設置AWS Marketplace供應商洞察 - AWS Marketplace

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設置AWS Marketplace供應商洞察

以下過程描述了在AWS Marketplace軟件即服務(SaaS)列表上設置AWS Marketplace供應商見解的高級步驟。

在您的 SaaS 清單上設置AWS Marketplace供應商見解
  1. 建立安全性描述檔.

  2. (選用) 上傳認證

  3. 上傳自我評估.

  4. (選用) 啟用AWS Audit Manager自動化評估

建立安全性描述檔

安全性設定檔可讓您的購買者詳細瞭解軟體產品的安全性狀態。安全性設定檔使用關聯的資料來源,包括自我評估、認證和自AWS Audit Manager動評估。

注意

您可以建立有限數量的安全性設定檔。若要建立更多安全性設定檔,請求提高配額。如需詳細資訊,參閱 AWS AWS 一般參考.

建立安全性設定檔
  1. 使用可存取AWS Marketplace賣家帳戶的 IAM 使用者或角色登入。

  2. 選擇「產品」,然後選取「SaaS」以導覽至 Saas 產品頁面。

  3. 選擇產品

  4. 選擇「供應商洞察」標籤,然後選擇「聯絡 Support」以新增安全性設定檔

  5. 填寫表格,然後選擇「提交」。

    AWS Marketplace賣家營運團隊會建立安全性設定檔。當安全性設定檔準備就緒時,他們會傳送通知電子郵件訊息給表單上識別的收件者。

上傳認證

認證是一種資料來源,可提供跨多個維度產品安全狀態的證據。 AWS Marketplace供應商洞察支援下列認證:

  • FedRAMP 認證 — 驗證符合美國政府雲端安全標準

  • GDPR 合規性報告 — 證明遵守通用數據保護條例(GDPR)要求,保護個人數據和個人隱私權

  • HIPAA 法規遵循報告 — 證明遵守《Health 保險可攜性與責任法案》(HIPAA) 法規,保護受保護的健康資訊

  • ISO/IEC 27001 稽核報告 — 確認符合國際標準化組織 (ISO)/國際電工委員會 (IEC) 27001,強調資訊安全標準

  • PCI DSS 審核報告 — 展示符合 PCI 安全標準委員會制定的安全標準

  • SOC 2 類型 2 稽核報告 — 確認服務組織控制 (SOC) 資料隱私權和安全性控制的合規性

若要上傳認證
  1. 在「供應商見解」索引標籤上,導覽至「資料來源」區段。

  2. 認證下,選擇上傳認證

  3. 在「認證詳細資料」下,提供所需的資訊並上傳認證。

  4. (選擇性) 在標籤下,新增標籤。

    注意

    如需標籤的相關資訊,請參閱標記 AWS 資源使用者指南中的標記 AWS 資源

  5. 選擇 [上傳認證]。

    注意

    認證會自動與目前的安全性設定檔產生關聯。您也可以關聯已上傳的認證。在產品詳細資訊頁面上,選擇認證下的關聯認證,從清單中選取認證,然後選擇關聯認證

    上傳認證後,您可以使用產品詳細資料頁面上的 [下載認證] 按鈕下載認證。您也可以使用「更新證明」按鈕來更新證明明細。

    認證狀態會變更為,ValidationPending直到驗證認證詳細資料為止。在處理資料來源期間和之後,都會顯示替代狀態:

    • 可用 — 已上傳資料來源,且系統驗證順利完成。

    • AccessDenied — AWS Marketplace 供應商洞察不再可以讀取數據源的外部源引用。

    • ResourceNotFound — 資料來源的外部來源參照不再可供讀 VendorInsights 取。

    • ResourceNotSupported — 已上傳資料來源,但尚不支援提供的來源。如需有關驗證錯誤的詳細資訊,請參閱狀態訊息。

    • ValidationPending — 已上傳資料來源,但系統驗證仍在執行中。目前階段沒有適合您的行動項目。狀態會更新為「可用」 ResourceNotSupported、或 ValidationFailed。

    • ValidationFailed — 已上傳資料來源,但由於一個或多個原因,系統驗證失敗。如需有關驗證錯誤的詳細資訊,請參閱狀態訊息。

上傳自我評估

自我評估是一種資料來源,可提供產品安全性狀態的證據。 AWS Marketplace供應商洞察支持以下自我評估:

  • AWS Marketplace供應商洞察自我評估

  • 共識評估倡議問卷 (CAIQ)

上傳自我評估
  1. 在「供應商見解」索引標籤上,導覽至「資料來源」區段。

  2. 在「自我評估」下,選擇「上傳自我評估」

  3. 在「自我評估詳細資料」下,完成下列資訊:

    1. 名稱 — 輸入自我評估的名稱。

    2. 類型 — 從下拉式清單中選擇評估類型。

      注意

      如果您選擇「供應商見解安全性自我評估」,請選擇「下載範本」以下載自我評估。針對試算表中的每個答案,選擇「是」、「否」或「N/A」。

  4. 若要上傳已完成的評估,請選擇「上傳自我評估」。

  5. (選擇性) 在標籤下,新增標籤。

    注意

    有關標籤的資訊,請參閱標記資AWS源使用指南中的標記AWS資源

  6. 選擇 [上傳自我評估]。

    注意

    自我評估會自動與目前的安全性設定檔產生關聯。您也可以關聯已上傳的自我評估。在產品詳細資訊頁面上,選擇「自我評估」下的「關聯自我評估」,從清單中選取自我評估,然後選擇「關聯自我評估」。

    上傳自我評估後,您可以使用產品詳細資料頁面上的「下載自我評估」按鈕進行下載。您也可以使用「更新自我評估」按鈕來更新自我評估詳細資訊。

    狀態會更新為下列其中一項:

    • 可用 — 已上傳資料來源,且系統驗證順利完成。

    • AccessDenied — 資料來源的外部來源參照不再可供讀 VendorInsights 取。

    • ResourceNotFound — 資料來源的外部來源參照不再可供讀 VendorInsights 取。

    • ResourceNotSupported — 已上傳資料來源,但尚不支援提供的來源。如需有關驗證錯誤的詳細資訊,請參閱狀態訊息。

    • ValidationPending — 已上傳資料來源,但系統驗證仍在執行中。目前階段沒有適合您的行動項目。狀態會更新為「可用」 ResourceNotSupported、或 ValidationFailed。

    • ValidationFailed — 已上傳資料來源,但由於一個或多個原因,系統驗證失敗。如需有關驗證錯誤的詳細資訊,請參閱狀態訊息。

啟用AWS Audit Manager自動化評估

AWS Marketplace供應商洞察使用多個AWS 服務來自動為您的安全配置文件收集證據。

您需要下列資源AWS 服務以進行自動化評估:

  • AWS Audit Manager— 為了簡化AWS Marketplace供應商洞察設置,我們使用 AWS CloudFormation Stack 和 StackSets,它負責佈建和配置必要的資源。堆疊集會建立自動化評估,其中包含由自動填入的控制項AWS Config。

    如需有關 AWS Audit Manager 的詳細資訊,請參閱《 使用者指南》AWS Audit Manager

  • AWS Config-堆棧集部署一AWS Config致性包來設置必要的規則。AWS Config這些規則可讓 Audit Manager 自動評估收集其中AWS 服務部署的其他人的即時證據AWS 帳戶。如需有關AWS Config功能的詳細資訊,請參閱開AWS Config發人員指南

    注意

    您可能會注意到初始錄製月份的帳戶活動與AWS Config後續月份相比有所增加。在初始啟動載入程序期間,AWS Config檢閱您帳戶中選取AWS Config要記錄的所有資源。

    如果您正在執行暫時工作負載,您可能會看到活動增加,AWS Config因為它會記錄與建立和刪除這些暫時資源相關的組態變更。暫時性工作負載是暫時使用因需要而載入和執行的運算資源。臨時工作負載的範例包括 Amazon Elastic Compute Cloud (Amazon EC2) 競價型執行個體、Amazon EMR 任務和. AWS Auto Scaling AWS Lambda 若要避免因執行臨時工作負載而增加的活動,您可以在關閉的情況下在單獨的帳戶中執行這些類型的工作負載。AWS Config此方法可避免增加組態記錄和規則評估。

  • Amazon S3 — 堆棧集創建以下兩個 Amazon Simple Storage Service (Amazon S3) 存儲桶:

    • vendor-insights-stack-set-輸出桶-{帳戶號碼}-此存儲桶包含來自堆棧集運行的輸出。AWS Marketplace賣方營運團隊會使用輸出來完成您的自動化資料來源建立程序。

    • vendor-insights-assessment-reports-bucket-{帳戶號碼} — 將評估報告AWS Audit Manager發佈到此 Amazon S3 儲存貯體。如需有關發佈評估報告的詳細資訊,請參閱AWS Audit Manager使用指南中的評估報告

      如需有關 Amazon S3 功能的詳細資訊,請參閱 Amazon S3 使用者指南

  • IAM — 上架堆疊集會在您的帳戶中佈建下列 AWS Identity and Access Management (IAM) 角色:

    • 部署VendorInsightsPrerequisiteCFT.yml範本時,它會建立管理員角色AWSVendorInsightsOnboardingStackSetsAdmin和執行角色AWSVendorInsightsOnboardingStackSetsExecution。堆疊集會使用系統管理員角色,同時將所需的堆疊部署至AWS 區域多個。管理員角色扮演執行角色,將必要的父堆疊和巢狀堆疊部署為「AWS Marketplace供應商見解」設定程序的一部分。如需有關自我管理權限的詳細資訊,請參閱AWS CloudFormation使用指南中的授與自我管理權限

    • AWSVendorInsightsRole角色為供AWS Marketplace應商洞察提供了讀取AWS Audit Manager資源評估的訪問權限。 AWS Marketplace供應商洞察會在您的供應AWS Marketplace商洞察個人資料中顯示評估中找到的證據。

    • AWSVendorInsightsOnboardingDelegationRole供AWS Marketplace應商洞察提供對存vendor-insights-stack-set-output-bucket儲桶中列表和讀取對象的訪問權限。此功能可讓目AWS Marketplace錄營運團隊協助您設定AWS Marketplace廠商洞察資料檔。

    • AWSAuditManagerAdministratorAccess角色提供管理員存取權,以啟用或停用AWS Audit Manager、更新設定以及管理評量、控制項和架構。您或您的團隊可以擔任此角色,以針對中的自動評估採取行動AWS Audit Manager。

若要啟用AWS Audit Manager自動化評估,您必須部署上架堆疊。

部署入職堆疊

為了簡化AWS Marketplace供應商洞察設置 StackSets,我們使用 AWS CloudFormation Stack 和負責佈建和配置必要資源。如果您有多個帳戶或多個 AWS 區域 SaaS 解決方案,可 StackSets 讓您從中央管理帳戶部署入職堆疊。

若要取得有關的更多資訊 CloudFormation StackSets,請參閱使用指南AWS CloudFormation StackSets中的〈AWS CloudFormation使用〉。

AWS Marketplace供應商洞察設置要求您使用以下 CloudFormation 模板:

  • VendorInsightsPrerequisiteCFT— 設定必要的管理員角色和權限,以便 CloudFormation StackSets 在您的帳戶中執行。在賣家帳戶中建立此堆疊。

  • VendorInsightsOnboardingCFT— 設定必要項目AWS 服務並設定適當的 IAM 許可。這些權限允許AWS Marketplace供應商洞察收集在您的 SaaS 產品的數據,AWS 帳戶並在您的AWS Marketplace供應商見解個人資料中顯示數據。在託管 SaaS 解決方案的賣家帳戶和生產帳戶中創建此堆棧 StackSets。

建立 VendorInsightsPrerequisiteCFT 堆疊。

透過執行VendorInsightsPrerequisiteCFT CloudFormation 堆疊,您可以設定 IAM 許可以開始上架堆疊集。

建立VendorInsightsPrerequisiteCFT堆疊的步驟
  1. 從 GitHub網站上的供應商見解範AWS本資料夾中檢閱並下載最新VendorInsightsPrerequisiteCFT.yml檔案。

  2. AWS Management Console使用您的AWS Marketplace賣家帳戶登入,然後在 https://console.aws.amazon.com/cloudformation 開啟AWS CloudFormation主控台。

  3. 在 CloudFormation 主控台導覽窗格中,選擇 [堆],然後從下拉式清單中選擇 [建立堆疊] 和 [使用新資源 (標準)]。(如果看不見導覽窗格,請在左上角選取並展開導覽窗格。)

  4. 在「指定範本」下,選擇「上傳範本檔案」。若要上傳您下載的VendorInsightsPrerequisiteCFT.yml檔案,請使用 [選擇檔案]。然後選擇 Next(下一步)

  5. 輸入堆疊的名稱,然後選擇 [下一步]。

  6. (選擇性) 視需要設定堆疊選項。

    選擇下一步

  7. Review (檢閱) 頁面上,檢視您的選擇。若要進行變更,請在您要變更的區域中選擇 「編輯」。您必須先選取 [權能] 區域中的確認核取方塊,才建立堆疊。

    選擇提交

  8. 建立堆疊之後,請選擇 [資] 索引標籤,並記下所建立的下列角色:

    • AWSVendorInsightsOnboardingStackSetsAdmin

    • AWSVendorInsightsOnboardingStackSetsExecution

建立VendorInsightsOnboardingCFT堆疊組

透過執行VendorInsightsOnboardingCFT CloudFormation 堆疊集,您可以設定必要項目AWS 服務並設定適當的 IAM 許可。這使AWS Marketplace供應商洞察可以收集在您的 SaaS 產品中運行的數據,AWS 帳戶並將其顯示在您的AWS Marketplace供應商洞察個人資料中。

如果您有多帳戶解決方案,或者您有單獨的賣家和生產帳戶,則必須在多個帳戶中部署此堆疊。 StackSets 可讓您從建立必要條件堆疊的管理帳戶執行此動作。

堆疊集是使用自我管理的權限來部署。如需詳細資訊,請參閱AWS CloudFormation使用者指南中的建立具有自我管理許可的堆疊集

建立VendorInsightsOnboardingCFT堆疊組
  1. 從 GitHub網站上的供應商見解範AWS本資料夾中檢閱並下載最新VendorInsightsOnboardingCFT.yml檔案。

  2. AWS Management Console使用您的AWS Marketplace賣家帳戶登錄,然後在 https://console.aws.amazon.com/cloudformation 打開AWS CloudFormation控制台。

  3. 在 CloudFormation 主控台瀏覽窗格中,選擇 [建立] StackSet。(如果看不見導覽窗格,請在左上角選取並展開導覽窗格。)

  4. 在 [權限] 下,針對管理員角色選擇 IAM 角色名稱,然後從下拉式清單中選擇AWSVendorInsightsOnboardingStackSetsAdmin角色名稱。

  5. AWSVendorInsightsOnboardingStackSetsExecutionIAM 執行角色名稱

  6. 在「指定範本」下,選擇「上傳範本檔案」。若要上傳您下載的VendorInsightsOnboardingCFT.yml檔案,請使用 [選擇檔案],然後選擇 [下步]。

  7. 提供下列 StackSet 參數,然後選擇 [下一步]。

    • CreateVendorInsightsAutomatedAssessment— 此參數會AWS Audit Manager在您的AWS 帳戶. 如果您有個別的管理和生產帳戶,則只應針對生產帳戶選取此選項,而能針對管理帳戶選取此選項。

    • CreateVendorInsightsIAMRoles— 此參數提供 IAM 角色,該角色允許AWS Marketplace供應商洞察讀取AWS 帳戶.

    • PrimaryRegion— 此參數會設定 SaaS 部署AWS 區域的主要參數。這是在. 中建立 S3 儲存貯體的區域AWS 帳戶。如果您的 SaaS 產品僅部署到一個區域,則該區域為主要區域。

  8. 根據需要配置 StackSet 選項。將 [行] 組態保持為非作用中,然後選擇 [下一步]。

  9. 設定部署選項。如果您有多帳戶解決方案,則可以將堆疊集設定為在多個帳戶和區域中部署為單一作業。選擇下一步

    注意

    如果您有多帳戶解決方案,我們建議以單一堆疊集的形式部署到所有帳戶。密切注意步驟 7 中定義的參數。您可能想要啟用或停用某些參數,視您要部署的帳戶類型而定。 StackSets 將相同的參數套用至單一部署中的所有指定帳戶。您可以將堆疊集中的帳戶分組,以縮短部署時間,但是您仍然需要針對多帳戶解決方案多次部署。

    重要

    如果您要部署到多個區域,您列出的第一個區域必須是PrimaryRegion. 將「區域並行」選項保留為「連續」的預設設定。

  10. Review (檢閱) 頁面上,檢視您的選擇。若要進行變更,請在您要變更的區域中選擇 「編輯」。您必須先選取 [權能] 區域中的確認核取方塊,才建立堆疊集。

    選擇提交

    每個區域的堆疊集大約需要 5 分鐘才能完成。