コントロールとコントロールセットの問題のトラブルシューティング - AWS Audit Manager
評価にコントロールまたはコントロールセットが表示されませんコントロールに手動証拠をアップロードできません1 つのコントロールのデータソースとして複数の AWS Config ルールを使用する必要があるカスタムルールオプションはデータソースでは使用できません。カスタムルールのドロップダウンリストは空です。使用したいカスタムルールが表示されません使用したいマネージドルールが表示されませんカスタムフレームワークを共有したいのですが、カスタム AWS Config ルールをデータソースとして使用するコントロールがありますカスタムルールが AWS Configで更新されるとどうなりますか?

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コントロールとコントロールセットの問題のトラブルシューティング

このページの情報を参照して、Audit Manager での一般的なコントロールに関する問題を解決できます。

一般的な問題
AWS Config 統合の問題

評価にコントロールまたはコントロールセットが表示されません

簡単に述べると、評価のコントロールを表示するには、ユーザーは、その評価の監査所有者として指定される必要があります。さらに、関連する Audit Manager リソースを表示および管理するために必要な IAM 許可が必要です。

評価のコントロールにアクセスする必要がある場合は、その評価について、自分を監査所有者として指定するよういずれかの監査所有者に依頼します。評価を作成または編集するときに、監査所有者を指定できます。

また、評価を管理するために必要な許可が付与されていることも確認してください。監査所有者は AWSAuditManagerAdministratorAccessポリシーを使用することをお勧めします。IAM 許可についてサポートが必要な場合は、管理者または AWS Support までお問い合わせください。IAM アイデンティティにポリシーをアタッチする方法の詳細については、IAM ユーザーガイドの「ユーザーへの許可の追加」および「IAM アイデンティティ許可の追加と削除」を参照してください。

コントロールに手動証拠をアップロードできません

コントロールに証拠を手動でアップロードできない場合は、コントロールのステータスが [inactive] (非アクティブ) であることが原因である可能性があります。

手動証拠をコントロールにアップロードするには、最初にコントロールのステータスを [Under review] (レビュー中) または [Reviewed] (レビュー済み) に変更する必要があります。詳細については、「コントロールステータスの更新」を参照してください。

重要

各 AWS アカウント は、1 日あたり最大 100 個の証拠ファイルをコントロールに手動でアップロードできます。この 1 日あたりのクォータを超えると、そのコントロールについては追加の手動アップロードが失敗します。単一のコントロールに手動証拠を大量にアップロードする必要がある場合は、証拠を数日にわたってバッチでアップロードします。

1 つのコントロールのデータソースとして複数の AWS Config ルールを使用する必要がある

マネージドルールとカスタムルールを組み合わせて 1 つのコントロールに使用できます。そのためには、コントロールに複数のデータソースを設定し、それぞれに対して好みのルール タイプを選択します。単一のカスタムコントロールに対して最大 10 個のデータソースを定義することができます。

コントロールデータソースを設定しているときは、カスタムルールオプションは使用できません

つまり、自分の AWS アカウント または組織のカスタムルールを表示するためのアクセス権限がないことを意味します。具体的には、Audit Manager コンソールで DescribeConfigRulesオペレーションを実行するアクセス許可はありません。

この問題を解決するには、 AWS 管理者にお問い合わせください。ご自身が AWS 管理者の場合は、IAM ポリシーを管理することでユーザーまたはグループにアクセス権限を付与できます。

カスタムルールオプションも使用できますが、ドロップダウンリストにルールは表示されません。

つまり、ご自身の AWS アカウント や組織ではカスタムルールが有効になっておらず、使用できないことを意味します。

にまだカスタムルールがない場合は AWS Config、作成できます。手順については、AWS Config デベロッパーガイドの AWS Config カスタム ルール を参照してください。

カスタムルールが表示されることが予想される場合は、次のトラブルシューティング項目を確認してください。

カスタムルールはいくつか使用できますが、使用したいルールが見当たりません。

目的のカスタムルールが表示されない場合は、次のいずれかの問題が原因である可能性があります。

アカウントがルールから除外されています

使用している委任管理者アカウントがルールから除外されている可能性があります。

組織の管理アカウント (または委任された管理者アカウントの 1 つ) は、 AWS Config AWS Command Line Interface () を使用してカスタム組織ルールを作成できますAWS CLI。その際、ルールから除外するアカウントのリストを指定できます。アカウントがこのリストに含まれている場合、ルールは Audit Manager では使用できません。

この問題を解決するには、 AWS Config 管理者にお問い合わせください。 AWS Config 管理者の場合は、 put-organization-config-rule コマンドを実行して除外されたアカウントのリストを更新できます。

ルールが正常に作成されず、 AWS Configで有効になりませんでした

カスタムルールが正常に作成および有効化されなかった可能性もあります。ルールの作成時にエラーが発生した場合、またはルールが有効になっていない場合、そのルールは Audit Manager の使用可能なルールのリストに表示されません。

この問題については、 AWS Config 管理者に問い合わせることをお勧めします。

このルールはマネージドルールです

探しているルールがカスタムルールのドロップダウンリストに見つからない場合は、そのルールがマネージドルールである可能性があります。

AWS Config コンソールを使用して、ルールがマネージドルールであるかどうかを確認できます。そのためには、左側のナビゲーションメニューでルールを選択し、表でルールを探します。ルールがマネージドルールの場合、タイプ列にはAWS マネージドと表示されます。

AWS Config コンソールに表示されるマネージドルール。

マネージドルールであることを確認したら、Audit Manager に戻り、ルールタイプとしてマネージドルールを選択します。次に、マネージドルールのドロップダウンリストでマネージドルール識別子のキーワードを探します。

Audit Manager コンソールの管理ルールのドロップダウンリストにあるものと同じルール。

使用したいマネージドルールが表示されません

Audit Manager コンソールのドロップダウンリストからルールを選択する前に、ルールタイプとしてマネージドルールを選択したことを確認してください。

Audit Manager コンソールで選択されたマネージドルールオプション。

それでも期待していたマネージドルールが表示されない場合は、ルール名を探している可能性があります。代わりに、ルール識別子を探す必要があります。

デフォルトのマネージドルールを使用している場合、名前と識別子は似ています。名前は小文字で、ダッシュが使用されています (例: iam-policy-in-use)。識別子は大文字で、アンダースコアが使用されます (例: IAM_POLICY_IN_USE)。デフォルトのマネージドルールの識別子を見つけるには、サポートされている AWS Config マネージドルールキーワードのリストを確認し、使用するルールのリンクに従います。これにより、そのマネージドルールの AWS Config ドキュメントが表示されます。ここから、名前と識別子の両方を確認できます。「Audit Manager」のドロップダウンリストで識別キーワードを探します。

AWS Config ドキュメントに示されているマネージドルールの名前と識別子。

カスタマイズされたマネージドルールを使用している場合は、AWS Config コンソールを使用してルールの識別子を検索できます。例えば、customized-iam-policy-in-useというマネージドルールを使用するとします。このルールの識別子を見つけるには、 AWS Config コンソールに移動し、左側のナビゲーションメニューでルールを選択し、テーブルでルールを選択します。

AWS Config コンソールのルール表にある、カスタマイズされた名前のマネージドルール。

編集を選択すると、マネージドルールの詳細が開きます。

AWS Config コンソールのルール編集オプション。

詳細セクションで、マネージドルールの作成元のソース識別子 (IAM_POLICY_IN_USE) を見つけることができます。

AWS Config コンソールのマネージドルールの詳細。

これで Audit Manager コンソールに戻り、ドロップダウンリストから同じ識別子キーワードを選択できます。

Audit Manager コンソールに表示されるマネージドルール識別子。

カスタムフレームワークを共有したいが、カスタム AWS Config ルールをデータソースとして使用するコントロールがある。受信者はこれらのコントロールを収集することができますか?

はい、受信者はこれらのコントロールの証拠を収集できますが、そのためにはいくつかの手順が必要です。

Audit Manager が AWS Config ルールをデータソースマッピングとして使用して証拠を収集するには、次の条件を満たす必要があります。これは、マネージドルールとカスタムルールの両方に当てはまります。

  1. ルールは受信者の AWS 環境に存在する必要があります

  2. ルールは受信者の AWS 環境で有効にする必要があります

アカウントのカスタム AWS Config ルールが受信者の AWS 環境にまだ存在しない可能性があることに注意してください。さらに、受信者が共有リクエストを受け入れるとき、Audit Manager は受信者のアカウントにカスタムルールを再作成しません。受信者がデータソースマッピングとしてカスタムルールを使用して証拠を収集するには、 のインスタンスに同じカスタムルールを作成する必要があります AWS Config。受信者がルールを作成して有効にすると、Audit Manager はそのデータソースから証拠を収集できます。

受信者に連絡して、 AWS Configのインスタンスでカスタムルールを作成する必要があるかどうかを知らせることをお勧めします。

カスタムルールが AWS Configで更新されるとどうなりますか? Audit Manager で何かアクションを実行する必要がありますか?

AWS 環境内のルール更新の場合

AWS 環境内のカスタムルールを更新する場合、Audit Manager でアクションは必要ありません。Audit Manager は、次の表で説明されているように、ルールの更新を検出して処理します。Audit Manager は、ルールの更新が検出されても通知しません。

シナリオ Audit Manager の機能 必要な作業

カスタムルールは、 のインスタンスで更新されます AWS Config。

 Audit Manager は、更新されたルール定義を使用して、そのルールに関する検出結果を引き続き報告します。 アクションは不要です。

カスタムルールは、 のインスタンスで削除されます AWS Config。

 Audit Manager は、削除されたルールに関する検出結果の報告を停止します。

アクションは不要です。

必要に応じて、削除されたルールをデータソースマッピングとして使用していたカスタムコントロールを編集することができます。これにより、削除されたルールが取り除かされ、データ ソース設定が整理されます。そうしない場合、削除されたルール名は未使用のデータソースマッピングとして残ります。
AWS 環境外のルール更新の場合

カスタムルールが AWS 環境の外部で更新された場合、Audit Manager はルールの更新を検出しません。共有カスタムフレームワークを使用している場合は、この点を考慮する必要があります。これは、このシナリオでは、送信者と受信者がそれぞれ別々の AWS 環境で作業するためです。次の表は、このシナリオの推奨アクションを示しています。

役割 シナリオ 推奨されるアクション

送信者

  • カスタムルールをデータソースマッピングとして使用するフレームワークを共有しました。

  • フレームワークを共有した後、 でこれらのルールのいずれかを更新または削除しました AWS Config。

 受信者に更新内容を知らせてください。そうすれば、受信者は同じ更新を適用し、最新のルール定義と同期した状態を保つことができます。
受取人

  • カスタムルールをデータソースマッピングとして使用する共有フレームワークを受け入れました。

  • のインスタンスでカスタムルールを再作成すると AWS Config、送信者はそれらのルールの 1 つを更新または削除します。

 AWS Configのインスタンスで、対応するルールを更新してください。