기본 평가 보고서 대상 구성

평가 보고서를 생성할 때 Audit Manager는 보고서를 선택한 S3 버킷에 게시합니다. 이 S3 버킷을 a라고 assessment report destination 합니다. Audit Manager가 평가 보고서를 저장하는 S3 버킷을 선택할 수 있습니다.

사전 조건 

평가 보고서 목적지의 구성 팁

평가 보고서를 성공적으로 생성하려면 평가 보고서 대상에 다음 구성을 사용하는 것이 좋습니다.

동일 리전 버킷

AWS 리전 평가와 동일한 S3 버킷을 사용하는 것이 좋습니다. 동일 리전 버킷과 평가를 사용하는 경우 평가 보고서에는 최대 22,000개의 증거 항목이 포함될 수 있습니다. 반대로, 리전 간 버킷 및 평가를 사용하는 경우 3,500개의 근거 항목만 포함할 수 있습니다.

AWS 리전

고객 관리 키 (제공한 경우) 는 평가 지역 및 평가 보고서 대상 S3 버킷과 일치해야 합니다. AWS 리전 KMS 키를 변경하는 방법에 대한 지침은 을 참조하십시오데이터 암호화 설정 구성. 지원되는 Audit Manager 리전 목록은 Amazon Web Services 일반 참조의 AWS Audit Manager 엔드포인트 및 할당량을 참조하세요.

S3 버킷 암호화

평가 보고서 대상에 SSE-KMS를 사용한 서버 측 암호화(SSE)를 요구하는 버킷 정책이 있는 경우 해당 버킷 정책에 사용되는 KMS 키는 Audit Manager 데이터 암호화 설정에서 구성한 KMS 키와 일치해야 합니다. Audit Manager 설정에서 KMS 키를 구성하지 않았고 평가 보고서 대상 버킷 정책에 SSE가 필요한 경우, 버킷 정책에서 SSE-S3를 허용하는지 확인하세요. 데이터 암호화에 사용되는 KMS 키를 구성하는 방법에 대한 지침은 을 참조하십시오. 데이터 암호화 설정 구성

계정 간 S3 버킷

계정 간 S3 버킷을 평가 보고서 대상으로 사용하는 것은 Audit Manager 콘솔에서 지원되지 않습니다. AWS CLI 또는 AWS SDK 중 하나를 사용하여 교차 계정 버킷을 평가 보고서 대상으로 지정할 수 있지만, 단순화를 위해 이렇게 하지 않는 것이 좋습니다. 계정 간 S3 버킷을 평가 보고서 대상으로 사용하기로 선택한 경우 다음 사항을 고려하세요.

• 기본적으로 평가 보고서와 같은 S3 객체는 객체를 업로드한 사람이 소유합니다. AWS 계정 S3 객체 소유권 설정을 사용하여 미리 준비된 bucket-owner-full-control 액세스 제어 목록(ACL)을 포함하여 계정에서 작성한 새 객체를 버킷 소유자가 자동으로 소유하게 되도록 이 기본 동작을 변경할 수 있습니다.

  필수 사항은 아니지만 계정 간 버킷 설정을 다음과 같이 변경하는 것이 좋습니다. 이렇게 변경하면 버킷에 게시한 평가 보고서를 버킷 소유자가 완전히 제어할 수 있습니다.

  • S3 버킷의 객체 소유권을 기본 객체 작성자 대신 버킷 소유자 선호로 설정합니다.

  • 해당 버킷에 업로드된 객체에 bucket-owner-full-control ACL이 적용되도록 버킷 정책을 추가합니다.

• Audit Manager가 계정 간 S3 버킷에 보고서를 게시하도록 허용하려면 평가 보고서 대상에 다음 S3 버킷 정책을 추가해야 합니다. 각 자리 표시자 텍스트를 자신의 정보로 바꿉니다. 이 정책의 Principal 요소는 평가를 소유하고 평가 보고서를 생성하는 사용자 또는 역할입니다. Resource는 보고서가 게시되는 계정 간 S3 버킷을 지정합니다.

  {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow cross account assessment report publishing",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AssessmentOwnerAccountId:user/AssessmentOwnerUserName"
            },
            "Action": [
                "s3:ListBucket",
                "s3:PutObject",
                "s3:GetObject",
                "s3:GetBucketLocation",
                "s3:PutObjectAcl",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::CROSS-ACCOUNT-BUCKET",
                "arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*"
            ]
        }
    ]
  }

더보기간략히 보기

절차

감사 관리자 콘솔, AWS Command Line Interface (AWS CLI) 또는 감사 관리자 API를 사용하여 이 설정을 업데이트할 수 있습니다.

Audit Manager console

Audit Manager 콘솔에서 기본 평가 보고서 대상을 업데이트하려면

1. 평가 설정 탭에서 평가 보고서 목적지 섹션으로 이동합니다.

2. 기존 S3 버킷을 사용하려면 드롭다운 메뉴에서 버킷 이름을 선택합니다.

3. 새 S3 버킷을 생성하려면 새 버킷 생성을 선택합니다.

4. 완료되면 저장을 선택합니다.

AWS CLI

기본 평가 보고서 대상을 업데이트하려면 AWS CLI

update-settings 명령을 실행하고 --default-assessment-reports-destination 파라미터를 사용하여 S3 버킷을 지정합니다.

다음 예에서는 각 자리 표시자 텍스트를 자신의 정보로 바꿉니다.

aws auditmanager update-settings --default-assessment-reports-destination destinationType=S3,destination=s3://DOC-EXAMPLE-DESTINATION-BUCKET

Audit Manager API

API를 사용하여 기본 평가 보고서 대상을 업데이트하려면

UpdateSettings작업을 호출하고 defaultAssessmentReportsDestination 파라미터를 사용하여 S3 버킷을 지정합니다.

추가적인 리소스

• 버킷 생성

• 평가 보고서