架構共享概念和術語

瞭解下列重要概念後，您可以更充分地運用 AWS Audit Manager 自訂架構共享功能。

重點

寄件者

這是共享請求的創建者以及自定義框架的存在 AWS 帳戶 位置。寄件者可以與任何 AWS 帳戶. 或者，他們將自定義框架複製到自己帳戶 AWS 區域 下支持的任何內容。

收件人

這是共享架構的消費者。收件者可以接受或拒絕寄件者的共享要求。

注意

收件者可以是委派系統管理員帳戶。不過，您無法與 AWS Organizations 管理帳戶共用自訂架構。

架構資格

您只能共享自訂架構。默認情況下，標準框架已經存在於所有 AWS 帳戶 和啟用的 AWS 區域 AWS Audit Manager 位置。此外，您共享的自訂架構不得包含敏感資料。這包括在架構本身中找到的資料、其控制集，以及屬於自訂架構一部分的任何自訂控制項。

重要

由提供的一些標準框架 AWS Audit Manager 包含受許可協議約束的受版權保護的材料。自訂架構可能包含衍生自這些架構的內容。如果標準架構被指定為不符合共用資格，則您不得共用衍生自標準架構的自訂架構 AWS，除非您已取得標準架構擁有者的許可。

若要瞭解哪些標準架構符合共享資格，請參閱下表。

標準架構名稱	符合分享資格的自訂版本
澳大利亞網絡安全中心（ACSC）基本八	是
澳大利亞網絡安全中心（ACSC）信息安全手冊（ISM）2023 年 3 月 2 日	是
Amazon Web Services（AWS）Audit Manager 示例框架	是
AWS Control Tower 防護機制	是
AWS 生成人工智慧最佳實務架構 v2	是
AWS License Manager	是
AWS 基礎安全性最佳做法	是
AWS 營運最佳實務	是
Amazon Web Services（AWS）架構良好的框架（WAF）v10	是
加拿大網絡安全中心（CCCS）中等雲端控制	否
互聯網安全中心（CIS）Amazon Web Services（AWS）基準 v1.2.0，1 級	否
互聯網安全中心（CIS）Amazon Web Services（AWS）基準 v1.2.0，第一級和第二級	否
互聯網安全中心（CIS）Amazon Web Services（AWS）基準 v1.3.0，1 級	否
互聯網安全中心（CIS）Amazon Web Services（AWS）基準 v1.3.0，第一級和第二級	否
互聯網安全中心（CIS）Amazon Web Services（AWS）基準 v1.4.0，第一級	否
互聯網安全中心（CIS）Amazon Web Services（AWS）基準 v1.4.0，第一級和第二級	否
互聯網安全中心（CIS）7.1 版, IG1	是
CIS重要安全性控制版本 8.0 (CISv8.0)、IG1	否
聯邦風險與授權管理計畫 (FedRAMP) 安全基準控制 r4, 中等	是
2016 年《一般資料保護GDPR條例》	是
格拉姆-里奇-比利雷法案 GLBA	是
標題 21 聯邦法規（CFR）第 11 部，電子記錄；電子簽名-範圍和應用範圍 2023 年 5 月 24 日	是
EudraLex -歐洲聯盟藥用品管制規則（第四冊：良好生產規範（GMP）人類及獸醫用藥品-附件 11	是
《Health 保險可攜性與責任法案》（HIPAA）安全規則：2003 年 2 月	是
Health 保險可攜性和責任法案（HIPAA）綜合最終規則	是
國際標準化組織 (ISO)/國際電工委員會 (IEC) 27001:2013 附件 A	否
NIST800-53 版 5: 資訊系統與 Organizations 的安全與隱私控制	是
NIST網絡安全框架（CSF）1.1 版	是
NIST800-171 修訂版 2：保護非聯邦系統與 Organizations 中受控制的非機密資訊	是
支付卡產業資料安全標準 (PCIDSS) v3.2.1	否
支付卡產業資料安全標準 (PCIDSS) v4.0	否
證明參與標準聲明 (SSAE) 第 18 號，服務 Organizations 控制 (SOC) 報告 2	否

分享要求

如果共享自訂架構，您可以建立共享要求。共享要求會指定收件者，並通知他們有可用的自訂架構。收件者有 120 天的時間可以接受或拒絕來回應共享要求。如果 120 天內未採取任何動作，則共享要求就會過期，且收件者無法將自訂架構新增至其架構程式庫。寄件者和收件者可以從架構程式庫的共享要求頁面檢視共享要求，並針對共享要求採取動作。

共享要求狀態

共享要求可以有下列任何一種狀態。

狀態	描述
Active (作用中)	這表示已成功傳送給收件者並等待其回應的共用要求。
即將到期	這表示未來 30 天內到期的共用要求。
共享	這表示收件者接受的共用要求。
非作用中	這表示共用要求在收件者採取動作之前已撤銷、拒絕或過期。
複製	這表示正在複寫至收件者架構程式庫的已接受共用要求。
失敗	這表示未成功傳送給收件者的共用要求。

分享要求通知

Audit Manager 會在收到共享要求時通知收件者。當共享要求即將在接下來 30 天的某個時間到期時，收件者和寄件者都會收到通知。

• 若為收件者，已接收狀態為有效或即將到期的請求旁會出現一個藍色的通知點。收件者可以透過接受或拒絕共享要求來解決通知。

• 對寄件者而言，已傳送的要求旁會出現藍色通知圓點，狀態為即將到期。收件者接受或拒絕要求時，解決通知。否則，要求在到期後會自動消失。此外，寄件者可以透過撤銷共享要求來解決通知。

寄件者所有權

寄件者會維護他們共享的自訂架構完整存取權。他們可以在共享要求到期前，隨時透過撤銷共享要求來取消有效的共享要求。不過，收件者接受共享要求後，寄件者便無法再撤銷收件者對該自訂架構的存取權。這是因為當收件者接受要求時，Audit Manager 會在收件者的架構程式庫中建立自訂架構的獨立副本。

除了複寫寄件者的自訂架構之外，Audit Manager 也會複寫屬於該架構的所有自訂控制集和自訂控制項。不過，Audit Manager 不會複製任何附加至自訂架構的標籤。

收件者所有權

收件者可以完整存取他們接受的自訂架構。當收件者接受要求時，Audit Manager 會將自訂架構複寫到其架構程式庫的自訂架構索引標籤。接下來，收件者可以使用與任何其他自訂架構相同的方式來管理共享自訂架構。收件者可以共享從其他寄件者獲得的自訂架構。收件者無法封鎖寄件者傳送共享要求。

共享架構到期

當寄件者建立共享要求時，Audit Manager 會將要求設定為在 120 天後過期。收件者可以在要求到期之前接受並取得共享架構的存取權。如果收件者在此期間不接受，共享要求就會過期。在此之後，過期共享要求的紀錄仍會保留在其歷史紀錄中。過期共用架構的快照會存檔到 S3 儲存貯體，且為期一年，以TTL供稽核之用。

寄件者可以在共享要求到期前，隨時選擇撤銷共享要求。

共享架構資料儲存和備份

當您建立共用請求時，Audit Manager 會將自訂架構的快照儲存在美國東部 (維吉尼亞北部) AWS 區域。Audit Manager 也會將相同快照的備份儲存在美國西部 (奧勒岡) AWS 區域。

當發生下列其中一個事件時，Audit Manager 會刪除快照和備份快照：

• 寄件者撤銷共享要求。

• 收件者拒絕共享要求。

• 收件者遇到錯誤且未成功接受共享要求。

• 共享要求會在收件者回應要求之前過期。

當寄件者重新傳送共享要求時，快照會取代為與自訂架構最新版本相對應的更新版本。

當收件者接受共用要求時，快照會 AWS 帳戶 根據共用要求中指 AWS 區域 定的快照複製到其中。

共享架構版本控制

當您共用自訂架構時，Audit Manager 會在指定的 AWS 帳戶 和 [區域] 中建立該架構的獨立副本。這表示您應該牢記以下幾點：

• 收件者接受的共享架構，是建立共享要求時該架構的快照。如果您在傳送共享要求後更新原始自訂架構，則不會自動更新要求。若要共享已更新架構的最新版本，您可以重新傳送共享要求。此新快照的到期日為重新共享日期起 120 天。

• 當您與另一個人共享自定義框架， AWS 帳戶 然後從框架庫中刪除它時，共享的自定義框架仍保留在收件者的框架庫中。

• 當您將自定義框架共享給您帳戶 AWS 區域 下的另一個框架，然後在第一個中刪除該自定義框架時 AWS 區域，自定義框架將保留在第二個區域中。

• 當您在接受共享自訂架構之後刪除它時，任何複寫為自訂架構一部分的自訂控制項，都會保留在您的控制項程式庫中。

其他資源

• 發送共享自定義框架的請求 AWS Audit Manager

• 回應中的共用要求 AWS Audit Manager

• 刪除共用要求 AWS Audit Manager

• 疑難排解架構問