Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# ¿Qué es AWS Audit Manager?
Bienvenido a la Guía AWS Audit Manager del usuario.
AWS Audit Manager le ayuda a auditar continuamente su AWS consumo para simplificar la gestión del riesgo y el cumplimiento de las normativas y los estándares del sector. Audit Manager automatiza la recopilación de evidencias para que pueda evaluar más fácilmente si sus políticas, procedimientos y actividades (también conocidas como *controles*) son eficaces. Llegado el momento de una auditoría, Audit Manager le ayuda a gestionar las revisiones de sus controles por parte de las personas interesadas. Esto significa que puede crear informes listos para la auditoría con mucho menos esfuerzo manual.
Audit Manager proporciona marcos prediseñados que estructuran y automatizan las evaluaciones para normas o reglamentos de cumplimiento determinados. Estos marcos incluyen una colección prediseñada de controles con descripciones y procedimientos de prueba. Asimismo, se agrupan según los requisitos de la norma o reglamento de cumplimiento en cuestión. También puede personalizar los marcos y los controles para las auditorías internas de acuerdo con sus requisitos específicos.
Puede crear evaluaciones desde cualquier marco. Al crear una evaluación, Audit Manager ejecuta automáticamente las evaluaciones de los recursos. Estas recopilan datos para las Cuentas de AWS que defina como incluidos en la auditoría. Los datos que se recopilan se transforman automáticamente en evidencias aptas para la auditoría. Luego, se agregan a los controles pertinentes para mostrar, así, el cumplimiento en materia de seguridad, gestión de cambios, continuidad empresarial y licencias de software. El proceso de recopilación de evidencias es continuo y comienza cuando se crea la evaluación. Una vez completada la auditoría, puede detener la recopilación de evidencias si ya no necesita Audit Manager para ello. Para hacerlo, cambie el estado de la evaluación a *inactiva*.
## Características de Audit Manager
Con AWS Audit Manager, puede realizar las siguientes tareas:
+ **Inicio rápido**: [cree su primera evaluación](https://docs.aws.amazon.com/audit-manager/latest/userguide/tutorial-for-audit-owners.html) eligiendo la opción que mejor se adapte a sus necesidades de entre una galería de marcos prediseñados diseñados una variedad de normas y reglamentos de cumplimiento. A continuación, inicie la recopilación automática de pruebas para auditar su Servicio de AWS uso.
+ **Carga y gestión de evidencias de entornos híbridos o multinube**: además de las evidencias que Audit Manager recopila de su entorno de AWS , también puede [cargar](https://docs.aws.amazon.com/audit-manager/latest/userguide/upload-evidence.html) y gestionar las evidencias de su entorno en las instalaciones o multinube de forma centralizada.
+ **Compatibilidad con normas y reglamentos de cumplimiento estándares**: elija uno de los [ marcos estándar de AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/framework-overviews.html). Estos marcos proporcionan asignaciones de control predefinidas para las normas y reglamentos de cumplimiento más habituales, Estos incluyen el CIS Foundation Benchmark, el PCI DSS, el GDPR, la HIPAA y la GxP SOC2 y las mejores prácticas operativas. AWS
+ **Supervisión de evaluaciones activas**: consulte los datos de análisis de sus evaluaciones activas e identifique rápidamente las evidencias no conformes que deban corregir gracias al [panel](https://docs.aws.amazon.com/audit-manager/latest/userguide/dashboard.html) de Audit Manager.
+ **Búsqueda de evidencias**: utilice la característica de [Buscador de evidencias](evidence-finder.md) para buscar rápidamente evidencias que sean pertinentes para su consulta de búsqueda. Puede generar informes de evaluación a partir de los resultados de la búsqueda o exportar los resultados de la búsqueda en formato CSV.
+ **Creación de controles personalizados**: [cree su propio control desde cero](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html) o [cree una copia editable de un control estándar o personalizado existente](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-existing.html). También puede usar la característica de los controles personalizados para crear preguntas de evaluación de riesgos y almacenar las respuestas a esas preguntas como evidencias manuales.
+ **Asignación de los controles empresariales a agrupaciones predefinidas de orígenes de datos de AWS **: elija los controles comunes que representen sus objetivos y utilícelos para [crear controles personalizados](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html) que recopilen evidencias para su cartera de necesidades de conformidad.
+ **Creación de marcos personalizados**: [cree sus propios marcos](https://docs.aws.amazon.com/audit-manager/latest/userguide/custom-frameworks.html) con controles estándar o personalizados en función de sus necesidades para las auditorías internas.
+ **Comparta marcos personalizados**: [comparta sus marcos personalizados de Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/share-custom-framework.html) con otra Cuenta de AWS persona o reprodúzcalos en Región de AWS otro con su propia cuenta.
+ **Compatibilidad con la colaboración entre equipos**: [delegue los conjuntos de controles](https://docs.aws.amazon.com/audit-manager/latest/userguide/delegate-for-audit-owners.html) a expertos en la materia que puedan revisar las evidencias relacionadas, añadir comentarios y actualizar el estado de cada control.
+ **Creación de informes para la auditoría**: [genere informes de evaluación](https://docs.aws.amazon.com/audit-manager/latest/userguide/generate-assessment-report.html) que resuman las evidencias relevantes recopiladas para la auditoría y enlacen a las carpetas que contienen las evidencias detalladas.
+ **Garantía de la integridad de las evidencias**: [guarde las evidencias](https://docs.aws.amazon.com/audit-manager/latest/userguide/settings-destination.html) en un lugar seguro donde no se modifiquen.
**nota**
AWS Audit Manager ayuda a recopilar pruebas relevantes para verificar el cumplimiento de normas y reglamentos de cumplimiento específicos. Sin embargo, no evalúa el cumplimiento en sí mismo. AWS Audit Manager Por lo tanto, es posible que las pruebas que se recopilen no incluyan toda la información sobre su AWS uso que se necesita para las auditorías. AWS Audit Manager no sustituye a los asesores legales ni a los expertos en cumplimiento.
## Precios de Audit Manager
Para obtener más información sobre los precios, consulte [Precios de AWS Audit Manager](https://aws.amazon.com/audit-manager/pricing/).
## ¿Es la primera vez que usa Audit Manager?
Si es la primera vez que usa Audit Manager, le recomendamos que comience con las páginas siguientes:
1. [Comprensión de AWS Audit Manager los conceptos y la terminología](concepts.md): conozca los conceptos y términos clave que se utilizan en Audit Manager, como, por ejemplo, las evaluaciones, los marcos y los controles.
1. [Entender cómo se AWS Audit Manager recopilan las pruebas](how-evidence-is-collected.md): descubra cómo Audit Manager recopila evidencias para evaluar los recursos.
1. [Configuración AWS Audit Manager con los ajustes recomendados](setting-up.md): conozca los requisitos de configuración de Audit Manager.
1. [Empezar con AWS Audit Manager](getting-started.md): siga un tutorial para crear su primera evaluación de Audit Manager.
1. [AWS Audit Manager Referencia de la API](https://docs.aws.amazon.com/audit-manager/latest/APIReference/Welcome.html): familiarícese con las acciones y los tipos de datos de la API de Audit Manager.
## Relacionado Servicios de AWS
AWS Audit Manager se integra con varios Servicios de AWS para recopilar automáticamente pruebas que puede incluir en sus informes de evaluación.
**AWS Security Hub CSPM**
AWS Security Hub CSPM supervisa su entorno mediante controles de seguridad automatizados que se basan en las AWS mejores prácticas y los estándares del sector. Audit Manager captura instantáneas del estado de seguridad de sus recursos informando de los resultados de las comprobaciones de seguridad directamente desde Security Hub CSPM. Para obtener más información sobre Security Hub CSPM, consulte [¿Qué es? AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) en la Guía del *AWS Security Hub CSPM usuario*.
**AWS CloudTrail**
AWS CloudTrail le ayuda a supervisar las llamadas realizadas a AWS los recursos de su cuenta. Estas incluyen las llamadas realizadas por la consola AWS de administración, la AWS CLI y otros Servicios de AWS. Audit Manager recopila los datos de registro CloudTrail directamente y convierte los registros procesados en evidencia de la actividad del usuario. Para obtener más información al respecto CloudTrail, consulte [¿Qué es AWS CloudTrail?](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) en la *Guía AWS CloudTrail del usuario*.
**AWS Config**
AWS Config proporciona una vista detallada de la configuración de AWS los recursos de su Cuenta de AWS. Esto incluye cómo se relacionan los recursos entre sí y cómo se configuraron anteriormente. Audit Manager captura instantáneas del estado de seguridad de sus recursos informando de las conclusiones directamente desde AWS Config. Para obtener más información al respecto AWS Config, consulte [¿Qué es? AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) en la *Guía AWS Config del usuario*.
**AWS License Manager**
AWS License Manager agiliza el proceso de llevar las licencias de los proveedores de software a la nube. A medida que vaya creando una infraestructura en la nube AWS, podrá ahorrar costes al reutilizar su inventario de licencias existente para utilizarlo con los recursos de la nube. Audit Manager incluye un marco de License Manager para ayudarlo en la preparación de la auditoría. Este marco se integra con License Manager para agregar información sobre el uso de licencias en función de las reglas de concesión de licencias definidas por el cliente. Para obtener más información sobre License Manager, consulte [¿Qué es AWS License Manager?](https://docs.aws.amazon.com/license-manager/latest/userguide/license-manager.html) en la *Guía AWS License Manager del usuario*.
**AWS Control Tower**
AWS Control Tower impone barreras preventivas y de detección para la infraestructura de la nube. Audit Manager proporciona un marco de AWS Control Tower Guardrails para ayudarlo en la preparación de la auditoría. Este marco contiene todas las AWS Config reglas que se basan en las barreras de protección de. AWS Control Tower Para obtener más información al respecto AWS Control Tower, consulte [¿Qué es? AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) en la *Guía AWS Control Tower del usuario*.
**AWS Artifact**
AWS Artifact es un portal de recuperación de artefactos de auditoría de autoservicio que proporciona acceso bajo demanda a la documentación de conformidad y las certificaciones de la infraestructura. AWS AWS Artifact ofrece pruebas que demuestran que la infraestructura de la AWS nube cumple los requisitos de conformidad. Por el contrario, le AWS Audit Manager ayuda a recopilar, revisar y gestionar pruebas para demostrar que su uso Servicios de AWS cumple con las normas. Para obtener más información al respecto AWS Artifact, consulte [¿Qué es AWS Artifact?](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html) en la *Guía AWS Artifact del usuario*. Puede descargar una [lista de AWS informes](https://console.aws.amazon.com/artifact/reports) en Consola de administración de AWS.
**Amazon EventBridge**
Amazon le EventBridge ayuda a automatizar los eventos del sistema Servicios de AWS y a responder automáticamente a ellos, como problemas de disponibilidad de las aplicaciones o cambios en los recursos. Puede usar EventBridge reglas para detectar eventos de Audit Manager y reaccionar ante ellos. Según las reglas que cree, EventBridge invoca una o más acciones objetivo cuando un evento coincide con los valores que especifique en una regla. Para obtener más información, consulte [Monitorización AWS Audit Manager con Amazon EventBridge](automating-with-eventbridge.md).
Para obtener una lista del alcance Servicios de AWS de los programas de cumplimiento específicos, consulte [Servicios de AWS Alcance por programa de cumplimiento](https://aws.amazon.com/compliance/services-in-scope/). Para más información general, consulte [Programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/).
## Más recursos de Audit Manager
Consulte estos recursos para obtener más información sobre Audit Manager.
+ Vídeo: Recopile pruebas y gestione los datos de auditoría mediante AWS Audit Manager
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/G4yRj4nLwFI)
+ [Integre el modelo de tres líneas (parte 2): transforme los paquetes de AWS Config conformidad en AWS Audit Manager evaluaciones](https://aws.amazon.com/blogs/mt/integrate-across-the-three-lines-model-part-2-transform-aws-config-conformance-packs-into-aws-audit-manager-assessments/) del blog sobre *AWS administración y gobierno*
# Comprensión de AWS Audit Manager los conceptos y la terminología
En este tema se explican algunos de los conceptos clave que debe conocer para comenzar a utilizar AWS Audit Manager.
## A
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 J [I](#auditmanager-concepts-I) \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Evaluaciones**
Recopile evidencias relevantes para las auditorías automáticamente con las evaluaciones de Audit Manager.
Las evaluaciones se basan en marcos, es decir agrupaciones de controles relacionados con las auditorías. Puede crear una evaluación a partir de un marco estándar o personalizado. Los marcos estándar contienen conjuntos de controles prediseñados que con arreglo a una norma o reglamento de cumplimiento específico. Los marcos personalizados, en cambio, incluyen controles que puede personalizar y agrupar según sus requisitos de auditoría. Si utiliza un marco como punto de partida, puede crear una evaluación que especifique lo Cuentas de AWS que desea incluir en el ámbito de la auditoría.
Al crear una evaluación, Audit Manager comienza automáticamente a evaluar sus recursos en Cuentas de AWS función de los controles que se definen en el marco. A continuación, recopila las evidencias relevantes y las convierte a un formato fácil de usar para los auditores. Una vez hecho esto, agrega las evidencias a los controles de evaluación. Cuando llegue el momento de realizar una auditoría, usted (o la persona que designe) puede revisar las pruebas recopiladas y, a continuación, añadirlas a un informe de evaluación. Este informe de evaluación le ayuda a demostrar que sus controles funcionan según lo previsto.
La recopilación de evidencias es un proceso continuo que comienza cuando se crea la evaluación. Puede detener la recopilación de evidencias, o bien cambiando el estado de la evaluación a *inactiva*, o bien en el nivel de control. Para ello, puede cambiar el estado de un control de su evaluación en concreto a *inactivo*.
Para obtener instrucciones acerca de cómo crear y administrar las evaluaciones, consulte [Gestión de las evaluaciones en AWS Audit Manager](assessments.md).
**Informes de evaluación**
Los informes de evaluación son documentos finalizados que se generan a partir de una evaluación de Audit Manager. Estos informes resumen las evidencias relevantes recopilada para la auditoría, y están enlazados con las carpetas de evidencias pertinentes. Estas carpetas se nombran y organizan de acuerdo con los controles que se especifican en cada evaluación. Puede revisar qué evidencias recopila Audit Manager para cada evaluación y decidir cuáles desea incluir en el informe de evaluación.
Para más información acerca de estos informes, consulte [Informes de evaluación](assessment-reports.md). Para información sobre cómo generar un informe de evaluación, consulte [Preparación de un informe de evaluación en AWS Audit Manager](generate-assessment-report.md).
**Destino de los informes de evaluación**
El destino de los informes de evaluación es el bucket S3 predeterminado en el que Audit Manager guarda los informes de evaluación. Para obtener más información, consulte [Configuración del destino del informe de evaluación predeterminado](settings-destination.md).
**Auditoría**
Las auditorías son exámenes independientes de los activos, las operaciones o la integridad empresarial de su organización. Las auditorías de tecnología de la información (TI) examinan específicamente los controles de los sistemas de información de su organización. El objetivo de estas auditorías es determinar si los sistemas de información protegen los activos, funcionan de manera eficaz y mantienen la integridad de los datos. Todo esto es importante para cumplir con los requisitos reglamentarios exigidos por las normas o reglamentos de cumplimiento.
**Responsable de la auditoría**
El término *responsable de la auditoría* tiene dos significados diferentes según el contexto.
En el contexto de Audit Manager, el responsable de una auditoría es un usuario o rol que gestiona una evaluación y sus recursos relacionados. Se encarga de la creación de evaluaciones, la revisión de las evidencias y la generación de informes de evaluación. Audit Manager es un servicio colaborativo y los responsables de auditorías se benefician cuando otras partes interesadas participan en sus evaluaciones. Por ejemplo, puede añadir a otros responsables de la auditoría a su evaluación para compartir las tareas de administración. Además, si es responsable de una auditoría y necesita ayuda para interpretar las evidencias recopiladas para un control, puede [delegar ese conjunto de controles](https://docs.aws.amazon.com/audit-manager/latest/userguide/delegate.html) a otra parte interesada que tenga experiencia en la materia. En ese caso, la persona se conoce como persona *delegada*.
En términos comerciales, el responsable de una auditoría es quien coordina y supervisa las iniciativas de preparación para la auditoría de su empresa y presenta las evidencias al auditor. Por lo general, se trata de un profesional de la gobernanza, el riesgo y el cumplimiento (GRC). Puede ser. por ejemplo, un responsable de cumplimiento o de protección de datos del RGPD. Los profesionales del GRC tienen la experiencia y la autoridad adecuadas para gestionar la preparación de las auditorías. Más específicamente, comprenden los requisitos de cumplimiento y pueden analizar, interpretar y preparar los datos de los informes. Sin embargo, otras funciones empresariales también pueden ser Audit Manager del responsable de una auditoría; no solo los profesionales de GRC asumen esta función. Por ejemplo, puede optar por que un experto técnico de uno de los siguientes equipos configure y gestione las evaluaciones de Audit Manager:
+ SecOps
+ TI/ DevOps
+ Respuesta a las operaciones de Center/Incident seguridad
+ Equipos similares que poseen, desarrollan, corrigen e implementan activos en la nube y comprenden la infraestructura de nube de su organización
La persona elegida como responsable de la auditoría en su evaluación de Audit Manager dependerá en gran medida de su organización y también de cómo se estructuren las operaciones de seguridad y de las características específicas de la auditoría. En Audit Manager, una misma persona puede asumir el rol de responsable de la auditoría en una evaluación y, el de delegado, en otra.
Independientemente de cómo elija utilizar Audit Manager, puede gestionar la separación de funciones en su organización utilizando la owner/delegate persona de auditoría y otorgando políticas de IAM específicas a cada usuario. Mediante este enfoque de dos pasos, Audit Manager garantiza que usted tenga el control total sobre todos los aspectos específicos de cada evaluación. Para obtener más información, consulte [Políticas recomendadas para los usuarios de AWS Audit Manager](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-personas).
** AWS fuente gestionada**
Una fuente AWS gestionada es una fuente de pruebas que se AWS conserva para usted.
Cada fuente AWS gestionada es una agrupación predefinida de fuentes de datos que se asigna a un control común o control central específico. Cuando se utiliza un control común como origen de evidencias, se recopilan automáticamente las evidencias de todos los controles principales que respaldan ese control común. También puede utilizar los controles principales individuales como origen de evidencias.
Cada vez que se actualiza una fuente AWS gestionada, las mismas actualizaciones se aplican automáticamente a todos los controles personalizados que utilizan esa fuente AWS gestionada. Esto significa que los controles personalizados recopilan evidencias comparándolas con las definiciones más recientes de ese origen de evidencias. Esto le ayuda a garantizar la conformidad continua a medida que cambia el entorno de conformidad de la nube.
Consulte también: [](#customer-managed-source), [](#evidence-source).
## C
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Registros de cambios**
Para cada control de una evaluación, Audit Manager realiza un seguimiento de la actividad de los usuarios en dicho control. A continuación puede revisar un registro de auditoría de las actividades relacionadas con un control específico. Para obtener más información sobre las actividades de los usuarios que se capturan en el registro de cambios, consulte [Pestaña del registro de cambios](review-controls.md#review-changelog).
**Conformidad en la nube**
La conformidad con la nube es el principio general según el cual los sistemas suministrados en la nube deben cumplir con los estándares que se aplican a los clientes de la nube.
**Control común**
Consulte [](#control).
**Regulación del cumplimiento**
Los reglamentos de cumplimiento son leyes, normas órdenes de otro tipo prescritas por una autoridad, normalmente para regular una conducta. Un ejemplo de ello es el RGPD.
**Estándares de conformidad**
Los estándares de conformidad son un conjunto estructurado de directrices que detallan los procesos de una organización para mantener la conformidad con las normas, especificaciones o legislación establecidas. Algunos ejemplos de ello son el PCI DSS y la HIPAA.
**Control**
Los controles son salvaguardias o medidas que se prescriben para un sistema de información o una organización. Se han diseñado los controles para proteger la confidencialidad, integridad y disponibilidad de su información y para cumplir con un conjunto de requisitos definidos. Garantizan que los recursos funcionen según lo previsto, que los datos sean fiables y que su organización cumpla con las leyes y normativas aplicables.
En Audit Manager, los controles también pueden ser preguntas en un cuestionario de evaluación de riesgos para proveedores. En ese caso, se trata de una pregunta específica que solicita información sobre la postura de seguridad y cumplimiento de una organización.
Los controles recopilan evidencias de forma continua cuando están activos en sus evaluaciones de Audit Manager. También puede agregar evidencias de forma manual a cualquier control. Cada evidencia se convierte en un registro que le permite demostrar la conformidad con los requisitos del control.
Audit Manager proporciona los siguientes tipos de controles:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/concepts.html)
**Dominio de control**
Piense en un dominio de control como una categoría general de controles que no es específica de ningún estándar de conformidad. Un ejemplo de dominio de control es la *protección de datos*.
Los controles suelen agruparse por dominio con fines organizativos sencillos. Cada dominio tiene varios objetivos.
Las agrupaciones de dominios de control son una de las funciones más potentes del [panel de control de Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/dashboard.html). Audit Manager destaca los controles de sus evaluaciones que contienen evidencias no conformes y los agrupa por dominio de control. Esto le permite centrar sus esfuerzos de remediación en ámbitos temáticos específicos mientras se prepara para una auditoría.
**Objetivo de control**
Un objetivo de control describe el objetivo de los controles comunes que le pertenecen. Cada objetivo puede tener varios controles comunes. Si estos controles comunes se implementan correctamente, le ayudarán a cumplir el objetivo.
Cada objetivo de control pertenece a un dominio de control. Por ejemplo, el dominio de control *Protección de datos* puede tener un objetivo de control denominado *Clasificación y gestión de datos*. Para respaldar este objetivo de control, podría utilizar un control común denominado *Controles de acceso* para supervisar y detectar el acceso no autorizado a los recursos.
** Control principal**
Consulte [](#control).
** Control personalizado**
Consulte [](#control).
**Origen administrado por el cliente**
Un origen administrado por el cliente es un origen de evidencias que usted define.
Al crear un control personalizado en Audit Manager, puede usar esta opción para crear sus propios orígenes de datos individuales. Esto le da la flexibilidad de recopilar pruebas automatizadas a partir de un recurso específico de la empresa, como una regla personalizada AWS Config . También puede utilizar esta opción si desea añadir evidencias manuales al control personalizado.
Cuando utilice orígenes administrados por el cliente, es responsable de mantener todos los orígenes de datos que cree.
Consulte también: [](#aws-managed-source), [](#evidence-source).
## D
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 G [F](#auditmanager-concepts-F) \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 T [S](#auditmanager-concepts-S) \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Origen de datos**
Audit Manager utiliza *orígenes de datos* para recopilar evidencias para un control. Un origen de datos tiene las siguientes propiedades:
+ Un **tipo de origen de datos** define el tipo de origen de datos del que Audit Manager recopila evidencias.
+ En el caso de evidencias automatizadas, el tipo puede ser *AWS Security Hub CSPM*, *AWS Config, AWS CloudTrail* o *llamadas a la API de AWS *.
+ Si carga sus propias evidencias, el tipo es *Manual*.
+ La API de Audit Manager hace referencia a un tipo de origen de datos como [sourceType](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html#auditmanager-Type-ControlMappingSource-sourceType).
+ Una **asignación de origen de datos** es una palabra clave que indica de dónde se recopilan las evidencias para un tipo de determinado origen de datos.
+ Por ejemplo, podría ser el nombre de un CloudTrail evento o el nombre de una AWS Config regla.
+ La API de Audit Manager hace referencia a una asignación de orígenes de datos como [sourceKeyword](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_SourceKeyword.html).
+ Un **nombre de origen de datos** etiqueta la combinación de un tipo de origen de datos y una asignación.
+ En el caso de los controles estándar, Audit Manager proporciona un nombre predeterminado.
+ En el caso de los controles personalizados, puede proporcionar su propio nombre.
+ La API Audit Manager hace referencia al nombre de los orígenes de datos como [SourceName](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html#auditmanager-Type-ControlMappingSource-sourceName).
Un único control puede tener varios tipos de orígenes de datos y diferentes asignaciones. Por ejemplo, un control podría recopilar pruebas de una combinación de tipos de fuentes de datos (como AWS Config Security Hub CSPM). Es posible que otro control tenga AWS Config como único tipo de fuente de datos, con varias AWS Config reglas como mapeos.
En la tabla siguiente se enumeran los tipos de origen de datos automatizados y se muestran ejemplos de algunas de las asignaciones correspondientes.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/concepts.html)
**Delegados**
Un delegado es un AWS Audit Manager usuario con permisos limitados. y suelen tener experiencia empresarial o técnica especializada. Estos conocimientos pueden estar relacionados, por ejemplos, con las políticas de retención de datos, los planes de formación, la infraestructura de red o la gestión de identidades. Los delegados ayudan a los responsables de la auditoría a revisar las evidencias recopiladas para comprobar si hay controles que estén dentro de su área de especialización. Pueden revisar los conjuntos de controles y las evidencias relacionadas con estos, añadir comentarios, cargar evidencias adicionales y actualizar el estado de cada una de las evaluaciones que les asigne para revisar.
Los responsables de las auditorías asignan conjuntos de controles específicos a los delegados, no a evaluaciones completas. En consecuencia, los delegados tienen acceso limitado a las evaluaciones. Para obtener instrucciones acerca de cómo delegar un conjunto de controles, consulte [Delegaciones en AWS Audit Manager](delegate.md).
## E
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 G [F](#auditmanager-concepts-F) \$1 H \$1 \$1 J [I](#auditmanager-concepts-I) \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 \$1 Q [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Evidencias**
Las evidencias son registros que contienen la información necesaria para demostrar el cumplimiento de los requisitos de una evaluación. Las evidencias pueden ser, por ejemplo, las actividades de cambio invocadas por los usuarios o instantáneas de la configuración del sistema.
Hay dos tipos de evidencia principales en Audit Manager: las *evidencias automatizadas* y *evidencias manuales*.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/concepts.html)
La recopilación automática de evidencias comienza cuando se crea una evaluación. Se trata de un proceso continuo, durante el cual Audit Manager recopila evidencias a diferentes frecuencias según el tipo de evidencias y el origen de datos subyacente. Para obtener más información, consulte [Entender cómo se AWS Audit Manager recopilan las pruebas](how-evidence-is-collected.md).
Para obtener instrucciones acerca de cómo revisar las evidencias de una evaluación, consulte [Revisar la evidencia en AWS Audit Manager](review-evidence.md).
**Origen de evidencias**
Un origen de evidencias define de dónde un control recopila evidencias. Puede ser un origen de datos individual o una agrupación predefinida de orígenes de datos que se asigna a un control común o a un control principal.
Al crear un control personalizado, puede recopilar evidencias de orígenes administrados por AWS , por los clientes o por ambos.
Le recomendamos que utilice fuentes AWS gestionadas. Cada vez que se actualiza una fuente AWS gestionada, las mismas actualizaciones se aplican automáticamente a todos los controles personalizados que utilizan estas fuentes. Esto significa que los controles personalizados siempre recopilan evidencias comparándolas con las definiciones más recientes de ese origen de evidencias. Esto le ayuda a garantizar la conformidad continua a medida que cambia el entorno de conformidad de la nube.
Consulte también: [](#aws-managed-source), [](#customer-managed-source).
**Métodos de recopilación de evidencias**
Las evaluaciones pueden recopilar evidencias de dos maneras distintas.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/concepts.html)
Puede agregar evidencias manuales a cualquier evaluación automatizada. En muchos casos, es necesaria una combinación de evidencias automatizadas y manuales para demostrar el pleno cumplimiento de una evaluación. Si bien Audit Manager puede proporcionar evidencias automatizadas útiles y relevantes, es posible que algunas de ellas solo demuestren un cumplimiento parcial. En este caso, puede complementar las evidencias automatizadas de proporciona Audit Manager con sus propias evidencias.
Por ejemplo:
+ En el marco de [AWS Marco generativo de mejores prácticas de IA, versión 2](aws-generative-ai-best-practices.md) se incluye un control denominado `Error analysis`. Deberá identificar cuándo se detectan imprecisiones en el uso del modelo y realizar un análisis exhaustivo de los errores para comprender las causas de los mismos y tomar las medidas correctivas apropiadas.
+ Para respaldar este control, Audit Manager recopila pruebas automatizadas que muestran si CloudWatch las alarmas están activadas en el Cuenta de AWS lugar donde se ejecuta la evaluación. Puede utilizar estas evidencias para demostrar el cumplimiento parcial de la evaluación comprobando que sus alarmas y comprobaciones están configuradas correctamente.
+ Para demostrar el pleno cumplimiento, puede complementar las evidencias automatizadas con evidencias manuales. Por ejemplo, puede subir una política o un procedimiento que muestre su proceso de análisis de errores, sus umbrales de escalado y generación de informes, y los resultados del análisis de la causa principal. Puede utilizar las evidencias de este manual para demostrar que hay políticas establecidas y que se tomaron medidas correctivas cuando se le solicitó.
Para ver un ejemplo más detallado, consulte [Controles con orígenes de datos mixtos](https://docs.aws.amazon.com/audit-manager/latest/userguide/examples-of-controls.html#mixed).
**Destinos de exportación**
Los destinos de exportación son los buckets S3 predeterminados, donde Audit Manager guarda los archivos que exporta desde el buscador de evidencias. Para obtener más información, consulte [Configuración del destino de la exportación predeterminada para el buscador de evidencias](settings-export-destination.md).
## F
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Marcos**
Un marco de Audit Manager estructura y automatiza las evaluaciones para un estándar o un principio de control de riesgos específicos. Estos marcos incluyen un conjunto de controles prediseñados o definidos por el cliente, y le ayudan a asignar sus AWS recursos a los requisitos de estos controles.
Hay dos tipos de marcos en Audit Manager.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/concepts.html)
Para obtener instrucciones acerca de cómo crear y administrar marcos, consulte [Uso de la biblioteca de marcos para administrar marcos en AWS Audit Manager](framework-library.md).
AWS Audit Manager ayuda a recopilar pruebas relevantes para verificar el cumplimiento de normas y reglamentos de cumplimiento específicos. Sin embargo, no evalúa el cumplimiento en sí mismo. AWS Audit Manager Por lo tanto, es posible que las pruebas recopiladas no incluyan toda la información sobre el AWS uso que se necesita para las auditorías. AWS Audit Manager no sustituye a los asesores legales ni a los expertos en cumplimiento.
**Uso compartido de marcos**
Puede usar la [Compartir un marco personalizado en AWS Audit Manager](share-custom-framework.md) función para compartir rápidamente sus marcos personalizados en todas Cuentas de AWS las regiones. Para compartir un marco personalizado, debe crear una *solicitud de uso compartido*. El destinatario tiene entonces 120 días para aceptar o rechazar la solicitud. Una vez aceptada, Audit Manager replicará el marco de trabajo personalizado compartido en su biblioteca de marcos. Además de replicar el marco de trabajo personalizado, Audit Manager también replicará todos los conjuntos de controles personalizados y los controles que formen parte de ese marco. Posteriormente, dichos controles personalizados se agregan a la biblioteca de controles del destinatario. Audit Manager no replica los marcos o controles estándar. Esto se debe a que estos recursos ya están disponibles de forma predeterminada en cada cuenta y región.
## I
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Evidencia no concluyente**
AWS Audit Manager califica las pruebas como no concluyentes cuando no es posible realizar una evaluación automática del cumplimiento. Esto podría darse en las siguientes situaciones:
+ No has activado AWS Config o AWS Security Hub CSPM, cuáles son las fuentes de datos clave.
+ Las pruebas se recopilan directamente de AWS los servicios mediante llamadas a la API, AWS CloudTrail registros o cargas manuales.
Cuando no existe un mecanismo para la evaluación automática de esta evidencia, no AWS Audit Manager puede proporcionar detalles de la evaluación. Como resultado, marca la evidencia como *inconclusa*.
La evidencia no concluyente no indica un fracaso. Por el contrario, indica que es necesario evaluar manualmente las pruebas de conformidad.
## R
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Recursos**
Los recursos son activos físico o de información que se evalúan en una auditoría. Entre los ejemplos de AWS recursos se incluyen las instancias de Amazon EC2, las instancias de Amazon RDS, los buckets de Amazon S3 y las subredes de Amazon VPC.
**Evaluación de recursos**
Las evaluaciones de recursos son los procesos mediante los cuales se evalúa un recurso. y se basan en requisitos de control. Mientras una evaluación está activa, Audit Manager evalúa cada uno de los recursos que forman parte de la evaluación. Las evaluaciones de recursos ejecutan las tareas siguientes:
1. Recopilación de evidencias, incluidas las configuraciones de los recursos, los registros de eventos y los hallazgos
1. Traducción y asignación de las evidencias a los controles
1. Almacenamiento y rastreo del linaje de las evidencias para garantizar su integridad.
**Conformidad de los recursos**
El cumplimiento de los recursos se refiere al estado de evaluación de un recurso que se evaluó al recopilar las evidencias de verificación de cumplimiento.
Audit Manager recopila pruebas de verificación de conformidad para los controles que utilizan AWS Config Security Hub CSPM como tipo de fuente de datos. Es posible que se evalúen varios recursos durante la recopilación de evidencias. En consecuencia, una sola evidencia de verificación de conformidad puede incluir uno o más recursos.
Utilice el filtro de **cumplimiento de los recursos** del buscador de evidencias para conocer el estado de cumplimiento a nivel de recursos. Una vez completada la búsqueda, puede obtener una vista previa de los recursos que coinciden con su consulta de búsqueda.
En el buscador de evidencias, hay tres valores posibles que determinan el cumplimiento de los recursos:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/concepts.html)
## S
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 P \$1 Q [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Servicio incluido**
Audit Manager gestiona cuáles Servicios de AWS están dentro del alcance de sus evaluaciones. Si tiene una evaluación anterior, es posible que haya especificado manualmente los servicios incluidos en el pasado. A partir del 4 de junio de 2024, no se podrá especificar ni editar manualmente los servicios incluidos.
Un *servicio incluido en el ámbito de aplicación* es Servicio de AWS aquel sobre el que su evaluación recopila pruebas. Cuando un servicio se incluye en la evaluación, Audit Manager evaluará los recursos de dicho servicio. como, por ejemplo los siguientes:
+ Una instancia de Amazon EC2
+ Un bucket de S3
+ Un usuario o rol de IAM
+ Una tabla de DynamoDB
+ Un componente de red, como una nube privada virtual (VPC) de Amazon, un grupo de seguridad o una lista de control de acceso (ACL).
Por ejemplo, si Amazon S3 es un servicio incluido, Audit Manager puede recopilar evidencias sobre los buckets de S3. Las evidencias exactas que se recopilan dependen del [](#control-data-source) de un control. Por ejemplo, si el tipo de fuente de datos es AWS Config y el mapeo de la fuente de datos es una AWS Config regla (por ejemplo`s3-bucket-public-write-prohibited`), Audit Manager recopila el resultado de la evaluación de esa regla como evidencia.
Tenga en cuenta que el alcance de un servicio es diferente al de un *tipo de fuente de datos*, que también puede ser un tipo de fuente de datos Servicio de AWS o algo diferente. Para obtener más información, consulte [¿Cuál es la diferencia entre un servicio incluido y un tipo de origen de datos?](evidence-collection-issues.md#data-source-vs-service-in-scope) en la sección *Solución de problemas* de la guía.
** Control estándar**
Consulte [](#control).
# Entender cómo se AWS Audit Manager recopilan las pruebas
Cada evaluación activa recopila AWS Audit Manager automáticamente evidencia de una variedad de fuentes de datos. En cada evaluación, usted define para qué Cuentas de AWS Audit Manager recopilará las pruebas y Audit Manager gestionará cuáles Servicios de AWS están dentro del ámbito de aplicación. Cada uno de estos servicios y cuentas incluye varios recursos que utiliza y que son de su propiedad. La recopilación de evidencias en Audit Manager implica evaluar cada uno de los recursos incluidos. Esto se conoce como *evaluación de recursos*.
Los siguientes pasos describen cómo Audit Manager recopila las evidencias para las evaluaciones de recursos:
**1. Evaluar un recurso a partir del origen de datos**
Para iniciar la recopilación de evidencias, Audit Manager evalúa los recursos internos a partir de un origen de datos. Para ello, captura una instantánea de la configuración, el resultado de una comprobación de conformidad relacionada o la actividad de los usuarios. A continuación, ejecuta un análisis para determinar qué control admiten estos datos. Luego, se guarda el resultado de la evaluación de los recursos y se convierte en evidencia. Para obtener más información sobre los diferentes tipos de evidencias, consulte [](concepts.md#evidence) en la sección *Conceptos y terminología de AWS Audit Manager * de esta guía.
**2. Pasos para convertir los resultados de la evaluación en evidencia**
El resultado de las evaluaciones de un recurso incluye tanto los datos originales del recurso que se capturaron como los metadatos que indican qué control admiten los datos. Audit Manager convierte los datos originales a un formato fácil de usar para los auditores. A continuación, los datos y metadatos convertidos se guardan como evidencia de Audit Manager antes de agregarlos a un control.
**3. Cómo agregar evidencias al control correspondiente**
Audit Manager lee los metadatos de las evidencias. y agregas las evidencias guardadas a un control relacionado dentro de la evaluación. Las evidencias agregadas se hacen visibles en Audit Manager, y así se completa el ciclo de las evaluaciones de recursos.
**nota**
En algunos casos, se puede agregar la misma evidencia a varios controles de varias evaluaciones de Audit Manager según la configuración de control. Cuando se agrega la misma evidencia a varios controles, Audit Manager mide la evaluación de los recursos exactamente una vez. Esto se debe a que la misma evidencia se recopila exactamente una sola vez. Sin embargo, un control de una evaluación de Audit Manager puede tener múltiples evidencias de múltiples orígenes de datos.
## Frecuencia de recolección de evidencias
La recopilación de evidencias es un proceso continuo que comienza cuando se crea la evaluación. Audit Manager recopila evidencias de varios orígenes de datos con diferentes frecuencias. Como resultado, no hay one-size-fits-all respuesta sobre la frecuencia con la que se recopilan las pruebas. Depende del tipo y el origen de datos, como se describe a continuación.
+ **Comprobaciones de cumplimiento**: Audit Manager recopila este tipo de evidencia de AWS Security Hub CSPM y AWS Config.
+ En el caso del CSPM de Security Hub, la recopilación de pruebas sigue el cronograma de las comprobaciones del CSPM de Security Hub. Para obtener más información sobre la programación de las comprobaciones de CSPM de Security Hub, consulte [Programación de la ejecución de las comprobaciones de seguridad](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-schedule.html) en la Guía del *AWS Security Hub CSPM usuario*. Para obtener más información sobre las comprobaciones CSPM de Security Hub compatibles con Audit Manager, consulte. [AWS Security Hub CSPM controles compatibles con AWS Audit Manager](control-data-sources-ash.md)
+ AWS Config En efecto, la recopilación de pruebas sigue los factores desencadenantes que se definen en sus AWS Config reglas. Para más información sobre los desencadenadores de las reglas de AWS Config , consulte los [tipos de desencadenadores](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html#aws-config-rules-trigger-types) en la *Guía del usuario de AWS Config *. Para obtener más información sobre los Reglas de AWS Config que admite Audit Manager, consulte[Reglas de AWS Config con el apoyo de AWS Audit Manager](control-data-sources-config.md).
+ AWS Audit Manager marca las pruebas como no concluyentes cuando no es posible realizar una evaluación automática del cumplimiento. Esto ocurre cuando no has activado AWS Config o AWS Security Hub CSPM, cuáles son las fuentes de datos clave. También ocurre cuando las pruebas se recopilan directamente de AWS los servicios mediante llamadas a la API, AWS CloudTrail registros o cargas manuales. Cuando no existe un mecanismo para la evaluación automática de estas pruebas, no AWS Audit Manager puede proporcionar los detalles de la evaluación. Como resultado, marca la evidencia como inconclusa. La evidencia no concluyente no indica un fracaso. Por el contrario, indica que es necesario evaluar manualmente las pruebas de conformidad.
+ **Actividad del usuario**: Audit Manager recopila este tipo AWS CloudTrail de evidencia de forma continua. En este caso la frecuencia es continua porque la actividad del usuario puede ocurrir en cualquier momento del día. Para obtener más información, consulte [AWS CloudTrail nombres de eventos compatibles con AWS Audit Manager](control-data-sources-cloudtrail.md).
+ **Datos de configuración**: Audit Manager recopila este tipo de evidencia mediante una llamada de API de descripción a otra, Servicio de AWS como Amazon EC2, Amazon S3 o IAM. Puede determinar las acciones de la API a las que desea llamar. También puede configurar la frecuencia como diaria, semanal o mensual en Audit Manager. al crear o editar un control en la biblioteca de controles. Para obtener instrucciones sobre cómo crear y configurar un control, consulte [Uso de la biblioteca de controles para gestionar los controles en AWS Audit Manager](control-library.md). Para obtener más información sobre las llamadas a la API compatibles con Audit Manager, consulte [AWS Las llamadas a la API son compatibles con AWS Audit Manager](control-data-sources-api.md).
Independientemente de la frecuencia de recopilación de evidencias para el origen de datos, las nuevas evidencias se recopilarán automáticamente mientras el control y la evaluación estén activos.
# Ejemplos de controles AWS Audit Manager
Consulte los ejemplos de esta página para obtener más información sobre cómo funcionan los controles en AWS Audit Manager.
En Audit Manager, los controles pueden recopilar automáticamente evidencias de cuatro tipos de orígenes de datos:
1. **AWS CloudTrail**— Capture la actividad de los usuarios de sus CloudTrail registros e impórtela como evidencia de la actividad del usuario
1. **AWS Security Hub CSPM**— Recopile los hallazgos de Security Hub (CSPM) e impórtelos como evidencia de verificación de cumplimiento
1. **AWS Config**: permite recopilar las evaluaciones de las reglas de AWS Config e importarlas como evidencia de la comprobación de conformidad.
1. **AWS Llamadas a la API**: capture una instantánea de un recurso a partir de una llamada a la API e impórtela como prueba de los datos de configuración
Tenga en cuenta que algunos controles recopilan evidencias mediante agrupaciones predefinidas de estos orígenes de datos. Estas agrupaciones de orígenes de datos se conocen como [orígenes administrados por AWS](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#aws-managed-source). Cada fuente AWS gestionada representa un control común o un control central. Estos orígenes administrados le proporcionan una forma eficaz de asignar sus requisitos de conformidad a un grupo pertinente de orígenes de datos subyacentes, validados y mantenidos por [evaluadores certificados del sector](https://aws.amazon.com/professional-services/security-assurance-services/) en AWS.
Los ejemplos incluidos en esta página muestran cómo los controles recopilan evidencias de cada uno de los tipos de orígenes de datos individuales. Estos ejemplos muestran el aspecto de un control, cómo Audit Manager recopila evidencias del origen de datos y los siguientes pasos que puede dar para demostrar conformidad.
**sugerencia**
Le recomendamos que active el AWS Config Security Hub CSPM para disfrutar de una experiencia óptima en Audit Manager. Al habilitar estos servicios, Audit Manager puede utilizar las conclusiones del CSPM de Security Hub y Reglas de AWS Config generar pruebas automatizadas.
Una vez que AWS Security Hub CSPM estén [habilitados](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html), asegúrese de [activar también todos los estándares de seguridad](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-enable-disable.html#securityhub-standard-enable-console) y de [activar la configuración de los hallazgos de control consolidados](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#turn-on-consolidated-control-findings). Así se asegurará de que Audit Manager pueda importar los resultados de todos los estándares de conformidad compatibles.
Una vez [habilitados AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html), asegúrese de [habilitar también el paquete de conformidad correspondiente Reglas de AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/setting-up-aws-config-rules-with-console.html) o [implementar un paquete de conformidad](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-console.html) para el estándar de cumplimiento relacionado con su auditoría. Este paso garantiza que Audit Manager pueda importar las conclusiones de todos los soportes Reglas de AWS Config que haya activado.
Consulte los ejemplos disponibles para cada uno de los siguientes tipos de controles a continuación:
**Topics**
+ [Controles automatizados que AWS Security Hub CSPM se utilizan como tipo de fuente de datos](#automated-security-hub)
+ [Controles automatizados que AWS Config se utilizan como tipo de fuente de datos](#automated-config)
+ [Controles automatizados que utilizan las llamadas a la AWS API como tipo de fuente de datos](#automated-api)
+ [Controles automatizados que AWS CloudTrail se utilizan como tipo de fuente de datos](#automated-cloudtrail)
+ [Controles manuales](#manual)
+ [Controles con distintos tipos de orígenes de datos (automatizados y manuales)](#mixed)
## Controles automatizados que AWS Security Hub CSPM se utilizan como tipo de fuente de datos
En este ejemplo se muestra un control que se utiliza AWS Security Hub CSPM como tipo de fuente de datos. Se trata de un control estándar tomado del marco de [AWS prácticas recomendadas de seguridad fundamentales (FSBP)](https://docs.aws.amazon.com/audit-manager/latest/userguide/aws-foundational-security-best-practices.html). Audit Manager utiliza este control para generar pruebas que pueden ayudar a alinear su AWS entorno con los requisitos del FSBP.
**Ejemplo de detalles de control**
+ **Nombre del control**: `FSBP1-012: AWS Config should be enabled`
+ **Conjunto de controles**: `Config` Se trata de una agrupación de controles de FSBP específica de un marco y relacionada con la administración de la configuración.
+ **Origen de evidencias**: orígenes de datos individuales
+ **Tipo de fuente de datos:** AWS Security Hub CSPM
+ **Tipo de evidencia**: comprobaciones de conformidad
En el siguiente ejemplo, este control se encuentra en una evaluación de Audit Manager que se creó a partir del marco de FSBP.
![\[Captura de pantalla que muestra el control CSPM de Security Hub en una evaluación.\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/images/control-example-automated_securityhub-console.png)
La evaluación muestra el estado del control. También muestra el número de evidencias recopiladas para este control hasta el momento. A partir de este punto puede delegar la revisión del conjunto de controles o completar la revisión por su cuenta. Al elegir el nombre del control se abrirá una página de detalles con más información, incluidas las evidencias del control.
**Cómo funciona el control**
Este control requiere que AWS Config esté habilitado en todos los Regiones de AWS lugares donde utilice Security Hub CSPM. Audit Manager puede usar este control para comprobar si lo ha activado AWS Config.
**Cómo recopila Audit Manager las evidencias para el control**
Audit Manager sigue los pasos que se detallan a continuación para recopilar evidencias para el control:
1. Para cada control, Audit Manager evalúa los recursos incluidos. Para ello, utiliza el origen de datos que se especifica en la configuración del control. En este ejemplo, la AWS Config configuración es el recurso y Security Hub CSPM es el tipo de fuente de datos. Audit Manager busca el resultado de una comprobación de CSPM específica de Security Hub ([[Config.1](https://docs.aws.amazon.com/securityhub/latest/userguide/config-controls.html#config-1)]).
1. El resultado de la evaluación de los recursos se guarda y se convierte en evidencias de fácil acceso para el auditor. Audit Manager genera pruebas de *verificación de conformidad* para los controles que utilizan Security Hub CSPM como tipo de fuente de datos. Esta evidencia contiene el resultado de la verificación de conformidad notificada directamente por Security Hub CSPM.
1. Audit Manager agrega las evidencias guardadas al control de la evaluación denominado “`FSBP1-012: AWS Config should be enabled`”.
**Cómo puede utilizar Audit Manager para demostrar la conformidad del control**
Una vez agregadas las evidencias al control, usted (o un delegado de su elección) puede revisarlas para ver si es necesaria alguna corrección.
En este ejemplo, Audit Manager puede mostrar una sentencia de *error* de Security Hub CSPM. Esto puede ocurrir si no lo ha activado. AWS Config En este caso, puede tomar la medida correctiva de habilitarla AWS Config, lo que ayuda a adaptar su AWS entorno a los requisitos del FSBP.
Cuando su AWS Config configuración esté en línea con la del control, márquelo como *Revisado* y añada la evidencia al informe de evaluación. A continuación puede compartir este informe con los auditores para mostrar que el control funciona según lo previsto.
## Controles automatizados que AWS Config se utilizan como tipo de fuente de datos
En este ejemplo se muestra un control que se utiliza AWS Config como tipo de fuente de datos. Se trata de un control estándar tomado del [AWS Control Tower marco de barreras de protección](https://docs.aws.amazon.com/audit-manager/latest/userguide/controltower.html). Audit Manager usa este control para generar evidencia que ayude a alinear su AWS entorno con AWS Control Tower Guardrails.
**Ejemplo de detalles de control**
+ **Nombre del control**: `CT-4.1.2: 4.1.2 - Disallow public write access to S3 buckets`
+ **Conjunto de controles**: este control pertenece al conjunto de controles de `Disallow public access`. Se trata de una agrupación de controles relacionados con la administración de accesos.
+ **Origen de evidencias**: origen de datos individual
+ **Tipo de fuente de datos:** AWS Config
+ **Tipo de evidencia**: comprobaciones de conformidad
En el siguiente ejemplo, este control aparece en una evaluación de Audit Manager que se creó a partir del marco AWS Control Tower Guardrails.
![\[Captura de pantalla que muestra el AWS Config control en una evaluación.\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/images/control-example-automated_config-console.png)
La evaluación muestra el estado del control. También muestra el número de evidencias recopiladas para este control hasta el momento. A partir de este punto puede delegar la revisión del conjunto de controles o completar la revisión por su cuenta. Al elegir el nombre del control se abrirá una página de detalles con más información, incluidas las evidencias del control.
**Cómo funciona el control**
Audit Manager puede usar este control para comprobar si los niveles de acceso de sus políticas de bucket de S3 son demasiado flexibles para cumplir con los requisitos AWS Control Tower . En concreto, puede comprobar la configuración de bloqueo de acceso público, las políticas de los buckets y las listas de control de acceso (ACL) a los buckets para confirmar que los buckets no permiten el acceso público de escritura.
**Cómo recopila Audit Manager las evidencias para el control**
Audit Manager sigue los pasos que se detallan a continuación para recopilar evidencias para el control:
1. Para cada control, Audit Manager evalúa los recursos incluidos en el ámbito utilizando el origen de datos que se especifica en la configuración del control. En este caso, los depósitos de S3 son el recurso y, AWS Config , el tipo de origen de datos. Audit Manager busca el resultado de una AWS Config regla específica ([s3- bucket-public-write-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html)) para evaluar la configuración, la política y la ACL de cada uno de los buckets de S3 que están dentro del ámbito de su evaluación.
1. El resultado de la evaluación de los recursos se guarda y se convierte en evidencias de fácil acceso para el auditor. Audit Manager genera evidencia de *verificación de conformidad* para los controles que AWS Config se utilizan como tipo de fuente de datos. Esta evidencia contiene el resultado de la verificación de conformidad informado directamente desde AWS Config.
1. Audit Manager agrega las evidencias guardadas al control de la evaluación denominado “`CT-4.1.2: 4.1.2 - Disallow public write access to S3 buckets`”.
**Cómo puede utilizar Audit Manager para demostrar la conformidad del control**
Una vez agregadas las evidencias al control, usted (o un delegado de su elección) puede revisarlas para ver si es necesaria alguna corrección.
En este ejemplo, Audit Manager puede mostrar una sentencia que AWS Config indique que un bucket de S3 *no es compatible*. Esto puede ocurrir si uno de sus buckets de S3 tiene una configuración de bloqueo de acceso público que no restringe las políticas públicas y la política que está en uso permite el acceso de escritura público. Para remediarlo, puede actualizar la configuración Bloquear el acceso público para restringir las políticas públicas. Otra opción es usar una política de bucket diferente que no permita el acceso de escritura público. Esta acción correctiva ayuda a alinear su AWS entorno con AWS Control Tower los requisitos.
Compruebe que los niveles de acceso al bucket de S3 concuerdan con los del control, marque el control como *revisado* y añada las evidencias a su informe de evaluación. A continuación puede compartir este informe con los auditores para mostrar que el control funciona según lo previsto.
## Controles automatizados que utilizan las llamadas a la AWS API como tipo de fuente de datos
En este ejemplo, se muestra un control personalizado que usa llamadas a la AWS API como tipo de fuente de datos. Audit Manager utiliza este control para generar pruebas que pueden ayudar a adaptar su AWS entorno a sus requisitos específicos.
**Ejemplo de detalles de control**
+ **Nombre del control**: `Password Use`
+ **Conjunto de controles**: este control pertenece a un conjunto de controles denominado “`Access Control`”. Se trata de un grupo de controles relacionados con la administración de identidades y accesos.
+ **Origen de evidencias**: origen de datos individual
+ **Tipo de fuente de datos**: llamadas a AWS la API
+ **Tipo de evidencia**: datos de configuración
En el siguiente ejemplo este control aparece en una evaluación de Audit Manager creada a partir de un marco personalizado.
![\[Captura de pantalla que muestra el control de la API en una evaluación\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/images/control-example-automated_api-console.png)
La evaluación muestra el estado del control. También muestra el número de evidencias recopiladas para este control hasta el momento. A partir de este punto puede delegar la revisión del conjunto de controles o completar la revisión por su cuenta. Al elegir el nombre del control se abrirá una página de detalles con más información, incluidas las evidencias del control.
**Cómo funciona el control**
Audit Manager puede utilizar este control personalizado para ayudarle a garantizar que cuenta con políticas de control de acceso suficientes. Este control requiere que siga las buenas prácticas de seguridad en la selección y el uso de las contraseñas. Audit Manager puede resultar útil a la hora de obtener una lista de todas las políticas de contraseñas de los directores de IAM que se incluyen en su evaluación.
**Cómo recopila Audit Manager las evidencias para el control**
Audit Manager sigue los pasos que se detallan a continuación para recopilar evidencias para los controles personalizados:
1. Para cada control, Audit Manager evalúa los recursos incluidos en el ámbito utilizando el origen de datos que se especifica en la configuración del control. En este caso, los principales de IAM son los recursos y las llamadas a la AWS API son el tipo de fuente de datos. Audit Manager busca la respuesta de una llamada a la API de IAM específica ([GetAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html)). A continuación, devuelve las políticas de contraseñas de Cuentas de AWS que se evalúan.
1. El resultado de la evaluación de los recursos se guarda y se convierte en evidencias de fácil acceso para el auditor. Audit Manager genera evidencias *de datos de configuración* para los controles que utilizan llamadas a la API como origen de datos. Esta evidencia contiene los datos originales que se capturan de las respuestas de la API y metadatos adicionales que indican qué control admiten los datos.
1. Audit Manager agrega la evidencia o evidencias guardadas al control personalizado de la evaluación que se denomina “`Password Use`”.
**Cómo puede utilizar Audit Manager para demostrar la conformidad del control**
Una vez agregadas las evidencias al control, usted (o un delegado de su elección) podrá revisarlas para comprobar si son suficientes o si es necesario corregirlas.
En este ejemplo, puede revisar las evidencias para ver la respuesta de la llamada a la API. La [GetAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html)respuesta describe los requisitos de complejidad y los períodos de rotación obligatorios de las contraseñas de usuario de su cuenta. Puede utilizar esta respuesta de la API como prueba para demostrar que cuenta con políticas de control de acceso mediante contraseñas suficientes para las Cuentas de AWS que se incluyen en el ámbito de su evaluación. Si lo desea, también puede hacer comentarios adicionales sobre estas políticas añadiendo anotaciones al control.
Compruebe que las políticas de contraseñas de sus directores de IAM se ajustan al control personalizado, marque el control como *revisado* y añada las evidencias a su informe de evaluación. A continuación puede compartir este informe con los auditores para mostrar que el control funciona según lo previsto.
## Controles automatizados que AWS CloudTrail se utilizan como tipo de fuente de datos
En este ejemplo se muestra un control que se utiliza AWS CloudTrail como tipo de fuente de datos. Se trata de un control estándar tomado del marco de [HIPAA Security Rule 2003](https://docs.aws.amazon.com/audit-manager/latest/userguide/HIPAA.html). Audit Manager lo utiliza para generar evidencias que pueden serle de utilidad para hacer que su entorno de AWS corresponda con los requisitos de la HIPAA.
**Ejemplo de detalles de control**
+ **Nombre del control**: `164.308(a)(5)(ii)(C): Administrative Safeguards - 164.308(a)(5)(ii)(C)`
+ **Conjunto de controles**: este control pertenece al conjunto de controles denominado “`Section 308`”. Se trata de una agrupación de controles de HIPAA específica de un marco y relacionada con las medidas de protección administrativas.
+ **Fuente de evidencia**: fuente AWS administrada (controles principales)
+ **Tipo de origen de datos subyacente**: AWS CloudTrail
+ **Tipo de evidencia**: actividad del usuario
Este control se muestra en una evaluación de Audit Manager creada a partir del marco de la HIPAA:
![\[Captura de pantalla que muestra el CloudTrail control en una evaluación.\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/images/control-example-automated_cloudtrail-console.png)
La evaluación muestra el estado del control. También muestra el número de evidencias recopiladas para este control hasta el momento. A partir de este punto puede delegar la revisión del conjunto de controles o completar la revisión por su cuenta. Al elegir el nombre del control se abrirá una página de detalles con más información, incluidas las evidencias del control.
**Cómo funciona el control**
Este control requiere que cuente con procedimientos de supervisión para detectar el acceso no autorizado. Un ejemplo de acceso no autorizado es cuando alguien inicia sesión en la consola sin que esté habilitada la autenticación multifactor (MFA). Audit Manager le ayuda a validar este control al proporcionar pruebas de que ha configurado Amazon CloudWatch para supervisar las solicitudes de inicio de sesión en la consola de administración en las que la MFA no está habilitada.
**Cómo recopila Audit Manager las evidencias para el control**
Audit Manager sigue los pasos que se detallan a continuación para recopilar evidencias para el control:
1. Para cada control, Audit Manager evalúa los recursos incluidos mediante los orígenes de evidencias que se especifican en la configuración del control. En este caso, el control utiliza varios controles principales como orígenes de evidencias.
Cada control principal es una agrupación administrada de orígenes de datos individuales. En nuestro ejemplo, uno de estos controles principales (`Configure Amazon CloudWatch alarms to detect management console sign-in requests without MFA enabled`) utiliza un CloudTrail evento (`monitoring_EnableAlarmActions`) como fuente de datos subyacente.
Audit Manager revisa sus CloudTrail registros y utiliza la `monitoring_EnableAlarmActions` palabra clave para encontrar las acciones de activación de CloudWatch alarmas que están registradas por CloudTrail. A continuación, devuelve un registro de los eventos relevantes detectados como resultado de la evaluación.
1. El resultado de la evaluación de los recursos se guarda y se convierte en evidencias de fácil acceso para el auditor. Audit Manager genera evidencia *de actividad del usuario* para los controles que CloudTrail se utilizan como tipo de fuente de datos. Esta evidencia contiene los datos originales que se capturaron de Amazon CloudWatch y metadatos adicionales que indican qué control admiten los datos.
1. Audit Manager agrega las evidencias guardadas al control de la evaluación denominado “`164.308(a)(5)(ii)(C): Administrative Safeguards - 164.308(a)(5)(ii)(C)`”.
**Cómo puede utilizar Audit Manager para demostrar la conformidad del control**
Una vez agregadas las evidencias al control, usted (o un delegado de su elección) puede revisarlas para ver si es necesaria alguna corrección.
En este ejemplo, puedes revisar las pruebas para ver los eventos de activación de alarmas que registró. CloudTrail Puede utilizar este registro como evidencia para demostrar que cuenta con suficientes procedimientos de supervisión para detectar los inicios de sesión en la consola sin tener habilitada la MFA. Si lo desea, también puede aportar comentarios adicionales agregando comentarios al control. Por ejemplo, si el registro muestra varios inicios de sesión sin la MFA, puede añadir un comentario que explique cómo solucionó el problema. La supervisión periódica de los inicios de sesión en la consola le será de utilidad para evitar problemas de seguridad que puedan derivarse de las discrepancias y de los intentos de inicio de sesión inadecuados. A su vez, esta mejor práctica ayuda a alinear su AWS entorno con los requisitos de la HIPAA.
Cuando compruebe que su procedimiento de monitoreo está en consonancia con el control puede marcar el control como *revisado* y agregar las evidencias al informe de evaluación. A continuación puede compartir este informe con los auditores para mostrar que el control funciona según lo previsto.
## Controles manuales
Algunos controles no admiten la recopilación automática de evidencia. Esto incluye controles basados en el suministro de registros y firmas físicas, además de observaciones, entrevistas y otros eventos que no se generan en la nube. En estos casos puede cargar evidencias manualmente para demostrar que cumple con los requisitos del control.
En este ejemplo se muestra un control manual tomado del marco de [NIST 800-53 (Rev. 5)](https://docs.aws.amazon.com/audit-manager/latest/userguide/NIST800-53r5.html). Puede utilizar Audit Manager para cargar y almacenar evidencias que demuestren la conformidad del control.
**Ejemplo de detalles de control**
+ **Nombre del control**: `AT-4: Training Records`
+ **Conjunto de controles**: `(AT) Awareness and training` Se trata de una agrupación de controles de NIST específica de un marco y relacionada con el entrenamiento.
+ **Origen de evidencias**: origen de datos individual
+ **Tipo de origen de datos**: manual
+ **Tipo de evidencia**: manual
Este es el control que se muestra en una evaluación de Audit Manager que se creó a partir del marco NIST 800-53 (Rev. 5): Low-Moderate-High
![\[Captura de pantalla que muestra el control en una evaluación\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/images/control-example-manual-console.png)
La evaluación muestra el estado del control. También muestra el número de evidencias recopiladas para este control hasta el momento. A partir de este punto puede delegar la revisión del conjunto de controles o completar la revisión por su cuenta. Al elegir el nombre del control se abrirá una página de detalles con más información, incluidas las evidencias del control.
**Cómo funciona el control**
Puede utilizar este control para garantizar que el personal reciba el nivel adecuado de entrenamiento en materia de seguridad y privacidad. En concreto, puede demostrar que ha documentado las actividades de entrenamiento en materia de seguridad y privacidad para todo el personal, en función de su rol. También puede demostrar que se conservan los registros de entrenamiento de cada empleado.
**¿Cómo puedo cargar las evidencias de este control manualmente?**
Para cargar pruebas manuales que complementen las pruebas automatizadas, consulte [Carga](https://docs.aws.amazon.com/audit-manager/latest/userguide/upload-evidence.html) de pruebas manuales en. AWS Audit Manager Audit Manager agrega la evidencia cargada al control de la evaluación llamada “`AT-4: Training Records`”.
**Cómo puede utilizar Audit Manager para demostrar la conformidad del control**
Si tiene documentación que respalde este control, puede cargarla como evidencia manual. Por ejemplo, puede cargar la copia más reciente de los materiales de entrenamiento obligatorios basados en roles que el departamento de Recursos Humanos expide a los empleados.
Al igual que con los controles automatizados, puede delegar los controles manuales en las partes interesadas, quienes pueden ayudarle a revisar las evidencias (o, en este caso, a proporcionarlas). Por ejemplo, al revisar este control, es posible que se dé cuenta de que solo cumple parcialmente sus requisitos. Este podría ser el caso si no tiene ninguna copia de registros de asistencia a los entrenamientos presenciales. Puede delegar el control en una parte interesada de Recursos Humanos, que luego podrá cargar una lista de los empleados que asistieron al entrenamiento.
Cuando confirme que está de acuerdo con el control, puede marcarlo como *revisado* y añadir las evidencias al informe de evaluación. A continuación puede compartir este informe con los auditores para mostrar que el control funciona según lo previsto.
## Controles con distintos tipos de orígenes de datos (automatizados y manuales)
En muchos casos, se necesita una combinación de evidencias automatizadas y manuales para cumplir con un control. Si bien Audit Manager puede proporcionar evidencias automatizadas que sean relevantes para el control, es posible que deba complementar estos datos con evidencias manuales que identifique y cargará manualmente
En este ejemplo se muestra un control que utiliza una combinación de evidencias manuales y evidencias automatizadas. Se trata de un control estándar tomado del [marco NIST 800-53 (Rev. 5)](https://docs.aws.amazon.com/audit-manager/latest/userguide/NIST800-53r5.html). Audit Manager utiliza este control para generar evidencias que pueden ayudar a adaptar su AWS entorno de acuerdo con los requisitos del NIST.
**Ejemplo de detalles de control**
+ **Nombre del control**: `Personnel Termination`
+ **Conjunto de controles**: `(PS) Personnel Security (10)` Se trata de una agrupación de controles de NIST específica de un marco y relacionada con los empleados que realizan el mantenimiento del hardware o el software de los sistemas de la organización.
+ **Fuente de evidencia**: fuentes de datos AWS gestionadas (controles básicos) e individuales (manual)
+ **Tipo de fuente de datos subyacente**: llamadas a la AWS API AWS CloudTrail, AWS Config, manual
+ **Tipo de evidencia**: datos de configuración, actividad del usuario, comprobación de conformidad, evidencia manual
Este es el control que se muestra en una evaluación de Audit Manager que se creó a partir del marco NIST 800-53 (Rev. 5):
![\[Captura de pantalla que muestra el control en una evaluación\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/images/control-example-mixed-console.png)
La evaluación muestra el estado del control. También muestra el número de evidencias recopiladas para este control hasta el momento. A partir de este punto puede delegar la revisión del conjunto de controles o completar la revisión por su cuenta. Al elegir el nombre del control se abrirá una página de detalles con más información, incluidas las evidencias del control.
**Cómo funciona el control**
Puede usar este control para confirmar que está protegiendo la información de la organización en caso de despido de un empleado. En concreto, puede demostrar que deshabilitó el acceso al sistema y revocó las credenciales del empleado. Además, puede demostrar que todos los empleados despedidos participaron en una entrevista de fin de servicio que incluyó una conversación sobre los protocolos de seguridad pertinentes para su organización o empresa.
**Cómo recopila Audit Manager las evidencias para el control**
Audit Manager sigue los pasos que se detallan a continuación para recopilar evidencias para el control:
1. Para cada control, Audit Manager evalúa los recursos incluidos mediante los orígenes de evidencias que se especifican en la configuración del control.
En este caso, el control utiliza varios controles principales como orígenes de evidencias. A su vez, cada uno de estos controles principales recopila evidencia relevante de fuentes de datos individuales (llamadas a la AWS API AWS CloudTrail, y AWS Config). Audit Manager utiliza estos tipos de fuentes de datos para evaluar sus recursos de IAM (como grupos, claves y políticas) con respecto a las llamadas, CloudTrail eventos y AWS Config reglas de API relevantes.
1. El resultado de la evaluación de los recursos se guarda y se convierte en evidencias de fácil acceso para el auditor. Esta evidencia incluye los datos originales que se capturan de cada origen de datos, así como los metadatos adicionales que indican qué control admite esos datos.
1. Audit Manager agrega las evidencias guardadas al control de la evaluación denominado “`Personnel Termination`”.
**¿Cómo puedo cargar las evidencias de este control manualmente?**
Para cargar pruebas manuales que complementen las pruebas automatizadas, consulte [Carga de pruebas manuales](https://docs.aws.amazon.com/audit-manager/latest/userguide/upload-evidence.html) en. AWS Audit Manager Audit Manager agrega la evidencia cargada al control de la evaluación llamada “`Personnel Termination`”.
**Cómo puede utilizar Audit Manager para demostrar la conformidad del control**
Una vez agregadas las evidencias al control, usted (o un delegado de su elección) podrá revisarlas para comprobar si son suficientes o si es necesario corregirlas. Por ejemplo, al revisar este control, es posible que se dé cuenta de que solo cumple parcialmente sus requisitos. Este podría ser el caso si tiene pruebas de que se revocó el acceso, pero no tiene ninguna copia de entrevistas de fin de servicio. Puede delegar el control en una parte interesada de Recursos Humanos, que luego podrá subir una copia de la documentación con las entrevistas de fin de servicio. O bien, si no se despidió a ningún empleado durante el período de auditoría, puede dejar un comentario en el que se explique por qué no se ha asociado documentación firmada al control.
Confirme que está de acuerdo con el control, márquelo como *revisado* y añada las evidencias al informe de evaluación. A continuación puede compartir este informe con los auditores para mostrar que el control funciona según lo previsto.
# Usando AWS Audit Manager
Puede acceder a AWS Audit Manager través de varias opciones, según sus necesidades y preferencias específicas. Estas son algunas formas diferentes en las que puede interactuar con Audit Manager:
+ **Consola de Audit Manager**
Acceda a la consola Audit Manager directamente desde su [https://console.aws.amazon.com/auditmanager/casa](https://console.aws.amazon.com/auditmanager/home), que proporciona una interfaz fácil de usar para gestionar sus auditorías y los recursos relacionados.
+ **API de Audit Manager**
Interactúe con Audit Manager mediante programación a través de la API de Audit Manager, lo que le permitirá automatizar e integrar las tareas en los flujos de trabajo existentes. Para obtener más información, consulte la [Referencia de la API de *AWS Audit Manager *](https://docs.aws.amazon.com/audit-manager/latest/APIReference/Welcome.html).
+ **AWS SDKs**
Utilice kits de desarrollo de AWS software (SDKs) para interactuar con Audit Manager mediante programación, lo que le permitirá escribir código en varios lenguajes de programación. Para obtener más información, consulte [AWS Audit Manager Utilizándolo con un AWS SDK](sdk-general-information-section.md).
+ **AWS CloudFormation**
Cree recursos de Audit Manager utilizando AWS CloudFormation, lo que le permitirá definir e implementar su infraestructura de auditoría como código. Para obtener más información, consulte [Creación de recursos de AWS Audit Manager con AWS CloudFormation](creating-resources-with-cloudformation.md).
+ **Integraciones de terceros**
Integre Audit Manager con productos de gobernanza, riesgo y conformidad (GRC) de terceros compatibles, lo que le permitirá sacar partido de las herramientas y los procesos de GRC existentes. Para obtener más información, consulte [Integraciones con productos de terceros de GRC](third-party-integration.md).
+ **Integraciones con su propio sistema GRC**
Incorpore las evidencias de Audit Manager en su propio sistema de GRC, lo que le permitirá enviar las evidencias directamente desde Audit Manager a la aplicación de GRC. Para obtener más información, consulte [Integración de las evidencias de Audit Manager en el sistema de GRC](tutorial-for-grc-integration.md).
# AWS Audit Manager Utilizándolo con un AWS SDK
AWS los kits de desarrollo de software (SDKs) están disponibles para muchos lenguajes de programación populares. Cada SDK proporciona una API, códigos de ejemplo y documentación que los desarrolladores puede usar para crear aplicaciones en el lenguaje que prefieran.
| Documentación de SDK | Documentación específica de Audit Manager | Ejemplos de código |
| --- | --- | --- |
| [AWS SDK para C\$1\$1](https://docs.aws.amazon.com/sdk-for-cpp) | [AWS SDK para C\$1\$1 Referencia de API para Audit Manager](https://docs.aws.amazon.com/sdk-for-cpp/latest/api/aws-cpp-sdk-auditmanager/html/namespace_aws_1_1_audit_manager.html) | [AWS SDK para C\$1\$1 ejemplos de código](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/cpp) |
| [AWS SDK para Go](https://docs.aws.amazon.com/sdk-for-go) | [AWS SDK para Go Referencia de API para Audit Manager](https://pkg.go.dev/github.com/aws/aws-sdk-go-v2/service/auditmanager) | [AWS SDK para Go ejemplos de código](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/gov2) |
| [AWS SDK para Java](https://docs.aws.amazon.com/sdk-for-java) | [AWS SDK for Java 2.x Referencia de API para Audit Manager](https://sdk.amazonaws.com/java/api/latest/software/amazon/awssdk/services/auditmanager/AuditManagerClient.html) | [AWS SDK para Java ejemplos de código](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javav2) |
| [AWS SDK para JavaScript](https://docs.aws.amazon.com/sdk-for-javascript) | [AWS SDK para JavaScript Referencia de API para Audit Manager](https://docs.aws.amazon.com/AWSJavaScriptSDK/latest/AWS/AuditManager.html) | [AWS SDK para JavaScript ejemplos de código](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javascriptv3) |
| [AWS SDK para .NET](https://docs.aws.amazon.com/sdk-for-net) | [AWS SDK para .NET Referencia de API para Audit Manager](https://docs.aws.amazon.com/sdkfornet/v3/apidocs/items/AuditManager/NAuditManager.html) | [AWS SDK para .NET ejemplos de código](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3) |
| [AWS SDK para PHP](https://docs.aws.amazon.com/sdk-for-php) | [AWS SDK para PHP Referencia de API para Audit Manager](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-auditmanager-2017-07-25.html) | [AWS SDK para PHP ejemplos de código](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/php) |
| [AWS SDK para Python (Boto3)](https://docs.aws.amazon.com/pythonsdk) | [AWS SDK para Python (Boto) Referencia de API para Audit Manager](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/auditmanager.html) | [AWS SDK para Python (Boto3) ejemplos de código](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python) |
| [AWS SDK para Ruby](https://docs.aws.amazon.com/sdk-for-ruby) | [AWS SDK para Ruby Referencia de API para Audit Manager](https://docs.aws.amazon.com/sdk-for-ruby/v3/api/Aws/AuditManager.html) | [AWS SDK para Ruby ejemplos de código](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/ruby) |
Para ver ejemplos específicos de Audit Manager, consulte [Ejemplos de código para el uso de Audit Manager AWS SDKs](https://docs.aws.amazon.com/code-library/latest/ug/auditmanager_code_examples.html).
**nota**
Audit Manager está disponible en la versión 1.19.32 de botocore y posteriores para AWS SDK para Python (Boto3). Antes de empezar a usar el SDK, asegúrese de que usa la versión botocore adecuada.
# Creación de recursos de AWS Audit Manager con AWS CloudFormation
AWS Audit Manager está integrado con AWS CloudFormation un servicio que le ayuda a modelar y configurar sus AWS recursos para que pueda dedicar menos tiempo a crear y administrar sus recursos e infraestructura. Cree una plantilla que describa todos los AWS recursos que desee (como las evaluaciones) y los CloudFormation aprovisione y configure automáticamente.
Cuando la utilice CloudFormation, podrá reutilizar la plantilla para configurar los recursos de AWS Audit Manager de forma coherente y repetida. Describa sus recursos una vez y, a continuación, aprovisione los mismos recursos una y otra vez en varias AWS cuentas y regiones.
## AWS Audit Manager y CloudFormation plantillas
Para aprovisionar y configurar los recursos de AWS Audit Manager y sus servicios relacionados, debe entender las [plantillas de CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html). Las plantillas son archivos de texto con formato JSON o YAML. Estas plantillas describen los recursos que desea aprovisionar en sus CloudFormation pilas. Si no estás familiarizado con JSON o YAML, puedes usar CloudFormation Designer para ayudarte a empezar con CloudFormation las plantillas. Para obtener más información, consulte [¿Qué es Designer de CloudFormation ?](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/working-with-templates-cfn-designer.html) en la *Guía del usuario de AWS CloudFormation *.
AWS Audit Manager admite la creación de evaluaciones en CloudFormation. Para obtener más información, incluyendo ejemplos de plantillas JSON y YAML para las evaluaciones, consulte la [referencia del tipo de recurso de AWS Audit Manager](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-auditmanager-assessment.html) en la *Guía del usuario de AWS CloudFormation *.
## Obtenga más información sobre CloudFormation
Para obtener más información CloudFormation, consulte los siguientes recursos:
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS CloudFormation Guía del usuario](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ [CloudFormation Referencia de la API](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/Welcome.html)
+ [AWS CloudFormation Guía del usuario de la interfaz de línea de comandos](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/what-is-cloudformation-cli.html)
# Integraciones con productos de terceros de GRC
AWS Audit Manager admite integraciones con los productos GRC de socios externos que se enumeran en esta página.
Si su empresa utiliza un modelo de nube híbrida o multinube, es probable que utilice un producto GRC para gestionar las evidencias de esos entornos. Cuando ese producto se integra con Audit Manager, puede obtener pruebas sobre su AWS uso directamente en su entorno de GRC. Esto simplifica la gestión del cumplimiento ya que le proporciona un lugar centralizado para revisar y corregir las evidencias al prepararse para las auditorías.
En esta página se describen los productos GRC de terceros que pueden capturar evidencias de Audit Manager. También encontrará una referencia de las acciones de la API de Audit Manager que puede realizar directamente en esos productos.
**Topics**
+ [Cómo funcionan las integraciones de terceros con Audit Manager](#understanding-grc-integrations)
+ [Productos de socios GRC de terceros que se integran con Audit Manager](#supported-grc-integrations)
## Cómo funcionan las integraciones de terceros con Audit Manager
Los socios de GRC pueden utilizar el Audit Manager public APIs para integrar sus productos con Audit Manager. Con esta integración, puede asignar los controles empresariales del entorno de GRC a los controles comunes que Audit Manager proporciona.
**sugerencia**
Puede asignar los controles empresariales a cualquier tipo de [control de Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#control). Sin embargo, le recomendamos que utilice controles comunes. Cuando asigna un control común que representa su objetivo, Audit Manager recopila pruebas de un grupo predefinido de fuentes de datos gestionado por AWS. Esto significa que no tendrá que ser un experto en AWS para saber qué orígenes de datos recopilan las evidencias pertinentes para su objetivo.
Solo tendrá que asignar el control una vez. Después de ello podrá crear las evaluaciones de Audit Manager directamente en el producto GRC. Esta acción inicia la recopilación de pruebas sobre su AWS uso. A continuación, podrá ver estas AWS pruebas junto con las demás pruebas recopiladas en su entorno híbrido, todo ello en el mismo contexto de los controles de su empresa.
Tenga en cuenta los siguientes aspectos cuando utilice una integración de Audit Manager con un producto GRC de terceros:
+ Las integraciones están disponibles para todas las [Regiones de AWS donde se admite Audit Manager](https://docs.aws.amazon.com/general/latest/gr/audit-manager.html).
+ Todos los recursos de Audit Manager que cree en el producto asociado de GRC también se reflejarán en Audit Manager.
+ El uso está sujeto a los [precios de AWS Audit Manager](https://aws.amazon.com/audit-manager/pricing/) y del producto de GRC de terceros.
+ Las evidencias que recopila Audit Manager son inmutables. Las evidencias se presentan exactamente de la misma manera en los productos GRC de terceros que en la consola Audit Manager. Sin embargo, si utiliza una integración de terceros, es posible que pueda mejorarlas agregando un contexto adicional en sus informes.
+ Se aplican las mismas [cuotas de Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/service-quotas.html) al producto GRC de terceros. Por ejemplo, cada Cuenta de AWS puede tener hasta 100 evaluaciones de Audit Manager activas. Esta cuota a nivel de cuenta se aplica tanto si crea las evaluaciones en la consola Audit Manager como en el producto GRC de terceros. La mayoría de las cuotas de Audit Manager, pero no todas, aparecen en el espacio de AWS Audit Manager nombres de la consola de Service Quotas. Para más información acerca de los aumentos de cuota, consulte [Administrar las cuotas de Audit Manager](service-quotas.md#managing-your-service-quotas).
Si tiene una solución de cumplimiento y desea integrarla con Audit Manager, envíe un correo electrónico a `auditmanager-partners@amazon.com`.
## Productos de socios GRC de terceros que se integran con Audit Manager
Los siguientes productos de GRC de terceros pueden capturar evidencias de Audit Manager.
### MetricStream
Para utilizar esta integración, póngase en contacto con nosotros [MetricStream](https://aws.amazon.com/marketplace/pp/prodview-5ph5amfrrmyx4?qid=1616170904192&sr=0-1&ref_=srh_res_product_title)para acceder al software MetricStream GRC y comprarlo.
Basada en la MetricStream plataforma, la solución MetricStream Enterprise GRC permite un enfoque integral y colaborativo de las actividades y los procesos de GRC en toda la empresa. Al incorporar las pruebas de Audit Manager MetricStream, puede identificar de forma proactiva las pruebas no conformes de su AWS entorno y revisarlas junto con las pruebas de sus fuentes de datos locales u otros socios de nube. Se trata de una forma cómoda y centralizada de revisar y mejorar su postura en materia de cumplimiento y seguridad en la nube al tiempo que se prepara para las auditorías.
Con la integración de Audit Manager MetricStream y Audit Manager, puede realizar las siguientes operaciones de API.
| Tarea | Operación de la API |
| --- | --- |
| Configuración de la integración de Audit Manager | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/third-party-integration.html) |
| Revisión de los recursos de Audit Manager | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/third-party-integration.html) |
| Creación de recursos de Audit Manager | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/third-party-integration.html) |
| Actualización de los recursos de Audit Manager | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/third-party-integration.html) |
| Gestión de la evidencia | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/third-party-integration.html) |
| Eliminar recursos de Audit Manager | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/third-party-integration.html) |
**MetricStream Enlaces relacionados**
+ [AWS Marketplace link](https://aws.amazon.com/marketplace/pp/prodview-5ph5amfrrmyx4?qid=1616170904192&sr=0-1&ref_=srh_res_product_title)
+ [Enlace al producto](https://www.metricstream.com/products/cyber-grc.htm)
+ [Precios del producto](https://info.metricstream.com/ms-pricing.html?Channel=ms-side-widget)
# Integración de las evidencias de Audit Manager en el sistema de GRC
Como cliente empresarial, es probable que tenga recursos en varios centros de datos, incluidos otros proveedores de servicios en la nube y entornos en las instalaciones. Para recopilar pruebas de estos entornos, puede utilizar soluciones de GRC (gobierno, riesgo y cumplimiento) de terceros, como MetricStream CyberGRC o RSA Archer. O bien, puede utilizar un sistema de GRC patentado que haya desarrollado a nivel interno.
Este tutorial le muestra cómo puede integrar un sistema de GRC interno o externo con Audit Manager. Esta integración permite a los proveedores recopilar pruebas sobre el AWS uso y las configuraciones de sus clientes y enviar esas pruebas directamente desde Audit Manager a la aplicación GRC. De este modo, puede centralizar los informes de conformidad en varios entornos.
Para este tutorial:
1. Un **proveedor** es la entidad o empresa propietaria de la aplicación de GRC que se está integrando con Audit Manager.
1. Un **cliente** es la entidad o empresa que utiliza AWS y que también utiliza una aplicación GRC interna o externa.
**nota**
En algunos casos, la aplicación de GRC es propiedad de la misma empresa que la utiliza. En este escenario, el **proveedor** es el grupo o equipo propietario de la aplicación de GRC, y el **cliente** es el equipo o grupo que usa la aplicación de GRC.
**Este tutorial le enseña a realizar las siguientes tareas:**
+ [Paso 1: habilitar Audit Manager](#tutorial-for-grc-integration-step1)
+ [Paso 2: configuración de permisos](#tutorial-for-grc-integration-step2)
+ [Paso 3. Asignación de los controles empresariales a los controles de Audit Manager](#tutorial-for-grc-integration-step3)
+ [Paso 4. Actualización de las asignaciones de controles](#tutorial-for-grc-integration-step4)
+ [Paso 5: crear una evaluación](#tutorial-for-grc-integration-step5)
+ [Paso 6. Comenzar a recopilar evidencias](#tutorial-for-grc-integration-step6)
## Requisitos previos
**Antes de comenzar, asegúrese de cumplir las siguientes condiciones:**
+ Tiene una infraestructura que se ejecuta en AWS.
+ Utiliza un sistema de GRC interno o utiliza un software de GRC de terceros proporcionado por un proveedor.
+ Ha completado todos los [requisitos previos](https://docs.aws.amazon.com/audit-manager/latest/userguide/setup-prerequisites.html) necesarios para [configurar Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/setting-up.html).
+ Conoce [Comprensión de AWS Audit Manager los conceptos y la terminología](concepts.md).
**Algunas restricciones que hay que tener en cuenta:**
+ Audit Manager es regional Servicio de AWS. Debe configurar Audit Manager por separado en cada región en la que ejecute sus AWS cargas de trabajo.
+ Audit Manager no permite agregar evidencias de varias regiones a una única región. Si sus recursos abarcan varios Regiones de AWS, debe agregar la evidencia dentro de su sistema GRC.
+ Audit Manager tiene cuotas predeterminadas para el número de recursos que puede crear. Si es necesario, puede solicitar un aumento de estas cuotas predeterminadas. Para obtener más información, consulte [Quotas and restrictions for AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/service-quotas.html).
## Paso 1: habilitar Audit Manager
### Usuario que debe completar este paso
Cliente
### Qué necesita
Comience por habilitar Audit Manager para su Cuenta de AWS. Si su cuenta forma parte de una organización, puede habilitar Audit Manager con su cuenta de administración y, a continuación, especificar un administrador delegado para Audit Manager.
### Procedimiento
**Habilitación de Audit Manager**
Siga las instrucciones para [habilitar Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/setup-audit-manager.html). Repita el procedimiento de configuración en todas las regiones en las que desee recopilar evidencias.
**sugerencia**
Si lo utiliza AWS Organizations, le recomendamos encarecidamente que configure un administrador delegado durante este paso. Si utiliza una cuenta de administrador delegado en Audit Manager, puede utilizar el buscador de evidencias para buscar en todas las cuentas de miembros de la organización.
## Paso 2: configuración de permisos
### Usuario que debe completar este paso
Cliente
### Qué necesita
En este paso, el cliente crea un rol de IAM para su cuenta. A continuación, el cliente concede al proveedor permisos para asumir el rol.
![\[Diagrama que muestra cómo el rol de IAM concede acceso a la cuenta del proveedor\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/images/vendor-role-access.png)
### Procedimiento
**Creación de un rol para la cuenta de cliente**
Siga las instrucciones descritas en [Creación de un rol para un usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) en la *Guía del usuario de IAM*.
+ En el paso 8 del flujo de trabajo de creación de roles, elija **Crear política** e introduzca una política para el rol.
El rol debe tener, como mínimo, los siguientes permisos:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "AuditManagerAccess",
"Effect" : "Allow",
"Action" : [
"auditmanager:*"
],
"Resource" : "*"
},
{
"Sid" : "OrganizationsAccess",
"Effect" : "Allow",
"Action" : [
"organizations:ListAccountsForParent",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListParents",
"organizations:ListChildren"
],
"Resource" : "*"
},
{
"Sid" : "IAMAccess",
"Effect" : "Allow",
"Action" : [
"iam:GetUser",
"iam:ListUsers",
"iam:ListRoles"
],
"Resource" : "*"
},
{
"Sid" : "S3Access",
"Effect" : "Allow",
"Action" : [
"s3:ListAllMyBuckets"
],
"Resource" : "*"
},
{
"Sid" : "KmsAccess",
"Effect" : "Allow",
"Action" : [
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases"
],
"Resource" : "*"
},
{
"Sid" : "KmsCreateGrantAccess",
"Effect" : "Allow",
"Action" : [
"kms:CreateGrant"
],
"Resource" : "*",
"Condition" : {
"Bool" : {
"kms:GrantIsForAWSResource" : "true"
},
"StringLike" : {
"kms:ViaService" : "auditmanager.*.amazonaws.com"
}
}
},
{
"Sid" : "SNSAccess",
"Effect" : "Allow",
"Action" : [
"sns:ListTopics"
],
"Resource" : "*"
},
{
"Sid" : "TagAccess",
"Effect" : "Allow",
"Action" : [
"tag:GetResources"
],
"Resource" : "*"
}
]
}
```
------
+ En el paso 11 del flujo de trabajo de creación de roles, introduzca `vendor-auditmanager` como **nombre del rol**.
**Autorización para que la cuenta del proveedor asuma el rol**
Siga las instrucciones que se indican en [Conceder a un usuario permisos para cambiar de rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html) en la *Guía del usuario de IAM*.
+ La declaración de política debe incluir el efecto `Allow` en la `sts:AssumeRole action`.
+ También debe incluir el nombre de recurso de Amazon (ARN) del rol en un elemento de recurso.
+ A continuación, se muestra un ejemplo de declaración de política que puede utilizar.
En esta política, sustitúyalo por el *placeholder text* Cuenta de AWS identificador de su proveedor.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::111122223333:role/vendor-auditmanager"
}
}
```
------
## Paso 3. Asignación de los controles empresariales a los controles de Audit Manager
### Usuario que debe completar este paso
Cliente
### Qué necesita
Los proveedores mantienen una lista seleccionada de controles empresariales que los clientes pueden utilizar en una evaluación. Para integrarse con Audit Manager, los proveedores deben crear una interfaz que permita a los clientes asignar sus controles empresariales a los controles de Audit Manager correspondientes. Puede realizar la asignación a varios [](concepts.md#common-control) (recomendado) o a varios [](concepts.md#standard-control). Debe completar esta asignación antes de iniciar cualquier evaluación en la aplicación de GRC del proveedor.
![\[Diagrama que muestra cómo se asignan los controles empresariales a los controles de Audit Manager\]](http://docs.aws.amazon.com/es_es/audit-manager/latest/userguide/images/control-mapping.png)
### Opción 1: asignar los controles empresariales a los controles comunes (recomendado)
Esta es la forma recomendada de asignar los controles empresariales a Audit Manager. Esto se debe a que los controles comunes están en consonancia con los estándares comunes del sector. Esto facilita su asignación a los controles empresariales.
Con este método, el proveedor crea una interfaz que permite al cliente realizar una asignación única entre sus controles empresariales y los controles comunes correspondientes que proporciona Audit Manager. Los proveedores pueden usar las operaciones de [GetControl](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetControl.html)API y [ListControls[ListCommonControls](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListCommonControls.html)](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListControls.html), para mostrar esta información a los clientes. Una vez que el cliente complete el ejercicio de asignación, el proveedor puede usar estas asignaciones para [crear controles personalizados](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html) en Audit Manager.
A continuación, se muestra un ejemplo de una asignación de controles comunes:
Supongamos que tiene un control empresarial denominado `Asset Management`. Este control empresarial se asigna a dos controles comunes en Audit Manager (`Asset performance management` y `Asset maintenance scheduling`). En este caso, debe crear un control personalizado en Audit Manager (lo denominaremos `enterprise-asset-management`). A continuación, añada `Asset performance management` y `Asset maintenance scheduling` como orígenes de evidencias al nuevo control personalizado. Estas fuentes de evidencia recopilan evidencia de apoyo de un grupo predefinido de fuentes de AWS datos. Esto le proporciona una forma eficaz de identificar las fuentes de AWS datos que se corresponden con los requisitos de control de su empresa.
#### Procedimiento
**Búsqueda de los controles comunes disponibles a los se que pueden realizar asignaciones**
Siga los pasos para [buscar la lista de controles comunes disponibles](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html) en Audit Manager.
**Creación de un control personalizado**
1. Siga los pasos para [crear un control personalizado](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html) que esté en concordancia con el control empresarial.
Cuando especifique los orígenes de evidencias en el paso 2 del flujo de trabajo de creación de controles personalizados, haga lo siguiente:
+ Elija **orígenes administrados por AWS ** como el origen de evidencias.
+ Seleccione **Usar un control común que coincida con el objetivo de conformidad**.
+ Elija hasta cinco controles comunes como orígenes de evidencias para el control empresarial.
1. Repita esta tarea para todos los controles empresariales y cree los controles personalizados correspondientes en Audit Manager para cada uno de ellos.
### Opción 2: asignar controles empresariales a controles estándar
Audit Manager proporciona una gran número de controles estándar prediseñados. Puede realizar una asignación única entre los controles empresariales y estos controles estándar. Una vez que haya identificado los controles estándar que corresponden a los controles empresariales, puede añadirlos directamente a un marco personalizado. Si elige esta opción, no necesitará crear ningún control personalizado en Audit Manager.
#### Procedimiento
**Búsqueda de los controles estándar disponibles a los que se pueden realizar asignaciones**
Siga los pasos para [buscar la lista de controles estándar disponibles](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html) en Audit Manager.
**Creación de un marco personalizado**
1. Siga los pasos para [crear un marco personalizado](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-custom-frameworks-from-scratch.html) en Audit Manager.
Cuando especifique un conjunto de controles en el paso 2 del procedimiento de creación de marcos, incluya los controles estándar que se asignan a los controles empresariales.
1. Repita esta tarea para todos los controles empresariales hasta que haya incluido todos los controles estándar correspondientes en el marco personalizado.
## Paso 4. Actualización de las asignaciones de controles
### Usuario que debe completar este paso
Proveedor, cliente
### Qué necesita
Audit Manager actualiza continuamente los controles comunes y los controles estándar para garantizar que utilizan las últimas fuentes de AWS datos disponibles. Esto significa que la asignación de los controles es una tarea única: no es necesario administrar los controles estándar después de añadirlos a un marco personalizado, y no es necesario administrar los controles comunes después de añadirlos como origen de evidencias en el control personalizado. Siempre que se actualice un control común, se aplicarán automáticamente las mismas actualizaciones a todos los controles personalizados que utilizan ese control común como origen de evidencias.
Sin embargo, con el tiempo, es posible que estén disponibles nuevos controles comunes y estándar para utilizarlos como orígenes de evidencias. Teniendo esto en cuenta, los proveedores y los clientes deben crear un flujo de trabajo para obtener periódicamente los controles comunes y estándar más recientes de Audit Manager. A continuación, puede revisar las asignaciones entre los controles empresariales y los controles de Audit Manager, y actualizar las asignaciones según sea necesario.
### Si los controles empresariales se asignan a controles comunes
Durante el proceso de asignación, ha creado controles personalizados. Puede usar Audit Manager para editar esos controles personalizados de modo que utilicen los controles comunes más recientes disponibles como orígenes de evidencias. Una vez que se apliquen las actualizaciones de los controles personalizados, las evaluaciones existentes recopilarán automáticamente evidencias comparándolas con los controles personalizados actualizados. No es necesario crear un nuevo marco o evaluación.
#### Procedimiento
**Búsqueda de los controles comunes más recientes a los se que pueden realizar asignaciones**
Siga los pasos para [buscar los controles comunes disponibles](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html) en Audit Manager.
**Edición de un control personalizado**
1. Siga los pasos para [editar un control personalizado](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-controls.html) en Audit Manager.
Al actualizar los orígenes de evidencias en el paso 2 del flujo de trabajo de edición, haga lo siguiente:
+ Elija **orígenes administrados por AWS ** como el origen de evidencias.
+ Seleccione **Usar un control común que coincida con el objetivo de conformidad**.
+ Elija el nuevo control común que desee utilizar como origen de evidencias para el control personalizado.
1. Repita esta tarea para todos los controles empresariales que desee actualizar.
### Si los controles empresariales se asignan a controles estándar
En este caso, los proveedores deben crear un nuevo marco personalizado que incluya los controles estándar más recientes disponibles y, a continuación, crear una nueva evaluación con este nuevo marco. Tras crear la nueva evaluación, puede marcar la anterior como en estado Inactivo.
#### Procedimiento
**Búsqueda de los controles estándar más recientes a los que se pueden realizar asignaciones**
Siga los pasos para [buscar los controles estándar disponibles](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html) en Audit Manager.
**Creación de un marco personalizado y cómo añadir los controles estándar más recientes**
Siga los pasos para [crear un marco personalizado](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-custom-frameworks-from-scratch.html) en Audit Manager.
Cuando especifique un conjunto de controles en el paso 2 del flujo de trabajo de creación de marcos, incluya los nuevos controles estándar.
**Creación de una evaluación**
Cree una evaluación en la aplicación de GRC.
**Cambio del estado de una evaluación a Inactivo**
Siga los pasos para [cambiar el estado de una evaluación](https://docs.aws.amazon.com/audit-manager/latest/userguide/change-assessment-status-to-inactive.html) en Audit Manager.
## Paso 5: crear una evaluación
**Usuario que debe completar este paso**
Aplicación de GRC, con información del proveedor
**Qué necesita**
Como cliente, no necesita crear una evaluación directamente en Audit Manager. Al iniciar una evaluación de determinados controles en la aplicación de GRC, la aplicación de GRC crea los recursos correspondientes en Audit Manager. En primer lugar, la aplicación de GRC utiliza las asignaciones que ha creado para identificar los controles pertinentes de Audit Manager. A continuación, utiliza la información del control para crear un marco personalizado. Por último, utiliza el marco personalizado recién creado para crear una evaluación en Audit Manager.
La creación de una evaluación en Audit Manager también requiere un [ámbito](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-assessments.html#specify-accounts). Este ámbito incluye una lista de los Cuentas de AWS lugares en los que el cliente desea realizar la evaluación y recopilar las pruebas. Los clientes deben definir este ámbito directamente en la aplicación de GRC.
Como proveedor, debe almacenar el `assessmentId` asignado a la evaluación que se ha iniciado en la aplicación de GRC. Este `assessmentId` es necesario para obtener evidencias de Audit Manager.
**Búsqueda de un ID de evaluación**
1. Utilice la [ListAssessments](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListAssessments.html)operación para ver sus evaluaciones en Audit Manager. Puede utilizar el parámetro [status](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListAssessments.html#auditmanager-ListAssessments-request-status) para ver las evaluaciones con el estado Activo.
```
aws auditmanager list-assessments --status ACTIVE
```
1. En la respuesta, identifique la evaluación que desea almacenar en la aplicación de GRC y tome nota del `assessmentId`.
## Paso 6. Comenzar a recopilar evidencias
**Usuario que debe completar este paso**
AWS Audit Manager, con la información del proveedor
**Qué necesita**
Tras crear una evaluación, se tardan hasta 24 horas en empezar a recopilar evidencias. En este momentos, los controles empresariales están recopilando activamente evidencias para la evaluación de Audit Manager.
Le recomendamos que utilice la característica de [buscador de evidencias](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html) para consultar y encontrar evidencias rápidamente en Audit Manager. Si utiliza el buscador de evidencias como administrador delegado, puede buscar evidencias en todas las cuentas de miembros de su organización. Mediante una combinación de filtros y agrupaciones, puede reducir progresivamente el alcance de su consulta de búsqueda. Por ejemplo, si desea obtener una visión general del estado de su sistema, realice una búsqueda amplia y filtre por evaluación, intervalo de fechas y conformidad de los recursos. Si su objetivo es corregir un recurso específico, puede realizar una búsqueda restringida para encontrar evidencias que apunten a un identificador de control o recurso específico. Tras definir los filtros, puede agrupar y, a continuación, obtener una vista previa de los resultados de búsqueda coincidentes antes de crear un informe de evaluación.
**Habilitación del buscador de evidencias**
+ Siga las instrucciones para [habilitar el buscador de evidencias](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder-settings-enable.html) en la configuración de Audit Manager.
Después de habilitar el buscador de evidencias, puede decidir el ritmo con el que desea obtener las evidencias de Audit Manager para la evaluación. También puede buscar evidencias para un determinado control en una evaluación y almacenarlas en la aplicación de GRC asignada al control empresarial. Puede utilizar las siguientes operaciones de la API de Audit Manager para obtener evidencias:
+ [GetEvidence](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidence.html)
+ [GetEvidenceByEvidenceFolder](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceByEvidenceFolder.html)
+ [GetEvidenceFolder](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceFolder.html)
+ [GetEvidenceFoldersByAssessment](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceFoldersByAssessment.html)
+ [GetEvidenceFoldersByAssessmentControl](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceFoldersByAssessmentControl.html)
## Precios
No incurrirá en ningún costo adicional por la configuración de esta integración, ya sea un proveedor o un cliente. A los clientes se les cobra por las evidencias recopiladas en Audit Manager. Para obtener más información sobre los precios, consulte [Precios de AWS Audit Manager](https://aws.amazon.com/audit-manager/pricing/).
## Recursos adicionales
Consulte los siguientes recursos para obtener más información sobre los conceptos que se presentan en este tutorial:
+ [Evaluaciones](https://docs.aws.amazon.com/audit-manager/latest/userguide/assessments.html): obtenga información sobre los conceptos y las tareas para administrar una evaluación.
+ [Biblioteca de controles](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-library.html): obtenga información sobre los conceptos y las tareas para administrar un control personalizado.
+ [Biblioteca de marcos](https://docs.aws.amazon.com/audit-manager/latest/userguide/framework-library.html): obtenga información sobre los conceptos y las tareas para administrar un marco personalizado.
+ [Buscador de evidencias](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html): obtenga información sobre cómo exportar un archivo CSV o generar un informe de evaluación a partir de los resultados de consultas.
+ [Centro de descargas](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html): obtenga información sobre cómo descargar archivos de evaluación y exportaciones a archivos CSV de Audit Manager.