本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
如果您組織的合規性需求與中可用的預先建置標準控制項不一致 AWS Audit Manager,您可以從頭開始建立自己的自訂控制項。
本頁概述建立根據您的特定需求量身打造的自訂控制項的步驟。
必要條件
請確定您的 IAM 身分具有在中建立自訂控制項的適當許可 AWS Audit Manager。授與這些權限的兩個建議政策是AWSAuditManagerAdministratorAccess和授予使用者 AWS Audit Manager管理存取權。
要從 AWS Config 和 Security Hub 成功收集證據,請確保您執行以下操作:
然後,每次針對指定 AWS Config 規則或 Security Hub 控制項進行評估時,Audit Manager 就可以收集證據。
程序
步驟 1:指定控制項詳細資訊
首先指定自訂控制項的詳細資訊。
重要
強烈建議您不要將敏感的識別資訊放入任意格式表單欄位,例如「控制項詳細資料」或「測試資訊」。如果您建立內含敏感資訊的自訂控制項,您不得共用包含這些控制項的任何自訂架構。
如需指定控制項詳細資訊
開啟 AWS Audit Manager 主控台,網址為 https://console.aws.amazon.com/auditmanager/home
。 -
在導覽窗格中選取控制項資料庫,然後選取建立自訂控制項。
-
在控制項詳細資訊下,輸入下列有關控制項的資訊。
-
控制項 — 輸入好記的名稱、標題或風險評估問題。此值可協助您分辨控制項程式庫中的控制項。
-
說明(選擇性) — 輸入詳細資訊,協助其他人瞭解控制項的目標。此說明會顯示在控制項詳細資訊頁面上。
-
-
在測試資訊下,輸入測試控制項的建議步驟。
-
在標籤下,選擇新增標籤,將標籤與控制項產生關聯。您可以指定一個索引鍵,為此控制項支援的相容性架構標籤提供最適合的說明。標籤索引鍵是必要的,當您在控制項程式庫中搜尋此控制項時,可用來做為搜尋條件。
-
選擇下一步。
步驟 2:指定證據來源
接下來,指定一些證據來源。證據來源可決定您的自訂控制項從何處收集證據。您可以使用 AWS 受管來源、客戶管理來源,或兩者兼而有之。
提示
我們建議您使用 AWS 受管理的來源。每當受 AWS 管理的來源更新時,相同的更新都會自動套用至使用這些來源的所有自訂控制項。這表示您的自訂控制項會針對該證據來源的最新定義收集證據。
如果您不確定要選擇哪些選項,請參閱下列範例和我們的建議。
| 您的角色 | 您的目標 | 推薦的證據來源 |
|---|---|---|
|
GRC 專業 |
我想收集特定網域或目標的證據 |
AWS 管理(common control) 使用對映至特定通用控制項的預先定義資料來源群組。 |
| 技術專家 |
我想收集有關我負責的 AWS 資源的證據 |
AWS 管理(core control) 使用對映至 AWS 需求的預先定義資料來源群組。 |
| 技術專家 |
我想使用自訂 AWS Config 規則來收集證據 |
客戶管理 (自動化data source) 使用自訂資料來源收集特定的自動化證據。 |
|
GRC 專業 |
我想收集證據,例如文件和文本回复 |
客戶管理 (手動data source) 使用自訂資料來源上傳您自己的手動證據。 |
我們建議您從選擇一個或多個常用控制項開始。當您選擇代表目標的共同控制項時,Audit Manager 會收集所有支援核心控制項的相關證據。如果您想要收集有關 AWS 環境的目標證據,也可以選擇個別的核心控制項。
若要指定 AWS 受管理的來源
-
前往頁面的AWS 受管理來源區段。
-
若要新增通用控制項,請依照下列步驟執行:
-
選取 [使用符合法規遵循目標的通用控制項]。
-
從下拉式清單中選擇一般控制項。
-
(選擇性) 視需要重複步驟 2。您最多可以新增五個常用控制項。
-
-
若要移除一般控制項,請選擇控制項名稱旁邊的 X。
-
若要新增核心控制項,請依照下列步驟執行:
-
選取 [使用符合規範 AWS 準則的核心控制項]。
-
從下拉式清單中選擇一般控制項。
-
(選擇性) 視需要重複步驟 4。您最多可以新增 50 個核心控制項。
-
-
若要移除核心控制項,請選擇控制項名稱旁邊的 X。
-
若要新增客戶管理的資料來源,請遵循下列步驟。否則請選擇 Next (下一步)。/
若要從資料來源收集自動證據,您必須選擇資料來源類型和資料來源對映。這些詳細資料會對應到您的 AWS 使用情況,並告知 Audit Manager 從何處收集證據。如果您想提供自己的證據,則應改為選擇手動資料來源。
注意
您必須負責維護在此步驟中建立的資料來源對應。
若要指定客戶管理的來源
-
前往頁面的「客戶管理來源」區段。
-
選取「使用資料來源」以收集手動或自動證據。
-
選擇新增。
-
請選擇下列其中一個選項:
-
選擇 AWS API 呼叫,然後選擇 API 呼叫和證據收集頻率。
-
選擇AWS CloudTrail 事件,然後選擇事件名稱。
-
選擇AWS Config 受管規則,然後選擇規則識別碼。
-
選擇AWS Config 自訂規則,然後選擇規則識別碼。
-
選擇「AWS Security Hub 控制」,然後選擇「Security Hub」控制項。
-
選擇「手動資料來源」,然後選擇一個選項:
-
檔案上傳 — 如果控制項需要文件作為證據,請使用此選項。
-
文字回應 — 如果控制項需要風險評估問題的答案,請使用此選項。
-
提示
如需有關自動資料來源類型和疑難排解秘訣的資訊,請參閱自動化證據支援的資料來源類型。
如果您需要與專家一起驗證資料來源設定,請立即選擇「手動資料來源」。這樣,您就可以建立控制項並立即將其新增至架構,然後視需要編輯控制項。
-
-
在 [資料來源名稱] 下,提供描述性名稱。
-
(選擇性)在其他詳細資訊下,輸入資料來源說明和疑難排解說明。
-
選擇新增資料來源。
-
(選擇性) 若要新增其他資料來源,請選擇「新增」,然後重複步驟 1-7。您最多可以新增 100 個資料來源。
-
若要移除資料來源,請從表格中選取資料來源,然後選擇「移除」。
-
完成時,選擇下一步。
步驟 3 (選擇性):定義行動計劃
接下來,指定需要修正此控制項時要採取的動作。
重要
我們強烈建議您不要將敏感的識別資訊放入任意格式欄位 (例如「行動計劃」) 中。如果您建立內含敏感資訊的自訂控制項,您不得共用包含這些控制項的任何自訂架構。
定義行動計劃
-
在標題下,輸入行動計劃的描述性標題。
-
在「指示」下,輸入行動計劃的詳細指示。
-
選擇下一步。
步驟 4:檢閱並建立控制項
檢閱控制項的資訊。如需變更步驟的資訊,請選擇編輯。
完成時,請選擇建立自訂控制項。
後續步驟
建立新的自訂控制項之後,您可以將其新增至自訂架構。如需進一步了解,請參閱 在中建立自訂架構 AWS Audit Manager 和 編輯自訂架構 AWS Audit Manager。
將自訂控制項新增至自訂架構後,您可以建立評估並開始收集證據。如需進一步了解,請參閱在 中建立評估 AWS Audit Manager。
若要稍後重新造訪您的自訂控制項,請參閱尋找可用的控制項 AWS Audit Manager。您可以依照下列步驟找出自訂控制項,以便檢視、編輯或刪除它。
其他資源
如需在 Audit Manager 中控制問題的解決方案,請參閱控制項和控制集問題疑難排解。
