AWS Audit Manager não está mais aberto a novos clientes. Os clientes atuais podem continuar usando o serviço normalmente. Para obter mais informações, consulte Mudança de disponibilidade do AWS Audit Manager.
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS Audit Manager mudança de disponibilidade
AWS Audit Manager é um serviço que permite que você visualize e emita relatórios sobre a postura de conformidade de seus AWS recursos com estruturas de controle como SOC2 PCI DSS e HIPAA. O Audit Manager está migrando para o modo de manutenção e, a partir de 30 de abril de 2026, os clientes não poderão mais configurar o serviço em novas contas. Os clientes existentes que configuraram o Audit Manager para uma única conta em uma região podem continuar usando o serviço dessa conta dentro dessa região, incluindo a criação de novas avaliações; mas não poderão configurar o Audit Manager para regiões adicionais ou novas contas. Os clientes que configuraram o Audit Manager na conta de gerenciamento de uma organização poderão adicionar contas dessa organização às avaliações, mas não poderão estender o uso para regiões adicionais nem configurar o Audit Manager para novas organizações.
Enquanto estiver no modo de manutenção, a equipe de serviço continuará prestando suporte ao serviço. Isso inclui correções de código e manutenção dos mapeamentos da fonte de dados para as estruturas atualmente suportadas. No entanto, a equipe de serviço não criará novos recursos, nem adicionará suporte a novas estruturas ou novas versões de estruturas existentes, nem adicionará suporte a novas regiões.
Os clientes que buscam soluções de gerenciamento de conformidade são incentivados a explorar os Pacotes de Conformidade em. AWS Config Os pacotes de conformidade fornecem um meio de implantar e monitorar controles de detetive, na forma de Config Rules, em várias contas e regiões. Eles oferecem modelos pré-criados para estruturas comuns (como HIPAA, NIST, PCI-DSS) e permitem a criação de regras personalizadas. Os pacotes de conformidade podem ser gerenciados no nível de uma única conta ou em todas as contas de membros de uma organização em. AWS Organizations
Depois de implantar um Pacote de Conformidade, você pode visualizar o status de conformidade de seus recursos no painel associado. Como alternativa, você pode usar o Config Resource Compliance Dashboard para visualizar um inventário de seus AWS recursos, junto com o status de conformidade, em várias AWS contas e regiões.
Limitações dos pacotes de conformidade para clientes do Audit Manager
AWS Config atualmente não oferece modelos de pacotes de conformidade para todas as estruturas suportadas pelo Audit Manager, incluindo SOC2 o GDPR. A tabela abaixo fornece um mapeamento, destacando onde existem lacunas atualmente. Para obter atualizações sobre os modelos de pacotes de conformidade disponíveis, consulte a documentação do produto.
AWS Config não fornece um recurso de relatório de auditoria que seja diretamente equivalente à exportação do Audit Manager. No entanto, os clientes podem exportar evidências para apoiar os Status de Conformidade AWS Config usando um ou mais dos mecanismos descritos na seção abaixo.
Nos painéis do Conformance Pack, os clientes podem visualizar o status de conformidade de cada uma das Config Rules associadas. Os clientes podem detalhar uma regra e visualizar o status de cada recurso individual e as evidências, na forma do Item de Configuração desse recurso.
AWS Config registra somente itens de configuração (CIs) como evidência de conformidade. Ao contrário do Audit Manager, ele não coleta AWS CloudTrail registros, AWS Security Hub controles nem faz chamadas de API para os serviços de destino. As evidências coletadas por AWS Config são menos exaustivas, mas mais fáceis de navegar. Todas as evidências coletadas por AWS Config são mapeadas para o status de conformidade de um AWS recurso, por meio de uma regra de configuração. Consequentemente, ao contrário do Audit Manager, AWS Config não apresenta evidências “inconclusivas”.
AWS Audit Manager Estruturas de mapeamento para pacotes de AWS Config conformidade
| Framework AWS Audit Manager | AWS Config Modelo de pacote de conformidade |
|---|---|
| ACSC Essential Eight | Práticas recomendadas operacionais para o ACSC Essential 8 |
| ACSC ISM 02 de março de 2023 | Melhores práticas operacionais para o ACSC ISM - Parte 1; Melhores práticas operacionais para o ACSC ISM - Parte 2 |
| Exemplo de estrutura do Audit Manager | -- Não equivalente -- |
| AWS Control Tower Guardrails | AWS Control Tower Pacote de conformidade Detective Guardrails |
| AWS Estrutura de melhores práticas de IA generativa v2 | Práticas recomendadas operacionais para IA e ML |
| AWS License Manager | -- Não equivalente -- |
| AWS Melhores práticas básicas de segurança | Melhores práticas operacionais para o pilar de segurança do AWS Well-Architected Framework, além de pacotes de melhores práticas de segurança para vários serviços individuais |
| AWS Melhores práticas operacionais | -- Não equivalente -- |
| AWS Well-Architected Framework WAF v10 | Melhores práticas operacionais para o pilar de confiabilidade do AWS Well-Architected Framework; Melhores práticas operacionais para o pilar de segurança do Well-Architected Framework AWS |
| Controle de Nuvem Médio do CCCS | Melhores práticas operacionais para o meio CCCS |
| Referência CIS v1.2.0 AWS | -- Não equivalente -- |
| Referência CIS v1.3.0 AWS | -- Não equivalente -- |
| Referência CIS v1.4.0 AWS | Melhores práticas operacionais para o CIS-AWS-V1.4 de nível 1; -CIS-AWS-V1.4 de nível 2 Operational-Best-Practices-for |
| Controles CIS v7.1, IG1 | -- Não equivalente -- |
| Controles de segurança críticos do CIS versão 8.0, IG1 | Melhores práticas operacionais para controles críticos de segurança CIS-V8- IG1 |
| Controles básicos de segurança do FedRAMP r4 | Melhores práticas operacionais para FedRAMP (Baixa); -FedRAMP (Moderada); Operational-Best-Practices-for -FedRAMP (Alta Parte 1); -FedRAMP (Alta Parte 2) Operational-Best-Practices-for Operational-Best-Practices-for |
| RGPD 2016 | -- Não equivalente -- |
| Gramm-Leach-Bliley Agir | Melhores práticas operacionais para o Gramm-Leach-Bliley-Act |
| Título 21 CFR Parte 11 | Melhores práticas operacionais para o FDA-21CFR-Part-11 |
| Anexo 11, v1 do GMP da UE | Melhores práticas operacionais para o Anexo 11 da GXP da UE |
| Regra de segurança HIPAA: fevereiro de 2003 | Melhores práticas operacionais para a segurança da HIPAA |
| Regra final do HIPAA Omnibus | Melhores práticas operacionais para a segurança da HIPAA |
| ISO/IEC 27001:2013 Anexo A | -- Não equivalente -- |
| NIST SP 800-53 Rev 5 | Melhores práticas operacionais para o NIST-800-53-rev-5 |
| NIST Cybersecurity Framework v1.1 | Melhores práticas operacionais para o NIST-CSF |
| NIST SP 800-171 Rev 2 | Melhores práticas operacionais para o NIST-800-171 |
| PCI DSS V3.2.1 | Operational Best Practices for PCI DSS 3.2.1 |
| PCI DSS V4.0 | Melhores práticas operacionais para PCI-DSS-V4.0 |
| SAE-18 SOC 2 | -- Não equivalente -- |
Exportando evidências de AWS Config
- AWS Config Consulta avançada (recomendada para exportar itens de configuração de recursos individuais como evidência)
-
Você pode usar consultas SQL no AWS Config console para selecionar recursos específicos e exportar sua configuração atual no formato CSV ou JSON.
-
Como: Vá até AWS Config > Consultas avançadas.
-
Exemplo de consulta:
SELECT resourceId, resourceType, configuration, tags, compliance WHERE resourceType = 'AWS::EC2::Instance' AND resourceId = 'i-xxxxxxxxx' -
Exportar: escolha “Executar” e depois “Exportar resultados” para CSV.
-
Ideal para: relatórios selecionados sobre um subconjunto de recursos.
-
- GetResourceConfigHistory API (recomendada para o histórico completo)
-
Se os auditores precisarem ver o estado de conformidade de um recurso em um período específico (não apenas o estado atual), use a CLI/API.
-
Como: Use o
get-resource-config-historycomando no AWS CLI. -
Exemplo de comando:
aws configservice get-resource-config-history \ --resource-typeAWS::EC2::Instance\ --resource-idi-xxxxxxxxx\ --regionus-east-1 -
Saída: retorna um objeto JSON detalhado das alterações de configuração, incluindo o status de conformidade no momento de cada alteração.
-
- Amazon Athena e Amazon Quick (recomendados para consultas filtradas em vários recursos)
-
Os clientes podem usar o Amazon Athena para criar e executar consultas baseadas em SQL com base em dados de configuração de recursos registrados por. AWS Config Os clientes também podem importar os dados para o Amazon Quick para criar análises e painéis. Para obter mais informações, consulte Visualização de AWS Config dados usando o Amazon Athena e o Amazon
Quick.
Comparando soluções de conformidade
| Recurso | AWS Audit Manager | AWS Config — Pacotes de conformidade |
|---|---|---|
| Controles gerenciados | Fornece 35 estruturas gerenciadas, incluindo estruturas regulatórias e setoriais SOC2, como PCI DSS e HIPAA, e estruturas de melhores práticas. AWS | Fornece mais de 100 modelos predefinidos de pacotes de conformidade, incluindo pacotes normativos e setoriais, como PCI DSS e HIPAA, e pacotes de melhores práticas operacionais. AWS |
| Personalização | Crie controles personalizados e estruturas personalizadas. | Crie regras personalizadas e modelos autodefinidos. |
| Configurar | Crie avaliações com base em uma estrutura. | Implante um Pacote de Conformidade. |
| Coleção de evidências | Coleta evidências de quatro fontes de dados: (1) chamadas de API de serviço, (2) AWS Security Hub controles, (3) AWS CloudTrail eventos, (4) Config Rules. Os clientes devem primeiro implantar regras usando AWS Config ou AWS Control Tower. | Registra evidências como itens de configuração que dão suporte às avaliações do Config Rule. |
| Painéis de conformidade | Os painéis de avaliação fornecem uma visão geral e uma visualização diárias dos controles com evidências de não conformidade. | Os painéis do Conformance Pack fornecem pontuação geral de conformidade, cronograma de conformidade e visualização por regra. Faça uma análise detalhada para ver a postura de conformidade por recurso e evidência de apoio, na forma de itens de configuração. |
| Remediação de recursos não compatíveis | Sem compatibilidade. | Os clientes podem definir e iniciar planos de remediação. |
| Formatos de evidência | Resultados da avaliação do Config Rule; resultados de chamadas de API individuais, por exemplo, iam.getPolicy; descobertas. AWS Security Hub | Resultados da avaliação da regra de configuração; Itens de configuração. |
| Relatórios de auditoria | As evidências podem ser selecionadas para inclusão em um relatório de auditoria, que pode ser exportado em formato PDF. Além disso, suporta exportações em formato CSV da ferramenta de busca de evidências. | Itens de configuração individuais podem ser exportados por meio da ferramenta Config Advance Query. Os clientes podem criar scripts de CLI para exportar evidências por meio do serviço. APIs |
Desativando AWS Audit Manager
A desativação do Audit Manager interrompe a coleta de novas evidências, mas não exclui suas evidências existentes, a menos que você selecione explicitamente essa opção. As evidências serão retidas por dois anos a partir da data de sua coleta. Como cliente existente, você pode reativar o serviço para obter acesso às evidências e reiniciar a coleta de evidências.
Os clientes podem desativar o Audit Manager da conta, por meio da guia de configurações no console ou na CLI.
Os clientes que implantaram o Audit Manager para uma organização devem desativar o serviço da conta de gerenciamento da organização. Por padrão, a conta de administrador delegado não tem as permissões necessárias para desativar o Audit Manager for the Organization.
Recursos adicionais do
-
AWS Config — Documentação dos pacotes de conformidade
-
AWS Audit Manager — Documentação do Evidence Finder
Perguntas frequentes
- O AWS Audit Manager serviço está sendo encerrado?
-
Não. O Audit Manager Service está sendo movido para o modo de manutenção. Os clientes atuais podem continuar usando o serviço normalmente.
- Por que está AWS mudando o Audit Manager para o modo de manutenção?
-
Podemos oferecer uma experiência melhor e mais integrada ao cliente investindo no Gerenciamento AWS Config de Conformidade.
- Posso usar o Gerenciamento AWS Config de Conformidade hoje?
-
Sim. Os pacotes de conformidade AWS Config podem ser usados como uma ferramenta para gerenciar a conformidade de AWS recursos com estruturas como PCI DSS, FedRAMP e HIPAA. Os pacotes de conformidade permitem que os clientes implantem coletivamente controles de detetive para diferentes estruturas e forneçam um painel que mostra a conformidade no nível dos recursos.
- Quais são os benefícios de migrar AWS Config para uso no gerenciamento de conformidade?
-
Para clientes que buscam uma solução para monitorar a conformidade dos AWS recursos com estruturas como o PCI DSS, os pacotes de conformidade internos AWS Config fornecem uma solução mais completa e acionável. Os clientes podem (1) implantar controles de detetive para uma conta individual ou para uma organização inteira, (2) acessar um painel que exibe uma pontuação de conformidade, (3) detalhar e visualizar o status de conformidade de recursos individuais, (4) acessar um cronograma de um recurso mostrando como a postura de conformidade mudou ao longo do tempo, (4) obter evidências, na forma de itens de configuração, que comprovem o status de conformidade de um recurso para um controle.
- Os pacotes de conformidade substituem AWS Config diretamente as estruturas no Audit Manager?
-
Não. Os pacotes de conformidade são uma ferramenta poderosa que os clientes podem usar para gerenciar a postura de conformidade de seus recursos. AWS No entanto, os pacotes de conformidade não são equivalentes aos Audit Manager Frameworks. Os modelos do Conformance Pack fornecidos para estruturas como o PCI DSS contêm somente os controles básicos técnicos que podem ser avaliados como Config Rules. Um modelo de pacote de conformidade não contém o conjunto completo de controles de auditoria que uma organização deve cumprir para passar por uma auditoria do PCI DSS; não há uma regra de configuração que verifique se a organização documentou suas políticas de segurança e procedimentos operacionais. Embora os painéis do Compliance Pack forneçam um sinal claro da postura de conformidade de seus AWS recursos avaliados pelo Config Rules, AWS Config não oferecem uma solução geral de gerenciamento de conformidade para capturar, organizar e compartilhar evidências do conjunto completo de controles exigidos por estruturas como o PCI DSS. Em vez disso, os clientes que buscam uma solução para esse problema são incentivados a considerar soluções de parceiros, como as da Vanta e da Drata, que podem ser usadas em conjunto AWS Config para fornecer uma solução de automação de end-to-end conformidade.
- Existem pacotes de conformidade para todas as estruturas suportadas pelo Audit Manager?
-
Não, atualmente existem várias estruturas no Audit Manager para as quais não há um Pacote de Conformidade correspondente. AWS Config A tabela acima fornece um mapeamento das estruturas do Audit Manager para os Config Conformance Packs. As lacunas mais notáveis são SOC2 e o GDPR. Monitore os anúncios AWS Config “O que há de novo” para obter atualizações sobre os novos lançamentos do Conformance Pack. Além dos modelos predefinidos de pacotes de conformidade fornecidos pela AWS, os clientes podem definir seus próprios modelos de pacotes de conformidade que se agrupam com o Config Rules e permitem que os clientes definam ações de remediação para recursos não compatíveis.
- Os clientes podem exportar evidências para os auditores AWS Config usarem?
-
AWS Config fornece algumas ferramentas para exportar evidências de conformidade de recursos. Consulte a página de alteração de disponibilidade para obter orientação sobre o uso dessas ferramentas.
- Como cliente existente, posso continuar usando o Audit Manager normalmente?
-
Sim. Como cliente existente, você pode continuar usando o Audit Manager normalmente, incluindo a criação e manutenção de avaliações, a revisão de evidências e a geração de relatórios de auditoria. Os clientes que implantaram o Audit Manager em toda a organização podem estender as avaliações para incluir novas contas da organização.
- Como cliente existente com a implantação de uma única conta, posso implantar o Audit Manager para minha organização?
-
Não. A partir de 30 de abril de 2026, os clientes com implantações de conta única não poderão implantar o Audit Manager em uma organização.
- Como faço para verificar se o Audit Manager está configurado em uma conta?
-
Para implantações de conta única, os clientes podem fazer login na conta e navegar no console até o serviço Audit Manager para ver se o Audit Manager está configurado nessa conta. Para Organizations, os clientes devem fazer isso de dentro da Conta de Gerenciamento.
- Como faço para desativar o Audit Manager?
-
Os clientes podem desativar o Audit Manager da conta, por meio da guia de configurações no console ou na CLI. Os clientes que implantaram o Audit Manager para uma organização devem desativar o serviço da conta de gerenciamento da organização; por padrão, a conta de administrador delegada do Audit Manager não tem as permissões necessárias. A desativação do Audit Manager interrompe a coleta de novas evidências, mas não exclui suas evidências existentes, a menos que você selecione explicitamente essa opção. As evidências serão retidas por dois anos a partir da data de sua coleta. Como cliente existente, você pode reativar o serviço para obter acesso às evidências e reiniciar a coleta de evidências.
- Como posso continuar acessando as evidências depois de desativar o Audit Manager?
-
A maneira mais fácil de continuar acessando as evidências coletadas pelo Audit Manager é primeiro ativar o Evidence Finder, antes de desativar o serviço. Quando você ativa o Evidence Finder, o Audit Manager exporta evidências para um CloudTrail data lake, que você poderá continuar acessando depois de desativar o Audit Manager.
- Como posso usar AWS Control Tower para gerenciamento de conformidade?
-
AWS Control Tower fornece um catálogo de controles preventivos, proativos e de detecção (implementados como Config Rules) que são codificados por estrutura. Ele permite que você implante todos os controles relevantes para essas estruturas em uma ou mais pessoas OUs da sua organização. Com a nova experiência somente de controles, não é mais um pré-requisito que a organização tenha sido criada como uma zona de pouso. Os benefícios do AWS Control Tower são que ele fornece uma visão em nível de UO dos recursos não compatíveis. AWS Control Tower não usa Pacotes de Conformidade para implantar o Config Rules e, portanto, você não verá o Pacote de Conformidade a menos que também implante o Pacote de Conformidade. Também não oferece suporte a fluxos de trabalho de remediação.
- Como posso usar AWS Security Hub CSPM para gerenciamento de conformidade?
-
Para aquelas estruturas que são mapeadas de acordo com um padrão de segurança, AWS Security Hub CSPM fornece uma alternativa AWS Config para gerenciamento de conformidade e remediação em uma única conta. Habilitar o padrão de dentro do console CSPM do Security Hub implanta um conjunto de regras vinculadas a serviços para a estrutura associada. Os clientes podem visualizar um painel de conformidade que mostra a pontuação geral de conformidade e o status de cada controle, com a opção de detalhar o nível dos recursos individuais. O Security Hub CSPM permite que os clientes baixem a descoberta da regra em formato json e adiciona uma classificação de severidade ao controle que ajuda os clientes a priorizar os planos de remediação. Com a configuração central, você pode configurar o CSPM do Security Hub em várias regiões, contas e unidades organizacionais ()OUs. No entanto, o Security Hub CSPM fornece padrões de segurança apenas para um número limitado de estruturas, incluindo NIST 800-53 e PCI-DSS.
