Concepts et terminologie de partage de frameworks

Points clés Ressources supplémentaires

Si vous découvrez les concepts clés suivants, vous pourrez tirer le meilleur parti de la fonctionnalité de partage de frameworks personnalisés AWS Audit Manager .

Expéditeur

Il s'agit du créateur d'une demande de partage et de l' Compte AWS endroit où le framework personnalisé existe. Les expéditeurs peuvent partager des frameworks personnalisés avec n'importe Compte AWS qui. Ou bien, ils répliquent un framework personnalisé sur n'importe quel framework pris en Région AWS charge pour leur propre compte.

Destinataire

C’est le consommateur du framework partagé. Les destinataires peuvent accepter ou refuser une demande de partage émanant d’un expéditeur.

Note

Un destinataire peut être un compte administrateur délégué. Toutefois, vous ne pouvez pas partager de frameworks personnalisés avec un compte AWS Organizations de gestion.

Éligibilité du framework

Vous pouvez uniquement partager des frameworks personnalisés. Par défaut, les frameworks standard sont déjà présents dans tous les environnements Comptes AWS et Régions AWS là où AWS Audit Manager c'est activé. En outre, les frameworks personnalisés que vous partagez ne doivent pas contenir de données sensibles. Cela inclut les données présentes dans le framework lui-même, ses ensembles de contrôles et tous les contrôles personnalisés inclus dans le framework personnalisé.

Important

Certains des frameworks standard proposés par AWS Audit Manager contiennent du matériel protégé par des droits d'auteur soumis à des contrats de licence. Les frameworks personnalisés peuvent contenir du contenu dérivé de ces frameworks. Vous ne pouvez pas partager un framework personnalisé dérivé d'un framework standard si celui-ci est désigné comme non éligible au partage par AWS, sauf si vous avez obtenu l'autorisation de le faire auprès du propriétaire du framework standard.

Pour savoir quels frameworks standard sont éligibles au partage, reportez-vous au tableau suivant.

Nom du framework standard	Versions personnalisées éligibles au partage
Centre australien de cybersécurité (ACSC) Essential Eight	Oui
Manuel de sécurité de l'information (ISM) du Centre australien de cybersécurité (ACSC) 02 mars 2023	Oui
Exemple de framework d'Audit Manager pour Amazon Web Services (AWS)	Oui
Barrières de protection AWS Control Tower	Oui
AWS Cadre des meilleures pratiques d'IA générative v2	Oui
Gestionnaire de licences AWS	Oui
AWS Bonnes pratiques de sécurité fondamentales	Oui
AWS Bonnes pratiques opérationnelles	Oui
Amazon Web Services (AWS) Well Architected Framework (WAF) v10	Oui
Centre canadien pour la cybersécurité (CCCS) pour le contrôle moyen du cloud	Non
Centre de sécurité Internet (CIS) Amazon Web Services (AWS) Benchmark v1.2.0, niveau 1	Non
Centre de sécurité Internet (CIS) Amazon Web Services (AWS) Benchmark v1.2.0, niveaux 1 et 2	Non
Centre de sécurité Internet (CIS) Amazon Web Services (AWS) Benchmark v1.3.0, niveau 1	Non
Centre de sécurité Internet (CIS) Amazon Web Services (AWS) Benchmark v1.3.0, niveaux 1 et 2	Non
Centre de sécurité Internet (CIS) Amazon Web Services (AWS) Benchmark v1.4.0, niveau 1	Non
Centre de sécurité Internet (CIS) Amazon Web Services (AWS) Benchmark v1.4.0, niveaux 1 et 2	Non
Centre pour la sécurité Internet (CIS) v7.1, IG1	Oui
Contrôles de sécurité critiques CIS version 8.0 (CIS v8.0), IG1	Non
Contrôles de base de sécurité du Programme fédéral de gestion des risques et des autorisations (FedRAMP) r4, modérés	Oui
Règlement général sur la protection des données (RGPD) 2016	Oui
Loi Gramm-Leach-Bliley (GLBA)	Oui
Titre 21 du Code des règlements fédéraux (CFR), partie 11, Enregistrements électroniques ; signatures électroniques - Champ d'application et application 24 mai 2023	Oui
EudraLex - Les règles régissant les médicaments dans l'Union européenne (UE) - Volume 4 : Bonnes pratiques de fabrication (GMP) pour les médicaments à usage humain et vétérinaire - Annexe 11	Oui
Règle de sécurité de la Health Insurance Portability and Accountability Act (HIPAA) : février 2003	Oui
Règle finale omnibus de la Health Insurance Portability and Accountability Act (HIPAA)	Oui
Organisation internationale de normalisation (ISO) /Commission électrotechnique internationale (CEI) 27001:2013 Annexe A	Non
NIST 800-53 Rev 5 : Contrôles de sécurité et de confidentialité pour les systèmes d'information et les organisations	Oui
Cadre de cybersécurité du NIST (CSF) v1.1	Oui
NIST 800-171 Revision 2 : Protection des informations contrôlées non classifiées dans les systèmes et organisations non fédéraux	Oui
Norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) v3.2.1	Non
Norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) v4.0	Non
Déclaration sur les normes pour l'engagement des attestations (SSAE) n° 18, rapport 2 du Service Organizations Controls (SOC)	Non

Demande de partage

Pour partager un framework personnalisé, vous devez créer une demande de partage. La demande de partage indique un destinataire et l’informe qu’un framework personnalisé est disponible. Les destinataires ont 120 jours pour répondre à une demande de partage en l’acceptant ou en la refusant. Si aucune action n’est entreprise dans les 120 jours, la demande de partage expire et le destinataire perd la possibilité d’ajouter le framework personnalisé à sa bibliothèque de frameworks. Les expéditeurs et les destinataires peuvent consulter les demandes de partage et y donner suite depuis la page des demandes de partage de la bibliothèque de frameworks.

Statut des demandes de partage

Les demandes de partage peuvent présenter les statuts suivants.

État	Description
Actif	Cela indique qu'une demande de partage a été envoyée avec succès au destinataire et attend une réponse de ce dernier.
Expirant	Cela indique une demande de partage qui expirera dans les 30 prochains jours.
Partagé	Cela indique une demande de partage acceptée par le destinataire.
Inactif	Cela indique qu'une demande de partage a été révoquée, refusée ou a expiré avant que le destinataire n'agisse.
Réplication	Cela indique une demande de partage acceptée qui est répliquée dans la bibliothèque de cadres du destinataire.
Échec	Cela indique qu'une demande de partage n'a pas été envoyée avec succès au destinataire.

Notifications de demande de partage

Audit Manager informe les destinataires lorsqu’ils reçoivent une demande de partage. Les destinataires et les expéditeurs reçoivent une notification lorsqu’une demande de partage expire dans les 30 prochains jours.

Pour les destinataires, un point de notification bleu apparaît à côté des demandes reçues ayant le statut Actif ou Arrive à expiration. Le destinataire peut agir sur la notification en acceptant ou en refusant la demande de partage.
Pour les destinataires, un point de notification bleu apparaît à côté des demandes reçues ayant le statut Arrive à expiration. La notification est classée lorsque le destinataire accepte ou refuse la demande de partage. Dans le cas contraire, elle est classée à l’expiration de la demande. En outre, l’expéditeur peut agir sur la notification en révoquant la demande de partage.

Propriété de l’expéditeur

Les expéditeurs conservent un accès complet aux frameworks personnalisés qu’ils partagent. Ils peuvent annuler les demandes de partage actives à tout moment en révoquant la demande de partage avant son expiration. Toutefois, une fois qu’un destinataire a accepté une demande de partage, l’expéditeur ne peut plus révoquer l’accès du destinataire à ce framework personnalisé. En effet, lorsque le destinataire accepte la demande, Audit Manager crée une copie indépendante du framework personnalisé dans la bibliothèque de frameworks du destinataire.

Outre la réplication du framework personnalisé de l’expéditeur, Audit Manager reproduit également tous les ensembles de contrôles personnalisés et les contrôles personnalisés faisant partie de ce framework. Toutefois, Audit Manager ne réplique aucune balise attachée au framework personnalisé.

Propriété du destinataire

Les destinataires ont un accès complet aux frameworks personnalisés qu’ils acceptent. Lorsque le destinataire accepte la demande, Audit Manager réplique le framework personnalisé dans l’onglet Frameworks personnalisés de sa bibliothèque de frameworks. Les destinataires peuvent ensuite gérer le framework personnalisé partagé de la même manière que n’importe quel autre framework personnalisé. Les destinataires peuvent partager les frameworks personnalisés qu’ils reçoivent d’autres expéditeurs. Les destinataires ne peuvent empêcher les expéditeurs d’envoyer des demandes de partage.

Expiration du framework partagé

Lorsqu’un expéditeur crée une demande de partage, Audit Manager configure la demande pour qu’elle expire au bout de 120 jours. Les destinataires peuvent accepter le framework partagé et y accéder avant l’expiration de la demande. Si un destinataire ne l’accepte pas pendant cette période, la demande de partage expire. À partir de là, un enregistrement de la demande de partage expirée reste dans son historique. Les instantanés des frameworks partagés expirés sont archivés dans un compartiment S3 avec un TTL d’un an à des fins d’audit.

Les expéditeurs peuvent choisir de révoquer une demande de partage à tout moment avant son expiration.

Sauvegarde et stockage des données du framework partagé

Lorsque vous créez une demande de partage, Audit Manager stocke un instantané de votre framework personnalisé dans l'est des États-Unis (Virginie du Nord) Région AWS. Audit Manager stocke également une sauvegarde du même instantané dans l'ouest des États-Unis (Oregon) Région AWS.

Audit Manager supprime l’instantané et l’instantané de sauvegarde lorsque l’un des événements suivants se produit :

L’expéditeur révoque la demande de partage.
Le destinataire refuse la demande de partage.
Le destinataire rencontre une erreur et n’accepte pas correctement la demande de partage.
La demande de partage expire avant que le destinataire ne réponde à la demande.

Lorsqu’un expéditeur renvoie une demande de partage, l’instantané est remplacé par une version mise à jour correspondant à la dernière version du framework personnalisé.

Lorsqu'un destinataire accepte une demande de partage, le cliché est répliqué dans le fichier Compte AWS sous la Région AWS forme spécifiée dans la demande de partage.

Gestion des versions des frameworks partagés

Lorsque vous partagez un framework personnalisé, Audit Manager crée une copie indépendante de ce framework dans la région spécifiée Compte AWS . Cela signifie que vous devez garder à l’esprit les points suivants :

Le framework partagé qu’un destinataire accepte est un instantané du framework au moment de la création de la demande de partage. Si vous mettez à jour le framework personnalisé d’origine après avoir envoyé une demande de partage, celle-ci n’est pas automatiquement mise à jour. Pour partager la dernière version du framework mis à jour, vous pouvez renvoyer la demande de partage. La date d’expiration de ce nouvel instantané est de 120 jours à compter de la date du nouveau partage.
Lorsque vous partagez un cadre personnalisé avec un autre, Compte AWS puis que vous le supprimez de votre bibliothèque de cadres, le cadre personnalisé partagé reste dans la bibliothèque de cadres du destinataire.
Lorsque vous partagez un cadre personnalisé avec un autre Région AWS utilisateur de votre compte, puis que vous supprimez ce cadre personnalisé dans le premier Région AWS, le cadre personnalisé reste dans la deuxième région.
Lorsque vous supprimez un framework personnalisé partagé après l’avoir accepté, tous les contrôles personnalisés répliqués dans le cadre du framework personnalisé restent dans votre bibliothèque de contrôles.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Partage d’un framework personnalisé

Envoi d’une demande de partage