での評価の作成 AWS Audit Manager

このトピックは に基づいて構築されています監査所有者向けチュートリアル: 評価の作成。このページには、フレームワークから評価を作成する方法を示す詳細な手順が記載されています。次の手順に従って評価を作成し、継続的な証拠の収集を開始します。

前提条件

このチュートリアルを開始する前に、次の条件を満たしていることを確認してください。

• セットアップ AWS Audit Manager 推奨設定で で説明されているすべての前提条件を満たしたこと。このチュートリアルを完了するには、 と Audit Manager コンソールを使用する必要があります AWS アカウント 。

• IAM ID には、Audit Manager で評価を作成および管理するための適切なアクセス許可があります。これらのアクセス許可を付与する 2 つの推奨ポリシーは、 AWSAuditManagerAdministratorAccessと ですユーザーには AWS Audit Managerへの管理アクセスを許可します。

手順

タスク

• ステップ 1: 評価の詳細を指定する
• ステップ 2: 範囲内 AWS アカウント で を指定する
• ステップ 3: 監査所有者を指定する
• ステップ 4: 確認して作成する

ステップ 1: 評価の詳細を指定する

フレームワークを選択し、評価のための基本的な情報を提供することから始めます。

評価の詳細を指定するには

1. ホーム で AWS https://console.aws.amazon.com/auditmanager/Audit Manager コンソールを開きます。

2. ナビゲーションペインで、[Assessments] (評価)、[Create assessment] (評価を作成) の順に選択します。

3. 名前 に、評価の名前を入力します。

4. （オプション) 説明 に、評価の説明を入力します。

5. 評価レポートの宛先 で、評価レポートを保存する S3 バケットを選択します。

   ヒント

   評価レポートのデフォルトの送信先は、評価設定 に基づいています。必要に応じて、複数の S3 バケットを作成して使用して、さまざまな評価の評価レポートを整理できます。

6. 「フレームワークの選択」で、評価を作成するフレームワークを選択します。検索バーを使用して、名前、またはコンプライアンス標準や規制によってフレームワークを検索することもできます。

   ヒント

   フレームワークの詳細については、フレームワーク名を選択してフレームワークの詳細ページを参照してください。

7. （オプション) タグ で、新しいタグを追加 を選択してタグを評価に関連付けます。タグごとにキーと値を指定できます。タグキーは必須であり、この評価を検索するときに検索条件として使用できます。

8. [Next (次へ)] を選択します。

注記

評価が指定したフレームワークの正しいエビデンスを収集していることを確認することが重要です。証拠収集を開始する前に、選択したフレームワークの要件を確認することをお勧めします。次に、現在の AWS Config ルールパラメータに対してこれらの要件を検証します。ルールパラメータがフレームワークの要件と一致していることを確認するために、AWS Config　でルールを更新できます。

例えば、v1.2.0 CIS の評価を作成するとします。このフレームワークには 1.9 という名前のコントロールがあります。IAMパスワードポリシーで 14 以上の長さが必要です。では AWS Config、iam-password-policyルールにはパスワードの長さを確認するMinimumPasswordLengthパラメータがあります。このパラメータのデフォルト値は 14 文字です。その結果、このルールは統制要件と一致しています。デフォルトのパラメータ値を使用していない場合は、使用している値が v1.2CIS.0 の 14 文字の要件以上であることを確認してください。各マネージドルールのデフォルトパラメータの詳細は、AWS Config ドキュメントに記載されています。

ステップ 2: 範囲内 AWS アカウント で を指定する

評価の範囲 AWS アカウント に複数の を指定できます。Audit Manager は、 AWS Organizationsとの統合により複数のアカウントをサポートします。つまり、Audit Manager の評価は複数のアカウントで実行でき、収集された証拠は委任された管理者アカウントに統合されます。Audit Manager で組織を有効にするには、を有効にしてセットアップする AWS Organizations を参照してください。

注記

Audit Manager は、評価の範囲内で最大 200 のアカウントをサポートできます。200 を超えるアカウントを含めると、評価の作成が失敗する可能性があります。

スコープ AWS アカウント 内で を指定するには

1. でAWS アカウント、評価の範囲 AWS アカウント に含める を選択します。

   • Audit Manager で組織を有効にした場合は、複数のアカウントが表示されます。リストから 1 つ以上のアカウントを選択できます。または、アカウント名、ID、または E メールでアカウントを検索することもできます。

   • Audit Manager で Organizations を有効にしなかった場合 AWS アカウント は、現在の のみが表示されます。

2. [Next (次へ)] を選択します。

注記

範囲内のアカウントが組織から削除されると、Audit Manager は、それ以降、そのアカウントの証拠を収集しなくなります。ただし、アカウントは引き続き [AWS アカウント] タブの評価に表示されます。範囲内のアカウントのリストからアカウントを削除するには、評価を編集を実行します。削除されたアカウントは編集中にリストに表示されなくなります。また、そのアカウントが範囲に含まれていなくても変更を保存できます。

ステップ 3: 監査所有者を指定する

このステップでは、評価の監査所有者を指定します。監査所有者とは、通常GRC、、または DevOps チームの職場にいる個人で SecOps、Audit Manager の評価の管理を担当します。AWSAuditManagerAdministratorAccess ポリシーを使用することをお勧めします。

監査所有者を指定するには

1. [Audit owners] (監査所有者) で、現在の監査所有者のリストを確認します。監査所有者列には、ユーザーIDsとロールが表示されます。AWS アカウント 列には、その監査所有者 AWS アカウント の が表示されます。

2. チェックボックスがオンになっている監査所有者は、評価に含まれます。監査所有者が自らを評価から削除するには、チェックボックスをオフにします。検索バーを使用して名前または AWS アカウントで検索すると、追加の監査所有者を検索できます。

3. 完了したら、[Next（次へ）] を選択します。

ステップ 4: 確認して作成する

評価に関する情報を確認します。ステップに関する情報を変更するには、[Edit（編集）] を選択します。完了したら、[Create assessment（評価を作成）] を選択します。

このアクションにより、評価のための継続的な証拠の収集が開始されます。評価を作成した後、評価ステータスを [inactive（非アクティブ）] に変更するまで、証拠の収集が続行されます。または、コントロールステータスを非アクティブ に変更することで、特定のコントロールの証拠収集を停止することもできます。

注記

自動証拠は、評価が作成されてから 24 時間後に利用可能になります。Audit Manager は複数のデータ ソースから証拠を自動的に収集し、その証拠収集の頻度は証拠の種類に基づきます。詳細については、このガイドの「証拠収集の頻度」を参照してください。

次のステップ

後日評価を再確認するには、「」を参照してくださいでの評価の検索 AWS Audit Manager。評価を表示、編集、または引き続き操作できるように、これらのステップに従って評価を検索できます。

追加リソース

Audit Manager の問題を評価する解決策については、「」を参照してください評価と証拠収集の問題に関するトラブルシューティング。