Amazon Athena pour créer et exécuter des requêtes SQL à partir des données de configuration des ressources enregistrées par. AWS Config Les clients peuvent également importer les données dans Amazon Quick pour créer des analyses et des tableaux de bord. Pour plus d'informations, consultez Visualisation AWS Config des données à l'aide d'Amazon Athena et d'Amazon
Quick.
Comparaison des solutions de conformité
| Fonctionnalité | AWS Audit Manager | AWS Config — Packs de conformité |
|---|---|---|
| Contrôles gérés | Fournit 35 cadres gérés, y compris des cadres réglementaires et industriels SOC2, tels que les normes PCI DSS et HIPAA, ainsi que des cadres de bonnes pratiques. AWS | Fournit plus de 100 modèles de packs de conformité prédéfinis, y compris des packs réglementaires et industriels, tels que les normes PCI DSS et HIPAA, ainsi que des packs de meilleures pratiques opérationnelles. AWS |
| Personnalisation | Créez des contrôles personnalisés et des cadres personnalisés. | Créez des règles personnalisées et des modèles que vous définissez vous-même. |
| Configuration | Créez des évaluations basées sur un cadre. | Déployez un pack de conformité. |
| Collecte d’éléments probants | Collecte des preuves à partir de quatre sources de données : (1) les appels d'API de service, (2) AWS Security Hub les contrôles, (3) les AWS CloudTrail événements, (4) les règles de configuration. Les clients doivent d'abord déployer les règles à l'aide de AWS Config ou AWS Control Tower. | Enregistre les preuves sous forme d'éléments de configuration prenant en charge les évaluations des règles de configuration. |
| Tableaux de bord de conformité | Les tableaux de bord d'évaluation fournissent un instantané quotidien et une vue d'ensemble des contrôles comportant des preuves de non-conformité. | Les tableaux de bord du pack de conformité fournissent le score de conformité global, le calendrier de conformité et une vue par règle. Effectuez une analyse détaillée pour visualiser le niveau de conformité par ressource et les preuves à l'appui, sous la forme d'éléments de configuration. |
| Corriger les ressources non conformes | Non pris en charge. | Les clients peuvent définir et lancer des plans de remédiation. |
| Formats de preuve | Résultats de l'évaluation des règles de configuration ; résultats d'appels d'API individuels, par exemple iam.GetPolicy ; résultats. AWS Security Hub | Résultats de l'évaluation des règles de configuration ; éléments de configuration. |
| Rapports d'audit | Les preuves peuvent être sélectionnées pour être incluses dans un rapport d'audit, qui peut être exporté au format PDF. Prend également en charge les exportations au format CSV à partir de l'outil de recherche de preuves. | Les éléments de configuration individuels peuvent être exportés via l'outil Config Advance Query. Les clients peuvent créer des scripts CLI pour exporter des preuves via le service APIs. |
Désactivation AWS Audit Manager
La désactivation d'Audit Manager met fin à la collecte de nouvelles preuves, mais ne supprime pas vos preuves existantes, sauf si vous sélectionnez explicitement cette option. Les preuves seront conservées pendant deux ans à compter de la date de leur collecte. En tant que client existant, vous pouvez réactiver le service pour accéder aux preuves et reprendre la collecte de preuves.
Les clients peuvent désactiver Audit Manager pour le compte, via l'onglet Paramètres de la console ou via la CLI.
Les clients qui ont déployé Audit Manager pour une organisation doivent désactiver le service depuis le compte de gestion de l'organisation. Par défaut, le compte administrateur délégué ne dispose pas des autorisations nécessaires pour désactiver Audit Manager pour l'organisation.
Ressources supplémentaires
-
AWS Config — Documentation des packs de conformité
-
AWS Audit Manager — Documentation Evidence Finder
FAQ
- Le AWS Audit Manager service est-il en train d'être arrêté ?
-
Non Le service Audit Manager est en train d'être déplacé en mode maintenance. Les clients existants peuvent continuer à utiliser le service normalement.
- Pourquoi AWS passer Audit Manager en mode maintenance ?
-
Nous pouvons offrir une expérience client meilleure et plus intégrée en investissant dans la gestion AWS Config de la conformité.
- Puis-je l'utiliser AWS Config pour la gestion de la conformité aujourd'hui ?
-
Oui. Les packs de conformité AWS Config peuvent être utilisés comme outil de gestion de la conformité des AWS ressources avec des frameworks tels que PCI DSS, FedRAMP et HIPAA. Les packs de conformité permettent aux clients de déployer collectivement des contrôles de détection pour différents frameworks et de fournir un tableau de bord indiquant la conformité au niveau des ressources.
- Quels sont les avantages de la migration vers une utilisation AWS Config pour la gestion de la conformité ?
-
Pour les clients à la recherche d'une solution permettant de surveiller la conformité des AWS ressources avec des frameworks tels que la norme PCI DSS, les packs de conformité proposés AWS Config constituent une solution plus complète et plus exploitable. Les clients peuvent (1) déployer des contrôles de détection pour un compte individuel ou pour l'ensemble d'une organisation, (2) accéder à un tableau de bord qui affiche un score de conformité, (3) explorer le statut de conformité de ressources individuelles, (4) accéder à une chronologie d'une ressource indiquant l'évolution de la situation en matière de conformité au fil du temps, (4) obtenir des preuves, sous forme d'éléments de configuration, qui confirment le statut de conformité d'une ressource pour un contrôle.
- Les packs de conformité AWS Config remplacent-ils directement les frameworks d'Audit Manager ?
-
Non Les packs de conformité sont un outil puissant que les clients peuvent utiliser pour gérer le niveau de conformité de leurs AWS ressources. Toutefois, les Conformance Packs ne sont pas équivalents aux Frameworks Audit Manager. Les modèles de pack de conformité fournis pour les frameworks tels que PCI DSS contiennent uniquement les contrôles techniques de base qui peuvent être évalués en tant que règles de configuration. Un modèle de pack de conformité ne contient pas l'ensemble complet des contrôles d'audit qu'une organisation doit respecter pour réussir un audit PCI DSS ; aucune règle de configuration ne vérifie que l'organisation a documenté ses politiques de sécurité et ses procédures opérationnelles. Bien que les tableaux de bord du Compliance Pack fournissent un signal clair sur le niveau de conformité de vos AWS ressources évaluées par Config Rules, ils AWS Config n'offrent pas de solution générale de gestion de la conformité permettant de capturer, d'organiser et de partager des preuves pour l'ensemble des contrôles requis par un framework tel que la norme PCI DSS. Les clients qui cherchent une solution à ce problème sont invités à plutôt envisager des solutions partenaires, telles que celles de Vanta et Drata, qui peuvent être utilisées conjointement pour fournir une solution AWS Config d'automatisation de end-to-end la conformité.
- Existe-t-il des packs de conformité pour tous les frameworks pris en charge par Audit Manager ?
-
Non, il existe actuellement un certain nombre de frameworks dans Audit Manager pour lesquels il n'existe aucun pack de conformité correspondant. AWS Config Le tableau ci-dessus fournit un mappage entre les frameworks Audit Manager et les Config Conformance Packs. Les lacunes les plus notables concernent SOC2 le RGPD. Veuillez suivre les annonces AWS Config « Nouveautés » pour connaître les mises à jour relatives aux nouvelles versions du pack de conformité. Outre les modèles de pack de conformité prédéfinis fournis par AWS, les clients peuvent définir leurs propres modèles de pack de conformité qui sont regroupés avec les règles de configuration et permettent aux clients de définir des actions correctives pour les ressources non conformes.
- Les clients peuvent-ils exporter des preuves pour les auditeurs AWS Config ?
-
AWS Config fournit des outils pour exporter des preuves de conformité des ressources. Consultez la page de modification de disponibilité pour obtenir des conseils sur l'utilisation de cet outil.
- En tant que client existant, puis-je continuer à utiliser Audit Manager normalement ?
-
Oui. En tant que client existant, vous pouvez continuer à utiliser Audit Manager normalement, notamment en créant et en gérant des évaluations, en examinant les preuves et en générant des rapports d'audit. Les clients qui ont déployé Audit Manager au sein de leur organisation peuvent étendre les évaluations pour inclure les nouveaux comptes de l'organisation.
- En tant que client existant avec un seul compte déployé, puis-je déployer Audit Manager pour mon organisation ?
-
Non À compter du 30 avril 2026, les clients disposant de déploiements à compte unique ne seront plus en mesure de déployer Audit Manager au sein d'une organisation.
- Comment puis-je vérifier si Audit Manager est configuré dans un compte ?
-
Pour les déploiements à compte unique, les clients peuvent se connecter au compte et accéder au service Audit Manager depuis la console pour voir si Audit Manager est configuré au sein de ce compte. Pour les Organisations, les clients doivent effectuer cette opération depuis le compte de gestion.
- Comment désactiver Audit Manager ?
-
Les clients peuvent désactiver Audit Manager pour le compte, via l'onglet Paramètres de la console ou via la CLI. Les clients qui ont déployé Audit Manager pour une organisation doivent désactiver le service depuis le compte de gestion de l'organisation ; par défaut, le compte administrateur délégué pour Audit Manager ne dispose pas des autorisations nécessaires. La désactivation d'Audit Manager met fin à la collecte de nouvelles preuves, mais ne supprime pas vos preuves existantes, sauf si vous sélectionnez explicitement cette option. Les preuves seront conservées pendant deux ans à compter de la date de leur collecte. En tant que client existant, vous pouvez réactiver le service pour accéder aux preuves et reprendre la collecte de preuves.
- Comment puis-je continuer à accéder aux preuves une fois que j'ai désactivé Audit Manager ?
-
Le moyen le plus simple de continuer à accéder aux preuves collectées par Audit Manager est d'abord d'activer Evidence Finder, avant de désactiver le service. Lorsque vous activez Evidence Finder, Audit Manager exporte les preuves vers un lac de CloudTrail données, auquel vous pourrez continuer d'accéder après avoir désactivé Audit Manager.
- Comment puis-je l'utiliser AWS Control Tower pour la gestion de la conformité ?
-
AWS Control Tower fournit un catalogue de contrôles préventifs, proactifs et de détection (implémentés sous forme de règles de configuration) définis par le framework. Il vous permet de déployer tous les contrôles relatifs à ces cadres OUs dans un ou plusieurs membres de votre organisation. Avec la nouvelle expérience basée uniquement sur les contrôles, il n'est plus nécessaire que l'organisation ait été créée en tant que zone d'atterrissage. Les avantages de cette solution AWS Control Tower sont qu'elle vous fournit une vue au niveau de l'unité organisationnelle des ressources non conformes. AWS Control Tower n'utilise pas les packs de conformité pour déployer les règles de configuration. Par conséquent, vous ne verrez pas le pack de conformité à moins que vous ne le déployiez également. Il ne prend pas non plus en charge les flux de travail de correction.
- Comment puis-je l'utiliser AWS Security Hub CSPM pour la gestion de la conformité ?
-
Pour les frameworks mappés à une norme de sécurité, AWS Security Hub CSPM fournit une alternative à la gestion de la conformité et AWS Config à la correction au sein d'un seul compte. L'activation de la norme depuis la console Security Hub CSPM déploie un ensemble de règles liées au service pour le framework associé. Les clients peuvent consulter un tableau de bord de conformité qui indique le score de conformité global et le statut de chaque contrôle, avec la possibilité d'accéder au niveau des ressources individuelles. Security Hub CSPM permet aux clients de télécharger les résultats de la règle au format JSON et ajoute une note de sévérité pour le contrôle, ce qui aide les clients à hiérarchiser les plans de correction. Grâce à la configuration centralisée, vous pouvez configurer le Security Hub CSPM sur plusieurs régions, comptes et unités organisationnelles ()OUs. Cependant, Security Hub CSPM fournit des normes de sécurité pour un nombre limité de frameworks, notamment le NIST 800-53 et le PCI-DSS.
