Como configurar o destino padrão do relatório de avaliação

Quando você gera um relatório de avaliação, o Audit Manager publica o relatório no bucket do S3 de sua preferência. Esse bucket do S3 é chamado de assessment report destination. Você pode escolher o bucket do S3 no qual o Audit Manager armazenará seus relatórios de avaliação.

Pré-requisitos

Dicas de configuração para o destino do seu relatório de avaliação

Para garantir a geração bem-sucedida do seu relatório de avaliação, recomendamos que você use as seguintes configurações para o destino do relatório de avaliação.

Buckets de mesma Região

Recomendamos um bucket do S3 no mesmo Região da AWS da sua avaliação. Quando você usa um bucket e uma avaliação de mesma Região, seu relatório de avaliação pode incluir até 22.000 itens de evidência. Por outro lado, quando você usa um bucket e uma avaliação entre Regiões, somente 3.500 itens de evidência podem ser incluídos.

Região da AWS

A Região da AWS chave gerenciada pelo cliente (se você forneceu uma) deve corresponder à região de sua avaliação e ao bucket S3 de destino do relatório de avaliação. Para obter instruções sobre como alterar a chave do KMS, consulte Como definir suas configurações de criptografia de dados. Para ver a lista de Regiões Audit Manager suportadas, consulte AWS Audit Manager endpoints e cotas em Referência Geral Amazon Web Services.

criptografia do bucket do S3

Se o destino do seu relatório de avaliação tiver uma política de bucket que exija criptografia do lado do servidor (SSE) usando SSE-KMS, a chave KMS usada nessa política de bucket deverá corresponder a chave KMS definida nas configurações de criptografia de dados do Audit Manager. Se você não configurou uma chave KMS nas configurações do Audit Manager e sua política de bucket de destino do relatório de avaliação exige SSE, certifique-se de que a política de bucket permite SSE-S3. Para obter instruções sobre como configurar a chave KMS usada para criptografia de dados, consulte Como definir suas configurações de criptografia de dados.

Buckets do S3 entre contas

O uso de um bucket do S3 entre contas como destino do relatório de avaliação não é suportado no console do Audit Manager. É possível especificar um bucket entre contas como destino do relatório de avaliação usando o AWS CLI ou um dos AWS SDKs, mas, para simplificar, recomendamos que você não faça isso.

dica

Para otimizar a segurança e o desempenho, recomendamos usar um bucket do S3 na mesma AWS conta e região da sua avaliação.

Se você optar por usar um bucket do S3 entre contas como destino do relatório de avaliação, considere os seguintes pontos:

• Por padrão, os objetos do S3, como relatórios de avaliação, pertencem à pessoa que carrega o objeto. Conta da AWS Você pode usar a configuração Propriedade de Objeto S3 para alterar esse comportamento padrão, de maneira que todos os novos objetos gravados por contas com a lista de controle de acesso (ACL) padrão bucket-owner-full-control tornem-se automaticamente propriedade do proprietário do bucket.

  Embora não seja obrigatório, recomendamos que você faça as seguintes alterações nas configurações entre contas do bucket. Fazer essas alterações garante que o proprietário do bucket tenha controle total sobre os relatórios de avaliação publicados por você no bucket dele.

  • Configure a propriedade do objeto do bucket do S3 como preferencial do proprietário do bucket, em vez do gravador de objeto padrão

  • Adicione uma política de bucket para garantir que os objetos carregados para esse bucket tenham a ACL bucket-owner-full-control

• Para permitir que o Audit Manager publique relatórios em um bucket do S3 entre contas, você deve adicionar a seguinte política de bucket do S3 ao destino do relatório de avaliação: Substitua os placeholder text por suas próprias informações. O elemento Principal dessa política é o usuário ou a função que possui a avaliação e cria o relatório de avaliação. Resource Especifica o bucket do S3 entre contas onde o relatório é publicado.

  JSON

  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Sid": "Allow cross account assessment report publishing",
              "Effect": "Allow",
              "Principal": {
                  "AWS": "arn:aws:iam::111122223333:user/AssessmentOwnerUserName"
              },
              "Action": [
                  "s3:ListBucket",
                  "s3:PutObject",
                  "s3:GetObject",
                  "s3:GetBucketLocation",
                  "s3:PutObjectAcl",
                  "s3:DeleteObject"
              ],
              "Resource": [
                  "arn:aws:s3:::CROSS-ACCOUNT-BUCKET",
                  "arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*"
              ]
          }
      ]
  }
  

Procedimento

Você pode atualizar essa configuração usando o console do Audit Manager, o AWS Command Line Interface (AWS CLI) ou a API do Audit Manager.

Audit Manager console

Para atualizar o destino padrão do relatório de avaliação no console do Audit Manager

1. Na guia configurações Avaliação, vá para a seção Destino do relatório de avaliação

2. Para usar um bucket do S3 existente, selecione um nome de bucket no menu suspenso.

3. Para criar um novo bucket do S3, escolha Criar um novo bucket.

4. Quando terminar, escolha Salvar.

AWS CLI

Para atualizar o destino padrão do relatório de avaliação no AWS CLI

Execute o comando update-settings e use o parâmetro --default-assessment-reports-destination para especificar um bucket do S3.

No exemplo a seguir, placeholder text substitua o por suas próprias informações:

aws auditmanager update-settings --default-assessment-reports-destination destinationType=S3,destination=s3://amzn-s3-demo-destination-bucket

Audit Manager API

Para atualizar o destino padrão do relatório de avaliação usando a API

Chame a UpdateSettingsoperação e use o parâmetro defaultAssessmentReportsDestination para especificar um bucket do S3.

Recursos adicionais

• Como criar um bucket

• Relatórios de avaliação