Configuration de la destination par défaut de votre rapport d'évaluation

Lorsque vous générez un rapport d’évaluation, Audit Manager publie le rapport dans le compartiment S3 de votre choix. Ce compartiment S3 est appeléassessment report destination. Vous pouvez choisir le compartiment S3 dans lequel Audit Manager stocke vos rapports d'évaluation.

Prérequis

Conseils de configuration pour la destination de votre rapport d’évaluation

Pour garantir le succès de la génération de votre rapport d'évaluation, nous vous recommandons d'utiliser les configurations suivantes pour la destination de votre rapport d'évaluation.

Compartiments de la même région

Nous vous recommandons d’utiliser un compartiment S3 qui se trouve dans le même compartiment Région AWS que votre évaluation. Lorsque vous utilisez un compartiment et une évaluation correspondant à la même région, votre rapport d’évaluation peut inclure jusqu’à 22 000 éléments probants. À l’inverse, lorsque vous utilisez un compartiment et une évaluation interrégionaux, seuls 3 500 éléments probants peuvent être inclus.

Région AWS

La Région AWS clé gérée par le client (si vous en avez fourni une) doit correspondre à la région de votre évaluation et au compartiment S3 de destination de votre rapport d'évaluation. Pour obtenir des instructions sur le changement de KMS clé, reportez-vous à la sectionConfiguration des paramètres de chiffrement des données. Pour obtenir la liste des régions d’Audit Manager supportées, consultez AWS Audit Manager Points de terminaison et quotas dans Référence générale d’Amazon Web Services.

Chiffrement de compartiment S3

Si la destination de votre rapport d'évaluation dispose d'une politique de compartiment qui exige un chiffrement côté serveur (SSE) à l'aide de SSE- KMS, la KMS clé utilisée dans cette politique de compartiment doit correspondre à la KMS clé que vous avez configurée dans les paramètres de chiffrement des données d'Audit Manager. Si vous n'avez pas configuré de KMS clé dans les paramètres de votre Audit Manager et que la politique de compartiment de destination de votre rapport d'évaluation l'exigeSSE, assurez-vous que la politique de compartiment autorise SSE-S3. Pour obtenir des instructions sur la configuration de la KMS clé utilisée pour le chiffrement des données, reportez-vous àConfiguration des paramètres de chiffrement des données.

Compartiments S3 entre comptes

L’utilisation d’un compartiment S3 multi-comptes comme destination de votre rapport d’évaluation n’est pas prise en charge dans la console Audit Manager. Il est possible de spécifier un bucket multi-comptes comme destination de votre rapport d'évaluation en utilisant le AWS CLI ou l'un des AWS SDKs, mais pour des raisons de simplicité, nous vous recommandons de ne pas le faire. Si vous choisissez d’utiliser un compartiment S3 multi-comptes comme destination de votre rapport d’évaluation, tenez compte des points suivants.

• Par défaut, les objets S3, tels que les rapports d'évaluation, appartiennent à Compte AWS celui qui télécharge l'objet. Vous pouvez utiliser le paramètre S3 Object Ownership pour modifier ce comportement par défaut afin que tous les nouveaux objets écrits par des comptes dotés de la liste de contrôle d'accès bucket-owner-full-control prédéfinie (ACL) deviennent automatiquement la propriété du propriétaire du compartiment.

  Bien que cela ne soit pas obligatoire, nous vous recommandons d’apporter les modifications suivantes aux paramètres de votre compartiment multi-comptes. Ces modifications garantissent que le propriétaire du compartiment a le contrôle total des rapports d’évaluation que vous publiez dans son compartiment.

  • Définissez la propriété de l’objet du compartiment S3 selon les préférences du propriétaire du compartiment, au lieu du rédacteur d’objets par défaut

  • Ajoutez une politique de compartiment pour vous assurer que les objets chargés dans ce compartiment possèdent les bucket-owner-full-control ACL

• Pour permettre à Audit Manager de publier des rapports dans un compartiment S3 multi-comptes, vous devez ajouter la politique de compartiment S3 suivante à la destination de votre rapport d’évaluation. Remplacez le placeholder text avec vos propres informations. L’élément Principal de cette politique est l’utilisateur ou le rôle qui possède l’évaluation et crée le rapport d’évaluation. Le Resource précise le compartiment S3 entre comptes dans lequel le rapport est publié.

  {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow cross account assessment report publishing",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AssessmentOwnerAccountId:user/AssessmentOwnerUserName"
            },
            "Action": [
                "s3:ListBucket",
                "s3:PutObject",
                "s3:GetObject",
                "s3:GetBucketLocation",
                "s3:PutObjectAcl",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::CROSS-ACCOUNT-BUCKET",
                "arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*"
            ]
        }
    ]
  }

Afficher plusAfficher moins

Procédure

Vous pouvez mettre à jour ce paramètre à l'aide de la console Audit Manager, du AWS Command Line Interface (AWS CLI) ou du gestionnaire d'auditAPI.

Audit Manager console

Pour mettre à jour la destination de votre rapport d'évaluation par défaut sur la console Audit Manager

1. Dans l’onglet Paramètres d’évaluation, accédez à la section Destination du rapport d’évaluation.

2. Pour utiliser un compartiment S3 existant, sélectionnez un nom de compartiment dans le menu déroulant.

3. Pour créer un nouveau compartiment S3, choisissez Create new bucket.

4. Lorsque vous avez terminé, sélectionnez Enregistrer.

AWS CLI

Pour mettre à jour la destination de votre rapport d'évaluation par défaut dans AWS CLI

Exécutez la commande paramètres de mise à jour et utilisez le paramètre --default-assessment-reports-destination pour préciser un compartiment S3.

Dans l'exemple suivant, remplacez le placeholder text avec vos propres informations :

aws auditmanager update-settings --default-assessment-reports-destination destinationType=S3,destination=s3://DOC-EXAMPLE-DESTINATION-BUCKET

Audit Manager API

Pour mettre à jour la destination de votre rapport d'évaluation par défaut à l'aide du API

Appelez l'UpdateSettingsopération et utilisez le paramètre defaultAssessmentReportsDestination pour spécifier un compartiment S3.

Ressources supplémentaires

• Création d'un bucket

• Rapports d’évaluation