Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS Appels d'API pris en charge par AWS Audit Manager
Vous pouvez utiliser Audit Manager pour capturer des instantanés de votre AWS environnement comme preuves pour les audits. Lorsque vous créez ou modifiez un contrôle personnalisé, vous pouvez spécifier un ou plusieurs appels d' AWS API en tant que mappage de source de données pour la collecte de preuves. Audit Manager passe ensuite des appels d'API aux Services AWS personnes concernées et collecte un instantané des détails de configuration de vos AWS ressources.
Pour chaque ressource faisant l’objet d’un appel d’API, Audit Manager capture un instantané de configuration et le convertit en éléments probants. Cela se traduit par un élément probant par ressource, par opposition à un élément probant par appel d’API.
Par exemple, si l’appel d’API ec2_DescribeRouteTables capture des instantanés de configuration à partir de cinq tables de routage, vous obtiendrez cinq éléments probants au total pour cet appel d’API unique. Chaque élément probant est un instantané de la configuration d’une table de routage individuelle.
Rubriques
Points clés
Appels d’API paginés
Beaucoup Services AWS collectent et stockent de grandes quantités de données. Par conséquent, lorsqu’un appel d’API list, describe ou get tente de renvoyer vos données, les résultats peuvent être nombreux. Si la quantité de données est trop importante pour être renvoyée en une seule réponse, les résultats peuvent être divisés en éléments plus faciles à gérer grâce à la pagination. Cela divise les résultats en « pages » de données, ce qui facilite la gestion des réponses.
Certains d'entre eux Appels d’API pris en charge pour les sources de données de contrôle personnalisées sont paginés. Cela signifie qu’ils renvoient des résultats partiels dans un premier temps et nécessitent des demandes ultérieures pour renvoyer l’ensemble de résultats complet. Par exemple, l’opération DescribeDBInstances d’Amazon RDS renvoie jusqu’à 100 instances à la fois, et les demandes suivantes sont nécessaires pour renvoyer la page de résultats suivante.
Depuis le 8 mars 2023, Audit Manager prend en charge les appels d’API paginés en tant que source de données pour la collecte d’éléments probants. Auparavant, si un appel d’API paginé était utilisé comme source de données, seul un sous-ensemble de vos ressources était renvoyé dans la réponse de l’API (jusqu’à 100 résultats). Audit Manager appelle désormais l’opération d’API paginée à plusieurs reprises et obtient chaque page de résultats jusqu’à ce que toutes les ressources soient renvoyées. Pour chaque ressource, Audit Manager capture ensuite un instantané de configuration et l’enregistre comme élément probant. Étant donné que l'ensemble complet de vos ressources est désormais capturé dans la réponse de l'API, il est probable que vous remarquerez une augmentation du nombre de preuves collectées après le 8 mars 2023.
Audit Manager gère automatiquement la pagination des appels d’API pour vous. Si vous créez un contrôle personnalisé qui utilise un appel d’API paginé comme source de données, vous n’avez pas besoin de définir des paramètres de pagination.
Appels d’API pris en charge pour les sources de données de contrôle personnalisées
Dans vos contrôles personnalisés, vous pouvez utiliser l’un des appels d’API suivants comme source de données. Audit Manager peut ensuite utiliser ces appels d'API pour collecter des preuves concernant votre AWS utilisation.
| Appel d’API pris en charge | Comment Audit Manager utilise cette API pour collecter des preuves |
|---|---|
| acm_ GetAccountConfiguration | Collectez un instantané des options de configuration de compte associées à votre Compte AWS. |
| acm_ ListCertificates | Récupérez une liste des ARN de certificat et des noms de domaine. |
| mise à l'échelle automatique_ DescribeAutoScalingGroups | Collectez un instantané des groupes Auto Scaling de votre Compte AWS. |
| sauvegarde_ ListBackupPlans | Récupérez la liste de tous les plans de sauvegarde actifs dans votre Compte AWS. |
| chambre_ GetModelInvocationLoggingConfiguration | Collectez un instantané des valeurs de configuration actuelles pour la journalisation des appels de modèles pour les modèles de votre Compte AWS. |
| cloudfront_ ListDistributions |
Récupérez la liste de toutes les distributions de votre Compte AWS. |
| Collectez un instantané des paramètres d’un ou de plusieurs journaux d’activité associés à la région actuelle de votre Compte AWS. | |
| cloudtrail_ ListTrails | Récupérez la liste des sentiers qui se trouvent dans votre Compte AWS. |
| Collectez un instantané de la configuration des alarmes utilisées pour votre Compte AWS. | |
| configuration_ DescribeConfigRules | Récupérez les détails de vos AWS Config règles. |
| configuration_ DescribeDeliveryChannels | Collectez un instantané de la configuration des canaux de diffusion de votre Compte AWS. |
| connexion directe_ DescribeDirectConnectGateways | Récupérez la liste de toutes vos AWS Direct Connect passerelles. |
| connexion directe_ DescribeVirtualGateways | Récupérez la liste des passerelles privées virtuelles appartenant à votre Compte AWS. |
| docdb_ DescribeCertificates | Collectez une liste des certificats de votre Compte AWS. |
| DocDB_DescribeDB ClusterParameterGroups | Collectez une liste des descriptions DBCLusterParameterGroup de votre Compte AWS. |
| docdb_DescribeDBInstances | Collectez des informations sur les instances Amazon DynamoDB provisionnées de votre Compte AWS. |
| Collectez des informations sur les alarmes de votre Compte AWS. | |
| Collectez un instantané des paramètres d'un ou de plusieurs sentiers associés à votre Compte AWS. | |
|
Collectez des instantanés de la configuration des tables DynamoDB de votre Compte AWS. Lorsque vous utilisez cette API comme source de données, il n’est pas nécessaire de fournir le nom d’une table DynamoDB spécifique. Audit Manager utilise plutôt l’opération |
|
| dynamodb_ ListBackups | Récupérez la liste des sauvegardes DynamoDB associées à votre Compte AWS. |
| Récupérez une liste de l’ensemble des noms de table associés à votre Compte AWS et à votre point de terminaison actuel. | |
| ec2_ DescribeAddresses | Collectez un instantané de vos adresses IP Elastic. |
| ec2_ DescribeCustomerGateways | Collectez un instantané de vos passerelles clients de VPN. |
| ec2_ DescribeEgressOnlyInternetGateways | Collectez un instantané de vos passerelles Internet de sortie uniquement. |
| Collectez un instantané de vos journaux de flux. | |
| Collectez un instantané de vos instances. | |
| ec2_ DescribeInternetGateways | Collectez un instantané de vos passerelles Internet. |
| ec2_ DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations | Collectez une description des associations entre les groupes d'interfaces virtuelles et les tables de routage des passerelles locales dans votre Compte AWS. |
| ec2_ DescribeLocalGateways | Collectez un instantané de vos passerelles locales. |
| ec2_ DescribeLocalGatewayVirtualInterfaces | Collectez un instantané de vos interfaces virtuelles de passerelle locale. |
| ec2_ DescribeNatGateways | Collectez un instantané de vos passerelles NAT. |
| Collectez un instantané de vos ACL réseau. | |
| Collectez un instantané de vos tables de routage. | |
| Collectez un instantané de vos groupes de sécurité. | |
| ec2_ DescribeSecurityGroupRules | Collectez un instantané d'une ou de plusieurs règles de votre groupe de sécurité. |
| ec2_ DescribeTransitGateways | Collectez un instantané de vos passerelles de transit. |
| Collectez un instantané de vos points de terminaison de VPC. | |
| Collectez un instantané de vos VPC. | |
| Collectez un instantané de vos points de terminaison de VPC. | |
| ec2_ DescribeVpcEndpointConnections | Collectez un instantané des connexions des points de terminaison VPC à vos services de point de terminaison VPC, y compris les points de terminaison en attente d'acceptation. |
| ec2_ DescribeVpcEndpointServiceConfigurations | Collectez un instantané des configurations des services de point de terminaison VPC dans votre. Compte AWS |
| ec2_ DescribeVpcPeeringConnections | Collectez un instantané de vos connexions VPN. |
| ec2_ DescribeVpnConnections | Collectez un instantané de vos connexions VPN. |
| ec2_ DescribeVpnGateways | Collectez un instantané de vos passerelles privées virtuelles. |
| ec2_ GetEbsDefaultKmsKeyId | Collectez un instantané du chiffrement EBS par défaut AWS KMS key pour votre Compte AWS région actuelle. |
| ec2_ GetEbsEncryptionByDefault | Indique si le chiffrement EBS par défaut est activé pour votre Compte AWS dans la région actuelle. |
| ecs_ DescribeClusters | Collectez un instantané de vos clusters ECS. |
| eks_ DescribeAddonVersions | Collectez un instantané des versions de vos add-on. |
| elasticache_ DescribeCacheClusters | Collectez un instantané de vos clusters provisionnés. |
| elasticache_ DescribeServiceUpdates | Collectez un instantané des mises à jour de service pour Amazon ElastiCache. |
| système de fichiers élastique_ DescribeAccessPoints | Collectez un instantané des points d'accès Amazon EFS de votre Compte AWS. |
| Collectez un instantané de vos systèmes de fichiers Amazon EFS. | |
| équilibrage de charge élastique v2_ DescribeLoadBalancers |
Collectez un instantané des équilibreurs de charge de votre Compte AWS. |
| elasticloadbalancingv2_DescribeSSLPolicies | Collectez un instantané des politiques que vous utilisez pour la négociation SSL. |
| équilibrage de charge élastique v2_ DescribeTargetGroups | Collectez un instantané de vos groupes cibles ELB. |
| elasticmapreduce_ ListSecurityConfigurations | Récupérez la liste des configurations de sécurité visibles par votre Compte AWS, ainsi que leurs noms, dates et heures de création. |
| événements_ ListConnections | Récupérez la liste des EventBridge connexions Amazon dans votre Compte AWS. |
| événements_ ListEventBuses | Récupérez la liste des bus d' EventBridge événements Amazon présents dans votre répertoire Compte AWS, y compris le bus d'événements par défaut, les bus d'événements personnalisés et les bus d'événements partenaires. |
| événements_ ListEventSources | Récupérez une liste des sources d’événement partenaire partagées avec votre Compte AWS. |
| événements_ ListRules | Récupérez la liste de vos EventBridge règles Amazon. |
| tuyau d'incendi_ ListDeliveryStreams | Récupérez la liste de vos flux de diffusion. |
| fsx_ DescribeFileSystems | Collectez un instantané des systèmes de fichiers appartenant à votre Compte AWS. |
| devoir de guard_ ListDetectors |
Récupérez une liste des ressources |
| Générez un rapport d’informations d’identification pour votre Compte AWS. | |
| Collectez un instantané de la politique de mot de passe de votre Compte AWS. | |
| Collectez un instantané de l’utilisation des entités et des quotas IAM dans votre Compte AWS. | |
| Récupérez la liste des groupes IAM associés à un préfixe de chemin disponible dans votre. Compte AWS | |
| Identifiant iam_ ListOpen ConnectProviders | Récupérez la liste des objets de ressource de fournisseur OpenID Connect (OIDC) IAM définis dans votre Compte AWS. |
| Récupérez la liste de toutes les politiques gérées disponibles dans votre Compte AWS, y compris vos propres politiques gérées définies par le client et l’ensemble des politiques gérées par AWS. | |
| Récupérez la liste des rôles IAM associés à un préfixe de chemin disponible dans votre. Compte AWS | |
| iam_ListSAMLProviders | Récupérez la liste des objets de ressource de fournisseur SAML définis dans IAM de votre Compte AWS. |
| Récupérez la liste des utilisateurs IAM de votre Compte AWS. | |
| Appareils iam_ MFA ListVirtual | Récupérez la liste des périphériques MFA virtuels définis dans votre Compte AWS. |
| kafka_ ListClusters | Récupérez la liste des clusters Amazon MSK présents dans votre Compte AWS. |
| kafka_ ListKafkaVersions | Récupérez la liste des objets de version Apache Kafka de votre Compte AWS. |
| kinésie_ ListStreams | Récupérez la liste de vos flux de données Kinesis. |
|
Audit Manager utilise cette API pour collecter un instantané des stratégies de clé pour votre AWS KMS keys de votre Compte AWS. Lorsque vous utilisez cette API comme source de données, il n'est pas nécessaire de fournir le nom d'une source spécifique AWS KMS key. Audit Manager utilise plutôt l’opération |
|
|
Audit Manager utilise cette API pour déterminer si la rotation automatique est activée AWS KMS keys dans votre Compte AWS. Lorsque vous utilisez cette API comme source de données, il n'est pas nécessaire de fournir le nom d'une source spécifique AWS KMS key. Audit Manager utilise plutôt l’opération |
|
| kms_ ListKeys | Récupérez une liste des AWS KMS keys dans votre Compte AWS. |
| lambda_ ListFunctions | Récupérez une liste des fonctions Lambda dans votre Compte AWS, avec la configuration spécifique à chaque version de chacune d'entre elles. |
| rds_DescribeDBClusters | Collectez un instantané des clusters de base de données Amazon Aurora et des clusters de base de données multi-AZ existants dans votre Compte AWS. |
| Collectez un instantané des instances RDS provisionnées de votre Compte AWS. | |
| rds_ DescribeDbInstanceAutomatedBackups | Collectez un instantané des sauvegardes des instances actuelles et supprimées de votre Compte AWS. |
| rds_ DescribeDbSecurityGroups | Collectez un instantané de la base de données SecurityGroups dans votre Compte AWS. |
| Collectez un instantané des clusters Amazon Redshift provisionnés de votre Compte AWS. | |
|
Collectez un instantané indiquant la configuration de chiffrement par défaut pour vos compartiments S3. Lorsque vous utilisez cette API comme source de données, il n’est pas nécessaire de fournir le nom d’un compartiment S3 spécifique. Audit Manager utilise plutôt l’opération Audit Manager peut uniquement fournir l'état de chiffrement pour les buckets créés en même temps Région AWS que votre évaluation. Si vous avez besoin de connaître l'état de chiffrement de tous vos compartiments S3 sur plusieurs Régions AWS, nous vous recommandons de créer une évaluation pour chacun des compartiments Région AWS où vous possédez un compartiment S3. |
|
| Récupérez la liste des compartiments S3 de votre Compte AWS. | |
| sagemaker_ ListAlgorithms | Récupérez la liste des algorithmes d'apprentissage automatique de votre Compte AWS. |
| sagemaker_ ListDomains | Récupérez la liste des domaines de votre Compte AWS. |
| sagemaker_ ListEndpoints | Récupérez la liste des points de terminaison de votre Compte AWS. |
| sagemaker_ ListEndpointConfigs | Récupérez une liste des configurations de point de terminaison dans votre Compte AWS. |
| sagemaker_ ListFlowDefinitions | Récupérez une liste des définitions de flux dans votre Compte AWS. |
| sagemaker_ ListHumanTaskUis | Récupérez une liste des interfaces de tâches humaines de votre Compte AWS. |
| sagemaker_ ListLabelingJobs | Récupérez la liste des tâches d'étiquetage de votre Compte AWS. |
| sagemaker_ ListModels | Récupérez la liste des modèles de votre Compte AWS. |
| sagemaker_ ListModelBiasJobDefinitions | Récupérez une liste des définitions de tâches liées au biais du modèle dans votre Compte AWS. |
| sagemaker_ ListModelCards | Récupérez la liste des modèles de cartes contenus dans votre Compte AWS. |
| sagemaker_ ListModelQualityJobDefinitions | Récupérez une liste des définitions de tâches de surveillance de la qualité des modèles dans votre Compte AWS. |
| sagemaker_ ListMonitoringAlerts | Récupérez la liste des alertes pour un calendrier de surveillance donné. |
| sagemaker_ ListMonitoringSchedules | Récupérez une liste de tous les programmes de surveillance dans votre Compte AWS. |
| sagemaker_ ListTrainingJobs | Récupérez une liste des emplois de formation dans votre Compte AWS. |
| sagemaker_ ListUserProfiles | Récupérez une liste de profils d'utilisateurs dans votre Compte AWS. |
| secretsmanager_ ListSecrets | Récupérez la liste des secrets qui sont stockés dans le vôtre Compte AWS, à l'exclusion des secrets marqués pour suppression. |
| sns_ ListTopics | Récupérez une liste des rubriques SNS dans votre Compte AWS. |
| sqs_ ListQueues | Récupérez la liste des files d'attente SQS de votre. Compte AWS |
| waf-regional_ ListWebAcls | Récupérez la liste des objets WebACLSummary pour votre. Compte AWS |
| waf-regional_ ListRules | Récupérez une liste des RuleSummaryobjets pour votre Compte AWS. |
| waf_ ListRuleGroups | Récupérez la liste des RuleGroupSummaryobjets pour les groupes de règles de votre Compte AWS. |
| waf_ ListRules | Récupérez une liste des RuleSummaryobjets pour votre Compte AWS. |
| waf_ ListWebAcls | Récupérez la liste des objets WebACLSummary pour votre. Compte AWS |
Appels d’API utilisés dans le cadre standard AWS License Manager
Dans le cadre standard AWS License Manager, Audit Manager utilise une activité personnalisée appelée GetLicenseManagerSummary pour collecter des éléments probants. Cette activité fait appel aux trois API du gestionnaire de licences suivantes :
Les données renvoyées sont ensuite converties en éléments probants et jointes aux contrôles pertinents dans le cadre de votre évaluation.
Exemple
Supposons que vous utilisiez deux produits sous licence (SQL Service 2017 et Oracle Database Enterprise Edition). Tout d'abord, l'GetLicenseManagerSummaryactivité appelle l'ListLicenseConfigurationsAPI, qui fournit des détails sur les configurations de licence de votre compte. Ensuite, il ajoute des données contextuelles supplémentaires pour chaque configuration de licence en appelant ListUsageForLicenseConfigurationet ListAssociationsForLicenseConfiguration. Enfin, elle convertit les données de configuration de licence en éléments probants et les associe aux contrôles respectifs du framework (4.5 - Licence gérée par le client pour SQL Server 2017 et 3.0.4 - Licence gérée par le client pour Oracle Database Enterprise Edition).
Si vous utilisez un produit sous licence qui n’est couvert par aucun des contrôles du framework, ces données de configuration de licence sont jointes en tant qu’élément probant au contrôle suivant : 5.0 - Licence gérée par le client pour les autres licences.
Ressources supplémentaires
-
Pour obtenir de l'aide concernant les problèmes liés à la collecte de preuves pour ce type de source de données, consultezMon évaluation ne collecte pas de preuves de données de configuration pour un appel d' AWS API.
-
Pour créer un contrôle personnalisé à l'aide de ce type de source de données, consultezCréation d'un contrôle personnalisé dans AWS Audit Manager.
-
Pour créer une structure personnalisée qui utilise votre contrôle personnalisé, voirCréation d'un framework personnalisé dans AWS Audit Manager.
-
Pour ajouter votre contrôle personnalisé à un cadre personnalisé existant, voirModification d'un framework personnalisé dans AWS Audit Manager.
