設定您的預設評估報告目標

當您產生評估報告時，Audit Manager 會將報告發佈到您選擇的 S3 儲存貯體。此 S3 儲存貯體稱為assessment report destination. 您可以選擇 Audit Manager 將評估報告存放在其中的 S3 儲存貯體。

必要條件

評估報告目的地的組態提示

為確保成功產生評估報告，我們建議您針對評估報告目標使用下列設定。

相同區域儲存貯體

我們建議您使用與您的評估處於相同 AWS 區域的 S3 儲存貯體。當您使用相同區域儲存貯體和評估時，您的評估報告最多可包含 22,000 個證據項目。相反地，當您使用跨區域儲存貯體和評估時，只能包含 3,500 個證據項目。

AWS 區域

您 AWS 區域的客戶受管金鑰 (如果提供的話) 必須與評估區域和評估報告目標 S3 儲存貯體相符。如需如何變更 KMS 金鑰的指示，請參閱設定您的資料加密設定。如需支援的 Audit Manager 區域清單，請參閱 Amazon Web Services 一般參考中的 AWS Audit Manager 端點和配額。

S3 儲存貯體加密

如果您的評估報告目的地具有需要進行 SSE-KMS 伺服器端加密 (SSE) 的儲存貯體政策，則該儲存貯體政策中使用的 KMS 金鑰必須與您在 Audit Manager 資料加密設定中設定的 KMS 金鑰相符。如果您未在 Audit Manager 設定中設定 KMS 金鑰，且您的評估報告目的地儲存貯體政策需要 SSE，請確定儲存貯體政策允許 SSE-S3。如需如何設定用於資料加密之 KMS 金鑰的指示，請參閱設定您的資料加密設定。

跨帳戶 S3 儲存貯體

Audit Manager 主控台不支援將跨帳戶 S3 儲存貯體用作評估報告目的地。您可以使用 AWS CLI 或其中一個 AWS SDK 來指定跨帳戶儲存貯體做為評估報告目的地，但為了簡單起見，我們建議您不要這麼做。如果您選擇將跨帳戶 S3 儲存貯體用作評估報告目的地，請考慮以下幾點。

根據預設，S3 物件 (例如評估報告) 由上 AWS 帳戶傳物件所擁有。您可以使用 S3 物件擁有權設定更改該預設行為，以便由具有 bucket-owner-full-control 標準存取控制清單 (ACL) 的帳戶寫入的任何新物件自動為儲存貯體擁有者所有。

我們雖不要求，但建議您對跨帳戶儲存貯體設定進行下列變更。進行這些變更可確保儲存貯體擁有者完全控制您發佈至其儲存貯體的評估報告。
- 將 S3 儲存貯體的物件擁有權設定為首選儲存貯體擁有者，而非預設物件寫入器
- 新增儲存貯體政策以確保上傳至該儲存貯體的物件具有 bucket-owner-full-control ACL

如需允許 Audit Manager 在跨帳戶 S3 儲存貯體中發佈報告，您必須將下列 S3 儲存貯體政策新增至評估報告目的地。以您自己的資訊取代預留位置文字。此政策中的 Principal 元素是擁有評估並建立評估報告的使用者或角色。Resource 指定發佈報告的跨帳戶 S3 儲存貯體。


{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Sid": "Allow cross account assessment report publishing",
          "Effect": "Allow",
          "Principal": {
              "AWS": "arn:aws:iam::AssessmentOwnerAccountId:user/AssessmentOwnerUserName"
          },
          "Action": [
              "s3:ListBucket",
              "s3:PutObject",
              "s3:GetObject",
              "s3:GetBucketLocation",
              "s3:PutObjectAcl",
              "s3:DeleteObject"
          ],
          "Resource": [
              "arn:aws:s3:::CROSS-ACCOUNT-BUCKET",
              "arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*"
          ]
      }
  ]
}

顯示較多

顯示較少