本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置您的默认评估报告目的地
生成评测报告时,Audit Manager 会将报告发布到您选择的 S3 存储桶。此 S3 存储桶被称为assessment report destination。您可以选择 Audit Manager 存储您的评估报告的 S3 存储桶。
先决条件
评测报告目标的配置提示
为确保成功生成评估报告,我们建议您对评估报告目标使用以下配置。
- 同区域存储桶
-
建议您使用与评测在相同 AWS 区域 中的 S3 存储桶。当您使用同区域存储桶和评测时,您的评测报告最多可以包含 22,000 个证据项目。相反,当您使用跨区域存储桶和评测时,只能包含 3,500 个证据项目。
- AWS 区域
-
您的客户托管密钥(如果您提供了密钥)必须与您的评估区域和您的评估报告目标 S3 存储桶相匹配。 AWS 区域 有关如何更改KMS密钥的说明,请参阅配置您的数据加密设置。有关受支持的 Audit Manager 区域列表,请参阅 Amazon Web Services 一般参考中的 AWS Audit Manager 端点和限额。
- S3 存储桶加密
-
如果您的评估报告目标的存储桶策略要求使用 SSE- 进行服务器端加密 (SSE)KMS,则该存储桶策略中使用的KMS密钥必须与您在 Audit Manager 数据加密设置中配置的KMS密钥匹配。如果您尚未在 Audit Manager 设置中配置KMS密钥,并且您的评估报告目标存储桶策略需要SSE,请确保存储桶策略允许 SSE-S3。有关如何配置用于数据加密的KMS密钥的说明,请参阅配置您的数据加密设置。
- 跨账户 S3 存储桶
Audit Manager 控制台不支持使用跨账户 S3 存储桶作为评测报告目标。可以使用 AWS CLI 或中的一个来指定跨账户存储桶作为评估报告目的地 AWS SDKs,但为简单起见,我们建议您不要这样做。如果您确实选择使用跨账户 S3 存储桶作为评测报告目标,请考虑以下几点。
-
默认情况下,S3 对象(例如评估报告)归上传对象的 AWS 账户 所有。您可以使用 S3 对象所有权设置来更改此默认行为,以便使用
bucket-owner-full-control固定访问控制列表 (ACL) 的账户写入的任何新对象都自动归存储桶所有者所有。尽管这不是必需的,但我们建议您对跨账户存储桶设置进行以下更改。进行这些更改可确保存储桶所有者完全控制您发布到其存储桶的评测报告。
-
将 S3 存储桶的对象所有权设置为首选存储桶所有者,而不是默认的对象写入者
-
添加存储桶策略以确保上传到该存储桶的对象具有
bucket-owner-full-controlACL
-
-
要允许 Audit Manager 在跨账户 S3 存储桶中发布报告,您必须将以下 S3 存储桶策略添加到您的评测报告目标。更换
placeholder text用你自己的信息。此策略中的Principal元素是负责评测并创建评测报告的用户或角色。Resource指定发布报告的跨账户 S3 存储桶。{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow cross account assessment report publishing", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::AssessmentOwnerAccountId:user/AssessmentOwnerUserName" }, "Action": [ "s3:ListBucket", "s3:PutObject", "s3:GetObject", "s3:GetBucketLocation", "s3:PutObjectAcl", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::CROSS-ACCOUNT-BUCKET", "arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*" ] } ] }
-
过程
您可以使用 Audit Manager 控制台、 AWS Command Line Interface (AWS CLI) 或 Audit Manager 更新此设置API。
其他 资源
