기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS 에 대한 관리형 정책 AWS Audit Manager
AWS 관리형 정책은에서 생성하고 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.
AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 관리형 정책에 정의된 권한을 AWS 업데이트하는 AWS 경우 업데이트는 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 미칩니다. AWS AWS 서비스 는 새가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 될 때 AWS 관리형 정책을 업데이트할 가능성이 높습니다.
자세한 내용은 IAM 사용 설명서의 AWS 관리형 정책을 참조하세요.
주제
AWS 관리형 정책: AWSAuditManagerAdministratorAccess
AWSAuditManagerAdministratorAccess 정책을 IAM ID에 연결할 수 있습니다.
이 정책은 전체 관리 액세스를 허용하는 관리 권한을 부여합니다 AWS Audit Manager. 이 액세스에는 평가 AWS Audit Manager, 프레임워크 AWS Audit Manager, 제어 및 평가 보고서와 같은 모든 Audit Manager 리소스를 활성화 및 비활성화하고, 설정을 변경하고, 관리하는 기능이 포함됩니다.
AWS Audit Manager 에는 여러 AWS 서비스에서 광범위한 권한이 필요합니다. 이는가 여러 AWS 서비스와 AWS Audit Manager 통합되어 평가 범위의 AWS 계정 및 서비스에서 증거를 자동으로 수집하기 때문입니다.
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
-
Audit Manager- 주도자에게 AWS Audit Manager 리소스에 대한 모든 권한을 허용합니다. -
Organizations- 주도자가 계정 및 조직 단위를 나열하고 위임된 관리자를 등록 또는 등록 취소할 수 있습니다. 이는 다중 계정 지원을 활성화하고가 여러 계정에 대한 평가를 AWS Audit Manager 실행하고 증거를 위임된 관리자 계정으로 통합할 수 있도록 하기 위해 필요합니다. -
iam- 주체가 IAM에서 사용자를 가져와 등록하고 서비스 연결 역할을 생성할 수 있습니다. 이는 평가를 위한 감사 소유자 및 대리인을 지정할 수 있도록 하기 위해 필요합니다. 이 정책은 또한 주도자가 서비스 연결 역할을 삭제하고 삭제 상태를 검색할 수 있도록 합니다. 이는에서 서비스를 비활성화하도록 선택할 때가 리소스를 AWS Audit Manager 정리하고 서비스 연결 역할을 삭제할 수 있도록 하기 위해 필요합니다 AWS Management 콘솔. -
s3- 주체가 사용 가능한 Amazon Simple Storage Service(Amazon S3) 버킷을 나열할 수 있습니다. 증거 보고서를 저장하거나 수동 증거를 업로드하려는 S3 버킷을 지정하려면 이 기능이 필요합니다. -
kms- 주체가 키를 나열 및 설명하고, 별칭을 나열하고, 권한 부여를 생성할 수 있습니다. 이는 데이터 암호화를 위한 고객 관리 키를 선택할 수 있도록 하기 위해 필요합니다. -
sns- 주체가 Amazon SNS에 구독 주제를 나열할 수 있습니다. 이는 AWS Audit Manager 에 알림을 보내려는 SNS 주제를 지정할 수 있도록 하기 위해 필요합니다. -
events- 보안 주체가 검사를 나열하고 관리할 수 있도록 허용합니다 AWS Security Hub. 이는가에서 모니터링하는 AWS 서비스에 대한 AWS Security Hub 결과를 AWS Audit Manager 자동으로 수집하기 위해 필요합니다 AWS Security Hub. 그러면 이 데이터를 AWS Audit Manager 평가에 포함할 증거로 변환할 수 있습니다. -
tag- 주체는 태그가 지정된 리소스를 검색할 수 있습니다. 이는 AWS Audit Manager에서 프레임워크, 컨트롤 및 평가를 탐색할 때 태그를 검색 필터로 사용할 수 있도록 하기 위해 필요합니다. -
controlcatalog- 보안 주체가 AWS Control Catalog에서 제공하는 도메인, 목표 및 공통 컨트롤을 나열할 수 있도록 허용합니다. 이는 AWS Audit Manager에서 공통 컨트롤 기능을 사용할 수 있도록 하는 데 필요합니다. 이러한 권한을 사용하면 제어 라이브러리에서 일반적인 AWS Audit Manager 제어 목록을 보고 도메인 및 목표별로 제어를 필터링할 수 있습니다. 사용자 지정 컨트롤을 생성할 때 공통 컨트롤을 증거 소스로 사용할 수도 있습니다.
AWS 관리형 정책: AWSAuditManagerServiceRolePolicy
AWSAuditManagerServiceRolePolicy를 IAM 엔티티에 연결할 수 없습니다. 이 정책은가 사용자를 대신하여 작업을 AWS Audit Manager 수행하도록 허용하는 서비스 연결 역할 AWSServiceRoleForAuditManager에 연결됩니다. 자세한 내용은 에 대한 서비스 연결 역할 사용 AWS Audit Manager 단원을 참조하십시오.
역할 권한 정책 AWSAuditManagerServiceRolePolicy은 사용자를 대신하여 다음을 수행하여 자동화된 증거를 AWS Audit Manager 가 수집할 수 있도록 허용합니다.
-
다음 데이터 소스에서 데이터를 수집합니다.
-
의 관리 이벤트 AWS CloudTrail
-
의 규정 준수 검사 AWS Config 규칙
-
의 규정 준수 검사 AWS Security Hub
-
-
API 직접 호출을 사용하여 다음 AWS 서비스에 대한 리소스 구성을 설명하세요.
작은 정보
Audit Manager가 이러한 서비스에서 증거를 수집하는 데 사용하는 API 직접 호출에 대한 자세한 내용은 이 안내서의 사용자 지정 컨트롤 데이터 소스를 지원하는 API 직접 호출를 참조하세요.
-
Amazon API Gateway
-
AWS Backup
-
Amazon Bedrock
-
AWS Certificate Manager
-
Amazon CloudFront
-
AWS CloudTrail
-
Amazon CloudWatch()
-
Amazon CloudWatch Logs
-
Amazon Cognito 사용자 풀
-
AWS Config
-
Amazon Data Firehose
-
AWS Direct Connect
-
Amazon DynamoDB
-
Amazon EC2
-
Amazon EC2 오토 스케일링
-
Amazon Elastic Container Service
-
Amazon Elastic File System
-
Amazon Elastic Kubernetes Service:
-
Amazon ElastiCache
-
Elastic Load Balancing
-
Amazon EMR
-
Amazon EventBridge
-
Amazon FSx
-
Amazon GuardDuty
-
AWS Identity and Access Management (IAM)
-
Amazon Kinesis
-
AWS KMS
-
AWS Lambda
-
AWS License Manager
-
Amazon Managed Streaming for Apache Kafka
-
Amazon OpenSearch Service
-
AWS Organizations
-
Amazon Relational Database Service
-
Amazon Redshift
-
Amazon Route 53
-
Amazon S3
-
Amazon SageMaker AI
-
AWS Secrets Manager
-
AWS Security Hub
-
Amazon Simple Notification Service
-
Amazon Simple Queue Service
-
AWS WAF
-
권한 세부 정보
AWSAuditManagerServiceRolePolicy AWS Audit Manager 를 사용하면가 지정된 리소스에서 다음 작업을 완료할 수 있습니다.
-
acm:GetAccountConfiguration -
acm:ListCertificates -
apigateway:GET -
autoscaling:DescribeAutoScalingGroups -
backup:ListBackupPlans -
backup:ListRecoveryPointsByResource -
bedrock:GetCustomModel -
bedrock:GetFoundationModel -
bedrock:GetModelCustomizationJob -
bedrock:GetModelInvocationLoggingConfiguration -
bedrock:ListCustomModels -
bedrock:ListFoundationModels -
bedrock:ListGuardrails -
bedrock:ListModelCustomizationJobs -
cloudfront:GetDistribution -
cloudfront:GetDistributionConfig -
cloudfront:ListDistributions -
cloudtrail:DescribeTrails -
cloudtrail:GetTrail -
cloudtrail:ListTrails -
cloudtrail:LookupEvents -
cloudwatch:DescribeAlarms -
cloudwatch:DescribeAlarmsForMetric -
cloudwatch:GetMetricStatistics -
cloudwatch:ListMetrics -
cognito-idp:DescribeUserPool -
config:DescribeConfigRules -
config:DescribeDeliveryChannels -
config:ListDiscoveredResources -
directconnect:DescribeDirectConnectGateways -
directconnect:DescribeVirtualGateways -
dynamodb:DescribeBackup -
dynamodb:DescribeContinuousBackups -
dynamodb:DescribeTable -
dynamodb:DescribeTableReplicaAutoScaling -
dynamodb:ListBackups -
dynamodb:ListGlobalTables -
dynamodb:ListTables -
ec2:DescribeAddresses -
ec2:DescribeCustomerGateways -
ec2:DescribeEgressOnlyInternetGateways -
ec2:DescribeFlowLogs -
ec2:DescribeInstanceCreditSpecifications -
ec2:DescribeInstanceAttribute -
ec2:DescribeInstances -
ec2:DescribeInternetGateways -
ec2:DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations -
ec2:DescribeLocalGateways -
ec2:DescribeLocalGatewayVirtualInterfaces -
ec2:DescribeNatGateways -
ec2:DescribeNetworkAcls -
ec2:DescribeRouteTables -
ec2:DescribeSecurityGroups -
ec2:DescribeSecurityGroupRules -
ec2:DescribeSnapshots -
ec2:DescribeTransitGateways -
ec2:DescribeVolumes -
ec2:DescribeVpcEndpoints -
ec2:DescribeVpcEndpointConnections -
ec2:DescribeVpcEndpointServiceConfigurations -
ec2:DescribeVpcPeeringConnections -
ec2:DescribeVpcs -
ec2:DescribeVpnConnections -
ec2:DescribeVpnGateways -
ec2:GetEbsDefaultKmsKeyId -
ec2:GetEbsEncryptionByDefault -
ec2:GetLaunchTemplateData -
ecs:DescribeClusters -
eks:DescribeAddonVersions -
elasticache:DescribeCacheClusters -
elasticache:DescribeServiceUpdates -
elasticfilesystem:DescribeAccessPoints -
elasticfilesystem:DescribeFileSystems -
elasticloadbalancing:DescribeLoadBalancers -
elasticloadbalancing:DescribeSslPolicies -
elasticloadbalancing:DescribeTargetGroups -
elasticmapreduce:ListClusters -
elasticmapreduce:ListSecurityConfigurations -
es:DescribeDomains -
es:DescribeDomain -
es:DescribeDomainConfig -
es:ListDomainNames -
events:DeleteRule -
events:DescribeRule -
events:DisableRule -
events:EnableRule -
events:ListConnections -
events:ListEventBuses -
events:ListEventSources -
events:ListRules -
events:ListTargetsByRule -
events:PutRule -
events:PutTargets -
events:RemoveTargets -
firehose:ListDeliveryStreams -
fsx:DescribeFileSystems -
guardduty:ListDetectors -
iam:GenerateCredentialReport -
iam:GetAccessKeyLastUsed -
iam:GetAccountAuthorizationDetails -
iam:GetAccountPasswordPolicy -
iam:GetAccountSummary -
iam:GetCredentialReport -
iam:GetGroupPolicy -
iam:GetPolicy -
iam:GetPolicyVersion -
iam:GetRolePolicy -
iam:GetUser -
iam:GetUserPolicy -
iam:ListAccessKeys -
iam:ListAttachedGroupPolicies -
iam:ListAttachedRolePolicies -
iam:ListAttachedUserPolicies -
iam:ListEntitiesForPolicy -
iam:ListGroupsForUser -
iam:ListGroupPolicies -
iam:ListGroups -
iam:ListMfaDeviceTags -
iam:ListMfaDevices -
iam:ListOpenIdConnectProviders -
iam:ListPolicies -
iam:ListPolicyVersions -
iam:ListRolePolicies -
iam:ListRoles -
iam:ListSamlProviders -
iam:ListUserPolicies -
iam:ListUsers -
iam:ListVirtualMFADevices -
kafka:ListClusters -
kafka:ListKafkaVersions -
kinesis:ListStreams -
kms:DescribeKey -
kms:GetKeyPolicy -
kms:GetKeyRotationStatus -
kms:ListGrants -
kms:ListKeyPolicies -
kms:ListKeys -
lambda:ListFunctions -
license-manager:ListAssociationsForLicenseConfiguration -
license-manager:ListLicenseConfigurations -
license-manager:ListUsageForLicenseConfiguration -
logs:DescribeDestinations -
logs:DescribeExportTasks -
logs:DescribeLogGroups -
logs:DescribeMetricFilters -
logs:DescribeResourcePolicies -
logs:FilterLogEvents -
logs:GetDataProtectionPolicy -
organizations:DescribeOrganization -
organizations:DescribePolicy -
rds:DescribeCertificates -
rds:DescribeDBClusterEndpoints -
rds:DescribeDBClusterParameterGroups -
rds:DescribeDBClusters -
rds:DescribeDBInstances -
rds:DescribeDBInstanceAutomatedBackups -
rds:DescribeDBSecurityGroups -
redshift:DescribeClusters -
redshift:DescribeClusterSnapshots -
redshift:DescribeLoggingStatus -
route53:GetQueryLoggingConfig -
s3:GetBucketAcl -
s3:GetBucketLogging -
s3:GetBucketOwnershipControls -
s3:GetBucketPolicy-
이 API 작업은 서비스 연결 역할을 사용할 수 AWS 계정 의 범위 내에서 작동합니다. 크로스 계정 버킷 정책에는 액세스할 수 없습니다.
-
-
s3:GetBucketPublicAccessBlock -
s3:GetBucketTagging -
s3:GetBucketVersioning -
s3:GetEncryptionConfiguration -
s3:GetLifecycleConfiguration -
s3:ListAllMyBuckets -
sagemaker:DescribeAlgorithm -
sagemaker:DescribeDomain -
sagemaker:DescribeEndpoint -
sagemaker:DescribeEndpointConfig -
sagemaker:DescribeFlowDefinition -
sagemaker:DescribeHumanTaskUi -
sagemaker:DescribeLabelingJob -
sagemaker:DescribeModel -
sagemaker:DescribeModelBiasJobDefinition -
sagemaker:DescribeModelCard -
sagemaker:DescribeModelQualityJobDefinition -
sagemaker:DescribeTrainingJob -
sagemaker:DescribeUserProfile -
sagemaker:ListAlgorithms -
sagemaker:ListDomains -
sagemaker:ListEndpointConfigs -
sagemaker:ListEndpoints -
sagemaker:ListFlowDefinitions -
sagemaker:ListHumanTaskUis -
sagemaker:ListLabelingJobs -
sagemaker:ListModels -
sagemaker:ListModelBiasJobDefinitions -
sagemaker:ListModelCards -
sagemaker:ListModelQualityJobDefinitions -
sagemaker:ListMonitoringAlerts -
sagemaker:ListMonitoringSchedules -
sagemaker:ListTrainingJobs -
sagemaker:ListUserProfiles -
securityhub:DescribeStandards -
secretsmanager:DescribeSecret -
secretsmanager:ListSecrets -
sns:ListTagsForResource -
sns:ListTopics -
sqs:ListQueues -
waf-regional:GetLoggingConfiguration -
waf-regional:GetRule -
waf-regional:GetWebAcl -
waf-regional:ListRuleGroups -
waf-regional:ListRules -
waf-regional:ListSubscribedRuleGroups -
waf-regional:ListWebACLs -
waf:GetRule -
waf:GetRuleGroup -
waf:ListActivatedRulesInRuleGroup -
waf:ListRuleGroups -
waf:ListRules -
waf:ListWebAcls -
wafv2:ListWebAcls
AWS Audit ManagerAWS 관리형 정책에 대한 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 AWS Audit Manager 이후부터의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 AWS Audit Manager 문서 기록 페이지에서 RSS 피드를 구독하세요.
| 변경 사항 | 설명 | Date |
|---|---|---|
| AWSAuditManagerServiceRolePolicy - 기존 정책 업데이트 |
이제 서비스 연결 역할을 통해가 이 API 작업은 AWS 생성형 AI 모범 사례 프레임워크 v2를 지원하는 데 필요합니다. 이를 통해 Audit Manager는 생성형 AI 모델 데이터 훈련 데이터세트에 적용되는 가드레일에 대한 자동 증거를 수집할 수 있습니다. |
09/24/2024 |
| AWSAuditManagerServiceRolePolicy - 기존 정책 업데이트 | 이제 AWSAuditManagerServiceRolePolicy. AWS Audit Manager can이 다음 작업을 수행하여의 리소스에 대한 자동 증거를 수집할 수 있도록에 다음 권한을 추가했습니다 AWS 계정.
|
06/10/2024 |
| AWSAuditManagerServiceRolePolicy - 기존 정책 업데이트 | 이제 AWSAuditManagerServiceRolePolicy. AWS Audit Manager can이 다음 작업을 수행하여의 리소스에 대한 자동 증거를 수집할 수 있도록에 다음 권한을 추가했습니다 AWS 계정.
또한 정책( 이제 정책은 API Gateway REST API의 스테이지 및 스테이지 리소스뿐만 아니라 REST API 자체에도 지정된 권한(이 경우 |
05/17/2024 |
| AWSAuditManagerAdministratorAccess - 기존 정책 업데이트 | 다음과 같은 권한을 AWSAuditManagerAdministratorAccess에 추가했습니다.
이 업데이트를 통해 Control AWS Catalog에서 제공하는 제어 도메인, 제어 목표 및 공통 제어를 볼 수 있습니다. AWS Audit Manager의 공통 컨트롤 기능을 사용하려면 이러한 권한이 필요합니다. |
05/15/2024 |
|
AWSAuditManagerServiceRolePolicy - 기존 정책 업데이트 |
이제 AWSAuditManagerServiceRolePolicy. AWS Audit Manager can이 다음 작업을 수행하여의 리소스에 대한 자동 증거를 수집할 수 있도록에 다음 권한을 추가했습니다 AWS 계정.
|
05/15/2024 |
|
AWSAuditManagerServiceRolePolicy - 기존 정책 업데이트 |
이제 서비스 연결 역할을 통해가 이 API 작업은 AWS 생성형 AI 모범 사례 프레임워크 v2를 지원하는 데 필요합니다. 이를 통해 Audit Manager는 생성형 AI 모델 데이터 훈련 데이터세트에 적용되는 정책 제한 사항에 대한 자동 증거를 수집할 수 있습니다.
|
12/06/2023 |
|
AWSAuditManagerServiceRolePolicy - 기존 정책 업데이트 |
이제 AWSAuditManagerServiceRolePolicy. AWS Audit Manager can이 다음 작업을 수행하여의 리소스에 대한 자동 증거를 수집할 수 있도록에 다음 권한을 추가했습니다 AWS 계정.
|
11/06/2023 |
|
AWSAuditManagerServiceRolePolicy - 기존 정책 업데이트 |
다음과 같은 권한을 AWSAuditManagerServiceRolePolicy에 추가했습니다.
|
07/07/2022 |
|
AWSAuditManagerServiceRolePolicy - 기존 정책 업데이트 |
이제 서비스 연결 역할을 통해가 또한 와일드카드( 마지막으로, 소스 값이 존재하고 값이 null이 아님을 확인하기 위해 |
05/20/2022 |
|
AWSAuditManagerAdministratorAccess - 기존 정책 업데이트 |
다중 값 키라는 점을 반영하기 위해 |
04/29/2022 |
|
AWSAuditManagerServiceRolePolicy - 기존 정책 업데이트 |
다중 값 키라는 점을 반영하기 위해 |
03/16/2022 |
| AWS Audit Manager 에서 변경 내용 추적 시작 |
AWS Audit Manager 가 AWS 관리형 정책에 대한 변경 내용 추적을 시작했습니다. |
05/06/2021 |
