评测报告问题排查 - Amazon Audit Manager
我的评测报告生成失败我按照上述核对清单操作,但我的评测报告仍然无法生成当我尝试生成报告时,出现拒绝访问的错误消息我无法解压评测报告我在报告中选择证据名称不会将我重定向到证据详情我的评测报告生成一直处于进行中状态,我不确定这会对我的账单产生什么影响另请参阅

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

评测报告问题排查

您可以使用此页面上的信息来解决 Audit Manager 中常见的评测报告问题。

我的评测报告生成失败

您的评测报告可能由于多种原因而无法生成。您可以通过检查最常见的原因进行问题排查。从以下核对清单入手:

  1. 检查您的任何 AWS 区域 信息是否不匹配:

    1. 您的客户托管密钥 AWS 区域 是否与您的评测 AWS 区域 相符?

      如果您为 Audit Manager 数据加密提供了自己的 KMS 密钥,则该密钥必须与您的评测 AWS 区域 相同。如需解决此问题,请将 KMS 密钥更改为与您的评测位于同一区域的密钥。有关如何更改 KMS 密钥的说明,请参阅 AWS Audit Manager 设置,数据加密

    2. 您的客户托管密钥 AWS 区域 与您的 S3 桶 AWS 区域 的密钥是否匹配?

      如果您为 Audit Manager 数据加密提供了自己的 KMS 密钥,则该密钥必须与您用作评测报告目的地的 S3 桶处于同一 AWS 区域。要解决此问题,您可以更改 KMS 密钥或 S3 桶,以便其与您的评测处于同一个区域。有关如何更改 KMS 密钥的说明,请参阅 AWS Audit Manager 设置,数据加密。有关如何更改 S3 存储桶的说明,请参阅 AWS Audit Manager设置,评测报告目标

  2. 检查您用作评测报告目的地的 S3 桶的权限:

    1. 生成评测报告的 IAM 实体是否拥有 S3 桶的必要权限?

      IAM 实体必须具有在该桶中发布报告所需的 S3 桶权限。我们提供了一个策略示例以供您使用。有关如何指定其他 S3 桶的说明,请参阅 AWS Audit Manager 设置,评测报告目的地

    2. S3 桶是否有要求使用 SSE-KMS 进行服务器端加密 (SSE) 的桶策略?

      如果是,则该桶策略中使用的 KMS 密钥必须与 Audit Manager 数据加密设置中指定的 KMS 密钥相匹配。如果您没有在 Audit Manager 设置中配置 KMS 密钥,并且您的 S3 桶策略需要 SSE,请确保桶策略允许 SSE-S3。有关如何更改 KMS 密钥的说明,请参阅 AWS Audit Manager 设置,数据加密。有关如何更改 S3 存储桶的说明,请参阅 AWS Audit Manager设置,评测报告目标

如果您仍然无法成功生成评测报告,请查看此页面上的以下问题。

我按照上述核对清单操作,但我的评测报告仍然无法生成

Audit Manager 限制了您可以向评测报告中添加的证据数量。该限制取决于您的评测 AWS 区域、用作评测报告目的地的 S3 桶的区域,以及您的评测是否使用客户托管 AWS KMS key。

  1. 同区域报告的上限为 22,000 (S3 桶和评测处于同一 AWS 区域)

  2. 跨区域报告的上限为 3,500 (S3 桶和评测处于不同 AWS 区域)

  3. 如果评测使用客户托管 KMS 密钥,则限制为 3,500

如果您尝试生成包含更多证据的报告,该操作可能会失败。

作为一种变通方法,您可以生成多份评测报告,而不是生成一份较大的评测报告。通过这样做,您可以将评测中的证据导出为大小更易于管理的批次。

当我尝试生成报告时,出现拒绝访问的错误消息

如果您的评测由委托管理员账户创建,且您 Audit Manager 设置中指定的 KMS 密钥不属于该账户,则会收到 access denied 错误消息。为避免此错误,在为 Audit Manager 指定委托管理员时,请确保委托的管理员账户有权访问您在设置 Audit Manager 时提供的 KMS 密钥。

如果您对用作评测报告目的地的 S3 桶没有写入权限,也可能会收到 access denied 错误消息。

如果您遇到 access denied 错误,确保您满足以下要求:

  • 您的 Audit Manager 设置中的 KMS 密钥向委托的管理员授予权限。您可以按照 AWS Key Management Service 开发人员指南允许其他账户中的用户使用 KMS 密钥中的说明进行配置。有关如何在 Audit Manager 中审核和更改加密设置的说明,请参阅数据加密

  • 您的权限策略授予您对用作评测报告目的地的 S3 桶的写入权限。具体而言,您的权限策略包含一项 s3:PutObject 操作,指定 S3 桶的 ARN,并包括用于加密评测报告的 KMS 密钥。有关您可以使用的策略示例,请参阅 AWS Audit Manager 基于身份的策略示例

注意

如果您更改了 Audit Manager 数据加密设置,则这些更改将应用于您今后创建的新评测。这包括您根据新评测创建的任何评测报告。

这些更改不适用于您在更改加密设置之前已创建的评测。除现有评测报告外,这还包括您根据现有评测创建的新评测报告。现有评测及其评测报告继续使用旧的 KMS 密钥。如果生成评测报告的 IAM 身份无权使用旧 KMS 密钥,您可以授予密钥政策级权限。

我无法解压评测报告

如果您无法在 Windows 上解压评测报告,很可能因为其文件路径有多个嵌套的文件夹或长名称导致 Windows 资源管理器无法解压该报告。这是因为,在 Windows 文件命名系统下,文件夹路径、文件名和文件扩展名不能超过 259 个字符。否则,这会导致 Destination Path Too Long 错误。

要解决此问题,请尝试将 zip 文件移动到其当前位置的父文件夹。然后,您可以再次尝试在其中进行提取。或者,您也可以尝试缩短 zip 文件的名称或将其提取到文件路径较短的其他位置。

如果您在浏览器中与评测报告进行交互,或者使用操作系统上安装的默认 PDF 阅读器,则可能会出现此问题。某些浏览器和系统默认的 PDF 阅读器不允许打开对应的链接。这意味着,尽管在评测报告摘要 PDF 中超链接可能有用(例如目录中的超链接控件名称),但当您尝试从评测摘要 PDF 导航到单独的证据详情 PDF 时,超链接将被忽略。

如果您遇到此问题,我们建议您使用专用 PDF 阅读器与评测报告进行交互。为了确保体验的可靠性,我们建议您安装和使用 Adobe Acrobat Reader,您可以在 Adobe 网站上下载该阅读器。其他 PDF 阅读器也可用,但事实证明,Adobe Acrobat Reader 可以持续可靠地处理 Audit Manager 评测报告。

我的评测报告生成一直处于进行中状态,我不确定这会对我的账单产生什么影响

评测报告的生成对计费没有影响。我们仅根据您评测收集的证据向您收费。有关定价的更多信息,请参阅 AWS Audit Manager 定价

另请参阅

以下页面包含有关通过证据查找器生成评测报告的问题排查指南: