翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
このトピックは、監査所有者向けチュートリアル: 評価の作成 の内容に基づいています。このページには、フレームワークから評価を作成する詳細な手順が記載されています。次の手順に従って評価を作成し、継続的な証拠の収集を開始します。
前提条件
このチュートリアルを開始する前に、次の条件を満たしていることを確認してください。
-
推奨設定 AWS Audit Manager で を設定する で説明されているすべての前提条件を満たしていること。このチュートリアルを完了するには、 AWS アカウント と Audit Manager コンソールを使用する必要があります。
-
IAM アイデンティティには、Audit Manager で評価を作成および管理するための適切な許可が付与されていること。これらのアクセス許可を付与する 2 つの推奨ポリシーは、AWSAuditManagerAdministratorAccess と ユーザーには AWS Audit Managerへの管理アクセスを許可します です。
手順
ステップ 1: 評価の詳細を指定する
フレームワークを選択し、評価のための基本的な情報を提供することから始めます。
評価の詳細を指定するには
AWS Audit Manager コンソール (https://console.aws.amazon.com/auditmanager/home
) を開きます。 -
ナビゲーションペインで、[Assessments] (評価)、[Create assessment] (評価を作成) の順に選択します。
-
[名前] に評価の名前を入力します。
-
(オプション) [説明] に評価の説明を入力します。
-
[評価レポートの送信先] で、評価レポートを保存する S3 バケットを選択します。
ヒント
デフォルトの評価レポートの送信先は、[評価設定] に基づいています。必要に応じて、異なる評価レポートをわかりやすく整理するために、複数の S3 バケットを作成して使用できます。
-
[フレームワークの選択] で、評価の作成元となるフレームワークを選択します。検索バーを使用して、名前、またはコンプライアンス標準や規制によってフレームワークを検索することもできます。
ヒント
フレームワークの詳細を確認するには、フレームワーク名を選択してフレームワークの詳細ページを参照してください。
-
(オプション) [タグ] で、[新しいタグを追加] を選択して、タグを評価に関連付けます。タグごとにキーと値を指定できます。タグキーは必須であり、この評価を検索するときに検索条件として使用できます。
-
[Next (次へ)] を選択します。
注記
評価が指定したフレームワークの正しいエビデンスを収集していることを確認することが重要です。証拠の収集を始める前に、選択したフレームワークの要件を確認することをお勧めします。次に、これらの要件を現在の AWS Config ルールパラメータに対して検証します。ルールパラメータがフレームワークの要件と一致していることを確認するために、AWS Config でルールを更新できます。
例えば、CIS v1.2.0 の評価を作成するとします。このフレームワークには 1.9 - IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認と命名されたコントロールがあります。 AWS Config には、iam-password-policy ルールにパスワードの長さをチェックする MinimumPasswordLength パラメータがあります。このパラメータのデフォルト値は 14 文字です。その結果、このルールは統制要件と一致しています。デフォルトのパラメータ値を使用していない場合は、使用する値が CIS v1.2.0 の 14 文字要件以上であることを確認してください。各マネージドルールのデフォルトパラメータの詳細は、AWS Config
ドキュメントに記載されています。
ステップ 2: 範囲内 AWS アカウント の を指定する
評価の範囲 AWS アカウント に複数の を指定できます。Audit Manager は、 AWS Organizationsとの統合により複数のアカウントをサポートします。つまり、Audit Manager の評価は複数のアカウントで実行でき、収集された証拠は委任管理者アカウントに統合されます。Audit Manager で組織を有効にするには、を有効にしてセットアップする AWS Organizations を参照してください。
注記
Audit Manager は、評価の範囲で最大 200 のアカウントをサポートできます。200 を超えるアカウントを含めると、評価の作成は失敗します。
さらに、すべての評価に 250 を超える一意のアカウントを追加しようとすると、評価の作成は失敗します。
スコープ AWS アカウント 内で を指定するには
-
でAWS アカウント、評価の範囲 AWS アカウント に含める を選択します。
-
Audit Manager で組織を有効にした場合は、複数のアカウントが表示されます。リストから 1 つ以上のアカウントを選択できます。または、アカウント名、ID、または E メールでアカウントを検索することもできます。
-
Audit Manager で Organizations を有効にしなかった場合は、現在の のみが一覧表示 AWS アカウント されます。
-
-
[Next (次へ)] を選択します。
注記
範囲内のアカウントが組織から削除されると、Audit Manager は、それ以降、そのアカウントの証拠を収集しなくなります。ただし、アカウントは引き続き [AWS アカウント] タブの評価に表示されます。範囲内のアカウントのリストからアカウントを削除するには、評価を編集を実行します。削除されたアカウントは編集中にリストに表示されなくなります。また、そのアカウントが範囲に含まれていなくても変更を保存できます。
ステップ 3: 監査所有者を指定する
このステップでは、評価の監査所有者を指定します。監査所有者は、職場の個人 (通常は GRC、SecOps、または DevOps チームに所属) であり、Audit Manager の評価の管理を担当します。AWSAuditManagerAdministratorAccess ポリシーを使用することをお勧めします。
監査所有者を指定するには
-
[Audit owners] (監査所有者) で、現在の監査所有者のリストを確認します。[監査所有者] の列には、ユーザーの ID とロールが表示されます。AWS アカウント 列には、その監査所有者 AWS アカウント の が表示されます。
-
チェックボックスがオンになっている監査所有者は、評価に含まれます。監査所有者が自らを評価から削除するには、チェックボックスをオフにします。検索バーを使用して名前または AWS アカウントで検索すると、追加の監査所有者を検索できます。
-
完了したら、[Next(次へ)] を選択します。
ステップ 4: 確認して作成する
評価に関する情報を確認します。ステップに関する情報を変更するには、[Edit(編集)] を選択します。完了したら、[Create assessment(評価を作成)] を選択します。
このアクションにより、評価のための継続的な証拠の収集が開始されます。評価を作成した後、評価ステータスを [inactive(非アクティブ)] に変更するまで、証拠の収集が続行されます。または、コントロールのステータスを [非アクティブ] に変更することで、特定のコントロールの証拠収集を停止できます。
注記
自動証拠は、評価が作成されてから 24 時間後に利用可能になります。Audit Manager は複数のデータ ソースから証拠を自動的に収集し、その証拠収集の頻度は証拠の種類に基づきます。詳細については、このガイドの「証拠収集の頻度」を参照してください。
次のステップ
後日評価を再確認するには、「での評価の検索 AWS Audit Manager」を参照してください。これらの手順に従って、評価の表示、編集、または作業の継続を行うことができます。
追加リソース
Audit Manager の評価に関する問題の解決策については、「評価と証拠収集の問題に関するトラブルシューティング」を参照してください。
