在中创建评估 AWS Audit Manager

本主题建立在审计负责人教程：创建评测. 您将在此页面上找到详细的说明，向您展示如何根据框架创建评估。按以下步骤创建评测并开始持续收集证据。

先决条件

在开始本教程之前，请确保您满足以下条件：

• 您已完成 使用推荐 AWS Audit Manager 的设置进行设置 中描述的所有先决条件。您必须使用自己 AWS 账户 和 Audit Manager 控制台来完成本教程。

• 您的 IAM 身份拥有在 Audit Manager 中创建和管理评估的相应权限。授予这些权限的两个建议策略是AWSAuditManagerAdministratorAccess和允许对 AWS Audit Manager的用户管理访问权限 。

过程

任务

• 第 1 步：指定评测详细信息
• 步骤 2： AWS 账户 在作用域中指定
• 步骤 3：指定审计所有者
• 步骤 4：审核并创建

第 1 步：指定评测详细信息

首先选择框架并提供评测的基本信息。

若要指定评测详细信息

1. 在 https://console.aws.amazon.com/auditmanager/home 处打开 AWS Audit Manager 控制台。

2. 在导航窗格中，选择 评测模板，然后选择 创建。

3. 在 “名称” 下，输入评估的名称。

4. （可选）在描述下，输入评估的描述。

5. 在评估报告目标下，选择要保存评估报告的 S3 存储桶。

   提示

   默认的评估报告目标取决于您的评估设置。如果您愿意，可以创建和使用多个 S3 存储桶来帮助您整理不同评估的评估报告。

6. 在 “选择框架” 下，选择要从中创建评估的框架。您也可以使用搜索栏，按名称、合规性标准或法规查找框架。

   提示

   要了解有关框架的更多信息，请选择框架名称以查看框架详细信息页面。

7. （可选）在 “标签” 下，选择 “添加新标签”，将标签与您的评估相关联。可为每个标签指定密钥和值。标签密钥为必填项，在搜索此评测时可用作搜索标准。

8. 选择下一步。

注意

务必确保您的评测为指定框架收集适当证据。在开始收集证据之前，我们建议您查看所选框架的要求。然后，根据您当前的 AWS Config 规则参数验证这些要求。为确保您的规则参数与此框架要求保持一致，您可以在 AWS Config中更新规则。

例如，假设您正在为 CIS v1.2.0 创建评测。此框架包含名为 1.9 – 确保 IAM 密码策略的最小长度为 14 或以上字符的控件。在中 AWS Config，该iam-password-policy规则有一个MinimumPasswordLength用于检查密码长度的参数。该参数的默认值为 14 个字符。因此，该规则与控件要求保持一致。如果您未使用默认参数值，请确保使用的值大于等于 CIS v1.2.0 中要求的 14 个字符。您可在 AWS Config 文档中找到每条托管规则的默认参数详细信息。

步骤 2： AWS 账户 在作用域中指定

您可以指定多个 AWS 账户 在评估范围内。Audit Manager 通过与 AWS Organizations集成，支持多个账户。这意味着 Audit Manager 评估可以跨多个账户进行，收集的证据将合并到一个委托的管理员账户中。若要在 Audit Manager 中启用 “组织”，请参阅 启用和设置 AWS Organizations （可选）。

注意

在评估范围内，Audit Manager 最多可以支持 200 个账户。如果您尝试包含超过 200 个账户，则评估创建可能会失败。

AWS 账户 在作用域中指定

1. 在下方 AWS 账户 AWS 账户 ，选择要包含在评估范围内的内容。

   • 如果您在 Audit Manager 中启用了组织，则会显示多个账户。您可从列表中选择一个或多个账户。或者，您也可以按账户名、ID 或电子邮件搜索账户。

   • 如果您没有在 A AWS 账户 udit Manager 中启用 Organizations，则只会列出您当前的组织。

2. 选择下一步。

注意

从您的组织中移除范围内的账户后，Audit Manager 将不再为该账户收集证据。但是，该账户会继续在您的评测中的AWS 账户选项卡下显示。如需将该账户从范围内的账户列表中移除，请编辑评测。在编辑过程中，已移除的账户不再显示在列表中，该账户不在范围内不影响变更的保存。

步骤 3：指定审计所有者

在此步骤中，您将为评测指定审计负责人。审计负责人是您工作场所中负责管理 Audit Manager 评估的个 DevOps 人（通常来自 GRC 或团队）。 SecOps我们建议他们使用该AWSAuditManagerAdministratorAccess政策。

若要指定审计负责人

1. 在 审计负责人下，查看当前的审计负责人列表。审计负责人 列显示用户 ID 和角色。该AWS 账户列显示该 AWS 账户 审计所有者的信息。

2. 选中复选框的审计负责人将纳入您的评测。清除任何审计负责人的复选框，以将其从评测中删除。要查找其他审计负责人，请使用搜索栏，以按姓名或 AWS 账户搜索。

3. 完成后，选择下一步。

步骤 4：审核并创建

审核您的评测信息。若要更改步骤信息，请选择编辑。完成后，选择创建评测。

此操作将开始持续收集评测证据。创建评测后，将继续收集证据，直至您将评测状态更改为非活动。或者，您可以通过将控制状态更改为非活动来停止收集特定对照的证据。

注意

创建评估后 24 小时即可获得自动证据。Audit Manager 会自动从多个数据来源收集证据，证据收集的频率取决于证据类型。要了解更多信息，请参阅本指南中的 证据收集频率。

后续步骤

要稍后重新访问您的评估，请参阅在中查找您的评估 AWS Audit Manager。您可以按照以下步骤找到您的评估，以便查看、编辑或继续进行评估。

其他 资源

有关 Audit Manager 中评估问题的解决方案，请参阅对评测和证据收集问题进行排查。