翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# コントロールとコントロールセットの問題のトラブルシューティング
<a name="control-issues"></a>



このページの情報を参照して、Audit Manager での一般的なコントロールに関する問題を解決できます。

**一般的な問題**
+ [評価にコントロールまたはコントロールセットが表示されません](#cannot-view-controls)
+ [コントロールに手動証拠をアップロードできません](#cannot-upload-manual-evidence)
+ [コントロールが「交換可能」と表示されているのはどういう意味ですか?](#control-replacement-available)

**AWS Config 統合の問題**
+ [1 つのコントロールのデータソースとして複数の AWS Config ルールを使用する必要がある](#need-to-use-multiple-rules)
+ [コントロールデータソースを設定しているときは、カスタムルールオプションは使用できません](#custom-rule-option-unavailable)
+ [カスタムルールオプションも使用できますが、ドロップダウンリストにルールは表示されません](#no-custom-rules-displayed)
+ [カスタムルールはいくつか使用できますが、使用したいルールが見当たりません](#custom-rule-missing)
+ [使用したいマネージドルールが表示されません](#managed-rule-missing)
+ [カスタムフレームワークを共有したいのですが、データソースとしてカスタム AWS Config ルールを使用するコントロールがあります。受信者はこれらのコントロールを収集することができますか?](#shared-frameworks-with-custom-aws-config-rules)
+ [カスタムルールが AWS Configで更新されるとどうなりますか? Audit Manager で何かアクションを実行する必要がありますか?](#a-rule-is-updated)

## 評価にコントロールまたはコントロールセットが表示されません
<a name="cannot-view-controls"></a>

簡単に述べると、評価のコントロールを表示するには、ユーザーは、その評価の監査所有者として指定される必要があります。さらに、関連する Audit Manager リソースを表示および管理するために必要な IAM 許可が必要です。

評価のコントロールにアクセスする必要がある場合は、その評価について、自分を監査所有者として指定するよういずれかの監査所有者に依頼します。評価を[作成](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-assessments.html#choose-audit-owners)または[編集](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-assessment.html#edit-choose-audit-owners)するときに、監査所有者を指定できます。

また、評価を管理するために必要な許可が付与されていることも確認してください。監査所有者が [AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html) ポリシーを使用することをお勧めします。IAM 許可についてサポートが必要な場合は、管理者または [AWS Support](https://aws.amazon.com/contact-us/) までお問い合わせください。IAM アイデンティティにポリシーをアタッチする方法の詳細については、*IAM ユーザーガイド*の「[ユーザーへの許可の追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」および「[IAM アイデンティティ許可の追加と削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)」を参照してください。

## コントロールに手動証拠をアップロードできません
<a name="cannot-upload-manual-evidence"></a>

コントロールに証拠を手動でアップロードできない場合は、コントロールのステータスが *[inactive]* (非アクティブ) であることが原因である可能性があります。

手動証拠をコントロールにアップロードするには、最初にコントロールのステータスを *[Under review]* (レビュー中) または *[Reviewed]* (レビュー済み) に変更する必要があります。手順については、「[での評価コントロールのステータスの変更 AWS Audit Manager](change-assessment-control-status.md)」を参照してください。

**重要**  
各 AWS アカウント は、毎日最大 100 個の証拠ファイルをコントロールに手動でアップロードできます。この 1 日あたりのクォータを超えると、そのコントロールについては追加の手動アップロードが失敗します。単一のコントロールに手動証拠を大量にアップロードする必要がある場合は、証拠を数日にわたってバッチでアップロードします。

## コントロールが「交換可能」と表示されているのはどういう意味ですか?
<a name="control-replacement-available"></a>

![\[評価を再作成するよう求めるプロンプトを表示するポップアップメッセージのスクリーンショット。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/troubleshooting-control-replacement-available-console.png)


このメッセージは、カスタムフレームワーク内の 1 つ以上の標準コントロールで、更新されたコントロール定義が使用可能であることを示します。Audit Manager が提供する改善された証拠ソースを活用できるように、これらのコントロールを置き換えることをお勧めします。

実行手順については、「[カスタムフレームワークの詳細ページで、カスタムフレームワークを再作成するように求められます](framework-issues.md#recreate-framework-post-common-controls)」を参照してください。

## 1 つのコントロールのデータソースとして複数の AWS Config ルールを使用する必要がある
<a name="need-to-use-multiple-rules"></a>

マネージドルールとカスタムルールを組み合わせて 1 つのコントロールに使用できます。これを行うには、コントロールに複数の証拠ソースを定義し、それぞれに対して希望するルールタイプを選択します。単一のカスタムコントロールに対して最大 100 個のカスタマーマネージドデータソースを定義することができます。

## コントロールデータソースを設定しているときは、カスタムルールオプションは使用できません
<a name="custom-rule-option-unavailable"></a>

つまり、自分の AWS アカウント または組織のカスタムルールを表示するためのアクセス権限がないことを意味します。具体的には、Audit Manager コンソールで [DescribeConfigRules](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeConfigRules.html) 操作を実行する権限がないということです。

この問題を解決するには、 AWS 管理者にお問い合わせください。ご自身が AWS 管理者の場合は、[IAM ポリシーを管理する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)ことでユーザーまたはグループにアクセス権限を付与できます。

## カスタムルールオプションも使用できますが、ドロップダウンリストにルールは表示されません
<a name="no-custom-rules-displayed"></a>

つまり、ご自身の AWS アカウント や組織ではカスタムルールが有効になっておらず、使用できないことを意味します。

にカスタムルールがまだない場合は AWS Config、作成できます。手順については、AWS Config デベロッパーガイドの [AWS Config カスタム ルール](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules.html) を参照してください。

カスタムルールが表示されることが予想される場合は、次のトラブルシューティング項目を確認してください。

## カスタムルールはいくつか使用できますが、使用したいルールが見当たりません
<a name="custom-rule-missing"></a>

目的のカスタムルールが表示されない場合は、次のいずれかの問題が原因である可能性があります。

**アカウントがルールから除外されています**  
使用している委任管理者アカウントがルールから除外されている可能性があります。  
組織の管理アカウント (または委任管理者アカウントの 1 つ) は、 AWS Command Line Interface () AWS Config を使用してカスタム組織ルールを作成できますAWS CLI。その際、ルールから[除外するアカウントのリスト](https://docs.aws.amazon.com/config/latest/APIReference/API_PutOrganizationConfigRule.html#config-PutOrganizationConfigRule-request-ExcludedAccounts)を指定できます。アカウントがこのリストに含まれている場合、ルールは Audit Manager では使用できません。  
この問題を解決するには、 AWS Config 管理者にお問い合わせください。 AWS Config 管理者の場合は、[put-organization-config-rule](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-organization-config-rule.html) コマンドを実行して、除外されたアカウントのリストを更新できます。

**ルールが正常に作成されず、 AWS Configで有効になりませんでした**  
カスタムルールが正常に作成および有効化されなかった可能性もあります。[ルールの作成時にエラーが発生した](https://docs.aws.amazon.com/config/latest/APIReference/API_PutConfigRule.html#API_PutConfigRule_Errors)場合、またはルールが[有効](https://docs.aws.amazon.com/config/latest/developerguide/setting-up-aws-config-rules-with-console.html)になっていない場合、そのルールは Audit Manager の使用可能なルールのリストに表示されません。  
この問題については、 AWS Config 管理者に問い合わせることをお勧めします。

**このルールはマネージドルールです**  
探しているルールがカスタムルールのドロップダウンリストに見つからない場合は、そのルールがマネージドルールである可能性があります。  
[AWS Config コンソール](https://console.aws.amazon.com/config/)を使用して、ルールがマネージドルールであるかどうかを確認できます。そのためには、左側のナビゲーションメニューで**ルール**を選択し、表でルールを探します。ルールがマネージドルールの場合、**タイプ**列には**AWS マネージド**と表示されます。  

![\[AWS Config コンソールに表示されるマネージドルール。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/rules-managed-console.png)

マネージドルールであることを確認したら、Audit Manager に戻り、ルールタイプとして**マネージドルール**を選択します。次に、マネージドルールのドロップダウンリストでマネージドルール識別子のキーワードを探します。  

![\[Audit Manager コンソールの管理ルールのドロップダウンリストにあるものと同じルール。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/control_data_source-managed_rule-console.png)


## 使用したいマネージドルールが表示されません
<a name="managed-rule-missing"></a>

Audit Manager コンソールのドロップダウンリストからルールを選択する前に、ルールタイプとして**マネージドルール**を選択したことを確認してください。

![\[Audit Manager コンソールで選択されたマネージドルールオプション。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/ruletype-managed-console.png)


それでも期待していたマネージドルールが表示されない場合は、ルール名を探している可能性があります。代わりに、ルール識別子を探す必要があります。

デフォルトのマネージドルールを使用している場合、名前と識別子は似ています。名前は小文字で、ダッシュが使用されています (例: `iam-policy-in-use`)。識別子は大文字で、アンダースコアが使用されます (例: `IAM_POLICY_IN_USE`)。デフォルトのマネージドルールの識別子を見つけるには、[サポートされている AWS Config マネージドルールキーワードのリスト](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources-config.html#aws-config-managed-rules)を確認し、使用するルールのリンクに従います。これにより、そのマネージドルールの AWS Config ドキュメントが表示されます。ここから、名前と識別子の両方を確認できます。「Audit Manager」のドロップダウンリストで識別キーワードを探します。

![\[AWS Config ドキュメントに示されているマネージドルールの名前と識別子。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/ruleidentifier-configdocs.png)


カスタマイズされたマネージドルールを使用している場合は、[AWS Config コンソール](https://console.aws.amazon.com/config/)を使用してルールの識別子を検索できます。例えば、`customized-iam-policy-in-use`というマネージドルールを使用するとします。このルールの識別子を確認するには、 AWS Config コンソールに移動し、左側のナビゲーションメニューで**ルール**を選択し、テーブルでルールを選択します。

![\[AWS Config コンソールのルール表にある、カスタマイズされた名前のマネージドルール。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/managedrule-customname-configconsole.png)


**編集**を選択すると、マネージドルールの詳細が開きます。

![\[AWS Config コンソールのルールの編集オプション。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/editrule-configconsole.png)


**詳細**セクションで、マネージドルールの作成元のソース識別子 (`IAM_POLICY_IN_USE`) を見つけることができます。

![\[AWS Config コンソールのマネージドルールの詳細。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/ruledetails-configconsole.png)


これで Audit Manager コンソールに戻り、ドロップダウンリストから同じ識別子キーワードを選択できます。

![\[Audit Manager コンソールに表示されるマネージドルール識別子。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/ruleidentifier-console.png)


## カスタムフレームワークを共有したいのですが、データソースとしてカスタム AWS Config ルールを使用するコントロールがあります。受信者はこれらのコントロールを収集することができますか?
<a name="shared-frameworks-with-custom-aws-config-rules"></a>

はい、受信者はこれらのコントロールの証拠を収集できますが、そのためにはいくつかの手順が必要です。

Audit Manager がデータソースマッピングとして AWS Config ルールを使用して証拠を収集するには、次の条件が満たされている必要があります。これは、マネージドルールとカスタムルールの両方に当てはまります。

1. ルールは受信者の AWS 環境に存在する必要があります

1. ルールは受信者の AWS 環境で有効にする必要があります

アカウントのカスタム AWS Config ルールが受信者の AWS 環境にまだ存在しない可能性があることに注意してください。さらに、受信者が共有リクエストを受け入れるとき、Audit Manager は受信者のアカウントにカスタムルールを再作成しません。受信者がデータソースマッピングとしてカスタムルールを使用して証拠を収集するには、 のインスタンスに同じカスタムルールを作成する必要があります AWS Config。受信者がルールを[作成](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules.html)して[有効](https://docs.aws.amazon.com/config/latest/developerguide/setting-up-aws-config-rules-with-console.html)にすると、Audit Manager はそのデータソースから証拠を収集できます。

受信者に連絡して、 AWS Configのインスタンスでカスタムルールを作成する必要があるかどうかを知らせることをお勧めします。

## カスタムルールが AWS Configで更新されるとどうなりますか? Audit Manager で何かアクションを実行する必要がありますか?
<a name="a-rule-is-updated"></a>

**AWS 環境内のルール更新の場合**  
 AWS 環境内でカスタムルールを更新する場合、Audit Manager でアクションは必要ありません。Audit Manager は、次の表で説明されているように、ルールの更新を検出して処理します。Audit Manager は、ルールの更新が検出されても通知しません。


| シナリオ | Audit Manager の機能 | 必要な作業 | 
| --- | --- | --- | 
|  のインスタンスでカスタムルールが**更新されます**。 AWS Config  | Audit Manager は、更新されたルール定義を使用して、そのルールに関する検出結果を引き続き報告します。 | アクションは不要です。 | 
|  のインスタンスでカスタムルールが**削除されます** AWS Config  | Audit Manager は、削除されたルールに関する検出結果の報告を停止します。 |  アクションは不要です。 必要に応じて、削除されたルールをデータソースマッピングとして使用していた[カスタムコントロールを編集](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-controls.html)することができます。これにより、削除されたルールが取り除かされ、データ ソース設定が整理されます。そうしない場合、削除されたルール名は未使用のデータソースマッピングとして残ります。  | 

**AWS 環境外のルール更新の場合**  
カスタムルールが AWS 環境外で更新された場合、Audit Manager はルールの更新を検出しません。共有カスタムフレームワークを使用している場合は、この点を考慮する必要があります。これは、このシナリオでは、送信者と受信者がそれぞれ別々の AWS 環境で作業するためです。次の表は、このシナリオの推奨アクションを示しています。


| 役割 | シナリオ | 推奨されるアクション | 
| --- | --- | --- | 
|  送信者  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/control-issues.html)  | 受信者に更新内容を知らせてください。そうすれば、受信者は同じ更新を適用し、最新のルール定義と同期した状態を保つことができます。 | 
| 受取人 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/control-issues.html)  |  AWS Configのインスタンスで、対応するルールを更新してください。 |