Audit Manager 客戶的一致性套件限制將 AWS Audit Manager 架構映射至 AWS Config 一致性套件從匯出證據 AWS Config 比較合規解決方案停用 AWS Audit Manager 其他資源常見問答集

AWS Audit Manager 可用性變更

AWS Audit Manager 是一項服務，可讓您使用 SOC2、PCI DSS 和 HIPAA 等控制架構，檢視和報告 AWS 資源的合規狀態。Audit Manager 正在轉換至維護模式，從 2026 年 4 月 30 日起，客戶將無法再在新帳戶中設定服務。為區域內的單一帳戶設定 Audit Manager 的現有客戶可以繼續使用該區域內該帳戶的服務，包括建立新的評估；但他們將無法為其他區域或新帳戶設定 Audit Manager。在組織的管理帳戶中設定 Audit Manager 的客戶將能夠將該組織的帳戶新增至評估；但他們無法將用量擴展到其他區域或為新組織設定 Audit Manager。

在維護模式下，服務團隊將繼續支援服務。這包括程式碼修正和維護目前支援架構的資料來源映射。不過，服務團隊不會建置新功能，也不會新增對新架構或現有架構新版本的支援，也不會新增區域支援。

建議尋求合規管理解決方案的客戶探索中的一致性套件 AWS Config。一致性套件提供跨多個帳戶和區域，以 Config 規則的形式部署和監控偵測性控制項的方法。它們為常見架構（例如 HIPAA、NIST、PCI-DSS) 提供預先建置的範本，並允許自訂規則建立。一致性套件可以在單一帳戶層級或組織中所有成員帳戶中進行管理 AWS Organizations。

部署一致性套件後，您可以在相關聯的儀表板中檢視資源的合規狀態。或者，您可以使用 Config Resource Compliance Dashboard 來檢視多個 AWS 帳戶和區域的 AWS 資源庫存及其合規狀態。

Audit Manager 客戶的一致性套件限制

AWS Config 目前未針對 Audit Manager 支援的所有架構提供一致性套件範本，包括 SOC2 和 GDPR。下表提供映射，反白顯示目前存在差距的位置。如需可用一致性套件範本的更新，請參閱產品文件。

AWS Config 不提供直接等同於 Audit Manager 匯出的稽核報告功能。不過，客戶可以使用以下章節所述的 AWS Config 一或多個機制，匯出證據以支援合規狀態。

從一致性套件儀表板，客戶可以檢視每個相關聯 Config 規則的合規狀態。客戶可以向下切入規則，並以該資源的組態項目形式檢視每個個別資源和證據的狀態。

AWS Config 只會記錄組態項目 CIs) 做為合規的證據。與 Audit Manager 不同，它不會收集 AWS CloudTrail 日誌、 AWS Security Hub 控制或對目標服務進行 API 呼叫。所收集的證據 AWS Config 較不詳盡，但更容易瀏覽。收集的所有證據 AWS Config 都會透過 Config 規則對應至 AWS 資源的合規狀態。因此，與 Audit Manager 不同， AWS Config 不會顯示「不確定」的證據。

將 AWS Audit Manager 架構映射至 AWS Config 一致性套件

AWS Audit Manager 架構	AWS Config 一致性套件範本
ACSC 基本八項	ACSC Essential 8 的操作最佳實務
ACSC ISM 2023 年 3 月 2 日	ACSC ISM 的操作最佳實務 - 第 1 部分；ACSC ISM 的操作最佳實務 - 第 2 部分
Audit Manager 範例架構	-- 無同等 --
AWS Control Tower 護欄	AWS Control Tower Detective Guardrails 一致性套件
AWS 生成式 AI 最佳實務架構 v2	AI 和 ML 的操作最佳實務
AWS License Manager	-- 無同等 --
AWS 基礎安全最佳實務	AWS Well-Architected Framework 安全支柱的操作最佳實務，以及多個個別服務的安全最佳實務套件
AWS 操作最佳實務	-- 無同等 --
AWS Well-Architected Framework WAF v10	AWS Well-Architected Framework 可靠性支柱的操作最佳實務； AWS Well-Architected Framework 安全支柱的操作最佳實務
CCCS 中型雲端控制	Operational-Best-Practices-for-CCCS-Medium
CIS AWS Benchmark 1.2.0 版	-- 無同等 --
CIS AWS 基準 1.3.0 版	-- 無同等 --
CIS AWS 基準 1.4.0 版	Operational-Best-Practices-for-CIS-AWS-v1.4-Level1； Operational-Best-Practices-for-CIS-AWS-v1.4-Level2
CIS 控制項 v7.1、IG1	-- 無同等 --
CIS Critical Security Controls 8.0 版、IG1	Operational-Best-Practices-for-CIS-Critical-Security-Controls-v8-IG1
FedRAMP 安全基準控制 r4	Operational-Best-Practices-for-FedRAMP（低）；Operational-Best-Practices-for-FedRAMP（中）；Operational-Best-Practices-for-FedRAMP（高部分 1)；Operational-Best-Practices-for-FedRAMP（高部分 2)
GDPR 2016	-- 無同等 --
金融服務業現代化法 (GLBA)	Operational-Best-Practices-for-Gramm-Leach-Bliley-Act
標題 21 CFR 第 11 部分	Operational-Best-Practices-for-FDA-21CFR-Part-11
歐洲 GMP Annex 11、v1	Operational-Best-Practices-for-GxP-EU-Annex-11
HIPAA 安全規則：2003 年 2 月	Operational-Best-Practices-for-HIPAA-Security
HIPAA Omnibus 最終規則	Operational-Best-Practices-for-HIPAA-Security
ISO/IEC 27001:2013 Annex A	-- 無同等 --
NIST SP 800-53 修訂版 5	Operational-Best-Practices-for-NIST-800-53-rev-5
NIST 網路安全架構 1.1 版	Operational-Best-Practices-for-NIST-CSF
NIST SP 800-171 修訂版 2	Operational-Best-Practices-for-NIST-800-171
PCI DSS V3.2.1	PCI DSS 3.2.1 的操作最佳實務
PCI DSS V4.0	Operational-Best-Practices-for-PCI-DSS-v4.0
SSAE-18 SOC 2	-- 無同等 --

從匯出證據 AWS Config

AWS Config 進階查詢（建議匯出個別資源組態項目作為證據）

您可以使用 AWS Config 主控台中的 SQL 查詢來選取特定資源，並以 CSV 或 JSON 格式匯出其目前的組態。

方式：移至 AWS Config > 進階查詢。

查詢範例：


SELECT resourceId, resourceType, configuration, tags, compliance
 WHERE resourceType = 'AWS::EC2::Instance'
 AND resourceId = 'i-xxxxxxxxx'

匯出：選擇「執行」，然後選擇「匯出結果」至 CSV。
最適合：資源子集的統籌報告。

GetResourceConfigHistory API （建議完整歷史記錄）

如果稽核人員需要查看特定期間內資源的合規狀態（不只是目前狀態），請使用 CLI/API。

方法：在中使用 get-resource-config-history命令 AWS CLI。

命令範例：


aws configservice get-resource-config-history \
  --resource-type AWS::EC2::Instance \
  --resource-id i-xxxxxxxxx \
  --region us-east-1

輸出：傳回組態變更的詳細 JSON 物件，包括每次變更時的合規狀態。

Amazon Athena 和 Amazon Quick （建議用於多個資源的篩選查詢）

客戶可以使用 Amazon Athena 針對記錄的資源組態資料來建置和執行 SQL 型查詢 AWS Config。客戶也可以將資料匯入 Amazon Quick，以建立分析和儀表板。如需詳細資訊，請參閱使用 Amazon Athena 和 Amazon Quick 視覺化 AWS Config 資料。

比較合規解決方案

功能	AWS Audit Manager	AWS Config – 一致性套件
受管控制項	提供 35 個受管架構，包括法規和產業架構，例如 SOC2、PCI DSS 和 HIPAA，以及 AWS 最佳實務架構。	提供超過 100 個預先定義的一致性套件範本 - 包括法規和產業套件，例如 PCI DSS、HIPAA 和 AWS 操作最佳實務套件。
自訂	建立自訂控制項和自訂架構。	建立自訂規則和自行定義的範本。
設定	根據架構建立評估。	部署一致性套件。
證據收集	從四個資料來源收集證據：(1) 服務 API 呼叫、(2) AWS Security Hub 控制、(3) AWS CloudTrail 事件、(4) Config 規則。客戶必須先使用 AWS Config 或部署規則 AWS Control Tower。	將證據記錄為支援 Config Rule 評估的組態項目。
合規儀表板	評估儀表板提供具有不合規證據的控制項的每日快照和檢視。	Conformance Pack 儀表板提供整體合規分數、合規時間表和依規則檢視。向下切入，以組態項目的形式，依資源和支援證據檢視合規狀態。
修補不合規的資源	不支援。	客戶可以定義和啟動修復計畫。
證據格式	Config Rule 評估結果；個別 API 呼叫的結果，例如 iam.getPolicy； AWS Security Hub findings。	組態規則評估結果；組態項目。
稽核報告	您可以選擇證據以包含在稽核報告中，該報告可以 PDF 格式匯出。此外，支援從證據搜尋工具匯出 CSV 格式。	個別組態項目可透過 Config Advance Query 工具匯出。客戶可以建立 CLI 指令碼，透過服務 APIs 匯出證據。

停用 AWS Audit Manager

停用 Audit Manager 會停止收集新證據，但不會刪除現有的證據，除非您明確選取此選項。證據將自其收集日期起保留兩年。身為現有客戶，您可以重新啟用服務，以取得證據的存取權並重新啟動證據收集。

客戶可以透過主控台中的設定索引標籤或 CLI 停用帳戶的 Audit Manager。

部署組織 Audit Manager 的客戶應停用組織管理帳戶中的服務。根據預設，委派管理員帳戶沒有為組織停用 Audit Manager 的必要許可。

其他資源

AWS Config – 一致性套件文件
AWS Audit Manager – 證據搜尋工具文件

常見問答集

AWS Audit Manager 服務是否正在關閉？: 否。Audit Manager Service 正在移至維護模式。現有客戶可以繼續正常使用該服務。
為什麼要將 Audit Manager AWS 移至維護模式？: 我們可以透過投資 for Compliance Management 來提供更好且更整合 AWS Config 的客戶體驗。
今天是否可以將 AWS Config 用於合規管理？: 是。中的一致性套件 AWS Config 可以用作管理 PCI DSS、FedRAMP 和 HIPAA 等架構 AWS 的資源合規性的工具。一致性套件可讓客戶集合部署不同架構的偵測性控制項，並提供顯示資源層級合規的儀表板。
遷移以 AWS Config 用於合規管理有哪些好處？: 對於尋求解決方案以使用 PCI DSS 等架構監控 AWS 資源合規性的客戶，中的一致性套件 AWS Config 提供更完整且可行的解決方案。客戶可以 (1) 部署個別帳戶或整個組織的偵測性控制、(2) 存取顯示合規分數的儀表板、(3) 向下切入並檢視個別資源的合規狀態、(4) 存取顯示合規狀態如何隨時間變化的資源時間表、(4) 提取支援控制資源合規狀態的組態項目形式的證據。
一致性套件是否 AWS Config 直接取代 Audit Manager 中的架構？: 否。一致性套件是一項強大的工具，客戶可用來管理其 AWS 資源的合規狀態。不過，一致性套件與 Audit Manager Framework 不同。為 PCI DSS 等架構提供的一致性套件範本僅包含可評估為 Config 規則的技術核心控制項。一致性套件範本不包含組織必須滿足才能通過 PCI DSS 稽核的完整稽核控制項集；沒有 Config 規則可驗證組織是否已記錄其安全政策和操作程序。雖然 Compliance Pack 儀表板提供由 Config 規則評估之 AWS 資源合規狀態的明確訊號， AWS Config 但不提供一般合規管理解決方案來擷取、組織和共用 PCI DSS 等架構所需的完整控制集的證據。建議尋求此問題解決方案的客戶改為考慮合作夥伴解決方案，例如 Vanta 和 Drata 的解決方案，這些解決方案可與搭配使用 AWS Config ，以提供end-to-end合規自動化解決方案。
Audit Manager 支援的所有架構是否有一致性套件？: 否，Audit Manager 中目前有數個架構沒有對應的一致性套件 AWS Config。上表提供從 Audit Manager 架構到 Config Conformance Packs 的映射。最顯著的差距是 SOC2 和 GDPR。請監控有關新 Conformance Pack 版本更新的 AWS Config 「最新消息」公告。除了 AWS 提供的預先定義一致性套件範本之外，客戶還可以定義自己的一致性套件範本，這些範本與 Config 規則一起分組，並允許客戶定義不合規資源的修補動作。
客戶可以使用匯出稽核人員的證據 AWS Config嗎？: AWS Config 提供一些工具，用於匯出資源合規的證據。如需使用此工具的指引，請參閱可用性變更頁面。
身為現有客戶，我可以繼續正常使用 Audit Manager 嗎？: 是。身為現有客戶，您可以繼續正常使用 Audit Manager，包括建立和維護評估、檢閱證據和產生稽核報告。已在整個組織中部署 Audit Manager 的客戶可以擴展評估，以包含來自組織的新帳戶。
身為具有單一帳戶部署的現有客戶，我可以為組織部署 Audit Manager 嗎？: 否。自 2026 年 4 月 30 日起，具有單一帳戶部署的客戶將無法跨組織部署 Audit Manager。
如何檢查帳戶內是否已設定 Audit Manager？: 對於單一帳戶部署，客戶可以登入帳戶，並在主控台內導覽至 Audit Manager 服務，以查看該帳戶內是否已設定 Audit Manager。對於 Organizations，客戶應該從管理帳戶中執行此操作。
如何停用 Audit Manager？: 客戶可以透過主控台中的設定索引標籤或 CLI 停用帳戶的 Audit Manager。已為組織部署 Audit Manager 的客戶應該從組織的管理帳戶停用服務；預設情況下，Audit Manager 的委派管理員帳戶沒有必要的許可。停用 Audit Manager 會停止收集新證據，但不會刪除現有的證據，除非您明確選取此選項。證據將自其收集日期起保留兩年。身為現有客戶，您可以重新啟用服務，以取得證據的存取權並重新啟動證據收集。
停用 Audit Manager 後，如何繼續存取證據？: 繼續存取 Audit Manager 所收集的證據的最簡單方法是先啟用證據搜尋工具，然後再停用服務。當您啟用證據搜尋器 Audit Manager 時，會將證據匯出至 CloudTrail 資料湖，在停用 Audit Manager 之後，您就可以繼續存取該資料湖。
如何使用 AWS Control Tower 進行合規管理？: AWS Control Tower 提供由架構鍵入的預防性、主動性和偵測性控制項目錄（以 Config 規則形式實作）。它可讓您將與這些架構相關的所有控制項部署到組織內的一或多個 OUs。使用新的僅限控制體驗，組織不再是建立為登陸區域的先決條件。的好處 AWS Control Tower 是它為您提供不合規資源的 OU 層級檢視。 AWS Control Tower 不會使用 Conformance Packs 部署 Config 規則，因此除非您也部署 Conformance Pack，否則不會看到 Conformance Pack。也不支援修復工作流程。
如何使用 AWS Security Hub CSPM 進行合規管理？: 對於映射到安全標準的架構，為單一帳戶中 AWS Config 的合規管理和修復 AWS Security Hub CSPM 提供了的替代方案。在 Security Hub CSPM 主控台內啟用標準，會為相關聯的架構部署一組服務連結規則。客戶可以檢視合規儀表板，其中顯示整體合規分數和每個控制項的狀態，以及向下切入個別資源層級的選項。Security Hub CSPM 可讓客戶以 json 格式下載規則的問題清單，並新增控制項的嚴重性評分，協助客戶排定修補計劃的優先順序。使用中央組態，您可以跨多個區域、帳戶和組織單位 (OUs) 設定 Security Hub CSPM。不過，Security Hub CSPM 僅為有限數量的架構提供安全標準，包括 NIST 800-53 和 PCI-DSS。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

將 Audit Manager 證據整合到您的 GRC 系統

支援的架構