Configurazione della destinazione predefinita del rapporto di valutazione

Quando generi un report di valutazione, Gestione audit pubblica il report nel bucket S3 di tua scelta. Questo bucket S3 è denominato. assessment report destination Puoi scegliere il bucket S3 in cui Audit Manager archivia i tuoi report di valutazione.

Prerequisiti

Suggerimenti di configurazione per la destinazione del rapporto di valutazione

Per garantire la corretta generazione del rapporto di valutazione, ti consigliamo di utilizzare le seguenti configurazioni per la destinazione del rapporto di valutazione.

Bucket della stessa regione

Si consiglia di utilizzare un bucket S3 che rientri nella stessa Regione AWS della valutazione. Se utilizzi un bucket e una valutazione relativi alla stessa area geografica, il rapporto di valutazione può includere fino a 22.000 elementi di prova. Al contrario, quando si utilizza un gruppo e una valutazione in più regioni, è possibile includere solo 3.500 elementi di prova.

Regione AWS

La Regione AWS chiave gestita dal cliente (se ne hai fornita una) deve corrispondere alla regione della valutazione e al bucket S3 di destinazione del rapporto di valutazione. Per istruzioni su come modificare la KMS chiave, consulta. Configurazione delle impostazioni di crittografia dei dati Per un elenco delle Regioni Gestione audit supportate, consulta la sezione Endpoint e quote AWS Audit Managernei Riferimenti generali di Amazon Web Services.

Crittografia del bucket S3

Se la destinazione del rapporto di valutazione ha una policy bucket che richiede la crittografia lato server (SSE) utilizzando SSE- KMS, la KMS chiave utilizzata in quella policy del bucket deve corrispondere alla KMS chiave configurata nelle impostazioni di crittografia dei dati di Audit Manager. Se non hai configurato una KMS chiave nelle impostazioni di Audit Manager e la policy del bucket di destinazione del rapporto di valutazione lo richiedeSSE, assicurati che la policy del bucket SSE consenta -S3. Per istruzioni su come configurare la KMS chiave utilizzata per la crittografia dei dati, consulta. Configurazione delle impostazioni di crittografia dei dati

Bucket S3 multi-account

L'utilizzo di un bucket S3 per più account come destinazione del rapporto di valutazione non è supportato nella console Gestione audit. È possibile specificare un bucket tra più account come destinazione del rapporto di valutazione utilizzando AWS CLI o uno dei seguenti AWS SDKs, ma per semplicità, ti consigliamo di non farlo. Se scegli di utilizzare un bucket S3 con più account come destinazione del rapporto di valutazione, considera i seguenti punti.

• Per impostazione predefinita, gli oggetti S3, come i report di valutazione, sono di proprietà di chi carica l'oggetto. Account AWS Puoi utilizzare l'impostazione S3 Object Ownership per modificare questo comportamento predefinito in modo che tutti i nuovi oggetti scritti da account con la lista di controllo degli accessi predefinita (ACL) bucket-owner-full-control diventino automaticamente di proprietà del proprietario del bucket.

  Sebbene non sia un requisito, ti consigliamo di apportare le seguenti modifiche alle impostazioni del bucket tra account. Apportando queste modifiche, il proprietario del bucket ha il pieno controllo dei report di valutazione che pubblichi nel suo bucket.

  • Imposta la proprietà dell'oggetto del bucket S3 sul bucket preferito dal proprietario, anziché sull’autore dell’oggetto predefinito

  • Aggiungi una policy relativa al bucket per assicurarti che gli oggetti caricati in quel bucket abbiano il bucket-owner-full-control ACL

• Per consentire a Gestione audit di pubblicare report in un bucket S3 tra più account, è necessario aggiungere la seguente policy del bucket S3 alla destinazione del rapporto di valutazione. Sostituisci il placeholder text con le tue informazioni. L'elemento Principal di questa policy è l'utente o il ruolo che possiede la valutazione e crea il rapporto di valutazione. ll Resource specifica il bucket S3 tra più account in cui viene pubblicato il rapporto.

  {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow cross account assessment report publishing",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AssessmentOwnerAccountId:user/AssessmentOwnerUserName"
            },
            "Action": [
                "s3:ListBucket",
                "s3:PutObject",
                "s3:GetObject",
                "s3:GetBucketLocation",
                "s3:PutObjectAcl",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::CROSS-ACCOUNT-BUCKET",
                "arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*"
            ]
        }
    ]
  }

Mostra piùMostra meno

Procedura

È possibile aggiornare questa impostazione utilizzando la console Audit Manager, AWS Command Line Interface (AWS CLI) o Audit ManagerAPI.

Audit Manager console

Per aggiornare la destinazione predefinita del rapporto di valutazione sulla console Audit Manager

1. Dalla scheda Impostazioni di valutazione, vai alla sezione Destinazione del rapporto di valutazione.

2. Per utilizzare un bucket S3 esistente, seleziona il nome del bucket dal menu a discesa.

3. Per creare un nuovo bucket S3, scegli Crea nuovo bucket.

4. Al termine, scegli Salva.

AWS CLI

Per aggiornare la destinazione predefinita del rapporto di valutazione nel AWS CLI

Esegui il comando update-settings e usa il parametro --default-assessment-reports-destination per specificare un bucket S3.

Nell'esempio seguente, sostituisci il placeholder text con le tue informazioni:

aws auditmanager update-settings --default-assessment-reports-destination destinationType=S3,destination=s3://amzn-s3-demo-destination-bucket

Audit Manager API

Per aggiornare la destinazione predefinita del rapporto di valutazione utilizzando il API

Chiama l'UpdateSettingsoperazione e utilizza il parametro defaultAssessmentReportsDestination per specificare un bucket S3.

Risorse aggiuntive

• Creare un bucket

• Report di valutazione