在中建立評估 AWS Audit Manager

本主題建立在稽核擁有者教學課程：建立評估. 您可以在此頁面上找到詳細說明，向您展示如何從架構建立評估。請依照下列步驟建立評估，並開始持續收集證據。

必要條件

開始此自學課程之前，請確定您符合下列條件：

• 您已完成 設定 AWS Audit Manager 與推薦的設置 中描述的所有先決條件。您必須使用 AWS 帳戶 和 Audit Manager 主控台來完成本教學課程。

• 您的IAM身分具有在 Audit Manager 中建立和管理評量的適當權限。授與這些權限的兩個建議政策是AWSAuditManagerAdministratorAccess和授予使用者 AWS Audit Manager管理存取權。

程序

任務

• 步驟 1：指定評估詳細資訊
• 步驟 2： AWS 帳戶 在範圍內指定
• 步驟 3：指定稽核擁有者
• 步驟 4：檢閱和建立

步驟 1：指定評估詳細資訊

首先選擇一個架構並提供評估的基本資訊。

指定評估詳細資訊

1. 在https://console.aws.amazon.com/auditmanager/首頁開啟 AWS Audit Manager 主控台。

2. 在導覽窗格中，選擇 評估，然後選擇建立評估。

3. 在名稱下，輸入評估的名稱。

4. (選擇性) 在說明下，輸入評估的說明。

5. 在評估報告目標下，選取您要儲存評估報告的 S3 儲存貯體。

   提示

   預設評估報告目的地是根據您的評估設定而定。如果您願意，您可以建立並使用多個 S3 儲存貯體，協助您針對不同的評估組織評估報告。

6. 在 [選取架構] 下，選取您要從中建立評估的架構。您也可以使用搜尋列，依名稱、合規標準或法規來查詢架構。

   提示

   要了解有關框架的更多信息，請選擇框架名稱以查看框架詳細信息頁面。

7. (選擇性) 在「標籤」下，選擇「新增標籤」，將標籤與評估產生關聯。您可以指定每一個標籤的金鑰和值。標籤索引鍵是必要的，在搜尋此評估時，可用作搜尋條件。

8. 選擇 Next (下一步)。

注意

請務必確保您的評估會針對特定架構收集正確的證據。在開始收集證據之前，我們建議您先檢閱所選架構的需求。然後，根據您目前的 AWS Config 規則參數驗證這些需求。如需確保規則參數符合架構需求，您可以在 AWS Config中更新規則。

例如，假設您正在建立 CIS v1.2.0 的評估。此框架具有名為 1.9 的控制項 — 確保IAM密碼策略的長度下限為 14 或更高。在中 AWS Config，iam-password-policy規則具有檢查密碼長度的MinimumPasswordLength參數。此參數的預設值為 14 字元。因此，該規則符合控制項的需求。如果您沒有使用預設參數值，請確定您使用的值等於或大於 CIS v1.2.0 的 14 個字元要求。您可以在 AWS Config 文件中找到每個受管規則的預設參數詳細資訊。

步驟 2： AWS 帳戶 在範圍內指定

您可以指定 AWS 帳戶 要在評估範圍內的多個。Audit Manager 透過與 AWS Organizations整合來支援多個帳戶。這表示 Audit Manager 員評估可以在多個帳戶上執行，而收集的證據會合併到委派的管理員帳戶中。如需在 Audit Manager 中啟用 Organizations，請參閱 啟用和設定 AWS Organizations。

注意

Audit Manager 在評估範圍內最多可支援 200 個帳戶。如果您嘗試包含超過 200 個帳戶，則評估建立可能會失敗。

若要 AWS 帳戶 在範圍內指定

1. 在下方 AWS 帳戶，選 AWS 帳戶 取您要包含在評估範圍中的項目。

   • 如果您在 Audit Manager 中啟用了 Organizations，則會顯示多個帳戶。您可以從清單中選擇一或多個帳戶。或者，您也可以使用帳戶名稱、ID 或電子郵件搜尋帳戶。

   • 如果您未在 Audit Manager 中啟用「Organizations」，則只會列出您目前 AWS 帳戶 的組織。

2. 選擇 Next (下一步)。

注意

當範圍內的帳戶從組織中移除時，Audit Manager 不會再為該帳戶收集證據。但是，該帳戶仍會繼續顯示在您的評估中的 AWS 帳戶 索引標籤下。若要從範圍內的帳戶清單中移除該帳戶，請編輯評估。已移除帳戶在編輯期間不再顯示於清單中，您可以在不包含該帳戶的範圍內儲存您的變更。

步驟 3：指定稽核擁有者

在此步驟中，您可以指定評估的稽核擁有者。稽核擁有者是工作場所中負責管理稽核管理員評估的個 DevOps 人 (通常來自GRC SecOps、或小組)。我們建議他們使用AWSAuditManagerAdministratorAccess政策。

如需指定稽核擁有者

1. 在稽核擁有者下，檢閱目前的稽核擁有者清單。[稽核擁有者] 欄會顯示使用者IDs和角色。此AWS 帳戶欄會顯示該稽核擁有者 AWS 帳戶 的。

2. 核取方塊已選擇的稽核擁有者會包含在您的評估中。清除任何稽核擁有者的核取方塊，即可將其從評估中移除。您可以使用搜尋列，按名稱或 AWS 帳戶搜尋尋找其他稽核擁有者。

3. 完成時，選擇下一步。

步驟 4：檢閱和建立

檢閱評估的資訊。如需變更步驟的資訊，請選擇編輯。完成後，請選擇 建立評估。

該動作意味著評估證據持續收集過程的開始。建立評估之後，系統會繼續收集證據，直到您變更評估狀態為非作用中為止。或者，您可以將控制項狀態變更為非作用中，來停止特定控制項的證據收集。

注意

自動證據在您的評估建立後 24 小時內即可使用。Audit Manager 會自動從多個資料來源收集證據，而證據收集的頻率根據證據類型而定。如需進一步了解，請參閱本指南中的 證據收集頻率。

後續步驟

若要稍後重新檢視您的評估，請參閱尋找您的評估 AWS Audit Manager。您可以依照下列步驟找出您的評估，以便檢視、編輯或繼續處理評估。

其他資源

如需 Audit Manager 中評估問題的解決方案，請參閱疑難排解評估和證據收集問題。