Résolution des problèmes liés à l’outil de recherche d’éléments probants - AWS Audit Manager
Je ne parviens pas à activer l’outil de recherche d’éléments probantsJ’ai activé l’outil de recherche d’éléments probants, mais je ne vois pas les éléments probants passés dans mes résultats de rechercheJe ne parviens pas à désactiver l’outil de recherche d’éléments probantsMa requête de recherche échoueJe constate qu'un domaine de contrôle est marqué comme « obsolète ». Qu’est-ce que cela signifie ?Je ne parviens pas à générer plusieurs rapports d’évaluation à partir des résultats de ma rechercheJe ne parviens pas à inclure des éléments probants spécifiques à partir des résultats de ma rechercheLes résultats de ma recherche d’éléments probants ne sont pas tous inclus dans le rapport d’évaluationJe souhaite générer un rapport d’évaluation à partir des résultats de ma recherche, mais mon instruction de requête échoueRessources supplémentairesMon CSV exportation a échouéJe ne parviens pas à exporter des éléments probants spécifiques à partir des résultats de ma rechercheJe ne parviens pas à exporter plusieurs CSV fichiers à la fois

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résolution des problèmes liés à l’outil de recherche d’éléments probants

Utilisez les informations de cette page pour résoudre les problèmes courants liés à l’outil de recherche d’éléments probants dans Audit Manager.

Problèmes généraux liés à l’outil de recherche d’éléments probants
Problèmes liés aux rapports d’évaluation dans l’outil de recherche d’éléments probants
Problèmes d'CSVexportation de Evidence Finder

Je ne parviens pas à activer l’outil de recherche d’éléments probants

Les raisons courantes pour lesquelles vous ne pouvez pas activer l’outil de recherche d’éléments probants sont les suivantes :

Il vous manque des autorisations

Si vous essayez d'activer Evidence Finder pour la première fois, assurez-vous que vous disposez des autorisations requises pour activer Evidence Finder. Ces autorisations vous permettent de créer et de gérer un magasin de données sur les événements dans CloudTrail Lake, nécessaire pour répondre aux requêtes de recherche de preuves. Les autorisations vous permettent également d’exécuter des requêtes de recherche dans l’outil de recherche d’éléments probants.

Si vous avez besoin d'aide concernant les autorisations, contactez votre AWS administrateur. Si vous êtes AWS administrateur, vous pouvez copier la déclaration d'autorisation requise et la joindre à une IAM politique.

Vous utilisez votre compte de gestion Organizations

N’oubliez pas que vous pouvez utiliser votre compte de gestion pour activer l’outil de recherche d’éléments probants. Connectez-vous en tant que compte administrateur délégué, puis réessayez.

Vous avez précédemment désactivé l’outil de recherche d’éléments probants

La réactivation de l’outil de recherche d’éléments probants n’est actuellement pas prise en charge. Si vous avez précédemment désactivé l’outil de recherche d’éléments probants, vous ne pourrez pas l’activer à nouveau.

J’ai activé l’outil de recherche d’éléments probants, mais je ne vois pas les éléments probants passés dans mes résultats de recherche

Lorsque vous activez l’outil de recherche d’éléments probants, il faut jusqu’à 7 jours pour que toutes vos données d’éléments probants passés soient disponibles.

Au cours de cette période de 7 jours, un entrepôt de données d’événements est rempli avec vos données d’éléments probants des deux dernières années. Cela signifie que si vous utilisez l’outil de recherche d’éléments probants immédiatement après l’avoir activé, tous les résultats ne seront pas disponibles tant que le remplissage ne sera pas terminé.

Pour obtenir des instructions sur la façon de vérifier l'état du remblayage des données, consultezConfirmation du statut de chercheur de preuves .

Je ne parviens pas à désactiver l’outil de recherche d’éléments probants

Cela peut être dû à l’une des raisons suivantes.

Il vous manque des autorisations

Si vous essayez de désactiver l'outil de recherche de preuves, assurez-vous que vous disposez des autorisations requises pour désactiver l'outil de recherche de preuves. Ces autorisations vous permettent de mettre à jour et de supprimer un magasin de données d'événements dans CloudTrail Lake, ce qui est nécessaire pour désactiver l'outil de recherche de preuves.

Si vous avez besoin d'aide concernant les autorisations, contactez votre AWS administrateur. Si vous êtes AWS administrateur, vous pouvez copier la déclaration d'autorisation requise et la joindre à une IAM politique.

Une demande visant à activer l’outil de recherche d’éléments probants est toujours en cours

Lorsque vous demandez d’activer l’outil de recherche d’éléments probants, nous créons un entrepôt de données d’événements pour répondre aux requêtes de l’outil de recherche d’éléments probants. Vous ne pouvez pas désactiver l’outil de recherche d’éléments probants lors de la création de l’entrepôt de données d’événements.

Pour continuer, attendez que l’entrepôt de données d’événements soit créé, puis réessayez. Pour plus d’informations, consultez Confirmation du statut de chercheur de preuves .

Vous avez déjà demandé de désactiver l’outil de recherche d’éléments probants

Lorsque vous demandez de désactiver l’outil de recherche d’éléments probants, nous supprimons l’entrepôt de données d’événements utilisé pour les requêtes de l’outil de recherche d’éléments probants. Si vous essayez à nouveau de désactiver l’outil de recherche d’éléments probants alors que l’entrepôt de données d’événements est supprimé, un message d’erreur s’affiche.

Dans ce cas, aucune action n’est nécessaire. Attendez que l’entrepôt de données d’événements soit supprimé. Dès que cette opération est terminée, l’outil de recherche d’éléments probants est désactivé. Pour plus d’informations, consultez Confirmation du statut de chercheur de preuves .

Ma requête de recherche échoue

L’échec d’une requête de recherche peut être dû à l’une des raisons suivantes.

Il vous manque des autorisations

Vérifiez que l’utilisateur dispose des autorisations requises pour exécuter des requêtes de recherche et accéder aux résultats de recherche. Plus précisément, vous avez besoin d'autorisations pour les CloudTrail actions suivantes :

Si vous avez besoin d'aide concernant les autorisations, contactez votre AWS administrateur. Si vous êtes AWS administrateur, vous pouvez copier la déclaration d'autorisation requise et la joindre à une IAM politique.

Vous exécutez le nombre maximal de requêtes

Vous pouvez exécuter jusqu’à 5 requêtes à la fois. Si vous exécutez le nombre maximal de requêtes simultanées, cela entraîne une erreur MaxConcurrentQueriesException. Si ce message d’erreur s’affiche, attendez une minute que certaines requêtes soient terminées, puis réexécutez la requête.

Votre instruction de requête contient une erreur de validation

Si vous utilisez le API ou CLI pour effectuer l'StartQueryopération CloudTrail Lake, assurez-vous que le vôtre queryStatement est valide. Si l’instruction de requête comporte des erreurs de validation, une syntaxe incorrecte ou des mots clés non pris en charge, cela se traduit par une InvalidQueryStatementException.

Pour plus d’informations sur l’écriture d’une requête, consultez Créer ou modifier une requête dans le Guide de l’utilisateur d’AWS CloudTrail .

Pour obtenir des exemples de syntaxe valide, consultez les exemples d’instructions de requêtes suivants qui peuvent être utilisés pour interroger un entrepôt de données d’événements dans Audit Manager.

Exemple 1 : Examiner les éléments probants et leur statut de conformité

Cet exemple permet de rechercher des éléments probants, quel que soit leur statut de conformité, dans toutes les évaluations prises en compte, dans une plage de dates spécifiée. 

SELECT eventData.evidenceId, eventData.resourceArn, eventData.resourceComplianceCheck FROM $EDS_ID WHERE eventTime > '2022-11-02 00:00:00.000' AND eventTime < '2022-11-03 00:00:00.000'
Exemple 2 : Déterminer les éléments probants non conformes d’un contrôle

Cet exemple permet de rechercher tous les éléments probantsnon conformes dans une plage de dates spécifiée pour une évaluation et un contrôle spécifiques. 

SELECT * FROM $EDS_ID WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' AND eventTime > '2022-10-27 22:05:00.000' AND eventTime < '2022-11-03 22:05:00.000' AND eventData.resourceComplianceCheck IN ('NON_COMPLIANT','FAILED','WARNING') AND eventData.controlId IN ('aa11bb22-cc33-dd44-ee55-ff66gg77hh88')
Exemple 3 : Compter les éléments probants par nom

Cet exemple répertorie le nombre total d’éléments probants d’une évaluation dans une plage de dates spécifiée, groupés par nom et classés par nombre d’éléments probants. 

SELECT eventData.eventName as eventName, COUNT(*) as totalEvidence FROM  $EDS_ID WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' AND eventTime > '2022-10-27 22:05:00.000' AND eventTime < '2022-11-03 22:05:00.000' GROUP BY eventData.eventName ORDER BY totalEvidence DESC
Exemple 4 : Explorer les éléments probants par source de données et par service

Cet exemple permet de rechercher tous les éléments probants dans une plage de dates spécifiée pour une source de données et un service spécifiques. 

SELECT * FROM $EDS_ID WHERE eventTime > '2022-10-27 22:05:00.000' AND eventTime < '2022-11-03 22:05:00.000' AND eventData.service IN ('dynamodb') AND eventData.dataSource IN ('AWS API calls')
Exemple 5 : Explorer les éléments probants conformes par source de données et domaine de contrôle

Cet exemple permet de trouver des preuves conformes pour des domaines de contrôle spécifiques, lorsque les preuves proviennent d'une source de données autre que AWS Config. 

 SELECT * FROM $EDS_ID WHERE eventData.resourceComplianceCheck IN ('PASSED','COMPLIANT') AND eventData.controlDomainName IN ('Logging and monitoring','Data security and privacy') AND eventData.dataSource NOT IN ('AWS Config')
Autres API exceptions

Ils StartQueryAPIpeuvent échouer pour plusieurs autres raisons. Pour une liste complète des erreurs possibles et des descriptions, voir StartQuery Erreurs dans la AWS CloudTrail APIréférence.

Je constate qu'un domaine de contrôle est marqué comme « obsolète ». Qu’est-ce que cela signifie ?

Lorsque vous appliquez un filtre de domaine de contrôle dans Evidence Finder, vous remarquerez peut-être que certains domaines de contrôle disponibles sont décrits comme obsolètes.

Capture d'écran d'un filtre de domaine de contrôle obsolète dans Evidence Finder.

Depuis le 6 juin 2024, Audit Manager prend en charge un nouvel ensemble de domaines de contrôle fournis par AWS Control Catalog. Pour obtenir la liste de ces domaines de contrôle, reportez-vous ListDomainsà la APIréférence du catalogue AWS de contrôles.

Si un domaine de contrôle est marqué comme obsolète, cela signifie que le domaine de contrôle que vous consultez ne fait pas partie des nouveaux domaines de contrôle fournis par AWS Control Catalog. Audit Manager continue de prendre en charge ces domaines de contrôle obsolètes afin que vous puissiez toujours les utiliser comme critères lorsque vous recherchez des preuves.

Bien que nous continuions à prendre en charge les domaines de contrôle obsolètes, nous vous encourageons à utiliser les nouveaux domaines de contrôle à la place. Les nouveaux domaines de contrôle sont mappés aux contrôles standard mis à jour qui ont été lancés dans le cadre de la bibliothèque de contrôles communs le 6 juin 2024. À cette date, nous avons publié des contrôles standard mis à jour qui peuvent collecter des preuves auprès de sources AWS gérées. Cela signifie que chaque fois qu'une mise à jour est apportée aux sources de données sous-jacentes pour un contrôle commun ou principal, Audit Manager applique automatiquement la même mise à jour à tous les contrôles standard associés.

Je ne parviens pas à générer plusieurs rapports d’évaluation à partir des résultats de ma recherche

Cette erreur est due à l'exécution d'un trop grand nombre de requêtes CloudTrail Lake en même temps.

Cette erreur peut se produire si vous regroupez les résultats de votre recherche et tentez de générer immédiatement des rapports d’évaluation pour chaque élément de ligne de vos résultats regroupés. Lorsque vous obtenez les résultats de votre recherche et que vous générez un rapport d’évaluation, chaque action invoque une requête. Vous ne pouvez exécuter que 5 requêtes à la fois. Si vous exécutez le nombre maximal de requêtes simultanées, l’erreur MaxConcurrentQueriesException est renvoyée.

Pour éviter cette erreur, assurez-vous de ne pas générer trop de rapports d’évaluation à la fois. Si vous exécutez le nombre maximal de requêtes simultanées, l’erreur MaxConcurrentQueriesException est renvoyée. Si ce message d’erreur s’affiche, attendez quelques minutes que vos rapports d’évaluation en cours soient terminés.

Vous pouvez vérifier le statut de vos rapports d’évaluation depuis la page du centre de téléchargement de la console Audit Manager. Une fois vos rapports terminés, revenez à vos résultats regroupés dans l’outil de recherche d’éléments probants. Vous pouvez ensuite continuer à obtenir les résultats et à générer un rapport d’évaluation pour chaque élément de ligne.

Je ne parviens pas à inclure des éléments probants spécifiques à partir des résultats de ma recherche

Tous les résultats de votre recherche sont inclus dans le rapport d’évaluation. Vous ne pouvez pas ajouter de lignes individuelles de manière sélective à partir de votre ensemble de résultats de recherche.

Si vous souhaitez uniquement inclure des résultats de recherche spécifiques dans le rapport d’évaluation, nous vous recommandons de modifier vos filtres de recherche actuels. Ainsi, vous pouvez affiner vos résultats pour cibler uniquement les éléments probants que vous souhaitez inclure dans le rapport.

Les résultats de ma recherche d’éléments probants ne sont pas tous inclus dans le rapport d’évaluation

Lorsque vous générez un rapport d’évaluation, le nombre d’éléments probants que vous pouvez ajouter est limité. La limite dépend de votre évaluation, Région AWS de la région du compartiment S3 utilisée comme destination de votre rapport d'évaluation et du fait que votre évaluation utilise ou non un service géré par le client AWS KMS key.

  1. La limite est de 22 000 pour les rapports d’une même région (dans le cas où le compartiment S3 et l’évaluation se trouvent dans la même Région AWS)

  2. La limite est de 3 500 pour les rapports interrégionaux (dans le cas où le compartiment S3 et l’évaluation se trouvent dans des Régions AWS différentes)

  3. La limite est de 3 500 si l'évaluation utilise une clé gérée par KMS le client

Si vous dépassez cette limite, le rapport est quand même créé. Toutefois, Audit Manager ajoute uniquement les 3 500 ou 22 000 premiers éléments probants au rapport.

Pour éviter ce problème, nous vous recommandons de modifier vos filtres de recherche actuels. De cette façon, vous pouvez réduire les résultats de votre recherche en ciblant un plus petit nombre d’éléments probants. Si nécessaire, vous pouvez répéter cette méthode et générer plusieurs rapports d’évaluation au lieu d’un seul rapport plus volumineux.

Je souhaite générer un rapport d’évaluation à partir des résultats de ma recherche, mais mon instruction de requête échoue

Si vous utilisez le CreateAssessmentReportAPIet que votre instruction de requête renvoie une exception de validation, consultez le tableau ci-dessous pour savoir comment y remédier.

Note

Même si une instruction de requête fonctionne CloudTrail, il est possible que la même requête ne soit pas valide pour la génération du rapport d'évaluation dans Audit Manager. Cela est dû à certaines différences dans la validation des requêtes entre les deux services.

Clause Problème Solution Remarques

SELECT

La clause SELECT contient un nom de colonne

Supprimez la clause SELECT et remplacez-la par SELECT eventJson.

Seule la clause SELECT eventJson est prise en charge.

Cette validation est gérée par Audit Manager.

FROM

La clause FROM contient un identifiant d’entrepôt de données d’événements non valide

or

L’identifiant d’entrepôt de données d’événements fourni ne correspond pas à l’identifiant d’entrepôt de données d’événements dans vos paramètres Audit Manager

Supprimez la clause FROM et remplacez-la par FROM edsID, où la valeur de edsID correspond à l’ID d’entrepôt de données d’événements spécifié dans vos paramètres Audit Manager.

Vous pouvez récupérer le répertoire ARN des données d'événements dans les paramètres de l'Audit Manager. Pour plus d'informations, reportez-vous GetSettingsà la section AWS Audit Manager APIRéférence.

 Cette validation est gérée par Audit Manager.

GROUP BY

La clause GROUP BY est présente dans la requête

Supprimez la clause GROUP BY.

 Cette validation est gérée par Audit Manager.

HAVING

La clause HAVING est présente dans la requête

Supprimez la clause HAVING.

 Cette validation est gérée par Audit Manager.

LIMIT

La clause LIMIT contient une valeur qui dépasse la limite maximale autorisée

Si la clause LIMIT existe, assurez-vous que sa valeur est égale ou inférieure à la limite maximale prise en charge :

  • Pour les rapports d’une même région, la limite est de 22 000

  • Pour les rapports interrégionaux, la limite est de 3 500

  • Pour les rapports où l'évaluation associée utilise un système géré par le client AWS KMS key, la limite est de 3 500

Dans la console, il n’y a aucune limite au nombre de résultats d’éléments probants pouvant être renvoyés. Toutefois, lors de la génération d’un rapport d’évaluation, une limite s’applique au nombre d’éléments probants que vous pouvez inclure.

Si aucune valeur LIMIT n’est fournie dans votre instruction de requête, les limites maximales par défaut sont appliquées.

Cette validation est gérée par Audit Manager.

ORDER BY

La clause ORDER BY contient des fonctions d’agrégation ou des alias qui ne sont pas présents dans la clause SELECT

Assurez-vous que la clause ORDER BY ne contient aucune condition utilisant des fonctions d’agrégation ou des alias.

 Cette validation est gérée par le CloudTrail StartQuery API.

WHERE

La clause WHERE contient plusieurs assessmentId

or

La clause WHERE contient un assessmentId qui ne correspond pas à l’assessmentId de votre demande createAssessmentReport

or

La clause WHERE contient un nom de colonne non pris en charge

Assurez-vous qu'un seul assessmentID est spécifié et qu'il correspond au assessmentId paramètre que vous avez spécifié dans la createAssessmentReport API demande.

Supprimez tous les noms de colonnes non pris en charge.

 Cette validation est gérée par le CloudTrail StartQuery API.

Exemples

Les exemples suivants montrent comment utiliser le queryStatement paramètre lors de l'appel de l'CreateAssessmentReportopération. Avant d'utiliser ces requêtes, remplacez placeholder text avec les vôtres edsId et vos assessmentId valeurs.

Exemple 1 : Créer un rapport (la limite de même région s’applique)

Cet exemple crée un rapport qui inclut les résultats des compartiments S3 créés entre le 22 et le 23 janvier 2022.

SELECT eventJson FROM 12345678-abcd-1234-abcd-123456789012 WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' AND eventTime > '2022-01-22 00:00:00.000' AND eventTime < '2022-01-23 00:00:00.000' AND eventName='CreateBucket' LIMIT 22000
Exemple 2 : Créer un rapport (la limite interrégionale s’applique)

Cet exemple crée un rapport qui inclut tous les résultats de l’entrepôt de données d’événements et de l’évaluation spécifiés, sans qu’aucune plage de dates soit spécifiée.

SELECT eventJson FROM 12345678-abcd-1234-abcd-123456789012 WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' LIMIT 7000
Exemple 3 : Créer un rapport (sous la limite par défaut)

Cet exemple crée un rapport qui inclut tous les résultats de l’entrepôt de données d’événements et de l’évaluation spécifiés, avec une limite inférieure au maximum par défaut.

SELECT eventJson FROM 12345678-abcd-1234-abcd-123456789012 WHERE eventData.assessmentId = '11aa33bb-55cc-77dd-99ee-ff22gg44hh66' LIMIT 2000

Ressources supplémentaires

La page suivante contient des conseils généraux pour la résolution des problèmes liés aux rapports d’évaluation :

Mon CSV exportation a échoué

Votre CSV exportation peut échouer pour plusieurs raisons. Vous pouvez résoudre ce problème en vérifiant les causes les plus fréquentes.

Tout d'abord, assurez-vous que vous remplissez les conditions requises pour utiliser la fonctionnalité CSV d'exportation :

Vous avez activé l’outil de recherche d’éléments probants avec succès

Si vous n’avez pas activé l’outil de recherche d’éléments probants, vous ne pouvez pas exécuter de requête de recherche et exporter les résultats de votre recherche.

Le remplissage de votre entrepôt de données d’événements est terminé

Si vous utilisez l’outil de recherche d’éléments probants immédiatement après l’avoir activé et que le remplissage des éléments probants est toujours en cours, il se peut que certains résultats ne soient pas disponibles. Pour vérifier l'état du remblayage, voirConfirmation du statut de chercheur de preuves .

Votre requête de recherche a réussi

Audit Manager ne peut pas exporter les résultats d’une requête ayant échoué. Pour résoudre les problèmes liés à l’échec d’une requête, consultez Ma requête de recherche échoue.

Après avoir vérifié que vous remplissez les conditions requises, utilisez la liste de contrôle suivante pour vérifier les problèmes potentiels :

  1. Vérifiez le statut de votre requête de recherche :

    1. La requête a-t-elle été annulée ? L’outil de recherche d’éléments probants affiche des résultats partiels traités avant l’annulation de la requête. Toutefois, Audit Manager n’exporte pas les résultats partiels vers votre compartiment S3 ou le centre de téléchargement.

    2. La requête est-elle en cours d’exécution depuis plus d’une heure ? Les requêtes qui s’exécutent pendant plus d’une heure peuvent prendre fin. L’outil de recherche d’éléments probants affiche des résultats partiels traités avant l’expiration de la requête. Toutefois, Audit Manager n’exporte pas de résultats partiels. Pour éviter un délai d'attente, vous pouvez réduire la quantité de preuves numérisées en spécifiant une plage Modification des filtres de recherche de temps plus étroite.

  2. Vérifiez le nom et le nom URI de votre compartiment S3 de destination d'exportation :

    1. Le compartiment que vous avez spécifié existe-t-il ? Si vous avez saisi manuellement un bucketURI, assurez-vous de n'avoir rien mal saisi. Une faute de frappe ou une erreur URI peut entraîner une RESOURCE_NOT_FOUND erreur lorsqu'Audit Manager tente d'exporter le CSV fichier vers Amazon S3.

  3. Vérifiez les autorisations du compartiment S3 de destination de votre exportation :

    1. Disposez-vous d’autorisations d’écriture pour le compartiment S3 ? Vous devez disposer d’un accès en écriture pour le compartiment S3 que vous utilisez comme destination d’exportation. Plus précisément, la politique IAM d'autorisations doit inclure une s3:PutObject action et le bucketARN, et la liste CloudTrail en tant que principal de service. Nous fournissons un exemple de politique que vous pouvez utiliser.

  4. Vérifiez si certaines de vos Région AWS informations ne correspondent pas :

    1. La Région AWS clé gérée par votre client correspond-elle à celle Région AWS de votre évaluation ? Si vous avez fourni une clé gérée par le client pour le chiffrement des données, celle-ci doit se trouver dans la même Région AWS que celle de votre évaluation. Pour obtenir des instructions sur le changement de KMS clé, reportez-vous àConfiguration des paramètres de chiffrement des données.

  5. Vérifiez les autorisations de votre compte administrateur délégué :

    1. La clé gérée par le client dans vos paramètres Audit Manager accorde-t-elle des autorisations à votre administrateur délégué ? Si vous utilisez un compte d'administrateur délégué et que vous avez spécifié une clé gérée par le client pour le chiffrement des données, assurez-vous que l'administrateur délégué a accès à cette KMS clé. Pour obtenir des instructions, voir Autoriser les utilisateurs d'autres comptes à utiliser une KMS clé dans le Guide du AWS Key Management Service développeur. Pour vérifier et modifier vos paramètres de chiffrement dans Audit Manager, consultezConfiguration des paramètres de chiffrement des données.

Note

Si vous modifiez vos paramètres de chiffrement des données Audit Manager, ces modifications s’appliqueront aux nouvelles évaluations que vous créerez à l’avenir. Cela inclut tous CSV les fichiers que vous exportez à partir de vos nouvelles évaluations.

Les modifications ne s’appliquent pas aux évaluations existantes que vous avez créées avant de modifier vos paramètres de chiffrement. Cela inclut CSV les nouvelles exportations issues d'évaluations existantes, en plus des CSV exportations existantes. Les évaluations existantes, et toutes leurs CSV exportations, continuent d'utiliser l'ancienne clé. KMS Si l'IAMidentité qui exporte le CSV fichier n'est pas autorisée à utiliser l'ancienne KMS clé, vous pouvez accorder des autorisations au niveau de la politique clé.

Je ne parviens pas à exporter des éléments probants spécifiques à partir des résultats de ma recherche

Tous les résultats de votre recherche sont inclus dans les résultats.

Si vous souhaitez inclure uniquement des preuves spécifiques dans le CSV fichier, nous vous recommandons de modifier vos filtres de recherche actuels. Ainsi, vous pouvez affiner vos résultats pour cibler uniquement les éléments probants que vous souhaitez exporter.

Je ne parviens pas à exporter plusieurs CSV fichiers à la fois

Cette erreur est due à l'exécution d'un trop grand nombre de requêtes CloudTrail Lake en même temps.

Cela peut se produire si vous regroupez les résultats de recherche et essayez d'exporter immédiatement un CSV fichier pour chaque rubrique de vos résultats groupés. Lorsque vous obtenez les résultats de votre recherche et que vous exportez un CSV fichier, chacune de ces actions appelle une requête. Vous ne pouvez exécuter que cinq requêtes à la fois. Si vous exécutez le nombre maximal de requêtes simultanées, l’erreur MaxConcurrentQueriesException est renvoyée.

Pour éviter cette erreur, assurez-vous de ne pas exporter trop de CSV fichiers à la fois.

Pour résoudre cette erreur, attendez que les CSV exportations en cours soient terminées. La plupart des exportations prennent quelques minutes. Toutefois, si vous exportez une très grande quantité de données, l’exportation peut prendre jusqu’à une heure. N’hésitez pas à quitter l’outil de recherche d’éléments probants pendant que l’exportation est en cours.

Vous pouvez vérifier le statut de l’exportation depuis le centre de téléchargement de la console Audit Manager. Une fois que vos fichiers exportés sont prêts, revenez à vos résultats regroupés dans l’outil de recherche d’éléments probants. Vous pouvez ensuite continuer à obtenir les résultats et à exporter un CSV fichier pour chaque rubrique.