审查标准控制

您可以使用 Audit Manager 控制台、Audit Manager API 或 AWS Command Line Interface (AWS CLI) 来查看标准控件的详细信息。

先决条件

确保您的 IAM 身份具有查看中控件的相应权限 AWS Audit Manager。授予这些权限的两个建议策略是AWSAuditManagerAdministratorAccess和允许用户管理访问 AWS Audit Manager。

过程

您可以使用 Audit Manager 控制台、Audit Manager API 或 AWS Command Line Interface (AWS CLI) 来查看标准控件的详细信息。

Audit Manager console

在 Audit Manager 控制台上查看标准控制细节

在 https://console.aws.amazon.com/auditmanager/home 处打开 AWS Audit Manager 控制台。
在导航窗格中，选择控件库。
选择 “标准” 以查看提供的标准控件 AWS。
选择任何标准控件名称以查看该控件的详细信息。
使用以下信息作为参考，查看标准控制细节。

概述部分

本节介绍标准控件并列出了它用来收集证据的数据源类型。

“证据来源” 选项卡

此选项卡包含以下信息：

名称描述

名称	描述
核心控件	这些是收集证据以支持标准控制的核心控制措施。每个核心控件都使用预定义的数据源分组来收集有关数据的证据 AWS 服务。这些数据源由您管理 AWS，并在法规和标准发生变化以及发现新的数据源时自动更新。选择任何核心控件即可查看底层数据源。
数据源	这些是收集证据以支持标准控制的其他 AWS 托管数据源。映射-用于收集证据的特定关键字。如果类型为 AWS Config，则映射为 AWS Config 规则（例如`SNS_ENCRYPTED_KMS`）。如果类型为 AWS Security Hub，则映射为 Security Hub 控件（例如`EC2.1`）。如果类型为 AWS API 调用，则映射为 API 调用（例如`kms_ListKeys`）。如果类型为 AWS CloudTrail，则映射为 CloudTrail 事件（例如`CreateAccessKey`）。类型-证据来源的数据源的类型。如果 Audit Manager 收集证据，则类型可以是AWS Security HubAWS Config、AWS CloudTrail、或 AWS API 调用。如果您上传自己的证据，则类型为 “手动”。描述说明所需的手动证据是文件上传还是文字回复。频率 — Audit Manager 收集 AWS API 调用数据源证据的频率。

核心控件

这些是收集证据以支持标准控制的核心控制措施。

每个核心控件都使用预定义的数据源分组来收集有关数据的证据 AWS 服务。这些数据源由您管理 AWS，并在法规和标准发生变化以及发现新的数据源时自动更新。选择任何核心控件即可查看底层数据源。

数据源

这些是收集证据以支持标准控制的其他 AWS 托管数据源。

映射-用于收集证据的特定关键字。
- 如果类型为 AWS Config，则映射为 AWS Config 规则（例如SNS_ENCRYPTED_KMS）。
- 如果类型为 AWS Security Hub，则映射为 Security Hub 控件（例如EC2.1）。
- 如果类型为 AWS API 调用，则映射为 API 调用（例如kms_ListKeys）。
- 如果类型为 AWS CloudTrail，则映射为 CloudTrail 事件（例如CreateAccessKey）。
类型-证据来源的数据源的类型。
- 如果 Audit Manager 收集证据，则类型可以是AWS Security HubAWS Config、AWS CloudTrail、或 AWS API 调用。
- 如果您上传自己的证据，则类型为 “手动”。描述说明所需的手动证据是文件上传还是文字回复。
频率 — Audit Manager 收集 AWS API 调用数据源证据的频率。

详细信息选项卡

此选项卡包含以下信息：

名称	描述
说明	描述如何测试和修复控件的说明。
测试信息	推荐的测试程序。
行动计划	需要修复控制时应采取的建议措施。
标签	与控件关联的标签。
密钥	标签密钥（例如，合规性标准、法规或类别）。
值	标签值。

AWS CLI

要查看标准控制的详细信息，请访问 AWS CLI

按照步骤查找控件。确保设置--control-type为Standard，并根据需要应用任何可选过滤器。
```
aws auditmanager list-controls --control-type Standard
```
在响应中，确定您要查看的控件，并记下控件 ID 和 Amazon 资源名称 (ARN)。
运行 get-control 命令并指定。--control-id在以下示例中，将占位符文本替换为您自己的信息。
```
aws auditmanager get-control --control-id a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
```
提示
控制详细信息以 JSON 格式返回。为了帮助您理解这些数据，请参阅《命令参考》中的 get-control 输出AWS CLI
要查看标签详细信息，请运行list-tags-for-resource命令并指定--resource-arn。在以下示例中，将占位符文本替换为您自己的信息。
```
aws auditmanager list-tags-for-resource --resource-arn arn:aws:auditmanager:us-east-1:111122223333:control/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
```

Audit Manager API

使用 API 查看标准控制详情

按照步骤查找控件。确保将 ControlType 设置为Standard，并根据需要应用任何可选过滤器。
在响应中，确定您要查看的控件，并记下控件 ID 和 Amazon 资源名称 (ARN)。
使用该GetControl操作并指定您在步骤 2 中记下的 c ontrolID。

提示
控制详细信息以 JSON 格式返回。为了帮助您理解这些数据，请参阅 AWS Audit Manager API 参考中的GetControl 响应元素。
要查看标签详情，请使用ListTagsForResource操作并指定您在步骤 2 中记下的 res ourceArn。

有关这些 API 操作的更多信息，请选择此过程中的任何链接，以在 AWS Audit Manager API 参考中阅读更多内容。其中包括有关如何在某个特定语言 AWS 的 SDK 中使用这些操作和参数的信息。

后续步骤

您可以向任何自定义框架添加标准控件。有关说明，请参阅在中创建自定义框架 AWS Audit Manager。

您还可以自定义任何标准控件，使其满足您的需求。有关说明，请参阅在中制作控件的可编辑副本 AWS Audit Manager。

其他资源

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

核心控件

自定义控件