기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS Audit Manager란 무엇인가요?
AWS Audit Manager 사용 설명서에 오신 것을 환영합니다.
AWS Audit Manager 를 사용하면 AWS 사용량을 지속적으로 감사하여 위험과 규정 및 업계 표준 준수를 관리하는 방법을 간소화할 수 있습니다. *Audit Manager는 증거 수집을 자동화하여 정책, 절차 및 활동(컨트롤이라고도 함)이 효과적으로 운영되는지 더욱 쉽게 평가할 수 있도록 합니다.* 감사 시기에 Audit Manager는 귀하의 컨트롤에 대한 이해 관계자들의 검토를 관리할 수 있습니다. 즉, 훨씬 적은 수작업으로 감사에 바로 사용할 수 있는 보고서를 작성할 수 있습니다.
Audit Manager는 지정된 규정 준수 표준 또는 규정에 대한 평가를 구조화하고 자동화하는 사전 구축된 프레임워크를 제공합니다. 프레임워크에는 설명 및 테스트 절차가 포함된 사전 구축된 컨트롤 컬렉션이 포함됩니다. 이러한 컨트롤은 지정된 규정 준수 표준 또는 규정의 요구 사항에 따라 그룹화됩니다. 또한 특정 요구 사항에 따라 내부 감사를 지원하도록 프레임워크와 컨트롤을 사용자 지정할 수 있습니다.
모든 프레임워크에서 평가를 생성할 수 있습니다. 평가를 생성하면 Audit Manager가 자동으로 리소스 평가를 실행합니다. 이러한 평가는 감사 범위로 정의한 AWS 계정 에 대한 데이터를 수집합니다. 수집된 데이터는 감사에 적합한 증거로 자동 변환됩니다. 그런 다음 보안, 변경 관리, 비즈니스 연속성 및 소프트웨어 라이선싱의 규정 준수를 입증하는 데 도움이 되도록 관련 컨트롤에 첨부됩니다. 이 증거 수집 프로세스는 진행 중이며 평가를 작성할 때부터 시작됩니다. 감사를 완료하고 증거를 수집하는 데 Audit Manager가 더 이상 필요하지 않은 경우 증거 수집을 중단할 수 있습니다. 이렇게 하려면 평가 상태를 *비활성으로* 변경하세요.
## Audit Manager 기능
를 사용하여 다음 작업을 수행할 AWS Audit Manager수 있습니다.
+ **빠르게 시작** - 다양한 규정 준수 표준 및 규정을 지원하는 사전 구축된 프레임워크 갤러리에서 선택하여 [첫 번째 평가를 작성하세요](https://docs.aws.amazon.com/audit-manager/latest/userguide/tutorial-for-audit-owners.html). 그런 다음 자동 증거 수집을 시작하여 AWS 서비스 사용량을 감사합니다.
+ **하이브리드 또는 멀티클라우드 환경에서 증거 업로드 및 관리** - Audit Manager가 귀하의 AWS 환경에서 수집하는 증거 외에도 온프레미스 또는 멀티클라우드 환경으로부터 취득한 증거를 [업로드](https://docs.aws.amazon.com/audit-manager/latest/userguide/upload-evidence.html)하고 중앙에서 관리할 수 있습니다.
+ **공통 규정 준수 표준 및 규정 지원** - [AWS Audit Manager 표준 프레임워크](https://docs.aws.amazon.com/audit-manager/latest/userguide/framework-overviews.html) 중 하나를 선택합니다. 이러한 프레임워크는 공통 규정 준수 표준 및 규정에 대한 사전 구축된 컨트롤 매핑을 제공합니다. 여기에는 CIS 파운데이션 벤치마크, PCI DSS, GDPR, HIPAA, SOC2, GxP 및 AWS 운영 모범 사례가 포함됩니다.
+ **진행 중인 평가 모니터링** - Audit Manager [대시보드](https://docs.aws.amazon.com/audit-manager/latest/userguide/dashboard.html)를 사용하여 귀하의 능동적 평가에 대한 분석 데이터를 보고 수정이 필요한 규정을 준수하지 않는 증거를 신속하게 식별할 수 있습니다.
+ **증거 검색** - [증거 찾기](evidence-finder.md) 기능을 사용하여 검색 쿼리와 관련된 증거를 빠르게 찾을 수 있습니다. 검색 결과에서 평가 보고서를 생성하거나 검색 결과를 CSV 형식으로 내보낼 수 있습니다.
+ **사용자 지정 컨트롤 생성** - [처음부터 자체 컨트롤을 생성](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html)하거나 [기존 표준 컨트롤 또는 사용자 지정 컨트롤의 편집 가능한 복사본을 생성합니다](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-existing.html). 또한 사용자 지정 컨트롤 기능을 사용하여 위험 평가 질문을 만들고 해당 질문에 대한 응답을 수동 증거로 저장할 수 있습니다.
+ **엔터프라이즈 컨트롤을 사전 정의된 AWS 데이터 소스 그룹에 매핑** - 목표를 나타내는 공통 컨트롤을 선택하고 이를 사용하여 규정 준수 요구 사항 포트폴리오에 대한 증거를 수집하는 [사용자 지정 컨트롤을 생성](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html)합니다.
+ **사용자 지정 프레임워크 생성** - 내부 감사에 대한 특정 요구 사항에 따라 표준 또는 사용자 지정 컨트롤을 사용하여 [자체 프레임워크를 생성](https://docs.aws.amazon.com/audit-manager/latest/userguide/custom-frameworks.html)할 수 있습니다.
+ **사용자 지정 프레임워크 공유** -[ 사용자 지정 Audit Manager 프레임워크를 다른와 공유](https://docs.aws.amazon.com/audit-manager/latest/userguide/share-custom-framework.html) AWS 계정하거나 자신의 계정으로 다른에 복제 AWS 리전 합니다.
+ **팀 간 협업 지원** - 관련 증거를 검토하고, 의견을 추가하고, 각 컨트롤의 상태를 업데이트할 수 있는 주제 전문가에게 [컨트롤 세트를 위임](https://docs.aws.amazon.com/audit-manager/latest/userguide/delegate-for-audit-owners.html)합니다.
+ **감사자용 보고서 작성** - 감사를 위해 수집된 관련 증거를 요약하는 [평가 보고서를 생성](https://docs.aws.amazon.com/audit-manager/latest/userguide/generate-assessment-report.html)하고 자세한 증거가 포함된 폴더에 연결합니다.
+ **증거 무결성 보장** - [증거를 변경하지 않고 안전한 장소에 보관하세요](https://docs.aws.amazon.com/audit-manager/latest/userguide/settings-destination.html).
**참고**
AWS Audit Manager 는 특정 규정 준수 표준 및 규정 준수 확인과 관련된 증거를 수집하는 데 도움을 줍니다. 하지만, 규정 준수 자체를 평가하지는 않습니다. AWS Audit Manager 따라서를 통해 수집된 증거에는 감사에 필요한 AWS 사용에 대한 모든 정보가 포함되지 않을 수 있습니다. AWS Audit Manager 는 법률 고문 또는 규정 준수 전문가를 대체하지 않습니다.
## Audit Manager 요금
요금에 대한 자세한 내용은 [AWS Audit Manager 요금](https://aws.amazon.com/audit-manager/pricing/)을 참조하십시오.
## Audit Manager를 처음 사용하나요?
Audit Manager 를 처음 사용하는 경우 아래 설명하는 페이지부터 시작하는 것이 좋습니다.
1. [AWS Audit Manager 개념 및 용어 이해](concepts.md) - 평가, 프레임워크, 컨트롤 등 Audit Manager에서 사용되는 주요 개념 및 용어에 대해 알아봅니다.
1. [가 증거를 AWS Audit Manager 수집하는 방법 이해](how-evidence-is-collected.md) - Audit Manager가 리소스 평가를 위한 증거를 수집하는 방법에 대해 알아봅니다.
1. [권장 설정 AWS Audit Manager 으로 설정](setting-up.md) - Audit Manager의 설정 요구 사항에 대해 알아봅니다.
1. [시작하기 AWS Audit Manager](getting-started.md) - 자습서를 따라 첫 번째 Audit Manager 평가를 작성합니다.
1. [AWS Audit Manager API 참조](https://docs.aws.amazon.com/audit-manager/latest/APIReference/Welcome.html) - Audit Manager API 작업 및 데이터 유형을 숙지합니다.
## 관련 AWS 서비스
AWS Audit Manager 는 여러와 통합되어 평가 보고서에 포함할 수 있는 증거를 AWS 서비스 자동으로 수집합니다.
**AWS Security Hub CSPM**
AWS Security Hub CSPM 는 AWS 모범 사례 및 업계 표준을 기반으로 하는 자동화된 보안 검사를 사용하여 환경을 모니터링합니다. Audit Manager는 Security Hub CSPM에서 직접 보안 검사 결과를 보고하여 리소스 보안 태세의 스냅샷을 캡처합니다. Security Hub CSPM에 대한 자세한 내용은 *AWS Security Hub CSPM 사용 설명서*의 [What is AWS Security Hub CSPM?](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)를 참조하세요.
**AWS CloudTrail**
AWS CloudTrail 는 계정의 AWS 리소스에 대한 호출을 모니터링하는 데 도움이 됩니다. 여기에는 AWS Management Console, AWS CLI 및 기타에서 수행한 호출이 포함됩니다 AWS 서비스. Audit Manager는 CloudTrail에서 직접 로그 데이터를 수집하고 처리된 로그를 사용자 활동 증거로 변환합니다. CloudTrail에 대한 자세한 내용은 *AWS CloudTrail 사용 설명서*의 [What is AWS CloudTrail?](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)를 참조하세요.
**AWS Config**
AWS Config 는의 AWS 리소스 구성에 대한 자세한 보기를 제공합니다 AWS 계정. 여기에는 리소스가 서로 관련되는 방식과 리소스가 과거에 구성되었던 방식이 포함됩니다. Audit Manager는 결과를 직접 보고하여 리소스 보안 태세의 스냅샷을 캡처합니다 AWS Config. 에 대한 자세한 내용은 *AWS Config 사용 설명서*의 [란 무엇입니까 AWS Config?](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)를 AWS Config참조하세요.
**AWS License Manager**
AWS License Manager 는 소프트웨어 공급업체 라이선스를 클라우드로 가져오는 프로세스를 간소화합니다. 클라우드 인프라를 구축할 AWS때 클라우드 리소스에 사용할 기존 라이선스 인벤토리를 용도 변경하여 비용을 절감할 수 있습니다. Audit Manager는 감사 준비를 지원하는 라이선스 관리자 프레임워크를 제공합니다. 이 프레임워크는 License Manager와 통합되어 고객이 정의한 라이선스 규칙을 기반으로 라이선스 사용 정보를 집계합니다. License Manager에 대한 자세한 내용은 *AWS License Manager 사용 설명서*의 [What is AWS License Manager?](https://docs.aws.amazon.com/license-manager/latest/userguide/license-manager.html)를 참조하세요.
**AWS Control Tower**
AWS Control Tower 는 클라우드 인프라에 대한 예방 및 탐지 가드레일을 적용합니다. Audit Manager는 감사 준비를 지원하는 AWS Control Tower 가드레일 프레임워크를 제공합니다. 이 프레임워크에는 가드레일을 기반으로 하는 모든 AWS Config 규칙이 포함되어 있습니다 AWS Control Tower. 에 대한 자세한 내용은 *AWS Control Tower 사용 설명서*의 [란 무엇입니까 AWS Control Tower?](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)를 AWS Control Tower참조하세요.
**AWS Artifact**
AWS Artifact 는 AWS 인프라에 대한 규정 준수 설명서 및 인증에 대한 온디맨드 액세스를 제공하는 셀프 서비스 감사 아티팩트 검색 포털입니다.는 AWS 클라우드 인프라가 규정 준수 요구 사항을 충족함을 증명하는 증거를 AWS Artifact 제공합니다. 반대로는의 사용이 AWS 서비스 규정을 준수함을 입증하는 증거를 수집, 검토 및 관리하는 데 AWS Audit Manager 도움이 됩니다. 에 대한 자세한 내용은 *AWS Artifact 사용 설명서*의 [란 무엇입니까 AWS Artifact?](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)를 AWS Artifact참조하세요. 에서 [AWS 보고서 목록을](https://console.aws.amazon.com/artifact/reports) 다운로드할 수 있습니다 AWS Management Console.
**Amazon EventBridge**
Amazon EventBridge를 사용하면를 자동화 AWS 서비스 하고 애플리케이션 가용성 문제 또는 리소스 변경과 같은 시스템 이벤트에 자동으로 대응할 수 있습니다. Amazon EventBridge를 사용하여 Audit Manager 이벤트를 감지하고 대응할 수 있습니다. EventBridge는 사용자가 만든 규칙에 따라 이벤트가 규칙에 지정된 값과 일치하면 하나 이상의 대상 작업을 호출합니다. 자세한 내용은 [Amazon EventBridge AWS Audit Manager 를 사용한 모니터링](automating-with-eventbridge.md) 단원을 참조하십시오.
특정 규정 준수 프로그램의 범위 AWS 서비스 내 목록은 [AWS 서비스 규정 준수 프로그램별 범위 내 섹션을 참조하세요](https://aws.amazon.com/compliance/services-in-scope/). 추가적인 일반 정보는 [AWS 규정 준수 프로그램](https://aws.amazon.com/compliance/programs/)을 참조하세요.
## Audit Manager 리소스 추가
다음 리소스를 탐색하여 Audit Manager에 대해 더욱 자세히 알아봅니다.
+ 비디오:를 사용하여 증거 수집 및 감사 데이터 관리 AWS Audit Manager
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/G4yRj4nLwFI)
+ [세 줄 모델 간 통합(2부): AWS Config 적합성 팩을 관리 및 거버넌스 블로그의 AWS Audit Manager 평가로 변환](https://aws.amazon.com/blogs/mt/integrate-across-the-three-lines-model-part-2-transform-aws-config-conformance-packs-into-aws-audit-manager-assessments/) *AWS *
# AWS Audit Manager 개념 및 용어 이해
시작하는 데 도움이 되도록 이 페이지에서는 AWS Audit Manager의 몇 가지 핵심 개념을 정의합니다.
## A
[A](#auditmanager-concepts-A) \$1 B \$1 [C](#auditmanager-concepts-C) [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**평가**
Audit Manager 평가를 사용하여 감사와 관련된 증거를 자동으로 수집할 수 있습니다.
평가는 감사와 관련된 컨트롤을 그룹화한 프레임워크를 기반으로 합니다. 표준 프레임워크 또는 사용자 지정 프레임워크에서 평가를 생성할 수 있습니다. 표준 프레임워크에는 특정 규정 준수 표준 또는 규정을 지원하는 사전 구축된 컨트롤 세트가 포함되어 있습니다. 반면, 사용자 지정 프레임워크에는 특정 감사 요구 사항에 따라 사용자 지정하고 그룹화할 수 있는 컨트롤 항목이 포함되어 있습니다. 프레임워크를 시작점으로 사용하여 감사 범위에 포함할 AWS 계정 를 지정하는 평가를 생성할 수 있습니다.
평가를 생성하면 Audit Manager는 프레임워크에 정의된 컨트롤을 AWS 계정 기반으로의 리소스를 자동으로 평가하기 시작합니다. 그런 다음 관련 증거를 수집하여 감사자 친화적인 형식으로 변환합니다. 이를 수행한 이후, 평가 내 컨트롤에 증거를 첨부합니다. 감사 시기가 되면 사용자 또는 사용자가 선택한 대리인이 수집한 증거를 검토한 다음 평가 보고서에 추가할 수 있습니다. 이 평가 보고서는 컨트롤이 의도한 대로 작동하고 있음을 입증하는 데 도움이 됩니다.
증거 수집은 평가를 생성할 때 시작되는 지속적인 프로세스입니다. 귀하는 평가 상태를 *비활성*으로 변경하여 증거 수집을 중지할 수 있습니다. 또는 컨트롤 수준에서 증거 수집을 중지할 수 있습니다. 평가 내의 특정 컨트롤 상태를 *비활성*으로 변경하여 이 작업을 수행할 수 있습니다.
평가 생성 및 관리 방법에 대한 지침은 [에서 평가 관리 AWS Audit Manager](assessments.md) 섹션을 참조하세요.
**평가 보고서**
평가 보고서는 Audit Manager 평가를 통해 생성된 최종 문서입니다. 이 보고서에는 감사를 위해 수집된 관련 증거가 요약되어 있습니다. 이 보고서는 관련 증거 폴더로 연결됩니다. 귀하의 평가에 지정된 컨트롤 항목에 따라 폴더의 이름과 구성이 지정됩니다. 각 평가에 대해 귀하는 Audit Manager가 수집하는 증거를 검토하고 평가 보고서에 포함할 증거를 결정할 수 있습니다.
평가 보고서에 대한 보다 상세한 내용은 [평가 보고서](assessment-reports.md) 섹션을 참조하세요. 평가 보고서를 생성하는 방법을 알아보려면 [에서 평가 보고서 준비 AWS Audit Manager](generate-assessment-report.md) 섹션을 참조하세요.
**평가 보고서 대상**
평가 보고서 대상은 Audit Manager가 평가 보고서를 저장하는 기본 S3 버킷입니다. 자세한 내용은 [기본 평가 보고서 대상 구성](settings-destination.md) 섹션을 참조하세요.
**감사**
감사는 조직의 자산, 운영 또는 비즈니스 무결성을 독립적으로 검사하는 것입니다. 정보 기술 (IT) 감사는 특히 조직의 정보 시스템 내에 있는 컨트롤을 검사합니다. IT 감사의 목표는 정보 시스템이 자산을 보호하고, 효과적으로 운영되며, 데이터 무결성을 유지하는지 확인하는 것입니다. 이러한 모든 사항은 규정 준수 표준 또는 규정에서 요구하는 규제 요구 사항을 충족하는 데 중요합니다.
**감사 소유자**
*감사 소유자*라는 용어는 상황에 따라 두 가지 다른 의미를 갖습니다.
Audit Manager의 맥락에서 감사 소유자는 평가 및 관련 리소스를 관리하는 사용자 또는 역할입니다. 이 Audit Manager 인격체의 책임에는 평가 작성, 증거 검토 및 평가 보고서 생성이 포함됩니다. Audit Manager는 협업 서비스이며, 다른 이해 관계자가 평가에 참여하면 감사 소유자가 혜택을 누릴 수 있습니다. 예를 들어 평가에 다른 감사 소유자를 추가하여 관리 작업을 공유할 수 있습니다. 또는 감사 담당자로서 컨트롤을 위해 수집된 증거를 해석하는 데 도움이 필요한 경우 해당 분야에 대한 주제 전문 지식을 갖춘 이해 관계자에게 [컨트롤 세트를 위임](https://docs.aws.amazon.com/audit-manager/latest/userguide/delegate.html)할 수 있습니다. 이러한 사람을 *대리인* 인격체라고 합니다.
비즈니스 측면에서 감사 소유자는 회사의 감사 준비 노력을 조정 및 감독하고 감사자에게 증거를 제시하는 사람입니다. 일반적으로 이들은 규정 준수 책임자 또는 GDPR 데이터 보호 책임자와 같은 GRC(거버넌스, 위험 및 규정 준수) 전문가입니다. GRC 전문가는 감사 준비를 관리할 수 있는 전문 지식과 권한을 보유하고 있습니다. 보다 구체적으로 말하자면, 이들은 규정 준수 요구 사항을 이해하고 보고 데이터를 분석, 해석 및 준비할 수 있습니다. 그러나 다른 비즈니스 역할도 감사 소유자인 Audit Manager 인격체를 맡을 수 있습니다. GRC 전문가만이 이 역할을 맡는 것이 아닙니다. 예를 들어, 아래 나열한 팀 중 한 곳의 기술 전문가가 Audit Manager 평가를 설정하고 관리하도록 선택할 수 있습니다.
+ SecOps
+ IT/DevOps
+ 보안 운영 센터/사고 대응팀
+ 클라우드 자산을 소유, 개발, 개선 및 배포하고 조직의 클라우드 인프라를 이해하는 유사한 팀
Audit Manager 평가에서 누구를 감사 소유자로 선택하여 지정할 것인지는 귀하의 조직에 따라 크게 달라집니다. 또한 보안 운영 구조 및 감사 세부 사항에 따라서도 달라집니다. Audit Manager에서는 동일한 개인이 한 평가에서는 감사 소유자 인격체를, 다른 평가에서는 대리인 인격체를 떠맡을 수 있습니다.
Audit Manager로 이용할 사람을 어떻게 선택하든 감사 소유자/대리인 인격체를 사용하고 각 사용자에게 특정 IAM 정책을 부여함으로써 귀하의 조직 전체에 걸쳐 업무 분리를 관리할 수 있습니다. Audit Manager는 이 2단계 접근 방식을 통해 귀하가 개별 평가의 모든 세부 사항을 완벽하게 제어할 수 있도록 합니다. 자세한 내용은 [의 사용자 페르소나에 대한 권장 정책 AWS Audit Manager](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-personas) 단원을 참조하십시오.
** AWS 관리형 소스**
AWS 관리형 소스는가 사용자를 위해 AWS 유지 관리하는 증거 소스입니다.
각 AWS 관리형 소스는 특정 공통 컨트롤 또는 코어 컨트롤에 매핑되는 사전 정의된 데이터 소스 그룹입니다. 공통 컨트롤을 증거 소스로 사용하면 해당 공통 컨트롤을 지원하는 모든 코어 컨트롤에 대한 증거를 자동으로 수집합니다. 개별 코어 컨트롤을 증거 소스로 사용할 수도 있습니다.
AWS 관리형 소스가 업데이트될 때마다 해당 AWS 관리형 소스를 사용하는 모든 사용자 지정 컨트롤에 동일한 업데이트가 자동으로 적용됩니다. 즉, 사용자 지정 컨트롤은 해당 증거 소스의 최신 정의에 대한 증거를 수집합니다. 이렇게 하면 클라우드 규정 준수 환경이 변경될 때 지속적인 규정 준수를 보장할 수 있습니다.
또한 [](#customer-managed-source), [](#evidence-source) 섹션도 참조하세요.
## C
[A](#auditmanager-concepts-A) \$1 B \$1 [C](#auditmanager-concepts-C) [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**Changelog**
Audit Manager는 평가의 각 컨트롤에 대해 해당 컨트롤에 대한 사용자 활동을 추적합니다. 그런 다음 특정 컨트롤과 관련된 활동의 감사 기록을 검토할 수 있습니다. 변경 로그에 캡처되는 사용자 활동에 대한 자세한 내용은 [Changelog 탭](review-controls.md#review-changelog) 섹션을 참조하세요.
**클라우드 규정 준수**
클라우드 규정 준수는 클라우드 제공 시스템이 클라우드 고객이 직면한 표준을 준수해야 한다는 일반 원칙입니다.
**공통 컨트롤**
[](#control)을(를) 참조하세요.
**규정 준수 규정**
규정 준수 규정은 일반적으로 행위를 규제하기 위해 기관에서 규정하는 법률, 규칙 또는 기타 명령입니다. 한 가지 예는 GDPR입니다.
**규정 준수 표준**
규정 준수 표준은 확립된 규정, 사양 또는 법률에 따라 조직을 유지하기 위한 조직의 프로세스를 자세히 설명하는 일련의 구조화된 지침입니다. PCI DSS 및 HIPAA를 예로 들 수 있습니다.
**컨트롤**
컨트롤은 정보 시스템 또는 조직을 위해 규정된 보호 장치 또는 대응책입니다. 컨트롤은 정보의 기밀성, 무결성 및 가용성을 보호하고 정의된 일련의 요구 사항을 충족하도록 설계되었습니다. 이를 통해 리소스가 의도한 대로 운영되고, 데이터가 신뢰할 수 있으며, 조직이 관련 법률 및 규정을 준수하고 있음을 확인할 수 있습니다.
Audit Manager에서 컨트롤은 공급업체 위험 평가 설문지의 질문을 나타낼 수도 있습니다. 이 경우 컨트롤은 조직의 보안 및 규정 준수 태세에 대한 정보를 묻는 특정 질문입니다.
컨트롤은 Audit Manager 평가에서 활성화될 때 지속적으로 증거를 수집합니다. 모든 컨트롤에 증거를 수동으로 추가할 수도 있습니다. 각 증거는 귀하가 컨트롤 요건 준수를 입증하는 데 도움이 되는 기록입니다.
Audit Manager는 다음과 같은 유형의 컨트롤을 제공합니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/concepts.html)
**컨트롤 도메인**
컨트롤 도메인은 규정 준수 표준에 국한되지 않는 컨트롤 범주로 생각할 수 있습니다. 컨트롤 도메인의 예는 *데이터 보호*입니다.
컨트롤은 간단한 조직 목적을 위해 도메인별로 그룹화되는 경우가 많습니다. 각 도메인에는 여러 목표가 있습니다.
컨트롤 도메인 그룹화는 [Audit Manager 대시보드](https://docs.aws.amazon.com/audit-manager/latest/userguide/dashboard.html)의 가장 강력한 기능 중 하나입니다. Audit Manager는 평가에서 규정을 준수하지 않는 증거가 있는 컨트롤 항목을 강조 표시하고 컨트롤 도메인별로 그룹화합니다. 이를 통해 귀하는 감사를 준비하면서 특정 주제 영역에 대응 노력을 집중할 수 있습니다.
**컨트롤 목표**
컨트롤 목표는 그 아래에 속하는 일반적인 컨트롤의 목표를 설명합니다. 각 목표에는 여러 가지 공통 컨트롤이 있을 수 있습니다. 이러한 일반적인 컨트롤이 성공적으로 구현되면 목표를 달성하는 데 도움이 됩니다.
각 컨트롤 목표는 컨트롤 도메인에 속합니다. 예를 들어 **데이터 보호 컨트롤 도메인에는 **데이터 분류 및 처리라는 컨트롤 목표가 있을 수 있습니다. 이 컨트롤 목표를 지원하기 위해 *액세스 컨트롤*이라는 공통 컨트롤을 사용하여 리소스에 대한 무단 액세스를 모니터링하고 감지할 수 있습니다.
** 코어 컨트롤**
[](#control)을(를) 참조하세요.
** 사용자 지정 컨트롤**
[](#control)을(를) 참조하세요.
** 고객 관리형 소스**
고객 관리형 소스는 사용자가 정의한 증거 소스입니다.
Audit Manager에서 사용자 지정 컨트롤을 생성할 때 이 옵션을 사용하여 고유한 개별 데이터 소스를 생성할 수 있습니다. 이를 통해 사용자 지정 AWS Config 규칙과 같은 비즈니스별 리소스에서 자동화된 증거를 유연하게 수집할 수 있습니다. 사용자 지정 컨트롤에 수동 증거를 추가하려는 경우에 이 옵션을 사용할 수도 있습니다.
고객 관리형 소스를 사용하는 경우 사용자는 생성한 모든 데이터 소스를 유지 관리할 책임이 있습니다.
또한 [](#aws-managed-source), [](#evidence-source) 섹션도 참조하세요.
## D
[A](#auditmanager-concepts-A) \$1 B \$1 [C](#auditmanager-concepts-C) [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**데이터 소스**
Audit Manager는 *데이터 소스*를 사용하여 컨트롤에 대한 증거를 수집합니다. 데이터 소스의 속성은 다음과 같습니다.
+ **데이터 소스 유형**은 Audit Manager가 증거를 수집하는 데이터 소스의 유형을 정의합니다.
+ 자동 증거의 경우 유형은**AWS Security Hub CSPM, **AWS Config, AWS CloudTrail또는 **AWS API 직접 호출일 수 있습니다.
+ 사용자만의 고유 증거를 업로드하는 경우, 유형은 *수동*입니다.
+ Audit Manager API는 데이터 소스 유형을 [sourceType](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html#auditmanager-Type-ControlMappingSource-sourceType)이라고 합니다.
+ **데이터 소스 매핑**은 지정된 데이터 소스 유형에 대해 증거가 수집되는 위치를 정확히 나타내는 키워드입니다.
+ 예를 들어 CloudTrail 이벤트 이름 또는 AWS Config 규칙 이름일 수 있습니다.
+ Audit Manager API는 데이터 소스 매핑을 [sourceKeyword](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_SourceKeyword.html)라고 합니다.
+ **데이터 소스 이름**은 데이터 소스 유형과 매핑의 쌍에 라벨을 지정합니다.
+ 표준 컨트롤의 경우 Audit Manager는 기본 이름을 제공합니다.
+ 사용자 지정 컨트롤의 경우 고유한 이름을 제공할 수 있습니다.
+ Audit Manager API는 데이터 소스 이름을 [sourceName](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html#auditmanager-Type-ControlMappingSource-sourceName)이라고 합니다.
단일 컨트롤에 여러 데이터 소스 유형과 여러 매핑이 있을 수 있습니다. 예를 들어, 한 컨트롤은 데이터 소스 유형(예: AWS Config 및 Security Hub CSPM)의 혼합에서 증거를 수집할 수 있습니다. 또 다른 제어는 여러 AWS Config 규칙을 매핑 AWS Config 으로 사용하는 유일한 데이터 소스 유형으로를 가질 수 있습니다.
다음 표에는 자동화된 데이터 소스 유형이 나열되어 있으며 일부 해당 매핑의 예가 나와 있습니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/concepts.html)
**위임**
대리인은 권한이 제한된 AWS Audit Manager 사용자입니다. 대리인은 일반적으로 전문적인 비즈니스 또는 기술 전문 지식을 갖추고 있습니다. 예를 들어, 이러한 전문 지식은 데이터 보존 정책, 교육 계획, 네트워크 인프라 또는 ID 관리 등에 관한 것일 수 있습니다. 대리인은 감사 담당자가 수집된 증거를 검토하여 자신의 전문 분야에 적용되는 규제 항목을 검토할 수 있도록 지원합니다. 대리인은 컨트롤 세트 및 관련 증거를 검토하고, 의견을 추가하고, 추가 증거를 업로드하고, 검토를 위해 할당한 각 규제 항목의 상태를 업데이트할 수 있습니다.
감사 소유자는 전체 평가가 아닌 특정 컨트롤 세트를 대리인에게 할당합니다. 따라서 대리인은 평가에 대한 제한된 액세스 권한을 가집니다. 컨트롤 세트를 위임하는 방법에 대한 지침은 [의 위임 AWS Audit Manager](delegate.md) 섹션을 참조하세요.
## E
[A](#auditmanager-concepts-A) \$1 B \$1 [C](#auditmanager-concepts-C) [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**증거**
증거는 컨트롤 요건 준수를 입증하는 데 필요한 정보가 들어 있는 기록입니다. 증거의 예로는 사용자가 호출한 변경 활동, 시스템 구성 스냅샷 등이 있습니다.
Audit Manager에는 *자동 증거*와 *수동 증거*의 두 가지 주요 유형이 있습니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/concepts.html)
평가를 생성하면 자동 증거 수집이 시작됩니다. 이는 진행 중인 프로세스이며, Audit Manager는 증거 유형 및 기본 데이터 소스에 따라 다양한 빈도로 증거를 수집합니다. 자세한 내용은 [가 증거를 AWS Audit Manager 수집하는 방법 이해](how-evidence-is-collected.md) 섹션을 참조하세요.
평가에서 증거를 검토하는 방법에 대한 지침은 [에서 증거 검토 AWS Audit Manager](review-evidence.md) 섹션을 참조하세요.
**증거 소스**
증거 소스는 컨트롤이 증거를 수집하는 위치를 정의합니다. 이는 개별 데이터 소스 또는 공통 컨트롤 또는 코어 컨트롤에 매핑되는 사전 정의된 데이터 소스 그룹일 수 있습니다.
사용자 지정 컨트롤을 생성할 때 AWS 관리형 소스, 고객 관리형 소스 또는 둘 다에서 증거를 수집할 수 있습니다.
AWS 관리형 소스를 사용하는 것이 좋습니다. AWS 관리형 소스가 업데이트될 때마다 이러한 소스를 사용하는 모든 사용자 지정 컨트롤에 동일한 업데이트가 자동으로 적용됩니다. 즉, 사용자 지정 컨트롤은 항상 해당 증거 소스의 최신 정의에 대한 증거를 수집합니다. 이렇게 하면 클라우드 규정 준수 환경이 변경될 때 지속적인 규정 준수를 보장할 수 있습니다.
또한 [](#aws-managed-source), [](#customer-managed-source) 섹션도 참조하세요.
**증거 수집 방법**
컨트롤이 증거를 수집할 수 있는 두 가지 방법이 있습니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/concepts.html)
모든 자동 컨트롤에 수동 증거를 첨부할 수 있습니다. 대부분의 경우 컨트롤 기능의 완전한 준수를 입증하려면 자동 증거의 조합과 수동 증거의 조합이 필요합니다. Audit Manager는 유용하고 관련성이 높은 자동 증거를 제공할 수 있지만 일부 자동 증거는 부분적인 규정 준수만 입증할 수 있습니다. 이 경우 Audit Manager에서 제공하는 자동 증거를 귀하 자신의 증거로 보완할 수 있습니다.
예제:
+ [AWS 생성형 AI 모범 사례 프레임워크 v2](aws-generative-ai-best-practices.md)에는 `Error analysis`라는 컨트롤이 포함되어 있습니다. 이 컨트롤을 사용하려면 모델 사용에서 부정확성이 감지되는 시점을 식별해야 합니다. 또한 귀하는 철저한 오류 분석을 수행하여 근본 원인을 파악하고 수정 조치를 취해야 합니다.
+ 이 제어를 지원하기 위해 Audit Manager는 평가가 실행 AWS 계정 중인에 대해 CloudWatch 경보가 활성화되었는지 여부를 보여주는 자동 증거를 수집합니다. 이 증거를 사용하여 경고 및 확인이 올바르게 구성되었음을 증명함으로써 컨트롤 기능의 부분적 준수를 입증할 수 있습니다.
+ 완전한 규정 준수를 입증하기 위해 자동 증거를 수동 증거로 보완할 수 있습니다. 예를 들어 오류 분석 프로세스, 에스컬레이션 및 보고 임계값, 근본 원인 분석 결과를 보여주는 정책 또는 절차를 업로드할 수 있습니다. 이 수동 증거를 사용하여 기존의 확립된 정책이 시행되고 있으며 시정 조치가 취해졌음을 입증할 수 있습니다.
자세한 예는 [혼합 데이터 소스를 사용한 컨트롤을](https://docs.aws.amazon.com/audit-manager/latest/userguide/examples-of-controls.html#mixed) 참조하세요.
**내보내기 대상**
내보내기 대상은 증거 찾기에서 귀하가 내보낸 파일을 Audit Manager가 저장하는 기본 S3 버킷입니다. 자세한 내용은 [증거 찾기에 대한 기본 내보내기 대상 구성](settings-export-destination.md) 섹션을 참조하세요.
## F
[A](#auditmanager-concepts-A) \$1 B \$1 [C](#auditmanager-concepts-C) [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**프레임워크**
Audit Manager 프레임워크는 특정 표준 또는 위험 거버넌스 원칙에 대한 평가를 구조화하고 자동화합니다. 이러한 프레임워크에는 사전 구축된 제어 또는 고객 정의 제어 모음이 포함되어 있으며 리소스를 이러한 제어의 요구 사항에 매핑 AWS 하는 데 도움이 됩니다.
Audit Manager에는 두 가지 유형의 프레임워크가 있습니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/concepts.html)
프레임워크 생성 설치 및 관리 방법에 대한 지침은 [프레임워크 라이브러리를 사용하여에서 프레임워크 관리 AWS Audit Manager](framework-library.md) 섹션을 참조하세요.
AWS Audit Manager 는 특정 규정 준수 표준 및 규정 준수 확인과 관련된 증거를 수집하는 데 도움을 줍니다. 하지만, 규정 준수 자체를 평가하지는 않습니다. AWS Audit Manager 따라서를 통해 수집된 증거에는 감사에 필요한 AWS 사용에 대한 모든 정보가 포함되지 않을 수 있습니다. AWS Audit Manager 는 법률 고문 또는 규정 준수 전문가를 대체하지 않습니다.
**프레임워크 공유**
[에서 사용자 지정 프레임워크 공유 AWS Audit Manager](share-custom-framework.md) 기능을 사용하여 AWS 계정 및 리전 간에 사용자 지정 프레임워크를 빠르게 공유할 수 있습니다. 사용자 지정 프레임워크를 공유하려면 *공유 요청*을 생성합니다. 그러면 수신자는 120일 이내에 요청을 수락하거나 거부해야 합니다. 승인하면 Audit Manager는 공유된 사용자 지정 프레임워크를 해당 프레임워크 라이브러리에 복제합니다. Audit Manager는 사용자 지정 프레임워크를 복제하는 것 외에도 해당 프레임워크에 포함된 모든 사용자 지정 컨트롤 세트 및 컨트롤을 복제합니다. 이러한 사용자 지정 컨트롤은 수신자의 컨트롤 라이브러리에 추가됩니다. Audit Manager는 표준 프레임워크 또는 컨트롤을 복제하지 않습니다. 이러한 리소스는 기본적으로 각 계정 및 지역에서 이미 사용 가능하기 때문입니다.
## I
[A](#auditmanager-concepts-A) \$1 B \$1 [C](#auditmanager-concepts-C) [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**결정적이지 않은 증거**
AWS Audit Manager 는 자동 규정 준수 평가가 불가능한 경우 증거를 결정적이지 않은 것으로 표시합니다. 이는 다음과 같은 상황에서 발생합니다.
+ 키 데이터 소스 AWS Security Hub CSPM인 AWS Config 또는를 활성화하지 않았습니다.
+ 증거는 API 호출, AWS CloudTrail 로그 또는 수동 업로드를 통해 AWS 서비스에서 직접 수집됩니다.
이 증거에 대한 자동 평가 메커니즘이 없는 경우 AWS Audit Manager 는 평가 세부 정보를 제공할 수 없습니다. 따라서 증거를 *결정적이지 않은* 것으로 표시합니다.
결정적이지 않은 증거는 실패를 나타내지 않습니다. 대신 규정 준수 증거를 수동으로 평가해야 한다는 신호를 보냅니다.
## R
[A](#auditmanager-concepts-A) \$1 B \$1 [C](#auditmanager-concepts-C) [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**리소스**
리소스는 감사를 통해 평가되는 물리적 또는 정보 자산입니다. AWS 리소스의 예로는 Amazon EC2 인스턴스, Amazon RDS 인스턴스, Amazon S3 버킷 및 Amazon VPC 서브넷이 있습니다.
**리소스 평가**
자원 평가는 개별 자원을 평가하는 프로세스입니다. 이 평가는 컨트롤 요구 사항을 기반으로 합니다. 평가가 활성화되어 있는 동안 Audit Manager는 평가 범위 내의 각 개별 자원에 대해 자원 평가를 실행합니다. 리소스 평가는 다음과 같은 과업 세트를 실행합니다.
1. 리소스 구성, 이벤트 로그, 조사 결과를 포함한 증거를 수집합니다.
1. 증거를 변환하여 제어 시스템에 매핑합니다.
1. 증거의 계보를 저장 및 추적하여 무결성을 확보합니다.
**리소스 규정 준수**
리소스 규정 준수란 규정 준수 확인 증거를 수집할 때 평가된 리소스의 평가 상태를 말합니다.
Audit Manager는 AWS Config 및 Security Hub CSPM을 데이터 소스 유형으로 사용하는 제어에 대한 규정 준수 검사 증거를 수집합니다. 이 증거 수집 과정에서 여러 리소스가 평가될 수 있습니다. 따라서 단일 규정 준수 검사 증거에는 하나 이상의 리소스가 포함될 수 있습니다.
증거 찾기의 **리소스 규정 준수** 필터를 사용하여 리소스 수준에서 규정 준수 상태를 탐색할 수 있습니다. 검색이 완료되면 검색 쿼리와 일치하는 리소스를 미리 볼 수 있습니다.
증거 찾기에서 리소스 규정 준수에 사용할 수 있는 값은 세 가지입니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/concepts.html)
## S
[A](#auditmanager-concepts-A) \$1 B \$1 [C](#auditmanager-concepts-C) [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z
**서비스 범위 내 서비스**
Audit Manager AWS 서비스 는 평가 범위에 속하는를 관리합니다. 이전 평가가 있는 경우 과거에 범위 내 서비스를 수동으로 지정했을 수 있습니다. 2024년 6월 4일 이후에는 서비스 범위를 수동으로 지정하거나 편집할 수 없습니다.
*범위 내 서비스는* 평가 AWS 서비스 에서 증거를 수집하는 입니다. 서비스가 평가 범위에 포함되면 Audit Manager가 해당 서비스의 리소스를 평가합니다. 리소스의 예로서는 다음과 같은 항목들이 있습니다.
+ Amazon EC2 인스턴스
+ S3 버킷
+ IAM 사용자 또는 역할
+ DynamoDB 테이블
+ Amazon Virtual Private Cloud(VPC), 보안 그룹 또는 네트워크 액세스 제어 목록(ACL) 테이블과 같은 네트워크 구성 요소
예를 들어, Amazon S3가 범위 내의 서비스인 경우 Audit Manager는 S3 버킷에 대한 증거를 수집할 수 있습니다. 수집되는 정확한 증거는 컨트롤의 [](#control-data-source)에 의해 결정됩니다. 예를 들어 데이터 소스 유형이 이고 AWS Config데이터 소스 매핑이 AWS Config 규칙(예: `s3-bucket-public-write-prohibited`)인 경우 Audit Manager는 해당 규칙 평가 결과를 증거로 수집합니다.
범위 내 서비스는 AWS 서비스 또는 다른 *데이터 소스 유형*과 다를 수 있습니다. 자세한 내용은 이 안내서의 **문제 해결 섹션에서 [서비스 범위와 데이터 소스 유형의 차이는 무엇인가요?](evidence-collection-issues.md#data-source-vs-service-in-scope) 부분을 참조하세요.
** 표준 컨트롤**
[](#control)을(를) 참조하세요.
# 가 증거를 AWS Audit Manager 수집하는 방법 이해
의 각 활성 평가는 다양한 데이터 소스에서 증거를 AWS Audit Manager 자동으로 수집합니다. 각 평가에서 증거를 수집할 AWS 계정 Audit Manager를 정의하고 Audit Manager AWS 서비스 는 범위 내에 있는를 관리합니다. 이러한 각 서비스와 계정에는 소유하고 사용하는 여러 리소스가 포함되어 있습니다. Audit Manager의 증거 수집에는 각 범위 내 리소스에 대한 평가가 포함됩니다. 이를 *리소스 평가*라고 합니다.
다음 단계는 Audit Manager가 각 자원 평가에 대한 증거를 수집하는 방법을 설명합니다.
**1. 데이터 소스에서 리소스 평가**
증거 수집을 시작하기 위해 Audit Manager는 데이터 소스에서 범위 내 리소스를 평가합니다. 구성 스냅샷, 관련 규정 준수 검사 결과 또는 사용자 활동을 캡처하여 이를 수행합니다. 그런 다음 분석을 실행하여 이 데이터가 지원하는 컨트롤을 결정합니다. 그런 다음 리소스 평가 결과를 저장하고 증거로 변환합니다. 다양한 증거 유형에 대한 자세한 내용은 이 안내서의 **AWS Audit Manager 개념 및 용어 섹션에 있는 [](concepts.md#evidence) 부분을 참조하세요.
**2. 평가 결과를 증거로 전환**
리소스 평가 결과에는 해당 리소스에서 캡처한 원본 데이터와 데이터가 지원하는 컨트롤을 나타내는 메타데이터가 모두 포함됩니다. Audit Manager는 원본 데이터를 감사자 친화적인 형식으로 변환합니다. 그런 다음 변환된 데이터와 메타데이터는 컨트롤에 첨부되기 전에 Audit Manager 증거로 저장됩니다.
**3. 관련 컨트롤에 증거 첨부**
Audit Manager는 증거 메타데이터를 읽습니다. 그런 다음 저장된 증거를 평가 내 관련 컨트롤에 첨부합니다. 첨부된 증거는 Audit Manager에서 확인할 수 있습니다. 이로써 리소스 평가 주기가 완료됩니다.
**참고**
컨트롤 구성에 따라 경우에 따라 여러 Audit Manager 평가를 통해 여러 컨트롤 항목에 동일한 증거를 첨부할 수 있습니다. 여러 컨트롤 항목에 동일한 증거가 첨부되면 Audit Manager는 리소스 평가를 정확히 한 번 측정합니다. 이는 동일한 증거가 정확히 한 번만 수집되기 때문입니다. 그러나 Audit Manager 평가 내 하나의 컨트롤에 여러 데이터 소스의 여러 증거가 포함될 수 있습니다.
## 증거 수집 빈도
증거 수집은 평가를 생성할 때 시작되는 지속적인 프로세스입니다. Audit Manager는 다양한 빈도로 여러 데이터 소스에서 증거를 수집합니다. 그 결과, 증거 수집 빈도에 대해 모든 경우에 통용되는 한 가지 답을 제시할 수는 없습니다. 증거 수집 빈도는 아래에 설명된 대로 증거 유형과 데이터 출처를 기반으로 합니다.
+ **규정 준수 검사** - Audit Manager는 AWS Security Hub CSPM 및에서이 증거 유형을 수집합니다 AWS Config.
+ Security Hub CSPM의 경우 증거 수집은 Security Hub CSPM 검사 일정을 따릅니다. Security Hub CSPM 검사 일정에 대한 자세한 내용은 *AWS Security Hub CSPM 사용 설명서*의 [보안 검사 실행 일정을](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-schedule.html) 참조하세요. Audit Manager에서 지원하는 Security Hub CSPM 검사에 대한 자세한 내용은 섹션을 참조하세요[AWS Security Hub CSPM 에서 지원하는 제어 AWS Audit Manager](control-data-sources-ash.md).
+ 의 경우 AWS Config증거 수집은 AWS Config 규칙에 정의된 트리거를 따릅니다. AWS Config 규칙 트리거에 대한 자세한 내용은 *AWS Config 사용 설명서*의 [트리거 유형](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html#aws-config-rules-trigger-types)을 참조하세요. Audit Manager에서 AWS Config 규칙 지원하는에 대한 자세한 내용은 섹션을 참조하세요[AWS Config 규칙 에서 지원 AWS Audit Manager](control-data-sources-config.md).
+ AWS Audit Manager 는 자동 규정 준수 평가가 불가능한 경우 증거를 결정적이지 않은 것으로 표시합니다. 이는 키 데이터 소스 AWS Security Hub CSPM인 AWS Config 또는를 활성화하지 않은 경우에 발생합니다. API 호출, AWS CloudTrail 로그 또는 수동 업로드를 통해 서비스에서 AWS 직접 증거를 수집할 때도 발생합니다. 이 증거에 대한 자동 평가 메커니즘이 없는 경우는 평가 세부 정보를 제공할 AWS Audit Manager 수 없습니다. 따라서 증거를 결정적이지 않은 것으로 표시합니다. 결정적이지 않은 증거는 실패를 나타내지 않습니다. 대신 규정 준수 증거를 수동으로 평가해야 한다는 신호를 보냅니다.
+ **사용자 활동** - Audit Manager는 AWS CloudTrail 에서이 증거 유형을 지속적으로 수집합니다. 사용자 활동은 하루 중 언제라도 발생할 수 있으므로 이 빈도는 계속됩니다. 자세한 내용은 [AWS CloudTrail 에서 지원하는 이벤트 이름 AWS Audit Manager](control-data-sources-cloudtrail.md) 단원을 참조하십시오.
+ **구성 데이터** - Audit Manager는 Amazon EC2, Amazon S3 또는 IAM AWS 서비스 과 같은 다른에 대한 설명 API 직접 호출을 사용하여이 증거 유형을 수집합니다. 호출할 API 작업을 선택할 수 있습니다. 또한 Audit Manager에서 빈도를 일별, 주별 또는 월별로 설정할 수 있습니다. 컨트롤 라이브러리에서 컨트롤을 만들거나 편집할 때 이 빈도를 지정할 수 있습니다. 컨트롤을 편집 혹은 생성하는 방법에 대한 지침은 [제어 라이브러리를 사용하여에서 제어 관리 AWS Audit Manager](control-library.md) 섹션을 참조하세요. Audit Manager가 지원하는 API 직접 호출에 대한 자세한 내용은 [AWS 에서 지원하는 API 호출 AWS Audit Manager](control-data-sources-api.md) 섹션을 참조하세요.
데이터 소스의 증거 수집 빈도에 관계없이 제어 및 평가가 활성화되어 있는 한 새로운 증거가 자동으로 수집됩니다.
# AWS Audit Manager 제어의 예
이 페이지의 예제를 검토하여 AWS Audit Manager에서 컨트롤이 작동하는 방식에 대해 자세히 알아볼 수 있습니다.
Audit Manager에서 컨트롤은 다음 네 가지 데이터 소스 유형에서 증거를 자동으로 수집할 수 있습니다.
1. **AWS CloudTrail** – CloudTrail 로그에서 사용자 활동을 캡처하고 사용자 활동 증거로 가져옵니다.
1. **AWS Security Hub CSPM** - Security Hub CSPM에서 조사 결과를 수집하여 규정 준수 검사 증거로 가져옵니다.
1. **AWS Config** – AWS Config 에서 규칙 평가를 수집하고 규정 준수 확인 증거로 가져옵니다.
1. **AWS API 직접 호출 **- API 직접 호출에서 리소스 스냅샷을 캡처하여 구성 데이터 증거로 가져옵니다.
일부 컨트롤은 이러한 데이터 소스의 미리 정의된 그룹을 사용하여 증거를 수집합니다. 이러한 데이터 소스 그룹화를 [AWS 관리형 소스](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#aws-managed-source) 라고 합니다. 각 AWS 관리형 소스는 공통 컨트롤 또는 코어 컨트롤을 나타냅니다. 이러한 관리형 소스는 규정 준수 요구 사항을 AWS에서 [업계 인증 평가자](https://aws.amazon.com/professional-services/security-assurance-services/)가 검증하고 유지 관리하는 관련 기본 데이터 소스 그룹에 매핑하는 효율적인 방법을 제공합니다.
이 페이지의 예제는 컨트롤이 각 개별 데이터 소스 유형에서 증거를 수집하는 방법을 보여줍니다. 예제에서는 컨트롤의 형태, Audit Manager가 데이터 소스에서 증거를 수집하는 방법, 규정 준수를 입증하기 위해 취할 수 있는 다음 단계를 설명합니다.
**작은 정보**
Audit Manager에서 최적의 경험을 위해 AWS Config 및 Security Hub CSPM을 활성화하는 것이 좋습니다. 이러한 서비스를 활성화하면 Audit Manager는 Security Hub CSPM 조사 결과 및 AWS Config 규칙 를 사용하여 자동 증거를 생성할 수 있습니다.
[AWS Security Hub CSPM활성화](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)한 후에는 [모든 보안 표준을 사용하도록 활성화](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-enable-disable.html#securityhub-standard-enable-console)하고 [통합 컨트롤 결과 설정](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#turn-on-consolidated-control-findings)을 켜야 합니다. 이 단계를 통해 Audit Manager는 지원되는 모든 규정 준수 표준에 대한 결과를 가져올 수 있습니다.
[활성화 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html)한 후에는 감사[와 관련된 규정 준수 표준에 대한 적합성 팩도 활성화 AWS Config 규칙](https://docs.aws.amazon.com/config/latest/developerguide/setting-up-aws-config-rules-with-console.html)[하거나 배포](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-console.html)해야 합니다. 이 단계를 수행하면 Audit Manager가 활성화된 지원되는 모든에 대한 결과를 가져올 수 AWS Config 규칙 있습니다.
다음 각 컨트롤 유형에 대한 예를 사용할 수 있습니다.
**Topics**
+ [를 데이터 소스 유형 AWS Security Hub CSPM 으로 사용하는 자동 제어](#automated-security-hub)
+ [를 데이터 소스 유형 AWS Config 으로 사용하는 자동 제어](#automated-config)
+ [AWS API 호출을 데이터 소스 유형으로 사용하는 자동 제어](#automated-api)
+ [를 데이터 소스 유형 AWS CloudTrail 으로 사용하는 자동 제어](#automated-cloudtrail)
+ [수동 컨트롤](#manual)
+ [데이터 소스 유형이 혼합된 컨트롤(자동 및 수동)](#mixed)
## 를 데이터 소스 유형 AWS Security Hub CSPM 으로 사용하는 자동 제어
이 예제는가 데이터 소스 유형 AWS Security Hub CSPM 으로 사용하는 컨트롤을 보여줍니다. 이는 [AWS 기본 보안 모범 사례 (FSBP) 프레임워크](https://docs.aws.amazon.com/audit-manager/latest/userguide/aws-foundational-security-best-practices.html)에서 가져온 표준 컨트롤입니다. Audit Manager는이 컨트롤을 사용하여 AWS 환경을 FSBP 요구 사항에 맞게 만드는 데 도움이 될 수 있는 증거를 생성합니다.
**컨트롤 세부 정보의 예**
+ **컨트롤 이름** - `FSBP1-012: AWS Config should be enabled`
+ **컨트롤 세트** - `Config` 이는 구성 관리와 관련된 FSBP 컨트롤의 프레임워크별 그룹화입니다.
+ **증거 소스** - 개별 데이터 소스
+ **데이터 소스 유형** - AWS Security Hub CSPM
+ **증거 유형** - 규정 준수 검사
다음 예제에서 이 컨트롤은 FSBP 프레임워크에서 생성된 Audit Manager 평가에 나타납니다.
![\[평가에서 Security Hub CSPM 제어를 보여주는 스크린샷입니다.\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/images/control-example-automated_securityhub-console.png)
평가에는 컨트롤 상태가 표시됩니다. 또한 지금까지 이 컨트롤에 대해 수집된 증거의 양도 보여줍니다. 여기에서 컨트롤 세트를 검토하도록 위임하거나 직접 검토를 완료할 수 있습니다. 컨트롤 이름을 선택하면 해당 컨트롤의 증거를 비롯한 자세한 정보가 포함된 세부 정보 페이지가 열립니다.
**이 컨트롤의 기능**
이 제어를 사용하려면 Security Hub CSPM을 사용하는 모든 AWS 리전 에서 AWS Config 를 활성화해야 합니다. Audit Manager는이 컨트롤을 사용하여를 활성화했는지 확인할 수 있습니다 AWS Config.
**Audit Manager가 이러한 컨트롤에 대한 증거를 수집하는 방법**
Audit Manager는 다음 단계를 수행하여 이 컨트롤에 대한 증거를 수집합니다.
1. Audit Manager는 각 컨트롤에 대해 범위 내 리소스를 평가합니다. 컨트롤 설정에 지정된 데이터 소스를 사용하여 이 작업을 수행합니다. 이 예제에서는 AWS Config 설정이 리소스이고 Security Hub CSPM이 데이터 소스 유형입니다. Audit Manager는 특정 Security Hub CSPM 검사([[Config.1]](https://docs.aws.amazon.com/securityhub/latest/userguide/config-controls.html#config-1))의 결과를 찾습니다.
1. 리소스 평가 결과는 저장되고 감사자 친화적인 증거로 변환됩니다. Audit Manager는 Security Hub CSPM을 데이터 소스 유형으로 사용하는 제어에 대한 *규정 준수 검사* 증거를 생성합니다. 이 증거에는 Security Hub CSPM에서 직접 보고된 규정 준수 검사 결과가 포함되어 있습니다.
1. Audit Manager는 저장된 증거를 `FSBP1-012: AWS Config should be enabled`이라고 이름이 지정된 귀하의 평가 내 컨트롤에 첨부합니다.
**Audit Manager를 사용하여 이 컨트롤 기능의 규정 준수를 입증하는 방법**
증거가 컨트롤 항목에 첨부되면 귀하 본인 또는 대리인이 증거를 검토하여 수정이 필요한지 확인할 수 있습니다.
이 예제에서 Audit Manager는 Security Hub CSPM의 *실패* 결정을 표시할 수 있습니다. 활성화하지 않은 경우이 문제가 발생할 수 있습니다 AWS Config. 이 경우 활성화의 수정 조치를 취할 수 있으며 AWS Config, 이는 AWS 환경을 FSBP 요구 사항에 맞게 만드는 데 도움이 됩니다.
AWS Config 설정이 컨트롤과 일치하면 컨트롤을 *검토됨*으로 표시하고 평가 보고서에 증거를 추가합니다. 그런 다음 이 보고서를 감사자와 공유하여 컨트롤이 의도한 대로 작동하고 있음을 입증할 수 있습니다.
## 를 데이터 소스 유형 AWS Config 으로 사용하는 자동 제어
이 예제에서는를 데이터 소스 유형 AWS Config 으로 사용하는 컨트롤을 보여줍니다. 이는 [AWS Control Tower 가드레일 프레임워크](https://docs.aws.amazon.com/audit-manager/latest/userguide/controltower.html)에서 가져온 표준 컨트롤입니다. Audit Manager는이 컨트롤을 사용하여 환경을 AWS 가드레일과 일치시키는 데 도움이 AWS Control Tower 되는 증거를 생성합니다.
**컨트롤 세부 정보의 예**
+ **컨트롤 이름** - `CT-4.1.2: 4.1.2 - Disallow public write access to S3 buckets`
+ **컨트롤 세트** - 이 컨트롤은 `Disallow public access` 컨트롤 세트에 속합니다. 액세스 관리와 관련된 컨트롤 그룹입니다.
+ **증거 소스** - 개별 데이터 소스
+ **데이터 소스 유형** - AWS Config
+ **증거 유형** - 규정 준수 검사
다음 예제에서이 제어는 AWS Control Tower Guardrails 프레임워크에서 생성된 Audit Manager 평가에 나타납니다.
![\[평가의 AWS Config 컨트롤을 보여주는 스크린샷입니다.\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/images/control-example-automated_config-console.png)
평가에는 컨트롤 상태가 표시됩니다. 또한 지금까지 이 컨트롤에 대해 수집된 증거의 양도 보여줍니다. 여기에서 컨트롤 세트를 검토하도록 위임하거나 직접 검토를 완료할 수 있습니다. 컨트롤 이름을 선택하면 해당 컨트롤의 증거를 비롯한 자세한 정보가 포함된 세부 정보 페이지가 열립니다.
**이 컨트롤의 기능**
Audit Manager는이 제어를 사용하여 S3 버킷 정책의 액세스 수준이 AWS Control Tower 요구 사항을 충족하기에 너무 충분한지 확인할 수 있습니다. 보다 구체적으로 말하자면, 퍼블릭 액세스 차단 설정, 버킷 정책 및 버킷 액세스 제어 목록(ACL)을 확인하여 버킷이 퍼블릭 쓰기 액세스를 허용하지 않는지 확인할 수 있습니다.
**Audit Manager가 이러한 컨트롤에 대한 증거를 수집하는 방법**
Audit Manager는 다음 단계를 수행하여 이 컨트롤에 대한 증거를 수집합니다.
1. 각 컨트롤에 대해 Audit Manager는 컨트롤 설정에 지정된 데이터 소스를 사용하여 범위 내 리소스를 평가합니다. 이 경우 S3 버킷은 리소스이며 AWS Config 은 데이터 소스 유형입니다. Audit Manager는 특정 AWS Config 규칙([s3-bucket-public-write-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html))의 결과를 찾아 평가 범위에 있는 각 S3 버킷의 설정, 정책 및 ACL을 평가합니다.
1. 리소스 평가 결과는 저장되고 감사자 친화적인 증거로 변환됩니다. Audit Manager는를 데이터 소스 유형 AWS Config 으로 사용하는 컨트롤에 대한 *규정 준수 검사* 증거를 생성합니다. 이 증거에는에서 직접 보고된 규정 준수 검사 결과가 포함되어 있습니다 AWS Config.
1. Audit Manager는 저장된 증거를 `CT-4.1.2: 4.1.2 - Disallow public write access to S3 buckets`이라고 이름이 지정된 귀하의 평가 내 컨트롤에 첨부합니다.
**Audit Manager를 사용하여 이 컨트롤 기능의 규정 준수를 입증하는 방법**
증거가 컨트롤 항목에 첨부되면 귀하 본인 또는 대리인이 증거를 검토하여 수정이 필요한지 확인할 수 있습니다.
이 예제에서 Audit Manager는 S3 버킷이 *규정을 준수하지* AWS Config 않는다는의 결정을 표시할 수 있습니다. 이는 귀하의 S3 버킷 중 하나에 공개 정책을 제한하지 않는 공개 액세스 차단 설정이 있고 사용 중인 정책이 공개 쓰기 액세스를 허용하는 경우 발생할 수 있습니다. 이 문제를 해결하려면 공개 액세스 차단 설정을 업데이트하여 공개 정책을 제한할 수 있습니다. 또는 공개쓰기 액세스를 허용하지 않는 다른 버킷 정책을 사용할 수도 있습니다. 이 수정 조치는 환경을 AWS Control Tower 요구 사항에 맞게 만드는 데 도움이 됩니다 AWS .
S3 버킷 액세스 수준이 컨트롤과 일치한다고 판단되면 컨트롤을 *검토됨*으로 표시하고 귀하의 평가 보고서에 증거를 추가할 수 있습니다. 그런 다음 이 보고서를 감사자와 공유하여 컨트롤이 의도한 대로 작동하고 있음을 입증할 수 있습니다.
## AWS API 호출을 데이터 소스 유형으로 사용하는 자동 제어
이 예제에서는 AWS API 호출을 데이터 소스 유형으로 사용하는 사용자 지정 컨트롤을 보여줍니다. Audit Manager는이 컨트롤을 사용하여 AWS 환경을 특정 요구 사항에 맞게 만드는 데 도움이 될 수 있는 증거를 생성합니다.
**컨트롤 세부 정보의 예**
+ **컨트롤 이름** - `Password Use`
+ **컨트롤 세트** - 이 컨트롤은 `Access Control`이라고 하는 컨트롤 세트에 속합니다. ID 및 액세스 관리와 관련된 컨트롤을 그룹화한 것입니다.
+ **증거 소스** - 개별 데이터 소스
+ **데이터 소스 유형** - AWS API 호출
+ **증거 유형** - 구성 데이터
다음 예제에서 이 컨트롤은 사용자 지정 프레임워크에서 생성된 Audit Manager 평가에 나타납니다.
![\[평가의 API 컨트롤을 보여주는 스크린샷입니다.\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/images/control-example-automated_api-console.png)
평가에는 컨트롤 상태가 표시됩니다. 또한 지금까지 이 컨트롤에 대해 수집된 증거의 양도 보여줍니다. 여기에서 컨트롤 세트를 검토하도록 위임하거나 직접 검토를 완료할 수 있습니다. 컨트롤 이름을 선택하면 해당 컨트롤의 증거를 비롯한 자세한 정보가 포함된 세부 정보 페이지가 열립니다.
**이 컨트롤의 기능**
Audit Manager는 이 사용자 지정 컨트롤을 사용하여 귀하가 충분한 액세스 제어 정책을 가질 수 있도록 도울 수 있습니다. 이 컨트롤을 위해서는 암호를 선택하고 사용할 때 적절한 보안 관행을 따라야 합니다. Audit Manager는 평가 범위에 속하는 IAM 주체에 대한 모든 암호 정책 목록을 검색하여 이를 검증하는 데 도움을 줄 수 있습니다.
**Audit Manager가 이러한 컨트롤에 대한 증거를 수집하는 방법**
Audit Manager는 다음 단계를 수행하여 이 사용자 지정 컨트롤에 대한 증거를 수집합니다.
1. 각 컨트롤에 대해 Audit Manager는 컨트롤 설정에 지정된 데이터 소스를 사용하여 범위 내 리소스를 평가합니다. 이 경우 IAM 보안 주체는 리소스이고 AWS API 호출은 데이터 소스 유형입니다. Audit Manager는 특정 IAM API 직접 호출([GetAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html))의 응답을 구합니다. 그런 다음 평가 범위에 해당하는 AWS 계정 을 위한 암호 정책을 제공합니다.
1. 리소스 평가 결과는 저장되고 감사자 친화적인 증거로 변환됩니다. Audit Manager는 API 직접 호출을 데이터 소스로 사용하는 컨트롤에 대한 *구성 데이터* 증거를 생성합니다. 이 증거에는 API 응답에서 캡처한 원본 데이터와 데이터가 지원하는 컨트롤 항목을 나타내는 추가 메타데이터가 포함됩니다.
1. Audit Manager는 저장된 증거를 `Password Use`이라는 이름이 지정된 귀하의 평가 내 사용자 지정 컨트롤에 첨부합니다.
**Audit Manager를 사용하여 이 컨트롤 기능의 규정 준수를 입증하는 방법**
증거가 컨트롤 항목에 첨부되면 귀하 본인 또는 대리인이 증거를 검토하여 증거가 충분한지 또는 수정이 필요한지 확인할 수 있습니다.
이 예시에서는 증거를 검토하여 API 직접 호출의 응답을 확인할 수 있습니다. [GetAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html) 응답은 계정의 사용자 암호에 대한 복잡성 요구 사항과 필수 순환 기간을 기술합니다. 이 API 응답을 증거로 사용하여 평가 범위에 AWS 계정 있는에 대해 충분한 암호 액세스 제어 정책이 있음을 입증할 수 있습니다. 원하는 경우 컨트롤에 의견을 추가하여 이러한 정책에 대한 추가 의견을 제공할 수도 있습니다.
IAM 주체의 암호 정책이 사용자 지정 컨트롤과 일치한다고 판단되면 컨트롤을 *검토됨*으로 표시하고 귀하의 평가 보고서에 증거를 추가할 수 있습니다. 그런 다음 이 보고서를 감사자와 공유하여 컨트롤이 의도한 대로 작동하고 있음을 입증할 수 있습니다.
## 를 데이터 소스 유형 AWS CloudTrail 으로 사용하는 자동 제어
이 예제에서는를 데이터 소스 유형 AWS CloudTrail 으로 사용하는 컨트롤을 보여줍니다. [HIPAA Security Rule 2003 프레임워크](https://docs.aws.amazon.com/audit-manager/latest/userguide/HIPAA.html)에서 가져온 표준 컨트롤입니다. Audit Manager는 이 컨트롤 기능을 사용하여 귀하의 AWS 환경을 HIPAA 요구 사항에 맞추는 데 도움이 될 수 있는 증거를 생성합니다.
**컨트롤 세부 정보의 예**
+ **컨트롤 이름** - `164.308(a)(5)(ii)(C): Administrative Safeguards - 164.308(a)(5)(ii)(C)`
+ **컨트롤 세트** - 이 컨트롤은 `Section 308`라고 하는 컨트롤 세트에 속합니다. 이는 관리 세이프가드와 관련된 HIPAA 컨트롤의 프레임워크별 그룹화입니다.
+ **증거 소스** - AWS 관리형 소스(코어 컨트롤)
+ **기본 데이터 소스 유형** - AWS CloudTrail
+ **증거 유형** - 사용자 활동
HIPAA 프레임워크에서 생성된 Audit Manager 평가에 표시된 이러한 컨트롤 기능은 다음과 같습니다.
![\[평가의 CloudTrail 컨트롤을 보여주는 스크린샷입니다.\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/images/control-example-automated_cloudtrail-console.png)
평가에는 컨트롤 상태가 표시됩니다. 또한 지금까지 이 컨트롤에 대해 수집된 증거의 양도 보여줍니다. 여기에서 컨트롤 세트를 검토하도록 위임하거나 직접 검토를 완료할 수 있습니다. 컨트롤 이름을 선택하면 해당 컨트롤의 증거를 비롯한 자세한 정보가 포함된 세부 정보 페이지가 열립니다.
**이 컨트롤의 기능**
이 컨트롤 기능을 사용하려면 무단 액세스를 감지하기 위한 모니터링 절차가 있어야 합니다. 무단 액세스의 예로는 누군가 다중 인증(MFA)을 활성화하지 않고 콘솔에 로그인하는 경우가 있습니다. Audit Manager는 MFA가 활성화되지 않은 관리 콘솔 로그인 요청을 모니터링하도록 Amazon CloudWatch를 구성했다는 증거를 제공하여 이 컨트롤을 검증하는 데 도움이 됩니다.
**Audit Manager가 이러한 컨트롤에 대한 증거를 수집하는 방법**
Audit Manager는 다음 단계를 수행하여 이 컨트롤에 대한 증거를 수집합니다.
1. 각 컨트롤에 대해 Audit Manager는 컨트롤 설정에 지정된 데이터 소스를 사용하여 범위 내 리소스를 평가합니다. 이 경우 컨트롤은 여러 코어 컨트롤을 증거 소스로 사용합니다.
각 코어 컨트롤은 개별 데이터 소스의 관리형 그룹화입니다. 이 예제에서는 이러한 코어 컨트롤 중 하나(`Configure Amazon CloudWatch alarms to detect management console sign-in requests without MFA enabled`)가 CloudTrail 이벤트(`monitoring_EnableAlarmActions`)를 기본 데이터 소스로 사용합니다.
Audit Manager는 `monitoring_EnableAlarmActions` 키워드를 사용하여 CloudTrail 에서 로깅하는 작업을 활성화하는 CloudWatch 경보를 찾아 CloudTrail 로그를 검토합니다. 그런 다음 평가 범위 내에 있는 관련 이벤트의 로그를 제공합니다.
1. 리소스 평가 결과는 저장되고 감사자 친화적인 증거로 변환됩니다. Audit Manager는 CloudTrail을 데이터 소스 유형으로 사용하는 컨트롤 기능에 대한 *사용자 활동* 증거를 생성합니다. 이 증거에는 Amazon CloudWatch로부터 캡처한 원본 데이터와 데이터가 지원하는 컨트롤 항목을 나타내는 추가 메타데이터가 포함됩니다.
1. Audit Manager는 저장된 증거를 `164.308(a)(5)(ii)(C): Administrative Safeguards - 164.308(a)(5)(ii)(C)`이라고 이름이 지정된 귀하의 평가 내 컨트롤에 첨부합니다.
**Audit Manager를 사용하여 이 컨트롤 기능의 규정 준수를 입증하는 방법**
증거가 컨트롤 항목에 첨부되면 귀하 본인 또는 대리인이 증거를 검토하여 수정이 필요한지 확인할 수 있습니다.
이 예시에서는 증거를 검토하여 CloudTrail에서 기록한 경보 활성화 이벤트를 확인할 수 있습니다. 이 로그를 증거로 사용하여 MFA가 활성화되지 않은 상태에서 콘솔 로그인이 발생하는 시기를 감지할 수 있는 충분한 모니터링 절차가 마련되어 있음을 보여줄 수 있습니다. 원하는 경우 컨트롤에 의견을 추가하여 추가 의견을 제공할 수도 있습니다. 예를 들어 로그에 MFA 없이 여러 번 로그인한 것으로 표시되는 경우 문제를 해결한 방법을 설명하는 댓글을 추가할 수 있습니다. 콘솔 로그인을 정기적으로 모니터링하면 불일치 및 부적절한 로그인 시도로 인해 발생할 수 있는 보안 문제를 예방할 수 있습니다. 따라서이 모범 사례는 AWS 환경을 HIPAA 요구 사항에 맞게 만드는 데 도움이 됩니다.
모니터링 절차가 컨트롤 기준에 부합한다고 판단되면 해당 컨트롤을 *검토됨*으로 표시하고 평가 보고서에 증거를 추가할 수 있습니다. 그런 다음 이 보고서를 감사자와 공유하여 컨트롤이 의도한 대로 작동하고 있음을 입증할 수 있습니다.
## 수동 컨트롤
일부 컨트롤은 자동 증거 수집을 지원하지 않습니다. 여기에는 클라우드에서 생성되지 않는 관찰, 인터뷰 및 기타 이벤트 외에도 물리적 기록 및 서명의 제공에 의존하는 컨트롤이 포함됩니다. 이러한 경우 컨트롤 요구 사항을 충족하고 있음을 입증하는 증거를 수동으로 업로드할 수 있습니다.
이 예제는 [NIST 800-53(Rev. 5) 프레임워크](https://docs.aws.amazon.com/audit-manager/latest/userguide/NIST800-53r5.html)에서 가져온 수동 컨트롤을 보여줍니다. Audit Manager를 사용하여 이 컨트롤의 규정 준수를 입증하는 증거를 업로드하고 저장할 수 있습니다.
**컨트롤 세부 정보의 예**
+ **컨트롤 이름** - `AT-4: Training Records`
+ **컨트롤 세트** - `(AT) Awareness and training` 이는 교육과 관련된 NIST 컨트롤의 프레임워크별 그룹화입니다.
+ **증거 소스** - 개별 데이터 소스
+ **데이터 소스 유형** - 수동
+ **증거 유형** - 수동
다음은 NIST 800-53(개정본 5) 낮음-보통-높음 프레임워크에서 생성된 Audit Manager 평가에서 나타난 컨트롤 기능입니다.
![\[평가의 컨트롤을 보여주는 스크린샷입니다.\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/images/control-example-manual-console.png)
평가에는 컨트롤 상태가 표시됩니다. 또한 지금까지 이 컨트롤에 대해 수집된 증거의 양도 보여줍니다. 여기에서 컨트롤 세트를 검토하도록 위임하거나 직접 검토를 완료할 수 있습니다. 컨트롤 이름을 선택하면 해당 컨트롤의 증거를 비롯한 자세한 정보가 포함된 세부 정보 페이지가 열립니다.
**이 컨트롤의 기능**
이 컨트롤을 사용하면 직원이 적절한 수준의 보안 및 개인정보 보호 교육을 받을 수 있습니다. 특히 역할에 따라 모든 직원에게 문서화된 보안 및 개인정보 보호 훈련 활동이 있음을 보여줄 수 있습니다. 또한 훈련 레코드가 각 개인에 대해 보존된다는 증거를 보여줄 수도 있습니다.
**이 컨트롤에 대한 증거를 수동으로 업로드하는 방법**
자동 증거를 보완하는 수동 증거를 업로드하려면 [에 수동 증거 업로드를 참조하세요 AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/upload-evidence.html). Audit Manager는 업로드된 증거를 `AT-4: Training Records`이라는 이름이 지정된 평가의 컨트롤 항목에 첨부합니다.
**Audit Manager를 사용하여 이 컨트롤 기능의 규정 준수를 입증하는 방법**
이 컨트롤을 지원하는 문서가 있는 경우 이를 수동 증거로 업로드할 수 있습니다. 예를 들어 인사 부서에서 직원에게 발급하는 필수 역할 기반 교육 자료의 최신 복사본을 업로드할 수 있습니다.
자동 컨트롤을 사용하는 경우와 마찬가지로, 증거 검토(이 경우에는 제공)를 도와줄 이해관계자에게 수동 컨트롤을 위임할 수 있습니다. 예를 들어, 이 규제 항목을 검토하면 의무를 부분적으로만 충족한다는 사실을 알게 될 수 있습니다. 이는 대면 교육에 대한 참석 추적 복사본이 없는 경우일 수 있습니다. HR 이해관계자에게 컨트롤을 위임하면 HR 이해관계자가 교육에 참석한 직원 목록을 업로드할 수 있습니다.
컨트롤 기준에 부합한다고 판단되면 *검토됨*으로 표시하고 귀하의 평가 보고서에 증거를 추가할 수 있습니다. 그런 다음 이 보고서를 감사자와 공유하여 컨트롤이 의도한 대로 작동하고 있음을 입증할 수 있습니다.
## 데이터 소스 유형이 혼합된 컨트롤(자동 및 수동)
대부분의 경우 컨트롤을 충족시키기 위해서는 자동 증거의 조합과 수동 증거의 조합이 필요합니다. Audit Manager는 컨트롤과 관련된 자동 증거를 제공할 수 있지만, 직접 식별하고 업로드한 수동 증거로 이 데이터를 보완해야 할 수도 있습니다.
이 예제는 수동 증거와 자동 증거를 조합하여 사용하는 컨트롤을 보여줍니다. 이는 [NIST 800-53(개정본 5) 프레임워크](https://docs.aws.amazon.com/audit-manager/latest/userguide/NIST800-53r5.html)에서 가져온 표준 컨트롤입니다. Audit Manager는 이 컨트롤 기능을 사용하여 AWS 환경을 NIST 요구 사항에 맞추는 데 도움이 될 수 있는 증거를 생성합니다.
**컨트롤 세부 정보의 예**
+ **컨트롤 이름** - `Personnel Termination`
+ **컨트롤 세트** - `(PS) Personnel Security (10)` 조직 시스템에서 하드웨어 또는 소프트웨어 유지 관리를 수행하는 개인과 관련된 NIST 컨트롤의 프레임워크별 그룹입니다.
+ **증거 소스** - AWS 관리형(코어 컨트롤) 및 개별 데이터 소스(수동)
+ **기본 데이터 소스 유형** - AWS API 직접 호출, AWS CloudTrail, AWS Config, 수동
+ **증거 유형** - 구성 데이터, 사용자 활동, 규정 준수 확인, 수동 증거
다음은 NIST 800-53(개정본 5) 프레임워크에서 생성된 Audit Manager 평가에서 나타난 컨트롤 기능입니다.
![\[평가의 컨트롤을 보여주는 스크린샷입니다.\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/images/control-example-mixed-console.png)
평가에는 컨트롤 상태가 표시됩니다. 또한 지금까지 이 컨트롤에 대해 수집된 증거의 양도 보여줍니다. 여기에서 컨트롤 세트를 검토하도록 위임하거나 직접 검토를 완료할 수 있습니다. 컨트롤 이름을 선택하면 해당 컨트롤의 증거를 비롯한 자세한 정보가 포함된 세부 정보 페이지가 열립니다.
**이 컨트롤의 기능**
이 컨트롤을 사용하여 직원이 고용 해지되는 경우와 같은 이벤트에서 조직의 정보를 보호하고 있는지 확인할 수 있습니다. 특히 시스템 액세스를 비활성화하고 개인에 대한 자격 증명을 취소했음을 증명할 수 있습니다. 또한 고용 해지된 모든 개인이 조직의 관련 보안 프로토콜에 대한 논의가 포함된 종료 인터뷰에 참여했음을 입증할 수 있습니다.
**Audit Manager가 이러한 컨트롤에 대한 증거를 수집하는 방법**
Audit Manager는 다음 단계를 수행하여 이 컨트롤에 대한 증거를 수집합니다.
1. 각 컨트롤에 대해 Audit Manager는 컨트롤 설정에 지정된 데이터 소스를 사용하여 범위 내 리소스를 평가합니다.
이 경우 컨트롤은 여러 코어 컨트롤을 증거 소스로 사용합니다. 따라서 이러한 각 핵심 컨트롤은 개별 데이터 소스(AWS API 직접 호출 AWS CloudTrail, 및)에서 관련 증거를 수집합니다 AWS Config. Audit Manager는 이러한 데이터 소스 유형을 사용하여 관련 API 호출, CloudTrail 이벤트 및 AWS Config 규칙을 기준으로 IAM 리소스(예: 그룹, 키 및 정책)를 평가합니다.
1. 리소스 평가 결과는 저장되고 감사자 친화적인 증거로 변환됩니다. 이 증거에는 각 데이터 소스로부터 캡처한 원본 데이터와 데이터가 지원하는 컨트롤 항목을 나타내는 추가 메타데이터가 포함됩니다.
1. Audit Manager는 저장된 증거를 `Personnel Termination`이라고 이름이 지정된 귀하의 평가 내 컨트롤에 첨부합니다.
**이 컨트롤에 대한 증거를 수동으로 업로드하는 방법**
자동 증거를 보완하는 수동 증거를 업로드하려면 [에 수동 증거 업로드를 참조하세요 AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/upload-evidence.html). Audit Manager는 업로드된 증거를 `Personnel Termination`이라는 이름이 지정된 평가의 컨트롤 항목에 첨부합니다.
**Audit Manager를 사용하여 이 컨트롤 기능의 규정 준수를 입증하는 방법**
증거가 컨트롤 항목에 첨부되면 귀하 본인 또는 대리인이 증거를 검토하여 증거가 충분한지 또는 수정이 필요한지 확인할 수 있습니다. 예를 들어, 이 규제 항목을 검토하면 의무를 부분적으로만 충족한다는 사실을 알게 될 수 있습니다. 액세스가 취소되었다는 증거가 있지만 종료 인터뷰의 사본이 없는 경우가 여기에 해당할 수 있습니다. HR 이해 관계자에게 컨트롤을 위임하면 종료 인터뷰 서류의 사본을 업로드할 수 있습니다. 또는 감사 기간 동안 고용해지된 직원이 없는 경우 관리 항목에 서명된 서류가 첨부되지 않은 이유를 설명하는 의견을 남길 수 있습니다.
컨트롤 기준에 부합한다고 판단되면 해당 컨트롤을 *검토됨*으로 표시하고 평가 보고서에 증거를 추가하세요. 그런 다음 이 보고서를 감사자와 공유하여 컨트롤이 의도한 대로 작동하고 있음을 입증할 수 있습니다.
# 사용 AWS Audit Manager
특정 요구 사항 및 기본 설정에 따라 다양한 옵션을 AWS Audit Manager 통해에 액세스할 수 있습니다. Audit Manager와 상호 작용할 수 있는 몇 가지 방법은 다음과 같습니다.
+ **Audit Manager 콘솔**
감사 및 관련 리소스를 관리하기 위한 사용자 친화적 인터페이스를 제공하는 Audit Manager 콘솔([https://console.aws.amazon.com/auditmanager/home](https://console.aws.amazon.com/auditmanager/home))에 직접 액세스합니다.
+ **Audit Manager API**
Audit Manager API를 통해 프로그래밍 방식으로 Audit Manager와 상호 작용하여 작업을 자동화하고 기존 워크플로에 통합할 수 있습니다. 자세한 내용은 [https://docs.aws.amazon.com/audit-manager/latest/APIReference/Welcome.html](https://docs.aws.amazon.com/audit-manager/latest/APIReference/Welcome.html)를 참조하세요.
+ **AWS SDK**
AWS 소프트웨어 개발 키트(SDK)를 사용하여 프로그래밍 방식으로 Audit Manager와 상호 작용하여 다양한 프로그래밍 언어로 코드를 작성할 수 있습니다. 자세한 내용은 [AWS SDK AWS Audit Manager 에서 사용](sdk-general-information-section.md) 단원을 참조하십시오.
+ **AWS CloudFormation**
를 사용하여 Audit Manager 리소스를 생성하면 감사 인프라를 코드로 정의하고 배포할 AWS CloudFormation수 있습니다. 자세한 내용은 [를 사용하여 AWS Audit Manager 리소스 생성 AWS CloudFormation](creating-resources-with-cloudformation.md) 단원을 참조하십시오.
+ **서드 파티 통합**
Audit Manager를 지원되는 타사 거버넌스, 위험 및 규정 준수(GRC) 제품과 통합하여 기존 GRC 도구와 프로세스를 활용할 수 있습니다. 자세한 내용은 [제3자 GRC 제품과의 통합](third-party-integration.md) 섹션을 참조하세요.
+ **자체 GRC 시스템과 통합**
Audit Manager 증거를 자체 GRC 시스템에 통합하여 Audit Manager에서 GRC 애플리케이션으로 직접 증거를 보낼 수 있습니다. 자세한 내용은 [GRC 시스템에 Audit Manager 증거 통합](tutorial-for-grc-integration.md) 단원을 참조하십시오.
# AWS SDK AWS Audit Manager 에서 사용
AWS 소프트웨어 개발 키트(SDKs)는 널리 사용되는 많은 프로그래밍 언어에 사용할 수 있습니다. 각 SDK는 개발자가 자신이 선호하는 언어로 애플리케이션을 구축하는데 사용할 수 있는 API, 코드 예제 및 설명서를 제공합니다.
| SDK 설명서 | Audit Manager 관련 문서 | 코드 예제 |
| --- | --- | --- |
| [AWS SDK for C\$1\$1](https://docs.aws.amazon.com/sdk-for-cpp) | [AWS SDK for C\$1\$1 Audit Manager에 대한 API 참조](https://docs.aws.amazon.com/sdk-for-cpp/latest/api/aws-cpp-sdk-auditmanager/html/namespace_aws_1_1_audit_manager.html) | [AWS SDK for C\$1\$1 코드 예제](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/cpp) |
| [AWS SDK for Go](https://docs.aws.amazon.com/sdk-for-go) | [AWS SDK for Go Audit Manager에 대한 API 참조](https://pkg.go.dev/github.com/aws/aws-sdk-go-v2/service/auditmanager) | [AWS SDK for Go 코드 예제](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/gov2) |
| [AWS SDK for Java](https://docs.aws.amazon.com/sdk-for-java) | [AWS SDK for Java 2.x Audit Manager에 대한 API 참조](https://sdk.amazonaws.com/java/api/latest/software/amazon/awssdk/services/auditmanager/AuditManagerClient.html) | [AWS SDK for Java 코드 예제](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javav2) |
| [AWS SDK for JavaScript](https://docs.aws.amazon.com/sdk-for-javascript) | [AWS SDK for JavaScript Audit Manager에 대한 API 참조](https://docs.aws.amazon.com/AWSJavaScriptSDK/latest/AWS/AuditManager.html) | [AWS SDK for JavaScript 코드 예제](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javascriptv3) |
| [AWS SDK for .NET](https://docs.aws.amazon.com/sdk-for-net) | [AWS SDK for .NET Audit Manager에 대한 API 참조](https://docs.aws.amazon.com/sdkfornet/v3/apidocs/items/AuditManager/NAuditManager.html) | [AWS SDK for .NET 코드 예제](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3) |
| [AWS SDK for PHP](https://docs.aws.amazon.com/sdk-for-php) | [AWS SDK for PHP Audit Manager에 대한 API 참조](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-auditmanager-2017-07-25.html) | [AWS SDK for PHP 코드 예제](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/php) |
| [AWS SDK for Python (Boto3)](https://docs.aws.amazon.com/pythonsdk) | [AWS SDK for Python (Boto) Audit Manager에 대한 API 참조](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/auditmanager.html) | [AWS SDK for Python (Boto3) 코드 예제](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python) |
| [AWS SDK for Ruby](https://docs.aws.amazon.com/sdk-for-ruby) | [AWS SDK for Ruby Audit Manager에 대한 API 참조](https://docs.aws.amazon.com/sdk-for-ruby/v3/api/Aws/AuditManager.html) | [AWS SDK for Ruby 코드 예제](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/ruby) |
Audit Manager와 관련된 예제는 [AWS SDKs](https://docs.aws.amazon.com/code-library/latest/ug/auditmanager_code_examples.html).
**참고**
Audit Manager는 AWS SDK for Python (Boto3)에 대해 보토코어 버전 1.19.32 및 그 이상 버전에서 사용에 제공됩니다. SDK 사용을 시작하기 전에 귀하가 적절한 botocore 버전을 사용하고 있는지 확인하세요.
# 를 사용하여 AWS Audit Manager 리소스 생성 AWS CloudFormation
AWS Audit Manager는 AWS 리소스 및 인프라를 생성하고 관리하는 데 소요되는 시간을 줄일 수 있도록 리소스를 모델링하고 설정하는 데 도움이 되는 AWS CloudFormation서비스와 통합됩니다. 원하는 모든 AWS 리소스(예: 평가)를 설명하는 템플릿을 생성하고 해당 리소스를 CloudFormation 프로비저닝하고 구성합니다.
를 사용하면 템플릿을 재사용하여 AWS Audit Manager 리소스를 일관되고 반복적으로 설정할 CloudFormation수 있습니다. 리소스를 한 번 설명한 다음 여러 AWS 계정 및 리전에서 동일한 리소스를 반복적으로 프로비저닝합니다.
## AWS Audit Manager 및 CloudFormation 템플릿
AWS Audit Manager 및 관련 서비스에 대한 리소스를 프로비저닝하고 구성하려면 [CloudFormation 템플릿](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html)을 이해해야 합니다. 템플릿은 JSON 또는 YAML로 서식 지정된 텍스트 파일입니다. 이러한 템플릿은 CloudFormation 스택에서 프로비저닝하려는 리소스를 설명합니다. JSON 또는 YAML에 익숙하지 않은 경우 Designer를 사용하여 CloudFormation CloudFormation 템플릿을 시작할 수 있습니다. 자세한 내용은 *AWS CloudFormation 사용자 안내서*에서 [CloudFormation Designer란?](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/working-with-templates-cfn-designer.html)을 참조하세요.
AWS Audit Manager는에서 평가 생성을 지원합니다 CloudFormation. 평가에 대한 JSON 및 YAML 템플릿의 예제를 비롯한 자세한 내용은 *AWS CloudFormation 사용 설명서*의 [AWS Audit Manager 리소스 유형 참조](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-auditmanager-assessment.html)를 참조하세요.
## 에 대해 자세히 알아보기 CloudFormation
에 대해 자세히 알아보려면 다음 리소스를 CloudFormation참조하세요.
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS CloudFormation 사용 설명서](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ [CloudFormation API Reference](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/Welcome.html)
+ [AWS CloudFormation 명령줄 인터페이스 사용 설명서](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/what-is-cloudformation-cli.html)
# 제3자 GRC 제품과의 통합
AWS Audit Manager 는이 페이지에 나열된 타사 파트너 GRC 제품과의 통합을 지원합니다.
회사에서 하이브리드 클라우드 모델 또는 멀티클라우드 모델을 사용하는 경우 GRC 제품을 사용하여 이러한 환경의 증거를 관리할 가능성이 높습니다. 해당 제품이 Audit Manager와 통합되면 AWS 사용량에 대한 증거를 GRC 환경으로 직접 가져올 수 있습니다. 이를 통해 감사를 준비하면서 증거를 검토하고 수정할 수 있는 중앙 집중식 장소를 제공함으로써 규정 준수를 관리하는 방법이 간소화됩니다.
Audit Manager로부터 증거를 수집할 수 있는 제3자 GRC 제품에 대한 개요를 보려면 이 페이지를 읽어보세요. 또한 해당 제품 내에서 직접 수행할 수 있는 Audit Manager API 작업에 대한 참조도 볼 수 있습니다.
**Topics**
+ [제3자 통합이 Audit Manager와 함께 작동하는 방식 이해하기](#understanding-grc-integrations)
+ [Audit Manager와 통합되는 제3자 GRC 파트너 제품](#supported-grc-integrations)
## 제3자 통합이 Audit Manager와 함께 작동하는 방식 이해하기
GRC 파트너는 Audit Manager 공개 API를 사용하여 그들의 제품을 Audit Manager와 통합할 수 있습니다. 이러한 통합을 확립함으로써 GRC 환경의 엔터프라이즈 컨트롤을 Audit Manager가 제공하는 공통 컨트롤에 매핑할 수 있습니다.
**작은 정보**
엔터프라이즈 컨트롤을 모든 유형의 [Audit Manager 컨트롤](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#control)에 매핑할 수 있습니다. 그러나 공통 컨트롤을 사용하는 것이 좋습니다. 목표를 나타내는 공통 컨트롤에 매핑하면 Audit Manager는에서 관리하는 사전 정의된 데이터 소스 그룹에서 증거를 수집합니다 AWS. 즉, 어떤 데이터 소스가 목표에 대한 관련 증거를 수집하는지 알기 위해 AWS 전문가가 될 필요가 없습니다.
이 일회성 컨트롤 매핑 예제를 완료한 후에는 GRC 제품에서 직접 Audit Manager 평가를 생성할 수 있습니다. 이 작업을 수행하면 AWS 사용량에 대한 증거 수집이 시작됩니다. 그런 다음이 AWS 증거를 하이브리드 환경에서 수집한 다른 증거와 함께 엔터프라이즈 제어의 동일한 컨텍스트 내에서 볼 수 있습니다.
Audit Manager 통합을 제3자 GRC 제품과 사용할 때는 다음 사항을 유의해야 합니다.
+ [Audit Manager가 지원되는 모든AWS 리전](https://docs.aws.amazon.com/general/latest/gr/audit-manager.html)에서 통합이 가능합니다.
+ GRC 파트너 제품에서 생성한 모든 Audit Manager 리소스는 Audit Manager에도 반영됩니다.
+ 제3자 GRC 제품의 [AWS Audit Manager 요금](https://aws.amazon.com/audit-manager/pricing/) 외에도 요금이 귀하에게 부과됩니다.
+ Audit Manager가 수집하는 증거는 변경할 수 없습니다. 증거는 Audit Manager 콘솔에서와 정확히 동일한 방식으로 제3자 GRC 제품에서 제공됩니다. 하지만 제3자 통합을 사용하는 경우 보고에 추가 컨텍스트를 제공하여 이러한 증거를 강화할 수 있습니다.
+ [Audit Manager에 적용되는 것과 할당량](https://docs.aws.amazon.com/audit-manager/latest/userguide/service-quotas.html)이 동일하게 제3자 GRC 제품에도 적용됩니다. 예를 들어, 각각의 AWS 계정 은 최대 100개의 활성 Audit Manager 평가를 포함할 수 있습니다. 이 계정 수준 할당량은 Audit Manager 콘솔에서 평가를 생성하든 제3자 GRC 제품에서 생성하든 상관없이 적용됩니다. 전부는 아니지만 대부분의 Audit Manager 할당량은 Service Quotas 콘솔의 AWS Audit Manager 네임스페이스 아래에 나열됩니다. 할당량 증가를 요청하는 방법에 대해서는 [Audit Manager 할당량 관리](service-quotas.md#managing-your-service-quotas) 섹션을 참조하세요.
규정 준수 솔루션이 있고 Audit Manager와의 통합에 관심이 있다면 `auditmanager-partners@amazon.com`으로 이메일을 보내세요.
## Audit Manager와 통합되는 제3자 GRC 파트너 제품
다음 제3자 GRC 제품은 Audit Manager로부터 증거를 수집할 수 있습니다.
### 메트릭 스트림
이 통합을 사용하려면 MetricStream에 연락하여 [MetricStream](https://aws.amazon.com/marketplace/pp/prodview-5ph5amfrrmyx4?qid=1616170904192&sr=0-1&ref_=srh_res_product_title) GRC 소프트웨어의 액세스 및 구매를 요청하세요.
MetricStream 플랫폼을 기반으로 구축된 MetricStream 엔터프라이즈 GRC 솔루션을 사용하면 전사적 GRC 활동 및 프로세스에 대한 포괄적이고 협력적인 접근 방식을 사용할 수 있습니다. Audit Manager에서 MetricStream으로 증거를 수집하면 AWS 환경에서 규정 미준수 증거를 사전에 식별하고 온프레미스 데이터 소스 또는 기타 클라우드 파트너의 증거와 함께 검토할 수 있습니다. 이를 통해 감사를 준비하면서 클라우드 보안 및 규정 준수 상태를 검토하고 개선할 수 있는 편리하고 중앙 집중적인 방법을 제공합니다.
MetricStream과 Audit Manager 통합을 통해 다음과 같은 API 작업을 수행할 수 있습니다.
| Task | API 작업 |
| --- | --- |
| Audit Manager 통합 설정 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/third-party-integration.html) |
| Audit Manager 리소스 검토 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/third-party-integration.html) |
| Audit Manager 리소스 생성 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/third-party-integration.html) |
| Audit Manager 리소스 업데이트 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/third-party-integration.html) |
| 증거 관리 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/third-party-integration.html) |
| Audit Manager 리소스 삭제 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/third-party-integration.html) |
**관련 MetricStream 링크**
+ [AWS Marketplace link](https://aws.amazon.com/marketplace/pp/prodview-5ph5amfrrmyx4?qid=1616170904192&sr=0-1&ref_=srh_res_product_title)
+ [제품 링크](https://www.metricstream.com/products/cyber-grc.htm)
+ [제품 요금](https://info.metricstream.com/ms-pricing.html?Channel=ms-side-widget)
# GRC 시스템에 Audit Manager 증거 통합
엔터프라이즈 고객은 다른 클라우드 공급업체 및 온프레미스 환경을 포함하여 여러 데이터 센터에 리소스를 보유하고 있을 가능성이 높습니다. 이러한 환경에서 증거를 수집하려면 MetricStream CyberGRC 또는 RSA Archer와 같은 타사 거버넌스, 위험 및 규정 준수(GRC) 솔루션을 사용할 수 있습니다. 또는 사내에서 개발한 독점 GRC 시스템을 사용할 수도 있습니다.
이 자습서에서는 내부 또는 외부 GRC 시스템을 Audit Manager와 통합하는 방법을 보여줍니다. 이 통합을 통해 공급업체는 고객의 AWS 사용 및 구성에 대한 증거를 수집하고 Audit Manager에서 GRC 애플리케이션으로 직접 해당 증거를 보낼 수 있습니다. 이렇게 하면 여러 환경에서 규정 준수 보고를 중앙 집중화할 수 있습니다.
이 자습서의 목적은 다음과 같습니다.
1. **공급업체**란 Audit Manager와 통합되는 GRC 애플리케이션을 소유한 엔터티 또는 회사를 말합니다.
1. **고객은**를 사용하고 내부 또는 외부 GRC 애플리케이션 AWS도 사용하는 엔터티 또는 회사입니다.
**참고**
경우에 따라 GRC 애플리케이션은 동일한 회사에서 소유 및 사용합니다. 이 시나리오에서 **공급업체**는 GRC 애플리케이션을 소유한 그룹 또는 팀이고 **고객**은 GRC 애플리케이션을 사용하는 팀 또는 그룹입니다.
**이 자습서에서는 다음을 수행하는 방법을 보여줍니다.**
+ [1단계: Audit Manager 활성화](#tutorial-for-grc-integration-step1)
+ [2단계: 권한 설정](#tutorial-for-grc-integration-step2)
+ [3단계. 엔터프라이즈 컨트롤을 Audit Manager 컨트롤에 매핑](#tutorial-for-grc-integration-step3)
+ [4단계. 컨트롤 매핑 업데이트 유지](#tutorial-for-grc-integration-step4)
+ [5단계: 평가 생성](#tutorial-for-grc-integration-step5)
+ [6단계. 증거 수집 시작](#tutorial-for-grc-integration-step6)
## 사전 조건
**시작하기 전에 다음 조건을 충족하는지 확인하세요.**
+ AWS에서 실행되는 인프라가 있습니다.
+ 사내 GRC 시스템을 사용하거나 공급업체에서 제공하는 타사 GRC 소프트웨어를 사용합니다.
+ [Audit Manager를 설정](https://docs.aws.amazon.com/audit-manager/latest/userguide/setting-up.html)하는 데 필요한 모든 [사전 조건](https://docs.aws.amazon.com/audit-manager/latest/userguide/setup-prerequisites.html)을 완료했습니다.
+ 사용자가 [AWS Audit Manager 개념 및 용어 이해](concepts.md)에 익숙합니다.
**유의해야 할 몇 가지 제한 사항은 다음과 같습니다.**
+ Audit Manager는 리전입니다 AWS 서비스. AWS 워크로드를 실행하는 각 리전에서 Audit Manager를 별도로 설정해야 합니다.
+ Audit Manager는 여러 리전의 증거를 단일 리전으로 집계하는 것을 지원하지 않습니다. 리소스가 여러에 걸쳐 있는 경우 GRC 시스템 내에서 증거를 집계 AWS 리전해야 합니다.
+ Audit Manager에는 생성할 수 있는 리소스 수에 대한 기본 할당량이 있습니다. 필요한 경우 이러한 기본 할당량의 증가를 요청할 수 있습니다. 자세한 내용은 [AWS Audit Manager할당량 및 제한](https://docs.aws.amazon.com/audit-manager/latest/userguide/service-quotas.html)을 참조하세요.
## 1단계: Audit Manager 활성화
### 이 단계를 완료하는 사람
Customer
### 알아야 할 내용
먼저 AWS 계정에 대한 Audit Manager를 활성화합니다. 계정이 조직의 일부인 경우 관리 계정을 사용하여 Audit Manager를 활성화한 다음 Audit Manager에 위임된 관리자를 지정할 수 있습니다.
### 절차
**Audit Manager 활성화하려면**
지침에 따라 [Audit Manager 활성화](https://docs.aws.amazon.com/audit-manager/latest/userguide/setup-audit-manager.html)를 수행합니다. 증거를 수집하려는 모든 리전에 대해 설정 절차를 반복합니다.
**작은 정보**
를 사용하는 경우이 단계에서 위임된 관리자를 설정하는 것이 AWS Organizations좋습니다. Audit Manager에서 위임된 관리자 계정을 사용하면 증가 찾기를 사용하여 조직의 모든 멤버 계정에서 증거를 검색할 수 있습니다.
## 2단계: 권한 설정
### 이 단계를 완료하는 사람
Customer
### 알아야 할 내용
이 단계에서 고객은 계정에 대한 IAM 역할을 생성합니다. 그런 다음 고객은 공급업체에 역할을 수임할 수 있는 권한을 부여합니다.
![\[IAM 역할이 공급업체 계정에 대한 액세스 권한을 부여하는 방법을 보여주는 다이어그램입니다.\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/images/vendor-role-access.png)
### 절차
**고객 계정에 대한 역할을 생성하려면**
*IAM 사용 설명서*에서 [IAM 사용자의 역할 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)의 지침을 따릅니다.
+ 역할 생성 워크플로의 8단계에서 **정책 생성**을 선택하고 역할에 대한 정책을 입력합니다.
최소한 이 역할에는 다음 권한이 있어야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "AuditManagerAccess",
"Effect" : "Allow",
"Action" : [
"auditmanager:*"
],
"Resource" : "*"
},
{
"Sid" : "OrganizationsAccess",
"Effect" : "Allow",
"Action" : [
"organizations:ListAccountsForParent",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListParents",
"organizations:ListChildren"
],
"Resource" : "*"
},
{
"Sid" : "IAMAccess",
"Effect" : "Allow",
"Action" : [
"iam:GetUser",
"iam:ListUsers",
"iam:ListRoles"
],
"Resource" : "*"
},
{
"Sid" : "S3Access",
"Effect" : "Allow",
"Action" : [
"s3:ListAllMyBuckets"
],
"Resource" : "*"
},
{
"Sid" : "KmsAccess",
"Effect" : "Allow",
"Action" : [
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases"
],
"Resource" : "*"
},
{
"Sid" : "KmsCreateGrantAccess",
"Effect" : "Allow",
"Action" : [
"kms:CreateGrant"
],
"Resource" : "*",
"Condition" : {
"Bool" : {
"kms:GrantIsForAWSResource" : "true"
},
"StringLike" : {
"kms:ViaService" : "auditmanager.*.amazonaws.com"
}
}
},
{
"Sid" : "SNSAccess",
"Effect" : "Allow",
"Action" : [
"sns:ListTopics"
],
"Resource" : "*"
},
{
"Sid" : "TagAccess",
"Effect" : "Allow",
"Action" : [
"tag:GetResources"
],
"Resource" : "*"
}
]
}
```
------
+ 역할 생성 워크플로의 11단계에서 `vendor-auditmanager`를 **역할 이름**으로 입력합니다.
**공급업체 계정이 역할을 수임하도록 허용하려면**
**IAM 사용 설명서의 [역할을 전환할 수 있는 사용자 권한 부여](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html)의 지침을 따릅니다.
+ 정책 문에는 `sts:AssumeRole action`에 미치는 `Allow` 영향이 포함되어야 합니다.
+ 또한 리소스 요소에 역할의 Amazon 리소스 이름(ARN)을 포함해야 합니다.
+ 다음은 사용할 수 있는 정책 설명의 예입니다.
이 정책에서 *자리 표시자 텍스트를* 공급업체의 AWS 계정 ID로 바꿉니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::111122223333:role/vendor-auditmanager"
}
}
```
------
## 3단계. 엔터프라이즈 컨트롤을 Audit Manager 컨트롤에 매핑
### 이 단계를 완료하는 사람
Customer
### 알아야 할 내용
공급업체는 고객이 평가에 사용할 수 있는 선별된 엔터프라이즈 컨트롤 목록을 유지합니다. Audit Manager와 통합하려면 공급업체는 고객이 엔터프라이즈 컨트롤을 해당 Audit Manager 컨트롤에 매핑할 수 있는 인터페이스를 생성해야 합니다. [](concepts.md#common-control)(기본 설정) 또는 [](concepts.md#standard-control)에 매핑할 수 있습니다. 공급업체의 GRC 애플리케이션에서 평가를 시작하기 전에 이 매핑을 완료해야 합니다.
![\[엔터프라이즈 컨트롤이 Audit Manager 컨트롤에 매핑되는 방법을 보여주는 다이어그램입니다.\]](http://docs.aws.amazon.com/ko_kr/audit-manager/latest/userguide/images/control-mapping.png)
### 옵션 1: 엔터프라이즈 컨트롤을 공통 컨트롤에 매핑(권장)
이는 엔터프라이즈 컨트롤을 Audit Manager에 매핑하는 데 권장되는 방법입니다. 이는 공통 컨트롤이 일반적인 업계 표준과 밀접하게 일치하기 때문입니다. 이렇게 하면 엔터프라이즈 컨트롤에 쉽게 매핑할 수 있습니다.
이 접근 방식을 통해 공급업체는 고객이 엔터프라이즈 컨트롤과 Audit Manager가 제공하는 해당 공통 컨트롤 간에 일회성 매핑을 수행할 수 있는 인터페이스를 생성합니다. 공급업체는 [ListControls](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListControls.html), [ListCommonControls](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListCommonControls.html) 및 [GetControl](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetControl.html) API 작업을 사용하여 이 정보를 고객에게 표시할 수 있습니다. 고객이 매핑 연습을 완료한 후 공급업체는 이러한 매핑을 사용하여 Audit Manager에서 [사용자 지정 컨트롤을 생성](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html)할 수 있습니다.
다음은 공통 컨트롤 매핑의 예입니다.
이름이 `Asset Management`인 엔터프라이즈 컨트롤이 있다고 가정해 보겠습니다. 이 엔터프라이즈 컨트롤은 Audit Manager(`Asset performance management` 및 `Asset maintenance scheduling`)의 두 가지 공통 컨트롤에 매핑됩니다. 이 경우 Audit Manager에서 사용자 지정 컨트롤을 생성해야 합니다(이름은 `enterprise-asset-management`). 그런 다음 `Asset performance management` 및 `Asset maintenance scheduling`을 새 사용자 지정 컨트롤에 증거 소스로 추가합니다. 이러한 증거 소스는 미리 정의된 AWS 데이터 소스 그룹에서 지원 증거를 수집합니다. 이를 통해 엔터프라이즈 제어의 요구 사항에 매핑되는 AWS 데이터 소스를 효율적으로 식별할 수 있습니다.
#### 절차
**매핑할 수 있는 사용 가능한 공통 컨트롤을 찾으려면**
단계에 따라 Audit Manager에서 [사용 가능한 공통 컨트롤 목록을 찾습니다](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html).
**사용자 지정 컨트롤을 생성하려면**
1. 단계에 따라 엔터프라이즈 컨트롤과 일치하는 [사용자 지정 컨트롤을 생성](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html)합니다.
사용자 지정 컨트롤 생성 워크플로의 2단계에서 증거 소스를 지정할 때 다음을 수행합니다.
+ **AWS 관리형 소스**를 증거 소스로 선택합니다.
+ **규정 준수 목표와 일치하는 공통 컨트롤 사용**을 선택합니다.
+ 엔터프라이즈 컨트롤의 증거 소스로 최대 5개의 공통 컨트롤을 선택합니다.
1. 모든 엔터프라이즈 컨트롤에 대해 이 작업을 반복하고 Audit Manager에서 각각에 해당하는 사용자 지정 컨트롤을 생성합니다.
### 옵션 2: 엔터프라이즈 컨트롤을 표준 컨트롤에 매핑
Audit Manager는 미리 구축된 많은 표준 컨트롤을 제공합니다. 엔터프라이즈 컨트롤과 이러한 표준 컨트롤 간에 일회성 매핑을 수행할 수 있습니다. 엔터프라이즈 컨트롤에 해당하는 표준 컨트롤을 식별한 후 이러한 표준 컨트롤을 사용자 지정 프레임워크에 직접 추가할 수 있습니다. 이 옵션을 선택하면 Audit Manager에서 사용자 지정 컨트롤을 생성할 필요가 없습니다.
#### 절차
**매핑할 수 있는 사용 가능한 표준 컨트롤을 찾으려면**
단계에 따라 Audit Manager에서 [사용 가능한 표준 컨트롤 목록을 찾습니다](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html).
**사용자 지정 프레임워크를 생성하려면**
1. 단계에 따라 Audit Manager에서 [사용자 지정 프레임워크를 생성](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-custom-frameworks-from-scratch.html)합니다.
프레임워크 생성 절차의 2단계에서 컨트롤 세트를 지정할 때 엔터프라이즈 컨트롤에 매핑되는 표준 컨트롤을 포함합니다.
1. 사용자 지정 프레임워크에 해당 표준 컨트롤을 모두 포함할 때까지 모든 엔터프라이즈 컨트롤에 대해 이 작업을 반복합니다.
## 4단계. 컨트롤 매핑 업데이트 유지
### 이 단계를 완료하는 사람
공급업체, 고객
### 알아야 할 내용
Audit Manager는 사용 가능한 최신 AWS 데이터 소스를 사용하도록 공통 컨트롤 및 표준 컨트롤을 지속적으로 업데이트합니다. 즉, 매핑 컨트롤은 일회성 태스크입니다. 사용자 지정 프레임워크에 표준 컨트롤을 추가한 후에는 표준 컨트롤을 관리할 필요가 없으며, 사용자 지정 컨트롤의 증거 소스로 추가한 후에는 공통 컨트롤을 관리할 필요가 없습니다. 공통 컨트롤이 업데이트될 때마다 동일한 업데이트가 해당 공통 컨트롤을 증거 소스로 사용하는 모든 사용자 지정 컨트롤에 자동으로 적용됩니다.
그러나 시간이 지남에 따라 새로운 공통 컨트롤 및 표준 컨트롤을 증거 소스로 사용할 수 있게 될 수 있습니다. 이를 염두에 두고 공급업체와 고객은 Audit Manager에서 최신 공통 컨트롤 및 표준 컨트롤을 주기적으로 가져오는 워크플로를 생성해야 합니다. 그런 다음 엔터프라이즈 컨트롤과 Audit Manager 컨트롤 간의 매핑을 검토하고 필요에 따라 매핑을 업데이트할 수 있습니다.
### 엔터프라이즈 컨트롤이 공통 컨트롤에 매핑된 경우
매핑 프로세스 중에 사용자 지정 컨트롤을 생성했습니다. Audit Manager를 사용하여 사용자 지정 컨트롤을 편집하여 사용 가능한 최신 공통 컨트롤을 증거 소스로 사용할 수 있습니다. 사용자 지정 컨트롤 업데이트가 적용되면 기존 평가는 업데이트된 사용자 지정 컨트롤에 대한 증거를 자동으로 수집합니다. 새 프레임워크 또는 평가를 생성할 필요가 없습니다.
#### 절차
**매핑할 수 있는 최신 공통 컨트롤을 찾으려면**
단계에 따라 Audit Manager에서 [사용 가능한 공통 컨트롤을 찾습니다](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html).
**사용자 지정 컨트롤을 편집하려면**
1. 단계에 따라 Audit Manager에서 [사용자 지정 컨트롤을 편집](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-controls.html)합니다.
편집 워크플로의 2단계에서 증거 소스를 업데이트할 때 다음을 수행합니다.
+ **AWS 관리형 소스**를 증거 소스로 선택합니다.
+ **규정 준수 목표와 일치하는 공통 컨트롤 사용**을 선택합니다.
+ 사용자 지정 컨트롤의 증거 소스로 사용하려는 새 공통 컨트롤을 선택합니다.
1. 업데이트하려는 모든 엔터프라이즈 컨트롤에 대해 이 작업을 반복합니다.
### 엔터프라이즈 컨트롤이 표준 컨트롤에 매핑된 경우
이 경우 공급업체는 사용 가능한 최신 표준 컨트롤이 포함된 새 사용자 지정 프레임워크를 생성한 다음 이 새 프레임워크를 사용하여 새 평가를 생성해야 합니다. 새 평가를 생성한 후 이전 평가를 비활성으로 표시할 수 있습니다.
#### 절차
**매핑할 수 있는 최신 표준 컨트롤을 찾으려면**
단계에 따라 Audit Manager에서 [사용 가능한 표준 컨트롤을 찾습니다](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html).
**사용자 지정 프레임워크를 생성하고 최신 표준 컨트롤을 추가하려면**
단계에 따라 Audit Manager에서 [사용자 지정 프레임워크를 생성](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-custom-frameworks-from-scratch.html)합니다.
프레임워크 생성 워크플로의 2단계에서 컨트롤 세트를 지정할 때 새 표준 컨트롤을 포함합니다.
**평가를 생성하려면**
GRC 애플리케이션에서 평가를 생성합니다.
**평가 상태를 비활성으로 변경하려면**
단계에 따라 Audit Manager에서 [평가 상태를 변경](https://docs.aws.amazon.com/audit-manager/latest/userguide/change-assessment-status-to-inactive.html)합니다.
## 5단계: 평가 생성
**이 단계를 완료하는 사람**
GRC 애플리케이션, 공급업체의 입력 포함
**알아야 할 내용**
고객은 Audit Manager에서 직접 평가를 생성할 필요가 없습니다. GRC 애플리케이션에서 특정 컨트롤에 대한 평가를 시작하면 GRC 애플리케이션은 Audit Manager에서 해당 리소스를 생성합니다. 먼저 GRC 애플리케이션은 생성한 매핑을 사용하여 관련 Audit Manager 컨트롤을 식별합니다. 다음으로 컨트롤 정보를 사용하여 사용자 지정 프레임워크를 생성합니다. 마지막으로 새로 생성된 사용자 지정 프레임워크를 사용하여 Audit Manager에서 평가를 생성합니다.
Audit Manager에서 평가를 생성하려면 [범위](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-assessments.html#specify-accounts)도 필요합니다. 이 범위는 AWS 계정 고객이 평가를 실행하고 증거를 수집하려는의 목록을 가져옵니다. 고객은 GRC 애플리케이션에서 이 범위를 직접 정의해야 합니다.
공급업체는 GRC 애플리케이션에서 시작된 평가에 매핑된 `assessmentId`를 저장해야 합니다. 이 `assessmentId`는 Audit Manager에서 증거를 가져오는 데 필요합니다.
**평가 ID를 찾으려면**
1. Audit Manager에서 평가를 보려면 [ListAssessments](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListAssessments.html) 작업을 사용합니다. [상태](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListAssessments.html#auditmanager-ListAssessments-request-status) 파라미터를 사용하여 활성 상태인 평가를 볼 수 있습니다.
```
aws auditmanager list-assessments --status ACTIVE
```
1. 응답에서 GRC 애플리케이션에 저장하려는 평가를 식별하고 `assessmentId`를 기록해 둡니다.
## 6단계. 증거 수집 시작
**이 단계를 완료하는 사람**
AWS Audit Manager, 공급업체의 입력 포함
**알아야 할 내용**
평가를 생성한 후 증거 수집을 시작하는 데 최대 24시간이 걸립니다. 이 시점에서 엔터프라이즈 컨트롤은 Audit Manager 평가에 대한 증거를 적극적으로 수집하고 있습니다.
[증거 찾기](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html) 기능을 사용하여 Audit Manager에서 증거를 빠르게 쿼리하고 찾는 것이 좋습니다. 증거 찾기를 위임 관리자로 사용하면 조직의 모든 멤버 계정에서 증거를 검색할 수 있습니다. 필터와 그룹화를 조합하여 이용하면 검색 쿼리의 범위를 점진적으로 좁힐 수 있습니다. 예를 들어 시스템 상태를 높은 수준으로 보려면 광범위한 검색을 수행하고 평가, 날짜 범위 및 리소스 규정 준수별로 필터링합니다. 특정 리소스를 개선하는 것이 목표인 경우 특정 컨트롤 또는 리소스 ID에 대한 증거를 찾기 위해 좁은 검색을 수행할 수 있습니다. 필터를 정의한 후에는 일치하는 검색 결과를 그룹화하여 미리 본 다음에 평가 보고서를 생성할 수 있습니다.
**증거 찾기를 활성화하려면**
+ 지침에 따라 Audit Manager 설정에서 [증거 찾기를 활성화](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder-settings-enable.html)합니다.
증거 찾기를 활성화한 후 평가를 위해 Audit Manager에서 증거를 가져올 주기를 결정할 수 있습니다. 또한 평가에서 특정 컨트롤에 대한 증거를 가져오고 엔터프라이즈 컨트롤에 매핑된 GRC 애플리케이션에 증거를 저장할 수 있습니다. 다음 Audit Manager API 작업을 사용하여 증거를 가져올 수 있습니다.
+ [GetEvidence](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidence.html)
+ [GetEvidenceByEvidenceFolder](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceByEvidenceFolder.html)
+ [GetEvidenceFolder](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceFolder.html)
+ [GetEvidenceFoldersByAssessment](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceFoldersByAssessment.html)
+ [GetEvidenceFoldersByAssessmentControl](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceFoldersByAssessmentControl.html)
## 가격 책정
공급업체이든 고객이든 이 통합 설정에 대한 추가 비용은 발생하지 않습니다. Audit Manager에서 수집된 증거에 대해서는 고객에게 요금이 부과됩니다. 요금에 대한 자세한 내용은 [AWS Audit Manager 요금](https://aws.amazon.com/audit-manager/pricing/) 부분을 참조하세요.
## 추가적인 리소스
다음 리소스를 검토하여 이 자습서에 도입된 개념에 대해 자세히 알아볼 수 있습니다.
+ [평가](https://docs.aws.amazon.com/audit-manager/latest/userguide/assessments.html) - 평가 관리를 위한 개념 및 태스크에 대해 알아봅니다.
+ [컨트롤 라이브러리](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-library.html) - 사용자 지정 컨트롤을 관리하기 위한 개념 및 태스크에 대해 알아봅니다.
+ [프레임워크 라이브러리](https://docs.aws.amazon.com/audit-manager/latest/userguide/framework-library.html) - 사용자 지정 프레임워크를 관리하기 위한 개념 및 태스크에 대해 알아봅니다.
+ [증거 찾기](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html) - CSV 파일을 내보내거나 쿼리 결과에서 평가 보고서를 생성하는 방법을 알아봅니다.
+ [다운로드 센터](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html) - Audit Manager에서 평가 보고서 및 CSV 내보내기를 다운로드하는 방법을 알아봅니다.