为证据查找器配置默认导出目的地

在证据查找器中运行查询时，可以将搜索结果导出到以逗号分隔的值 (CSV) 文件中。使用此设置选择 Audit Manager 用于保存导出文件的默认 S3 存储桶。

先决条件

您的 S3 存储桶必须具有所需的权限策略才能 CloudTrail 向其写入导出文件。更具体地说，存储桶策略必须包括s3:PutObject操作和存储桶ARN，并列 CloudTrail 为服务委托人。

• 有关您可以使用的权限策略示例，请参阅示例 3（导出目标权限）。

• 有关将此策略附加到 S3 存储桶的说明，请参阅使用 Amazon S3 控制台添加存储桶策略。

• 有关更多提示，请参阅本页面上的导出目标的配置提示。

导出目标的配置提示

为确保成功导出文件，我们建议您验证导出目标的以下配置。

AWS 区域

您的客户托管密钥（如果您提供了）必须与您的评估区域相匹配。 AWS 区域 有关如何更改KMS密钥的说明，请参阅 Audit Manager 数据加密设置。

跨账户 S3 存储桶

Audit Manager 控制台不支持使用跨账户 S3 存储桶作为导出目标。可以使用 AWS CLI 或中的一个来指定跨账户存储桶 AWS SDKs，但为简单起见，我们建议您不要这样做。如果您确实选择使用跨账户 S3 存储桶作为导出目标，请考虑以下几点。

• 默认情况下，S3 对象（例如CSV导出）归上传对象的所有。 AWS 账户 您可以使用 S3 对象所有权设置来更改此默认行为，以便使用bucket-owner-full-control固定访问控制列表 (ACL) 的账户写入的任何新对象都自动归存储桶所有者所有。

  尽管这不是必需的，但我们建议您对跨账户存储桶设置进行以下更改。进行这些更改可确保存储桶所有者完全控制您发布到其存储桶的导出文件。

  • 将 S3 存储桶的对象所有权设置为首选存储桶所有者，而不是默认的对象写入者

  • 添加存储桶策略以确保上传到该存储桶的对象具有 bucket-owner-full-control ACL

• 要允许 Audit Manager 将文件导出到跨账户 S3 存储桶，您必须将以下 S3 存储桶策略添加到您的导出目标存储桶。更换 placeholder text 用你自己的信息。此策略中的 Principal 元素是负责评测并导出文件的用户或角色。Resource 指定要将文件导出到的跨账户 S3 存储桶。

  {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow cross account file exports",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::AssessmentOwnerAccountId:user/AssessmentOwnerUserName"
            },
            "Action": [
                "s3:ListBucket",
                "s3:PutObject",
                "s3:GetObject",
                "s3:GetBucketLocation",
                "s3:PutObjectAcl",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::CROSS-ACCOUNT-BUCKET",
                "arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*"
            ]
        }
    ]
  }

显示更多显示更少

过程

您可以使用 Audit Manager 控制台、 AWS Command Line Interface (AWS CLI) 或 Audit Manager 更新此设置API。

Audit Manager console

在 Audit Manager 控制台上更新您的导出目标设置

1. 从证据查找器设置选项卡中，转到导出目标部分。

2. 请选择以下选项之一：

   • 如果要移除当前 S3 存储桶，请选择移除以清除您的设置。

   • 如果您想首次保存默认 S3 存储桶，请继续执行步骤 3。

3. 指定要用于存储导出文件的 S3 存储桶。

   • 选择浏览 S3，从您的存储桶列表中选择。

   • 或者，您可以按以下URI格式输入存储桶：s3://bucketname/prefix

   提示

   为了使目标存储桶井井有条，您可以为CSV导出创建一个可选文件夹。为此，请在 “资源” URI 框中的值后面附加一个斜杠 (/) 和一个前缀（例如，/evidenceFinderCSVExports）。然后，Audit Manager 在将CSV文件添加到存储桶时会包含此前缀，然后 Amazon S3 会生成由该前缀指定的路径。有关 Amazon S3 中前缀的更多信息，请参阅 Amazon Simple Storage Service 用户指南中的 Amazon S3 控制台中的组织对象。

4. 完成操作后，选择保存。

有关如何创建 S3 存储桶的说明，请参阅 Amazon S3 用户指南中的创建存储桶。

AWS CLI

要更新您的导出目的地设置，请在 AWS CLI

运行 update-settings 命令并使用 --default-export-destination 参数指定 S3 存储桶。

在以下示例中，替换 placeholder text 用你自己的信息：

aws auditmanager update-settings --default-export-destination destinationType=S3,destination=amzn-s3-demo-destination-bucket

有关如何创建 S3 存储桶的说明，请参阅《AWS CLI 命令参考》中的 create-bucket。

Audit Manager API

要更新您的导出目的地设置，请使用 API

调用UpdateSettings操作并使用defaultExportDestination参数指定 S3 存储桶。

有关如何创建 S3 存储桶的说明，请参阅 CreateBucketAmazon S3 API 参考中的。