Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Comprensione dei concetti e della terminologia AWS Audit Manager
Per aiutarti a iniziare, questa pagina definisce i termini e spiega alcuni dei concetti chiave di AWS Audit Manager.
## A
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 J [I](#auditmanager-concepts-I) \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 T [S](#auditmanager-concepts-S) \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Valutazione**
È possibile utilizzare una valutazione di Gestione audit per raccogliere automaticamente le prove pertinenti per un audit.
Una valutazione si basa su un framework, che è un raggruppamento di controlli correlati all’audit. Puoi creare una valutazione da un framework standard o da un framework personalizzato. I framework standard contengono set di controlli predefiniti che supportano uno standard o una normativa di conformità specifici. Al contrario, i framework personalizzati contengono controlli che è possibile personalizzare e raggruppare in base ai requisiti di audit specifici. Utilizzando un framework come punto di partenza, è possibile creare una valutazione che specifichi Account AWS ciò che si desidera includere nell'ambito dell'audit.
Quando si crea una valutazione, Audit Manager inizia automaticamente a valutare le risorse in uso in Account AWS base ai controlli definiti nel framework. Successivamente, raccoglie le prove pertinenti e le converte in un formato adatto ai revisori. Dopo aver fatto ciò, allega le prove ai controlli della valutazione. Quando è il momento di un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte e aggiungerle a un report di valutazione. Il report di valutazione aiuta a dimostrare che i controlli funzionano come previsto.
Il processo di raccolta delle prove è continuo e inizia nel momento in cui si crea una valutazione. Puoi interrompere la raccolta delle prove modificando lo stato della valutazione in *Inattivo*. In alternativa, puoi interrompere la raccolta delle prove a livello di controllo. Per farlo, modifica lo stato di un controllo specifico all’interno della tua valutazione in *Inattivo*.
Per istruzioni su come creare e gestire le valutazioni, consulta [Gestione delle valutazioni in AWS Audit Manager](assessments.md).
**Report di valutazione**
Un report di valutazione è un documento definitivo generato da una valutazione di Gestione audit. I report riassumono le prove pertinenti raccolte per l’audit. Si collegano alle cartelle delle prove pertinenti. Le cartelle sono denominate e organizzate in base ai controlli specificati nella valutazione. Per ogni valutazione, è possibile esaminare le prove raccolte da Gestione audit e decidere quali prove includere nel report di valutazione.
Per ulteriori informazioni sui report di valutazione, consulta [Rapporti di valutazione](assessment-reports.md). Per informazioni su come generare un report di valutazione, consulta [Preparazione di un rapporto di valutazione in AWS Audit Manager](generate-assessment-report.md).
**Destinazione del report di valutazione**
La destinazione dei report di valutazione è il bucket S3 predefinito in cui Gestione audit salva i report di valutazione. Per ulteriori informazioni, consulta [Configurazione della destinazione predefinita del rapporto di valutazione](settings-destination.md).
**Audit**
Un audit è un esame indipendente delle risorse, delle operazioni o dell’integrità aziendale dell’organizzazione. Un audit informatico (IT) esamina specificamente i controlli all’interno dei sistemi informativi dell’organizzazione. L’obiettivo di un audit IT è determinare se i sistemi informativi salvaguardino le risorse, funzionino in modo efficace e mantengano l’integrità dei dati. Tutti questi aspetti sono importanti per soddisfare i requisiti normativi imposti da uno standard o da un regolamento di conformità.
**Proprietario dell’audit**
Il termine *proprietario dell’audit* assume due significati diversi a seconda del contesto.
Nel contesto di Gestione audit, il proprietario dell’audit è un utente o un ruolo che gestisce una valutazione e le relative risorse. Le responsabilità di questo Gestione audit includono la creazione di valutazioni, la revisione delle prove e la generazione di report di valutazione. Gestione audit è un servizio collaborativo e i proprietari degli audit traggono vantaggio dalla partecipazione di altre parti interessate alle loro valutazioni. Ad esempio, è possibile aggiungere altri proprietari dell’audit alla valutazione per condividere le attività di gestione. In alternativa, se sei titolare di un audit e hai bisogno di aiuto per interpretare le prove raccolte per un controllo, puoi [delegare tale set di controlli](https://docs.aws.amazon.com/audit-manager/latest/userguide/delegate.html) a una parte interessata con esperienza specifica in quell’area. Tale persona è nota come persona *delegata*.
In termini commerciali, il proprietario dell’audit è una persona che coordina e supervisiona gli sforzi di preparazione all’audit della propria azienda e presenta le prove a un revisore. In genere, si tratta di un professionista della governance, del rischio e della conformità (GRC), come un responsabile della conformità o un responsabile della protezione dei dati GDPR. I professionisti GRC hanno l’esperienza e l’autorità necessarie per gestire la preparazione degli audit. Più specificamente, comprendono i requisiti di conformità e possono analizzare, interpretare e preparare i dati di reporting. Tuttavia, anche altre figure aziendali possono assumere il ruolo di Gestione audit di un proprietario dell’audit, non solo i professionisti GRC. Ad esempio, potresti scegliere di far configurare e gestire le valutazioni di Gestione audit da un esperto tecnico di uno dei seguenti team:
+ SecOps
+ IT/ DevOps
+ Risposta alle operazioni di Center/Incident sicurezza
+ Team simili che possiedono, sviluppano, rimediano e distribuiscono risorse cloud e comprendono l’infrastruttura cloud della tua organizzazione
La persona scelta come proprietario dell’audit nella valutazione di Gestione audit dipende molto dall’organizzazione. Dipende anche da come si strutturano le operazioni di sicurezza e dalle specifiche dell’audit. In Gestione audit, la stessa persona può assumere il ruolo di proprietario dell’audit in una valutazione e il ruolo di delegato in un’altra.
Indipendentemente dal modo in cui scegli di utilizzare Audit Manager, puoi gestire la separazione dei compiti all'interno dell'organizzazione utilizzando la owner/delegate persona di audit e concedendo politiche IAM specifiche a ciascun utente. Grazie a questo approccio in due fasi, Gestione audit garantisce il pieno controllo su tutte le specifiche di una valutazione individuale. Per ulteriori informazioni, consulta [Politiche consigliate per gli utenti in AWS Audit Manager](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-personas).
** AWS fonte gestita**
Una fonte AWS gestita è una fonte di prove che AWS conserva per te.
Ogni fonte AWS gestita è un raggruppamento predefinito di fonti di dati che si associa a uno specifico controllo comune o controllo principale. Quando si utilizza un controllo comune come fonte di prove, si raccolgono automaticamente le prove per tutti i controlli principali che supportano tale controllo comune. Puoi anche utilizzare i singoli controlli di base come fonte di prove.
Ogni volta che una fonte AWS gestita viene aggiornata, gli stessi aggiornamenti vengono applicati automaticamente a tutti i controlli personalizzati che utilizzano tale fonte AWS gestita. Ciò significa che i controlli personalizzati raccolgono prove in base alle definizioni più recenti di quella fonte di prove. Questo ti aiuta a garantire una conformità continua man mano che l'ambiente di conformità cloud cambia.
Vedi anche:[](#customer-managed-source),[](#evidence-source).
## C
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 G \$1 H [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 T [S](#auditmanager-concepts-S) \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Changelog**
Per ogni controllo in una valutazione, Audit Manager tiene traccia delle attività degli utenti per quel controllo. È quindi possibile esaminare un audit trail delle attività correlate a un controllo specifico. Per ulteriori informazioni su quali attività degli utenti vengono registrate nel changelog, vedere. [Scheda Changelog](review-controls.md#review-changelog)
**Conformità cloud**
La conformità cloud è il principio generale secondo cui i sistemi forniti nel cloud devono essere conformi agli standard richiesti dai clienti del cloud.
**Controllo comune**
Per informazioni, consulta [](#control).
**Regolamento di conformità**
Un regolamento di conformità è una legge, una norma o un altro ordine prescritto da un’autorità, in genere per regolare una condotta. Un esempio è GDPR.
**Standard di conformità**
Uno standard di conformità è un insieme strutturato di linee guida che descrivono in dettaglio i processi di un’organizzazione per mantenere la conformità ai regolamenti, alle specifiche o alla legislazione stabiliti. Gli esempi comprendono PCI DSS e HIPAA.
**Controllo**
Un controllo è una misura di salvaguardia o contromisura prescritta per un sistema informativo o un’organizzazione. I controlli sono progettati per proteggere la riservatezza, l'integrità e la disponibilità delle informazioni e per soddisfare una serie di requisiti definiti. Garantiscono che le risorse funzionino come previsto, che i dati siano affidabili e che l'organizzazione sia conforme alle leggi e ai regolamenti applicabili.
In Gestione audit, un controllo può anche rappresentare una domanda in un questionario di valutazione del rischio del fornitore. In questo caso, un controllo è una domanda specifica che richiede informazioni sul livello di sicurezza e conformità di un’organizzazione.
I controlli raccolgono continuamente prove quando sono attivi nelle valutazioni di Gestione audit. È anche possibile aggiungere manualmente prove a qualsiasi controllo. Ogni elemento di prova è un documento che consente di dimostrare la conformità ai requisiti del controllo.
Audit Manager fornisce i seguenti tipi di controlli:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/concepts.html)
**Dominio di controllo**
Puoi pensare a un dominio di controllo come a una categoria di controlli che non rientra in alcun standard di conformità. Un esempio di dominio di controllo è la *protezione dei dati*.
I controlli sono spesso raggruppati per dominio per semplici scopi organizzativi. Ogni dominio ha più obiettivi.
I raggruppamenti di domini di controllo sono una delle funzionalità più potenti del [pannello di controllo di Gestione audit](https://docs.aws.amazon.com/audit-manager/latest/userguide/dashboard.html). Gestione audit evidenzia i controlli che nelle valutazioni presentano prove non conformi e li raggruppa per dominio di controllo. Ciò consente di concentrare gli sforzi di correzione su domini tematici specifici mentre ci si prepara per un audit.
**Obiettivo di controllo**
Un obiettivo di controllo descrive l'obiettivo dei controlli comuni che lo sottendono. Ogni obiettivo può avere più controlli comuni. Se questi controlli comuni vengono implementati con successo, ti aiuteranno a raggiungere l'obiettivo.
Ogni obiettivo di controllo rientra in un dominio di controllo. Ad esempio, il dominio di controllo della *protezione dei dati* potrebbe avere un obiettivo di controllo denominato *Classificazione e gestione dei dati.* Per supportare questo obiettivo di controllo, è possibile utilizzare un controllo comune denominato *Controlli di accesso* per monitorare e rilevare gli accessi non autorizzati alle risorse.
** Controllo di base**
Per informazioni, consulta [](#control).
** Controllo personalizzato**
Per informazioni, consulta [](#control).
**Fonte gestita dal cliente**
Una fonte gestita dal cliente è una fonte di prove definita dall'utente.
Quando crei un controllo personalizzato in Audit Manager, puoi utilizzare questa opzione per creare le tue fonti di dati individuali. Ciò offre la flessibilità necessaria per raccogliere prove automatizzate da una risorsa specifica dell'azienda, ad esempio una regola personalizzata AWS Config . Puoi utilizzare questa opzione anche se desideri aggiungere prove manuali al tuo controllo personalizzato.
Quando utilizzi fonti gestite dai clienti, sei responsabile della manutenzione di tutte le fonti di dati che crei.
Vedi anche:[](#aws-managed-source),[](#evidence-source).
## D
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 G \$1 H [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 T [S](#auditmanager-concepts-S) \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Origine dati**
Audit Manager utilizza *fonti di dati* per raccogliere prove per un controllo. Un'origine dati ha le seguenti proprietà:
+ Un **tipo di origine dati** definisce il tipo di origine dati da cui Audit Manager raccoglie le prove.
+ Per le prove automatiche, il tipo può essere *AWS Security Hub CSPMAWS Config** AWS CloudTrail,* o *chiamate AWS API*.
+ Se carichi le tue prove, il tipo è *Manuale*.
+ L'API Audit Manager fa riferimento a un tipo di origine dati come [SourceType](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html#auditmanager-Type-ControlMappingSource-sourceType).
+ Una **mappatura dell'origine dati** è una parola chiave che indica da dove vengono raccolte le prove per un determinato tipo di origine dati.
+ Ad esempio, potrebbe essere il nome di un CloudTrail evento o il nome di una AWS Config regola.
+ L'API Audit Manager fa riferimento a una mappatura dell'origine dati come [SourceKeyword](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_SourceKeyword.html).
+ **Il nome di un'origine dati** indica l'associazione tra un tipo di origine dati e una mappatura.
+ Per i controlli standard, Audit Manager fornisce un nome predefinito.
+ Per i controlli personalizzati, puoi fornire il tuo nome.
+ API Gestione audit fa riferimento al nome di un’origine dati come [sourceName](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html#auditmanager-Type-ControlMappingSource-sourceName).
Un singolo controllo può avere più tipi di origini dati e più mappature. Ad esempio, un controllo potrebbe raccogliere prove da una combinazione di tipi di fonti di dati (come AWS Config Security Hub CSPM). Un altro controllo potrebbe avere AWS Config come unico tipo di origine dati, con più AWS Config regole come le mappature.
La tabella seguente elenca i tipi di origine dati automatizzati e mostra esempi di alcune mappature corrispondenti.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/concepts.html)
**Delegato**
Un delegato è un AWS Audit Manager utente con autorizzazioni limitate. Generalmente, i delegati hanno competenze commerciali o tecniche specializzate. Ad esempio, queste competenze potrebbero riguardare le policy di conservazione dei dati, i piani di formazione, l’infrastruttura di rete o la gestione delle identità. I delegati aiutano i proprietari degli audit a esaminare le prove raccolte per i controlli che rientrano nella loro area di competenza. I delegati possono esaminare i set di controlli e le relative prove, aggiungere commenti, caricare prove aggiuntive e aggiornare lo stato di un controllo loro assegnato per la revisione.
I proprietari degli audit delegano specifici set di controlli ai delegati, non intere valutazioni. Di conseguenza, i delegati hanno un accesso limitato alle valutazioni. Per istruzioni su come delegare un set di controlli, consulta [Delegazioni in AWS Audit Manager](delegate.md).
## E
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 J [I](#auditmanager-concepts-I) \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 \$1 T [R](#auditmanager-concepts-R) [S](#auditmanager-concepts-S) \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Prove**
Le prove sono registrazioni che contengono le informazioni necessarie per dimostrare la conformità ai requisiti di un controllo. Esempi di prove includono un’attività di modifica richiamata da un utente e un’istantanea della configurazione del sistema.
Esistono due tipi principali di prove in Gestione audit: *prove automatiche* e *prove manuali*.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/concepts.html)
La raccolta automatica delle prove inizia nel momento in cui viene creata una valutazione. Si tratta di un processo continuo e Gestione audit raccoglie le prove con frequenze diverse a seconda del tipo di prova e dell’origine dati sottostante. Per ulteriori informazioni, consulta [Comprendere come AWS Audit Manager raccogliere le prove](how-evidence-is-collected.md).
Per istruzioni su come esaminare le prove in una valutazione, consulta [Revisione delle prove in AWS Audit Manager](review-evidence.md).
**Fonte delle prove**
Una fonte di prove definisce da dove un controllo raccoglie le prove. Può essere una singola fonte di dati o un raggruppamento predefinito di fonti di dati che si associa a un controllo comune o a un controllo principale.
Quando crei un controllo personalizzato, puoi raccogliere prove da fonti AWS gestite, fonti gestite dai clienti o entrambe.
Ti consigliamo di utilizzare fonti AWS gestite. Ogni volta che una fonte AWS gestita viene aggiornata, gli stessi aggiornamenti vengono applicati automaticamente a tutti i controlli personalizzati che utilizzano tali fonti. Ciò significa che i controlli personalizzati raccolgono sempre prove in base alle definizioni più recenti di quella fonte di prove. Questo ti aiuta a garantire una conformità continua man mano che l'ambiente di conformità cloud cambia.
Vedi anche:[](#aws-managed-source),[](#customer-managed-source).
**Metodo di raccolta delle prove**
Esistono due modi in cui un controllo può raccogliere le prove.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/concepts.html)
È possibile allegare prove manuali a qualsiasi controllo automatico. In molti casi, è necessaria una combinazione di prove automatiche e manuali per dimostrare la piena conformità a un controllo. Sebbene Gestione audit sia in grado di fornire prove automatiche utili e pertinenti, alcune prove automatiche potrebbero dimostrare solo una conformità parziale. In questo caso, puoi integrare le prove automatiche fornite da Gestione audit con le tue prove.
Esempio:
+ [AWS Framework generativo di buone pratiche per l'intelligenza artificiale v2](aws-generative-ai-best-practices.md)Contiene un controllo chiamato`Error analysis`. Questo controllo chiede di indicare le imprecisioni rilevate nell’utilizzo del modello. Richiede inoltre di condurre un’analisi approfondita degli errori per comprenderne le cause alla radice e intraprendere azioni correttive.
+ Per supportare questo controllo, Audit Manager raccoglie prove automatiche che mostrano se gli CloudWatch allarmi sono abilitati per il Account AWS luogo in cui è in corso la valutazione. È possibile utilizzare queste prove per dimostrare la conformità parziale al controllo, provando che gli allarmi e i controlli sono configurati correttamente.
+ Per dimostrare la piena conformità, è possibile integrare le prove automatiche con prove manuali. Ad esempio, è possibile caricare una policy o una procedura che mostri il processo di analisi degli errori, le soglie per le escalation e il reporting nonché i risultati dell’analisi delle cause principali. È possibile utilizzare queste prove manuali per dimostrare che le policy stabilite sono state applicate e che sono state intraprese azioni correttive quando richiesto.
Per un esempio più dettagliato, consulta [Controlli con origini dati miste](https://docs.aws.amazon.com/audit-manager/latest/userguide/examples-of-controls.html#mixed).
**Destinazione di esportazione**
Una destinazione di esportazione è il bucket S3 predefinito in cui Gestione audit salva i file esportati da Evidence Finder. Per ulteriori informazioni, consulta [Configurazione della destinazione di esportazione predefinita per Evidence Finder](settings-export-destination.md).
## F
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 J [I](#auditmanager-concepts-I) \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 W \$1 X \$1 Y \$1 Z
**Framework**
Un framework Audit Manager struttura e automatizza le valutazioni per uno specifico standard o principio di governance del rischio. Questi framework includono una raccolta di controlli predefiniti o definiti dal cliente e consentono di mappare AWS le risorse in base ai requisiti di questi controlli.
Esistono due tipi di framework in Audit Manager.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/concepts.html)
Per istruzioni su come creare e gestire i framework, consulta [Utilizzo della libreria framework per gestire i framework in AWS Audit Manager](framework-library.md).
AWS Audit Manager aiuta a raccogliere prove pertinenti per verificare la conformità a specifici standard e regolamenti di conformità. Tuttavia, non viene eseguita la valutazione della conformità. AWS Audit Manager Pertanto, le prove raccolte potrebbero non includere tutte le informazioni sull' AWS utilizzo necessarie per gli audit. AWS Audit Manager non sostituisce i consulenti legali o gli esperti di conformità.
**Condivisione del framework**
Puoi utilizzare la [Condivisione di un framework personalizzato in AWS Audit Manager](share-custom-framework.md) funzione per condividere rapidamente i tuoi framework personalizzati tra tutte le regioni. Account AWS Per condividere un framework personalizzato, è necessario creare una *richiesta di condivisione*. Il destinatario ha quindi 120 giorni per accettare o rifiutare la richiesta. Se il destinatario accetta, Gestione audit replica il framework personalizzato condiviso nella sua libreria di framework. Oltre a replicare il framework personalizzato, Gestione audit replica anche tutti i set di controlli e i controlli personalizzati contenuti in tale framework. I controlli personalizzati vengono aggiunti alla libreria di controlli del destinatario. Gestione audit non replica framework o controlli standard. Questo perché si tratta di risorse già disponibili per impostazione predefinita in ogni account e regione.
## I
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 J [I](#auditmanager-concepts-I) \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Prove inconcludenti**
AWS Audit Manager contrassegna le prove come inconcludenti quando la valutazione automatizzata della conformità non è possibile. Ciò può verificarsi nelle seguenti situazioni:
+ Non hai abilitato AWS Config o AWS Security Hub CSPM, quali sono le fonti di dati chiave.
+ Le prove vengono raccolte direttamente dai AWS servizi tramite chiamate API, AWS CloudTrail registri o caricamenti manuali.
Quando non esiste un meccanismo per la valutazione automatica di queste prove, non AWS Audit Manager posso fornire dettagli sulla valutazione. Di conseguenza, contrassegna le prove come *inconcludenti*.
Le prove inconcludenti non indicano un fallimento. Segnala invece che è necessario valutare manualmente le prove di conformità.
## R
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 G \$1 H [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q [R](#auditmanager-concepts-R) \$1 T [S](#auditmanager-concepts-S) \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Risorsa**
Una risorsa è una risorsa fisica o informativa che viene valutata in un audit. Esempi di AWS risorse includono istanze Amazon EC2, istanze Amazon RDS, bucket Amazon S3 e sottoreti Amazon VPC.
**Valutazione della risorsa**
La valutazione della risorsa è il processo di valutazione di una singola risorsa. La valutazione si basa sul requisito di un controllo. Mentre una valutazione è attiva, Gestione audit valuta ogni singola risorsa nell’ambito della valutazione. La valutazione della risorsa esegue la seguente serie di attività:
1. Raccoglie prove tra cui configurazioni delle risorse, log di eventi e risultati
1. Traduce e mappa le prove ai controlli
1. Memorizza e tiene traccia del percorso delle prove per garantire l’integrità
**Conformità della risorsa**
La conformità della risorsa si riferisce allo stato di valutazione di una risorsa che è stata valutata durante la raccolta delle prove di controllo di conformità.
Audit Manager raccoglie prove di verifica della conformità per i controlli che utilizzano AWS Config Security Hub CSPM come tipo di origine dati. Durante la raccolta delle prove potrebbero essere valutate più risorse. Di conseguenza, una singola prova di controllo di conformità può includere una o più risorse.
Puoi utilizzare il filtro **Conformità delle risorse** in Evidence Finder per esplorare lo stato di conformità a livello di risorsa. Una volta completata la ricerca, puoi visualizzare in anteprima le risorse corrispondenti alla tua query di ricerca.
In Evidence Finder, ci sono tre possibili valori per la conformità delle risorse:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/concepts.html)
## S
[A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 G \$1 H [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 W \$1 X \$1 Y \$1 Z
**Servizio in ambito**
Audit Manager gestisce ciò Servizi AWS che rientra nell'ambito delle vostre valutazioni. Se disponi di una valutazione precedente, è possibile che in passato tu abbia specificato manualmente i servizi inclusi nell'ambito. Dopo il 4 giugno 2024, non è possibile specificare o modificare manualmente i servizi inclusi nell'ambito.
Un *servizio che rientra nell'ambito* della valutazione è un servizio su Servizio AWS cui la valutazione raccoglie prove. Quando un servizio è incluso nell'ambito della valutazione, Audit Manager valuta le risorse del servizio. Esempi di risorse sono:
+ Un’istanza di Amazon EC2
+ Un bucket S3
+ Un utente o ruolo IAM
+ Una tabella DynamoDB
+ Un componente di rete come un cloud privato virtuale (VPC) di Amazon, un gruppo di sicurezza o una tabella con la lista di controllo degli accessi (ACL) di rete
Ad esempio, se Amazon S3 è un servizio che rientra nell'ambito di applicazione, Audit Manager può raccogliere prove sui bucket S3. Le prove esatte raccolte sono determinate da un controllo. [](#control-data-source) Ad esempio, se il tipo di origine dati è AWS Config e la mappatura dell'origine dati è una AWS Config regola (ad esempio`s3-bucket-public-write-prohibited`), Audit Manager raccoglie il risultato della valutazione di tale regola come prova.
Tieni presente che un servizio compreso nell'ambito è diverso da un *tipo di origine dati*, che può anche essere una Servizio AWS o qualcos'altro. Per ulteriori informazioni, [Qual è la differenza tra un servizio in ambito e un tipo di origine dati?](evidence-collection-issues.md#data-source-vs-service-in-scope) consulta la sezione *Risoluzione dei problemi* di questa guida.
** Controllo standard**
Per informazioni, consulta [](#control).