理解 AWS Audit Manager 概念和术语

评测

您可以使用 Audit Manager 评测功能，自动收集与审计相关的证据。

此评测基于一个框架，该框架是一组与您的审计相关的控件。您可以通过标准框架或自定义框架创建评测。标准框架包含支持特定合规标准或法规的预先构建控件。相比之下，自定义框架包含控件，您可以根据自己的特定审计要求对这些控件进行自定义和分组。使用框架作为起点，您可以创建评估，指定要包含在审计范围内的内容。 AWS 账户

创建评估时，Audit Manager 会自动开始 AWS 账户根据框架中定义的控制来评估您的资源。接下来，它会收集相关证据，并将其转换为便于审计师使用的格式。完成此操作后，它会将证据附加至您的评测控件。当需要进行审计时，您（或您选择的委托人）可以查看收集的证据，然后将其添加至评测报告。此评测报告可帮助您证明您的控件是否按预期运行。

证据收集是一个持续的过程，从您创建评测时开始。您可以通过将评测状态更改为非活动，以停止证据收集。或者，您可在控制层停止证据收集。为此，您可以将评测中特定控件的状态更改为非活动。

有关如何创建和管理评测的说明，请参阅在中管理评估 AWS Audit Manager。

评测报告

评测报告是通过 Audit Manager 评测生成的最终文档。这些报告汇总了为审计所收集的相关证据。它们链接至相关的证据文件夹。这些文件夹是根据评测中指定的控件命名和组织的。对于每项评测，您可以查看 Audit Manager 收集的证据，并决定要在评测报告中包含的证据。

要了解有关评测报告的更多信息，请参阅评测报告。若要了解如何生成评测报告，请参阅在中准备评估报告 AWS Audit Manager。

评测报告目标

评测报告目标是 Audit Manager 保存评测报告的默认 S3 桶。要了解更多信息，请参阅配置您的默认评估报告目的地。

审核

审计是指对贵组织的资产、运营或业务诚信的独立审核。信息技术 (IT) 审计专门检查贵组织信息系统内部的控件。IT 审计旨在确定信息系统是否能保护资产、有效运行和维护数据完整性。所有这些对于满足合规标准或法律规定的监管要求很重要。

审计负责人

根据上下文，审计负责人一词有两种不同的含义。

在 Audit Manager 环境中，审计负责人是管理评测及其相关资源的用户或角色。Audit Manager 角色的职责包括创建评测、审核证据和生成评测报告。Audit Manager 是一项协作服务，当其他利益相关者参与评测，审计负责人将从中受益。例如，您可以将其他审计负责人添加至评测中以共享管理任务。或者，如果您是审计负责人，并且需要帮助解读为控件收集的证据，则可以将控件委托至在此领域有专长的利益相关者。这样的人被称为委托人角色。

从业务角度来看，审计负责人负责协调和监督其公司的审计准备工作，并向审计师提供证据。通常是指治理、风险和合规 (GRC) 专业人员，例如合规官或 GDPR 数据保护专员。GRC 专业人员拥有管理审计准备工作的专长和权力。更具体地说，他们了解合规性要求，可以分析、解释和编制报告数据。但是，其他业务角色也可以客串 Audit Manager 的审计负责人角色，不仅是负责此角色的 GRC 专业人员。例如，您可以选择由来自以下团队的技术专家设置和管理 Audit Manager 评测：

SecOps
IT/ DevOps
安全运营中心/事件响应
拥有、开发、修复和部署云资产、并了解贵组织云基础架构的类似团队

您在 Audit Manager 评测中选择的指定审计负责人，在很大程度上取决于您的组织。这还取决于您的安全运营架构及审计的具体细节。在 Audit Manager 中，同一个人可以在一项评测中客串审计负责人角色，在另一项评测中客串委托人角色。

无论您选择如何使用 Audit Manager，您都可以使用审计负责人/委托人角色、并向每个用户授予特定的 IAM 策略，以管理整个组织的职责分工。通过这种两步方法，Audit Manager 可确保您完全控制个人评测的所有细节。有关更多信息，请参阅中针对用户角色的推荐策略 AWS Audit Manager。

AWS 托管来源

AWS 托管来源是为您 AWS 维护的证据来源。

每个 AWS 托管源都是一组预定义的数据源，这些数据源映射到特定的通用控件或核心控件。当你使用通用对照作为证据来源时，你会自动收集支持该通用控制的所有核心控制的证据。您也可以使用单个核心控制作为证据来源。

每当更新 AWS 托管源时，相同的更新都会自动应用于使用该 AWS 托管源的所有自定义控件。这意味着您的自定义控制措施会根据该证据来源的最新定义收集证据。这可以帮助您确保在云合规性环境变化时持续合规。

另请参阅：customer managed source、evidence source。

更改日志

对于评估中的每个控件，Audit Manager 都会跟踪该控件的用户活动。然后，您可以审核与特定控件相关活动的审计跟踪记录。有关变更日志中捕获了哪些用户活动的更多信息，请参阅更改日志选项卡。

云合规性

云合规性是一般性原则，即云交付的系统必须符合云客户所面临的标准。

常用控制

请参阅 control。

合规法规

合规法规是由机构规定的法律、规则或者其他命令，通常用于规范行为。示例为 GDPR。

合规性标准

合规性标准是一套结构化的指导方针，详细说明了该组织遵守既定法规、规范或立法的流程。示例包括 PCI DSS 和 HIPAA。

控件

控件是为信息系统或组织规定的保障措施或对策。控制措施旨在保护您的信息的机密性、完整性和可用性，并满足一系列已定义的要求。它们可以确保您的资源按预期运行，您的数据可靠，并且您的组织符合适用的法律和法规。

在 Audit Manager 中，控件也可以提出供应商风险评测问卷。在这种情况下，控件一个特定的问题，它询问有关组织安全与合规状况的信息。

当您的 Audit Manager 评测中处于活动状态时，控件会持续收集证据。您还可以手动将证据添加到任何控件中。每份证据都是一份记录，可帮助您证明遵守了控制的要求。

Audit Manager 提供以下类型的控制：

控制类型	描述
常用控制	您可以将常用控制视为一种可以帮助您实现控制目标的操作。由于通用控制措施并不针对任何合规标准，因此它们可以帮助您收集证据，以支持一系列重叠的合规义务。例如，假设有一个名为 “数据分类和处理” 的控制目标。为了实现这一目标，您可以实施一种名为访问控制的常用控制来监控和检测对您的资源的未经授权的访问。自动通用控制为您收集证据。它们由一组或多个相关的核心控件组成。反过来，这些核心控制措施中的每一个都会自动从一组预定义 AWS 的数据源中收集相关证据。 AWS 为您管理这些基础数据源，并在法规和标准发生变化以及发现新的数据源时对其进行更新。手动常用控制要求您上传自己的证据。这是因为它们通常需要提供物理记录或有关在您的 AWS 环境之外发生的事件的详细信息。因此，通常没有 AWS 数据源可以提供支持手动通用控制要求的证据。您无法编辑常用控件。但是，在创建自定义控件时，您可以使用任何常用控件作为证据来源。
核心控制	这是针对您的 AWS 环境的规范性指南。您可以将核心控件视为一种可以帮助您满足通用控件要求的操作。例如，假设您使用名为访问控制的常用控件来监控对资源的未经授权的访问。为了支持这种常用控件，您可以使用名为 “在 S3 存储桶中阻止公共读取权限” 的核心控件。由于核心控制措施不是针对任何合规标准的，因此它们收集的证据可以支持一系列重叠的合规义务。每个核心控制使用一个或多个数据源来收集有关特定数据的证据 AWS 服务。 AWS 为您管理这些基础数据源，并在法规和标准发生变化以及发现新的数据源时对其进行更新。您无法编辑核心控件。但是，在创建自定义控件时，您可以使用任何核心控件作为证据来源。
标准控制	这是 Audit Manager 提供的预建控件。您可以使用标准控制来协助您为特定合规性标准做好审计准备。每个标准控制都与 Audit Manager framework 中的特定标准相关，并收集可用于证明符合该框架的证据。标准控制措施从 AWS 管理的基础数据源收集证据。每当法规和标准发生变化以及发现新的数据源时，这些数据源都会自动更新。您无法编辑标准控件。但是，您可以制作任何标准控件的可编辑副本。
自定义控件	这是您在 Audit Manager 中创建的控件，用于满足您的特定合规性要求。您可以从头开始创建自定义控件，也可以制作现有标准控件的可编辑副本。创建自定义控件时，您可以定义特定的控件来确定 evidence source Audit Manager 从哪里收集证据。创建自定义控件后，您可以编辑该控件或将其添加到自定义框架中。您也可以制作任何自定义控件的可编辑副本。

控制域

您可以将控制域视为一类不属于任何合规性标准的控件。控制域的一个例子是数据保护。

出于简单的组织目的，控件通常按域分组。每个领域都有多个目标。

控件域分组是 Audit Manager 控制面板最强大的功能之一。Audit Manager 会突出显示评测中存在不合规证据的控件，并按控件域对它们进行分组。这使您能够在准备审计时将补救工作重点放在特定主题域。

控制目标

控制目标描述了其下方的常用控件的目标。每个目标可以有多个常用控件。如果这些常用控制措施成功实施，它们将帮助您实现目标。

每个控制目标都属于一个控制域。例如，数据保护控制域可能有一个名为 “数据分类和处理” 的控制目标。为了支持这一控制目标，您可以使用一种名为访问控制的常用控件来监控和检测对您的资源的未经授权的访问。

核心控制

请参阅 control。

自定义控件

请参阅 control。

客户管理的来源

客户管理的来源是您定义的证据来源。

在 Audit Manager 中创建自定义控件时，可以使用此选项创建自己的单个数据源。这使您可以灵活地从特定于业务的资源（例如自定义 AWS Config 规则）收集自动证据。如果要向自定义控件中添加手动证据，也可以使用此选项。

当您使用客户管理的来源时，您负责维护自己创建的所有数据源。

另请参阅：AWS managed source、evidence source。

数据来源

Audit Manager 使用数据源收集控制证据。数据源具有以下属性：

数据源类型定义 Audit Manager 从哪种类型的数据源收集证据。
- 对于自动证据，类型可以是AWS Security Hub、AWS Config AWS CloudTrail、或 AWS API 调用。
- 如果您上传自己的证据，则类型为 “手动”。
- Audit Manager API 将数据源类型称为源类型。
数据源映射是一个关键字，用于查明从何处收集给定数据源类型的证据。
- 例如，这可能是 CloudTrail 事件的名称或 AWS Config 规则的名称。
- Au dit Manager API 将数据源映射称为 Source Keyword。
数据源名称用于标记数据源类型和映射的配对。
- 对于标准控件，Audit Manager 提供了默认名称。
- 对于自定义控件，您可以提供自己的名称。
- Audit Manager API 将数据来源命名为sourceName。

单个控件可包含多种数据来源类型和多个映射。例如，一个控件可能会从混合数据源类型（例如 AWS Config 和 Security Hub）中收集证据。另一个控件可能 AWS Config 将多个规则作为其唯一的数据源类型，映射为多个 AWS Config 规则。

下表列出了自动数据来源类型，并显示了一些相应映射的示例。

数据来源类型	描述	映射示例
AWS Security Hub	使用此数据来源类型捕获资源安全状况的快照。 Audit Manager 使用 Security Hub 控件的名称作为映射关键字，并直接通过 Security Hub 报告该安全检查结果。	`EC2.1`
AWS Config	使用此数据来源类型捕获资源安全状况的快照。 Audit Manager 使用 AWS Config 规则名称作为映射关键字，并直接从中报告该规则检查的结果 AWS Config。	`SNS_ENCRYPTED_KMS`
AWS CloudTrail	使用此数据来源类型，跟踪审计中所需的特定用户活动。 Audit Manager 使用 CloudTrail 事件名称作为映射关键字，并从您的 CloudTrail 日志中收集相关的用户活动。	`CreateAccessKey`
AWS API 调用	使用此数据源类型，通过对特定的 API 调用来拍摄资源配置的快照 AWS 服务。 Audit Manager 使用 API 调用名称作为映射关键字，并收集 API 响应。	`kms_ListKeys`

委托人

委托人是权限有限的 AWS Audit Manager 用户。委托人通常具有专业的业务或技术专长。例如，这些专长可能涉及数据留存政策、培训计划、网络基础设施或身份管理。委托人可以帮助审计负责人审核收集到的证据，以了解属于其专长的控件。委托人可以审核控件集及其相关证据、添加评论、上传其他证据，以及更新各个控件的状态（您分配给它们以供审核）。

审计负责人将特定的控件分配给委托人，而非整个评测。因此，委托人的评测访问权限有限。有关如何委托控件集的说明，请参阅代表团进来 AWS Audit Manager。

证据

证据是一种记录，其中包含遵守控件要求所需的信息。证据示例包括用户调用变更活动和系统配置快照。

Audit Manager 主要包含两类证据：自动证据和手动证据。

证据类型	描述
自动证据	这是 Audit Manager 自动收集的证据。包含以下三类自动证据：合规性检查-合规性检查的结果是从 AWS Security Hub AWS Config、或两者中捕获的。合规性检查的示例包括来自 Security Hub 的 PCI DSS 控件的安全检查结果，以及 HIPAA 控件的 AWS Config 规则评估。有关更多信息，请参阅 AWS Config 规则由... 支持 AWS Audit Manager 和 AWS Security Hub 支持的控件 AWS Audit Manager。用户活动-更改资源配置的用户活动将在该活动发生时从 CloudTrail 日志中捕获。用户活动的示例包括路由表更新、Amazon RDS 实例备份设置更改以及 S3 桶加密策略更改。有关更多信息，请参阅 AWS CloudTrail 支持的事件名称 AWS Audit Manager。配置数据 - 每天、每周或每月直接从 AWS 服务中捕获资源配置的快照。配置快照的示例包括 VPC 路由表的路由列表、Amazon RDS 实例备份设置以及 S3 桶加密策略。有关更多信息，请参阅 AWS 支持的 API 调用 AWS Audit Manager。
手动证据	这是您自己添加到 Audit Manager 的证据。您可通过三种方式添加自己的证据：从 Amazon S3 导入文件从浏览器上传文件输入风险评测问题的文字回答有关更多信息，请参阅在中添加手动证据 AWS Audit Manager。

证据类型

描述

自动证据

这是 Audit Manager 自动收集的证据。包含以下三类自动证据：

合规性检查-合规性检查的结果是从 AWS Security Hub AWS Config、或两者中捕获的。

合规性检查的示例包括来自 Security Hub 的 PCI DSS 控件的安全检查结果，以及 HIPAA 控件的 AWS Config 规则评估。

有关更多信息，请参阅 AWS Config 规则由... 支持 AWS Audit Manager 和 AWS Security Hub 支持的控件 AWS Audit Manager。
用户活动-更改资源配置的用户活动将在该活动发生时从 CloudTrail 日志中捕获。

用户活动的示例包括路由表更新、Amazon RDS 实例备份设置更改以及 S3 桶加密策略更改。

有关更多信息，请参阅 AWS CloudTrail 支持的事件名称 AWS Audit Manager。
配置数据 - 每天、每周或每月直接从 AWS 服务中捕获资源配置的快照。

配置快照的示例包括 VPC 路由表的路由列表、Amazon RDS 实例备份设置以及 S3 桶加密策略。

有关更多信息，请参阅 AWS 支持的 API 调用 AWS Audit Manager。

手动证据

这是您自己添加到 Audit Manager 的证据。您可通过三种方式添加自己的证据：

从 Amazon S3 导入文件
从浏览器上传文件
输入风险评测问题的文字回答

有关更多信息，请参阅在中添加手动证据 AWS Audit Manager。

自动收集证据从您创建评测开始。这是一个持续的进程，Audit Manager 根据证据类型和基础数据来源，以不同的频率收集证据。有关更多信息，请参阅了解如何 AWS Audit Manager 收集证据。

有关如何审核评测证据的说明，请参阅审查证据 AWS Audit Manager。

证据来源

证据来源定义了对照从何处收集证据。它可以是单个数据源，也可以是映射到通用控件或核心控件的预定义数据源分组。

创建自定义控件时，您可以从 AWS 托管来源、客户托管来源或两者中收集证据。

提示

我们建议您使用 AWS 托管来源。每当更新 AWS 托管源时，相同的更新都会自动应用于使用这些源的所有自定义控件。这意味着您的自定义控制措施始终根据该证据来源的最新定义收集证据。这可以帮助您确保在云合规性环境变化时持续合规。

另请参阅：AWS managed source、customer managed source。

证据收集方法

控件可以通过两种方式收集证据。

证据收集方法	描述
自动化	自动控制可自动从 AWS 数据源收集证据。这种自动证据可以帮助您证明完全或部分遵守了控件要求。
手册	手动控制要求您上传自己的证据，以证明遵守了控制措施。

注意

您可以将手动证据附加至任何自动控件中。在许多情况下，需要将自动和手动证据相结合，以证明完全遵守控件。尽管 Audit Manager 可以提供有用且关联的自动证据，但有些自动证据可能只能证明部分合规。在这种情况下，您可以用自己的证据补充 Audit Manager 提供的自动证据。

例如：

AWS 生成式 AI 最佳实践框架 v2包含一个名为的控件Error analysis。此控件要求您识别何时在模型使用中检测到不准确之处。它还要求您进行彻底的错误分析，以了解根本原因并采取纠正措施。
为了支持这种控制，Audit Manager 会自动收集证据，以显示您的评估运行 AWS 账户位置是否启用了 CloudWatch警报。您可以使用这些证据证明您的警报和检查配置正确，从而证明部分遵守了控件。
为了证明完全合规，您可以用手动证据补充自动证据。例如，您可以上传显示错误分析流程、上报和报告的阈值、以及根本原因分析结果的策略或程序。您可以使用此手动证据证明既定政策已经到位，并且在出现提示时已采取纠正措施。

有关更详细的示例，请参阅具有混合数据来源的控件。

导出目的地

导出目标为默认 S3 桶，Audit Manager 会保存您从证据查找器中导出的文件。有关更多信息，请参阅为证据查找器配置默认导出目的地。

框架

Audit Manager 框架可以针对特定的标准或风险治理原则构建和自动进行评估。这些框架包括一系列预建或客户定义的控件，它们可以帮助您将 AWS 资源与这些控制的要求对应起来。

Audit Manager 中有两种类型的框架。

框架类型	描述
标准框架	这是一个预先构建的框架，基于各种合规标准和法规 AWS 的最佳实践。您可以使用标准框架来协助为特定的合规性标准或法规（例如 PCI DSS 或 HIPAA）做好审计准备。
自定义框架	这是您作为 Audit Manager 用户定义的自定义框架。您可以根据具体的 GRC 要求使用自定义框架来协助进行审计准备。

框架类型

描述

标准框架

这是一个预先构建的框架，基于各种合规标准和法规 AWS 的最佳实践。

您可以使用标准框架来协助为特定的合规性标准或法规（例如 PCI DSS 或 HIPAA）做好审计准备。

自定义框架

这是您作为 Audit Manager 用户定义的自定义框架。

您可以根据具体的 GRC 要求使用自定义框架来协助进行审计准备。

有关如何创建和管理框架的说明，请参阅使用框架库管理中的框架 AWS Audit Manager。

注意

AWS Audit Manager 协助收集与核实特定合规标准和法规的遵守情况相关的证据。但是，它本身并不能评测您的合规情况。 AWS Audit Manager 因此，通过收集的证据可能不包括审计所需的有关您的 AWS 使用情况的所有信息。 AWS Audit Manager 不能替代法律顾问或合规专家。

框架共享

您可以使用该在中共享自定义框架 AWS Audit Manager功能在各个 AWS 账户地区之间快速共享您的自定义框架。若要共享自定义框架，请创建共享请求。然后，收件人有 120 天的时间来接受或拒绝请求。当他们接受时，Audit Manager 会将共享自定义框架复制到其框架库中。除了复制自定义框架外，Audit Manager 还会复制该框架中包含的、所有自定义控件。这些自定义控件已添加至收件人的控件库。Audit Manager 不复制标准框架或控件。这是因为默认情况下，这些资源已可用于每账户和区域。

资源

资源是在审计过程中评测的有形资产或信息资产。 AWS 资源示例包括亚马逊 EC2 实例、亚马逊 RDS 实例、亚马逊 S3 存储桶和亚马逊 VPC 子网。

资源评测

资源评测是评测单个资源的进程。该评测基于控件要求。当评测处于活动状态时，Audit Manager 会对评测范围内的每个资源进行资源评测。资源评测运行以下一系列任务：

收集证据，包括资源配置、事件日志和调查结果
转换证据并将其映射至控件
存储和追踪证据谱系以实现完整性

资源合规性

资源合规性是指在收集合规性检查证据时评测的资源评测状态。

Audit Manager 会收集使用 AWS Config 和 Security Hub 作为数据源类型的控件的合规性检查证据。在这个收集证据期间，可能需要评测多种资源。因此，一份合规性检查证据可包含一个或多个资源。

您可以使用证据查找器中的资源合规性筛选条件来浏览资源级别的合规状态。搜索完成后，您可以预览与您的搜索查询匹配的资源。

在证据查找器中，资源合规性包含三个可能得值：

值	描述
不合规	这是指存在合规性检查问题的资源。如果 Security Hub 报告了资源的失败结果，或者 AWS Config 报告了不合规的结果，就会发生这种情况。
合规	这是指没有合规性检查问题的资源。如果 Security Hub 报告了资源的通过结果，或者 AWS Config 报告了合规结果，就会发生这种情况。
尚无定论	这是指无法进行合规性检查或不适用的资源。如果 AWS Config 或 Security Hub 是底层数据源类型，但这些服务未启用，则会发生这种情况。如果底层数据源类型不支持合规性检查（例如手动证据、 AWS API 调用或 CloudTrail），也会发生这种情况。

值

描述

不合规

这是指存在合规性检查问题的资源。

如果 Security Hub 报告了资源的失败结果，或者 AWS Config 报告了不合规的结果，就会发生这种情况。

合规

这是指没有合规性检查问题的资源。

如果 Security Hub 报告了资源的通过结果，或者 AWS Config 报告了合规结果，就会发生这种情况。

尚无定论

这是指无法进行合规性检查或不适用的资源。

如果 AWS Config 或 Security Hub 是底层数据源类型，但这些服务未启用，则会发生这种情况。

如果底层数据源类型不支持合规性检查（例如手动证据、 AWS API 调用或 CloudTrail），也会发生这种情况。

范围内的服务

Audit Manager 管理 AWS 服务哪些属于您的评估范围。如果您有较早的评估，则可能是您过去手动指定了范围内的服务。2024 年 6 月 4 日之后，您无法手动指定或编辑范围内的服务。

范围内的服务是 AWS 服务指您的评估收集相关证据的服务。当一项服务包含在您的评估范围中时，Audit Manager 会评估该服务的资源。一些资源示例包括下面这些：

一个 Amazon EC2 实例
一个 S3 存储桶
IAM 用户或角色
一个 DynamoDB 表
网络组件，如 Amazon 虚拟私有云（VPC）、安全组，或网络访问控制列表 (ACL)

例如，如果 Amazon S3 是范围内的服务，则 Audit Manager 可以收集有关您的 S3 存储桶的证据。收集的确切证据由对照组决定data source。例如，如果数据源类型为 AWS Config，而数据源映射是 AWS Config 规则（例如s3-bucket-public-write-prohibited），则 Audit Manager 会收集该规则评估的结果作为证据。

注意

请记住，范围内的服务不同于数据源类型，后者 AWS 服务也可以是其他类型。有关更多信息，请参阅本指南范围内的服务和数据来源类型有什么区别？的 “故障排除” 部分。

标准控制

请参阅 control。

理解 AWS Audit Manager 概念和术语

A

C

D

E

提示

注意

F

注意

R

S

注意