Mengonfigurasi tujuan laporan penilaian default

Saat membuat laporan penilaian, Audit Manager akan menerbitkan laporan tersebut ke bucket S3 pilihan Anda. Bucket S3 ini disebut sebagaiassessment report destination. Anda dapat memilih bucket S3 tempat Audit Manager menyimpan laporan penilaian Anda.

Prasyarat

Kiat konfigurasi untuk tujuan laporan penilaian Anda

Untuk memastikan keberhasilan pembuatan laporan penilaian Anda, kami sarankan Anda menggunakan konfigurasi berikut untuk tujuan laporan penilaian Anda.

Ember Wilayah yang Sama

Kami menyarankan Anda menggunakan bucket S3 yang Wilayah AWS sama dengan penilaian Anda. Bila Anda menggunakan bucket dan penilaian wilayah yang sama, laporan penilaian Anda dapat menyertakan hingga 22.000 item bukti. Sebaliknya, saat Anda menggunakan bucket dan penilaian lintas wilayah, hanya 3.500 item bukti yang dapat disertakan.

Wilayah AWS

Kunci terkelola pelanggan Anda (jika Anda memberikannya) harus sesuai dengan Wilayah penilaian Anda dan bucket tujuan laporan penilaian S3 Anda. Wilayah AWS Untuk petunjuk tentang cara mengubah kunci KMS, lihatMengonfigurasi pengaturan enkripsi data Anda. Untuk daftar Wilayah Audit Manager yang didukung, lihat AWS Audit Manager titik akhir dan kuota di Referensi Umum Amazon Web Services.

Enkripsi ember S3

Jika tujuan laporan penilaian Anda memiliki kebijakan bucket yang memerlukan enkripsi sisi server (SSE) menggunakan SSE-KMS, maka kunci KMS yang digunakan dalam kebijakan bucket tersebut harus sesuai dengan kunci KMS yang dikonfigurasi dalam setelan enkripsi data Audit Manager. Jika Anda belum mengonfigurasi kunci KMS di setelan Audit Manager, dan kebijakan bucket tujuan laporan penilaian Anda memerlukan SSE, pastikan kebijakan bucket mengizinkan SSE-S3. Untuk petunjuk tentang cara mengonfigurasi kunci KMS yang digunakan untuk enkripsi data, lihatMengonfigurasi pengaturan enkripsi data Anda.

Ember S3 lintas akun

Menggunakan bucket S3 lintas akun sebagai tujuan laporan penilaian Anda tidak didukung di konsol Audit Manager. Anda dapat menentukan bucket lintas akun sebagai tujuan laporan penilaian Anda dengan menggunakan AWS CLI atau salah satu AWS SDK, tetapi untuk mempermudah, sebaiknya Anda tidak melakukannya. Jika Anda memilih untuk menggunakan bucket S3 lintas akun sebagai tujuan laporan penilaian Anda, pertimbangkan poin-poin berikut.

• Secara default, objek S3—seperti laporan penilaian—dimiliki oleh objek yang mengunggah objek. Akun AWS Anda dapat menggunakan setelan Kepemilikan Objek S3 untuk mengubah perilaku default ini sehingga objek baru apa pun yang ditulis oleh akun dengan daftar kontrol akses (ACL) yang bucket-owner-full-control dikalengkan secara otomatis menjadi milik pemilik bucket.

  Meskipun ini bukan persyaratan, kami menyarankan Anda untuk membuat perubahan berikut pada pengaturan bucket lintas akun Anda. Membuat perubahan ini memastikan bahwa pemilik bucket memiliki kendali penuh atas laporan penilaian yang Anda publikasikan ke bucket mereka.

  • Setel kepemilikan objek bucket S3 ke pilihan pemilik bucket, bukan penulis objek default

  • Tambahkan kebijakan bucket untuk memastikan bahwa objek yang diunggah ke bucket tersebut bucket-owner-full-control memiliki ACL

• Untuk mengizinkan Audit Manager mempublikasikan laporan dalam bucket S3 lintas akun, Anda harus menambahkan kebijakan bucket S3 berikut ke tujuan laporan penilaian Anda. Ganti teks placeholder dengan informasi Anda sendiri. PrincipalElemen dalam kebijakan ini adalah pengguna atau peran yang memiliki penilaian dan membuat laporan penilaian. ResourceIni menentukan bucket S3 lintas akun tempat laporan diterbitkan.

  {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow cross account assessment report publishing",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AssessmentOwnerAccountId:user/AssessmentOwnerUserName"
            },
            "Action": [
                "s3:ListBucket",
                "s3:PutObject",
                "s3:GetObject",
                "s3:GetBucketLocation",
                "s3:PutObjectAcl",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::CROSS-ACCOUNT-BUCKET",
                "arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*"
            ]
        }
    ]
  }

Tampilkan lebih banyakTampilkan lebih sedikit

Prosedur

Anda dapat memperbarui setelan ini menggunakan konsol Audit Manager, AWS Command Line Interface (AWS CLI), atau Audit Manager API.

Audit Manager console

Untuk memperbarui tujuan laporan penilaian default Anda di konsol Audit Manager

1. Dari tab Pengaturan penilaian, buka bagian Tujuan laporan penilaian.

2. Untuk menggunakan bucket S3 yang ada, pilih nama bucket dari menu tarik-turun.

3. Untuk membuat bucket S3 baru, pilih Create new bucket.

4. Setelah selesai, pilih Simpan.

AWS CLI

Untuk memperbarui tujuan laporan penilaian default Anda di AWS CLI

Jalankan perintah update-settings dan gunakan --default-assessment-reports-destination parameter untuk menentukan bucket S3.

Dalam contoh berikut, ganti teks placeholder dengan informasi Anda sendiri:

aws auditmanager update-settings --default-assessment-reports-destination destinationType=S3,destination=s3://DOC-EXAMPLE-DESTINATION-BUCKET

Audit Manager API

Untuk memperbarui tujuan laporan penilaian default Anda menggunakan API

Panggil UpdateSettingsoperasi dan gunakan parameter defaultAssessmentReportsTujuan untuk menentukan bucket S3.

Sumber daya tambahan

• Membuat ember

• Laporan penilaian