Configurando o destino padrão do relatório de avaliação

Quando você gera um relatório de avaliação, o Audit Manager publica o relatório no bucket do S3 de sua preferência. Esse bucket do S3 é chamado deassessment report destination. Você pode escolher o bucket do S3 no qual o Audit Manager armazena seus relatórios de avaliação.

Pré-requisitos

Dicas de configuração para o destino do seu relatório de avaliação

Para garantir a geração bem-sucedida do seu relatório de avaliação, recomendamos que você use as seguintes configurações para o destino do relatório de avaliação.

Buckets de mesma Região

Recomendamos um bucket do S3 no mesmo Região da AWS da sua avaliação. Quando você usa um bucket e uma avaliação de mesma Região, seu relatório de avaliação pode incluir até 22.000 itens de evidência. Por outro lado, quando você usa um bucket e uma avaliação entre Regiões, somente 3.500 itens de evidência podem ser incluídos.

Região da AWS

A Região da AWS chave gerenciada pelo cliente (se você forneceu uma) deve corresponder à região de sua avaliação e ao bucket S3 de destino do relatório de avaliação. Para obter instruções sobre como alterar a KMS chave, consulteDefinindo suas configurações de criptografia de dados. Para ver a lista de Regiões Audit Manager suportadas, consulte AWS Audit Manager endpoints e cotas em Referência Geral Amazon Web Services.

criptografia do bucket do S3

Se o destino do seu relatório de avaliação tiver uma política de bucket que exija criptografia do lado do servidor (SSE) usando SSE- KMS, a KMS chave usada nessa política de bucket deverá corresponder à KMS chave que você configurou nas configurações de criptografia de dados do Audit Manager. Se você não configurou uma KMS chave nas configurações do Audit Manager e sua política de bucket de destino do relatório de avaliação exigeSSE, certifique-se de que a política de bucket permita SSE-S3. Para obter instruções sobre como configurar a KMS chave usada para criptografia de dados, consulteDefinindo suas configurações de criptografia de dados.

Buckets do S3 entre contas

O uso de um bucket do S3 entre contas como destino do relatório de avaliação não é suportado no console do Audit Manager. É possível especificar um bucket entre contas como destino do relatório de avaliação usando o AWS CLI ou um dos AWS SDKs, mas, para simplificar, recomendamos que você não faça isso. Se você optar por usar um bucket do S3 entre contas como destino do relatório de avaliação, considere os seguintes pontos:

• Por padrão, os objetos do S3, como relatórios de avaliação, pertencem à pessoa que carrega o objeto. Conta da AWS Você pode usar a configuração de propriedade de objetos do S3 para alterar esse comportamento padrão para que todos os novos objetos gravados por contas com a lista de controle de acesso bucket-owner-full-control predefinida (ACL) se tornem automaticamente de propriedade do proprietário do bucket.

  Embora não seja obrigatório, recomendamos que você faça as seguintes alterações nas configurações entre contas do bucket. Fazer essas alterações garante que o proprietário do bucket tenha controle total sobre os relatórios de avaliação publicados por você no bucket dele.

  • Configure a propriedade do objeto do bucket do S3 como preferencial do proprietário do bucket, em vez do gravador de objeto padrão

  • Adicione uma política de bucket para garantir que os objetos enviados para esse bucket tenham a bucket-owner-full-control ACL

• Para permitir que o Audit Manager publique relatórios em um bucket do S3 entre contas, você deve adicionar a seguinte política de bucket do S3 ao destino do relatório de avaliação: Substitua o placeholder text com suas próprias informações. O elemento Principal dessa política é o usuário ou a função que possui a avaliação e cria o relatório de avaliação. Resource Especifica o bucket do S3 entre contas onde o relatório é publicado.

  {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow cross account assessment report publishing",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AssessmentOwnerAccountId:user/AssessmentOwnerUserName"
            },
            "Action": [
                "s3:ListBucket",
                "s3:PutObject",
                "s3:GetObject",
                "s3:GetBucketLocation",
                "s3:PutObjectAcl",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::CROSS-ACCOUNT-BUCKET",
                "arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*"
            ]
        }
    ]
  }

Mostrar maisMostrar menos

Procedimento

Você pode atualizar essa configuração usando o console do Audit Manager, o AWS Command Line Interface (AWS CLI) ou o Audit ManagerAPI.

Audit Manager console

Para atualizar o destino padrão do relatório de avaliação no console do Audit Manager

1. Na guia configurações Avaliação, vá para a seção Destino do relatório de avaliação

2. Para usar um bucket S3 existente, selecione um nome de bucket no menu suspenso.

3. Para criar um novo bucket do S3, escolha Create new bucket.

4. Quando terminar, escolha Salvar.

AWS CLI

Para atualizar o destino do relatório de avaliação padrão no AWS CLI

Execute o comando update-settings e use o parâmetro --default-assessment-reports-destination para especificar um bucket do S3.

No exemplo a seguir, substitua o placeholder text com suas próprias informações:

aws auditmanager update-settings --default-assessment-reports-destination destinationType=S3,destination=s3://DOC-EXAMPLE-DESTINATION-BUCKET

Audit Manager API

Para atualizar o destino do relatório de avaliação padrão usando o API

Chame a UpdateSettingsoperação e use o parâmetro defaultAssessmentReportsDestination para especificar um bucket do S3.

Recursos adicionais

• Criação de um bucket

• Relatórios de avaliação