

AWS Audit Manager は新規顧客に公開されなくなりました。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Audit Manager  可用性の変更](https://docs.aws.amazon.com/audit-manager/latest/userguide/audit-manager-availability-change.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# デフォルトの評価レポートの送信先の設定
<a name="settings-destination"></a>


評価レポートを生成すると、Audit Manager は、任意の S3 バケットにレポートを発行します。この S3 バケットは[](concepts.md#assessment-report-destination)と呼ばれます。Audit Manager で評価レポートを保存する S3 バケットを選択できます。

## 前提条件
<a name="settings-destination-prerequisites"></a>

### 評価レポートの送信先設定のヒント
<a name="settings-assessment-report-destination-tips"></a>

評価レポートを正常に生成するには、評価レポートの送信先についての次の設定を使用することをお勧めします。

**同じリージョンバケット**  
評価と同じ AWS リージョン にある S3 バケットを使用することをお勧めします。同じリージョンのバケットと評価を使用する場合、評価レポートには最大 22,000 件の証拠項目を含めることができます。逆に、クロスリージョンバケットと評価を使用する場合、含めることができるのは 3,500 の証拠項目のみです。

**AWS リージョン**  
カスタマーマネージドキー AWS リージョン の (指定した場合) は、評価のリージョンと評価レポートの送信先 S3 バケットと一致する必要があります。KMS キーを変更する方法については、「[データ暗号化の設定](settings-KMS.md)」を参照してください。サポートされている Audit Manager リージョンのリストについては、「Amazon Web Services 全般のリファレンス」の「[AWS Audit Manager エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/audit-manager.html)」を参照してください。

**S3 バケットの暗号化**  
評価レポートの送信先に [SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html#require-sse-kms) を使用したサーバー側の暗号化 (SSE) を必要とするバケットポリシーがある場合、そのバケットポリシーで使用される KMS キーは、Audit Manager データ暗号化の設定で構成した KMS キーと一致する必要があります。Audit Manager の設定で KMS キーを設定しておらず、評価レポートの送信先バケットポリシーで SSE が必要な場合は、バケットポリシーで [SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) が許可されているようにしてください。データ暗号化に使用される KMS キーの設定方法については、「[データ暗号化の設定](settings-KMS.md)」を参照してください。

**クロスアカウント S3 バケット**  
クロスアカウント S3 バケットを評価レポートの送信先として使用することは、Audit Manager コンソールではサポートされていません。 AWS CLI またはいずれかの AWS SDKs を使用して、クロスアカウントバケットを評価レポートの送信先として指定することはできますが、簡単にするために、これを行わないことをお勧めします。  
セキュリティとパフォーマンスを最適化するには、評価と同じ AWS アカウントとリージョンの S3 バケットを使用することをお勧めします。
評価レポートの送信先としてクロスアカウント S3 バケットを使用することを選択する場合は、次の点を考慮してください。  
+ デフォルトでは、評価レポートなどの S3 オブジェクトは、オブジェクトをアップロード AWS アカウント する によって所有されます。[S3 オブジェクト所有権](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html)設定を使用して、このデフォルト動作を変更すると、`bucket-owner-full-control`既定のアクセスコントロールリスト (ACL) があるアカウントによって記述された新しいオブジェクトが自動的にバケット所有者によって所有されるようにできます。

  必須ではありませんが、クロスアカウントバケットの設定に次の変更を加えることをお勧めします。これらの変更を加えることで、バケット所有者は、バケットに発行する評価レポートを完全に制御できるようになります。
  + [S3 バケットのオブジェクト所有権](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html#enable-object-ownership)を、デフォルトの*オブジェクトライター*ではなく、*優先バケット所有者*に設定 
  + [バケットポリシーを追加](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html#ensure-object-ownership)して、そのバケットにアップロードされたオブジェクトに `bucket-owner-full-control` ACL が含まれるようにする
+ Audit Manager がクロスアカウント S3 バケットでレポートを発行できるようにするには、次の S3 バケットポリシーを評価レポートの送信先に追加する必要があります。{{placeholder text}} を独自の情報に置き換えます。このポリシーの `Principal` 要素は、評価を所有し、評価レポートを作成するユーザーまたはロールです。`Resource` は、レポートが発行されるクロスアカウント S3 バケットを指定します。

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Sid": "Allow cross account assessment report publishing",
              "Effect": "Allow",
              "Principal": {
                  "AWS": "arn:aws:iam::{{111122223333}}:user/{{AssessmentOwnerUserName}}"
              },
              "Action": [
                  "s3:ListBucket",
                  "s3:PutObject",
                  "s3:GetObject",
                  "s3:GetBucketLocation",
                  "s3:PutObjectAcl",
                  "s3:DeleteObject"
              ],
              "Resource": [
                  "arn:aws:s3:::{{CROSS-ACCOUNT-BUCKET}}",
                  "arn:aws:s3:::{{CROSS-ACCOUNT-BUCKET/*}}"
              ]
          }
      ]
  }
  ```

------

## 手順
<a name="settings-destination-procedure"></a>

この設定は、Audit Manager コンソール、 AWS Command Line Interface (AWS CLI)、または Audit Manager API を使用して更新できます。

------
#### [ Audit Manager console ]

**Audit Manager コンソールでデフォルトの評価レポートの送信先を変更するには**

1. **[評価]** 設定タブから、**評価レポートの送信先**セクションに移動します。

1. 既存の S3 バケットを使用するには、ドロップダウンメニューからバケット名を選択します。

1. 新しい S3 バケットを作成するには、**[Create new bucket]** (新しいバケットを作成) を選択します。

1. 完了したら、**[保存]** を選択します。

------
#### [ AWS CLI ]

**でデフォルトの評価レポートの宛先を更新するには AWS CLI**  
[update-settings](https://docs.aws.amazon.com/cli/latest/reference/auditmanager/update-settings.html) コマンドを実行して、`--default-assessment-reports-destination` パラメータを使用して S3 バケットを指定します。

次の例では、次の {{placeholder text}} を独自の情報に置き換えます。

```
aws auditmanager update-settings --default-assessment-reports-destination destinationType=S3,destination={{s3://amzn-s3-demo-destination-bucket}}
```

------
#### [ Audit Manager API ]

**API を使用してデフォルトの評価レポートの送信先を変更するには**  
[UpdateSettings](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_UpdateSettings.html) 操作を呼び出して、[DefaultAssessmentReportsDestination](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_UpdateSettings.html#auditmanager-UpdateSettings-request-defaultAssessmentReportsDestination) パラメータを使用して S3 バケットを指定します。

------

## その他のリソース
<a name="settings-destination-additional-resources"></a>
+ [バケットの作成](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket.html)
+ [評価レポート](assessment-reports.md)