本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 在中管理评估 AWS Audit Manager
Audit Manager 评测基于控件分组框架。您可以框架为起点,对于框架控件中收集到的证据进行评测。评测过程中,您还可以定义审计范围。这包括指定 AWS 账户 您要收集证据的。
## 关键点
您可对任何框架创建评测。或者可以使用 Audit Manager 提供的[标准框架](https://docs.aws.amazon.com/audit-manager/latest/userguide/framework-overviews.html)。或者,您可根据自己构建的[自定义框架](https://docs.aws.amazon.com/audit-manager/latest/userguide/custom-frameworks.html)创建评测。标准框架包含支持特定合规标准或法规的预先构建控件。相比之下,自定义框架包含控件,您可以根据自己的要求对这些控件进行自定义和分组。
当您创建评测时,这会开始持续的证据收集。当需要进行审计时,您或代表可以[查看此证据](https://docs.aws.amazon.com/audit-manager/latest/userguide/review-evidence.html),然后[将其添加至评测报告](https://docs.aws.amazon.com/audit-manager/latest/userguide/generate-assessment-report.html#generate-assessment-report-include-evidence)。
**注意**
AWS Audit Manager 协助收集与核实特定合规标准和法规的遵守情况相关的证据。但是,它本身并不能评测您的合规情况。 AWS Audit Manager 因此,通过收集的证据可能不包括审计所需的有关您的 AWS 使用情况的所有信息。 AWS Audit Manager 不能替代法律顾问或合规专家。
## 其他资源
要在 Audit Manager 中创建和管理评测,请按照此处所述的步骤进行操作。
+ [在中创建评估 AWS Audit Manager](create-assessments.md)
+ [在中查找您的评估 AWS Audit Manager](access-assessments.md)
+ [在中查看评估 AWS Audit Manager](review-assessment.md)
+ [在中查看评估详情 AWS Audit Manager](review-assessments.md)
+ [在中查看评估控制 AWS Audit Manager](review-controls.md)
+ [查看中的证据文件夹 AWS Audit Manager](review-evidence-folders-detail.md)
+ [审查证据 AWS Audit Manager](review-evidence.md)
+ [在中编辑评估 AWS Audit Manager](edit-assessment.md)
+ [更改中评估控制的状态 AWS Audit Manager](change-assessment-control-status.md)
+ [在中将评估的状态更改为不活跃 AWS Audit Manager](change-assessment-status-to-inactive.md)
+ [在中添加手动证据 AWS Audit Manager](upload-evidence.md)
+ [从 Amazon S3 导入手动证据文件](import-from-s3.md)
+ [从浏览器上传手动证据文件](upload-from-computer.md)
+ [输入自由格式的文字回复作为手动证据](enter-text-response.md)
+ [支持的手动证据文件格式](supported-manual-evidence-files.md)
+ [在中准备评估报告 AWS Audit Manager](generate-assessment-report.md)
+ [向评测报告添加证据](generate-assessment-report-include-evidence.md)
+ [从评测报告中移除证据](generate-assessment-report-remove-evidence.md)
+ [生成一份评测报告](generate-assessment-report-generation-steps.md)
+ [从下载中心下载评测报告](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html#download-a-file)
+ [导航评测报告并浏览其内容](https://docs.aws.amazon.com/audit-manager/latest/userguide/assessment-reports.html)
+ [验证评测报告](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ValidateAssessmentReportIntegrity.html)
+ [删除评测报告](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html#delete-assessment-report-steps)
+ [根据证据查找器搜索结果生成评测报告](https://amazonaws.com/audit-manager/latest/userguide/exporting-search-results-from-evidence-finder.html#generate-one-time-report-from-search-results)
+ [在中删除评估 AWS Audit Manager](delete-assessment.md)
# 在中创建评估 AWS Audit Manager
本主题基于[审计负责人教程:创建评测](tutorial-for-audit-owners.md)。您可以在此页面上找到详细说明,它会向您展示如何根据框架创建评测。按以下步骤创建评测并开始持续收集证据。
## 先决条件
开始本教程之前,请确保满足以下条件:
+ 您已完成 [使用推荐 AWS Audit Manager 的设置进行设置](setting-up.md) 中描述的所有先决条件。您必须使用自己 AWS 账户 和 Audit Manager 控制台来完成本教程。
+ 您的 IAM 身份具有在 Audit Manager 中创建和管理评测的相应权限。建议通过这两个策略授予这些权限:[AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html)和[允许用户管理访问 AWS Audit Manager](security_iam_id-based-policy-examples.md#management-access)。
## 过程
**Contents**
+ [第 1 步:指定评测详细信息](#specify-details)
+ [步骤 2: AWS 账户 在作用域中指定](#specify-accounts)
+ [第 3 步:指定审计负责人](#choose-audit-owners)
+ [审计所有者权限](#choose-audit-owners-permissions)
+ [步骤 4:审核并创建](#review-and-create)
### 第 1 步:指定评测详细信息
首先选择框架并提供评测的基本信息。
**若要指定评测详细信息**
1. 在[https://console.aws.amazon.com/auditmanager/家](https://console.aws.amazon.com/auditmanager/home)中打开 AWS Audit Manager 控制台。
1. 在导航窗格中,选择 **评测模板**,然后选择 **创建**。
1. 在**名称**下,输入评测的名称。
1. (可选)在**描述**下,输入评测的描述。
1. 在**评测报告目标**下,选择要保存评测报告的目标 S3 存储桶。
**提示**
默认的评测报告目标基于您的[评测设置](https://docs.aws.amazon.com/audit-manager/latest/userguide/settings-destination.html)。如果您愿意,可以创建和使用多个 S3 存储桶来帮助您整理不同评估的评估报告。 AWS Audit Manager 支持将评估报告导出到 Amazon S3 存储桶,包括跨账户目标。为了获得最佳安全性和性能,我们建议在与评估相同的 AWS 账户和区域中使用 S3 存储桶。
1. 在**选择框架**下,选择创建评测要依据的框架。您也可以使用搜索栏,按名称、合规性标准或法规查找框架。
**提示**
若要了解有关框架的更多信息,请选择框架名称来查看框架详细信息页面。
1. (可选)在**标签**下,选择**添加新标签**以将标签与您的评测相关联。可为每个标签指定密钥和值。标签密钥为必填项,在搜索此评测时可用作搜索标准。
1. 选择**下一步**。
**注意**
务必确保您的评测为指定框架收集适当证据。在开始收集证据前,我们建议您查看选定框架的要求。然后,根据您当前的 AWS Config 规则参数验证这些要求。为确保您的规则参数与此框架要求保持一致,您可以[在 AWS Config中更新规则](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_manage-rules.html)。
例如,假设您正在为 CIS v1.2.0 创建评测。此框架包含名为 [1.9 – 确保 IAM 密码策略的最小长度为 14 或以上字符](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls.html#securityhub-cis-controls-1.9)的控件。在中 AWS Config,该[iam-password-policy](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)规则有一个`MinimumPasswordLength`用于检查密码长度的参数。该参数的默认值为 14 个字符。因此,该规则与控件要求保持一致。如果您未使用默认参数值,请确保使用的值大于等于 CIS v1.2.0 中要求的 14 个字符。您可在 [AWS Config 文档](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)中找到每条托管规则的默认参数详细信息。
### 步骤 2: AWS 账户 在作用域中指定
您可以指定多个 AWS 账户 在评估范围内。Audit Manager 通过与 AWS Organizations集成,支持多个账户。这意味着 Audit Manager 评测可跨多个账户进行,收集的证据将合并至委派管理员账户。若要在 Audit Manager 中启用 “组织”,请参阅 [启用并设置 AWS Organizations](setup-recommendations.md#enabling-orgs)。
**注意**
在评测范围内,Audit Manager 最多可支持 200 个账户。如果您尝试包含超过 200 个账户,则评估创建将失败。
此外,如果您尝试在所有评估中添加超过 250 个唯一帐户,则评估创建将失败。
**AWS 账户 在作用域中指定**
1. 在下方 **AWS 账户** AWS 账户 ,选择要包含在评估范围内的内容。
+ 如果您在 Audit Manager 中启用了组织,则会显示多个账户。您可从列表中选择一个或多个账户。或者,您也可以按账户名、ID 或电子邮件搜索账户。
+ 如果您没有在 A AWS 账户 udit Manager 中启用 Organizations,则只会列出您当前的组织。
1. 选择**下一步**。
**注意**
从您的组织中移除范围内的账户后,Audit Manager 将不再为该账户收集证据。但是,该账户会继续在您的评测中的**AWS 账户**选项卡下显示。如需将该账户从范围内的账户列表中移除,请[编辑评测](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-assessment.html)。在编辑过程中,已移除的账户不再显示在列表中,该账户不在范围内不影响变更的保存。
### 第 3 步:指定审计负责人
在此步骤中,您将为评测指定审计负责人。审计负责人是您工作场所中负责管理 Audit Manager 评估的个 DevOps 人(通常来自 GRC 或团队)。 SecOps我们建议他们使用该[AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html)政策。
**若要指定审计负责人**
1. 在 **审计负责人**下,查看当前的审计负责人列表。**审计所有者**列显示用户 IDs 和角色。该**AWS 账户**列显示该 AWS 账户 审计所有者的信息。
1. 选中复选框的审计负责人将纳入您的评测。清除任何审计负责人的复选框,以将其从评测中删除。要查找其他审计负责人,请使用搜索栏,以按姓名或 AWS 账户搜索。
1. 完成后,选择**下一步**。
#### 审计所有者权限
以下政策适用于评估的所有审计负责人。
在附加策略之前,Audit Manager 会*placeholder text*用您的账户和资源标识符替换。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AuditOwner",
"Effect": "Allow",
"Principal": {
"AWS": "Principal for user/role who are the audit owners of the Assessment"
},
"Action": [
"auditmanager:GetAssessment",
"auditmanager:UpdateAssessment",
"auditmanager:UpdateAssessmentControlSetStatus",
"auditmanager:UpdateAssessmentStatus",
"auditmanager:UpdateAssessmentControl",
"auditmanager:DeleteAssessment",
"auditmanager:GetChangeLogs",
"auditmanager:GetEvidenceFoldersByAssessment",
"auditmanager:GetEvidenceFoldersByAssessmentControl",
"auditmanager:BatchImportEvidenceToAssessmentControl",
"auditmanager:GetEvidenceFolder",
"auditmanager:GetEvidence",
"auditmanager:GetEvidenceByEvidenceFolder",
"auditmanager:BatchCreateDelegationByAssessment",
"auditmanager:BatchDeleteDelegationByAssessment",
"auditmanager:AssociateAssessmentReportEvidenceFolder",
"auditmanager:BatchAssociateAssessmentReportEvidence",
"auditmanager:BatchDisassociateAssessmentReportEvidence",
"auditmanager:CreateAssessmentReport",
"auditmanager:DeleteAssessmentReport",
"auditmanager:DisassociateAssessmentReportEvidenceFolder",
"auditmanager:GetAssessmentReportUrl"
],
"Resource": [
"arn:aws:auditmanager:us-east-1:123456789012:assessment/assessment_ID",
"arn:aws:auditmanager:us-east-1:123456789012:assessment/assessment_ID/*"
]
}
]
}
```
------
### 步骤 4:审核并创建
审核您的评测信息。若要更改步骤信息,请选择**编辑**。完成后,选择**创建评测**。
此操作将开始持续收集评测证据。创建评测后,将继续收集证据,直至您将[评测状态更改](https://docs.aws.amazon.com/audit-manager/latest/userguide/change-assessment-status-to-inactive.html)为*非活动*。或者,您可以通过[将控件状态更改](https://docs.aws.amazon.com/audit-manager/latest/userguide/change-assessment-control-status.html)为*非活动*,停止收集特定控件的证据。
**注意**
评测创建后 24 小时可获得自动证据。Audit Manager 会自动从多个数据来源收集证据,证据收集的频率取决于证据类型。要了解更多信息,请参阅本指南中的 [证据收集频率](how-evidence-is-collected.md#frequency)。
## 后续步骤
要稍后重访评测,请参阅[在中查找您的评估 AWS Audit Manager](access-assessments.md)。您可以按照以下步骤找到您的评测,以便可以查看、编辑或继续使用。
## 其他资源
有关 Audit Manager 中评测问题的解决方案,请参阅[对评测和证据收集问题进行排查](evidence-collection-issues.md)。
# 在中查找您的评估 AWS Audit Manager
在中创建评估后 AWS Audit Manager,您可以在 Audit Manager 控制台的评估页面上找到它们。
在此页面中,您可以对评测执行各种操作。例如,您可以查看评测详细信息、编辑评测配置或删除不再需要的评测。此外,评测页面可以作为创建新评测的起点。
您也可以通过 Audit Manager API 或 AWS Command Line Interface (AWS CLI)以编程方式查看您的评测。
## 先决条件
下列步骤假设您之前至少创建过一个评测。如果您尚未创建评测,在按照以下步骤进行操作时不会看到任何结果。
确保您的 IAM 身份具有在 AWS Audit Manager中查看评测的相应权限。建议通过这两个策略授予这些权限:[AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html)和[允许用户管理访问 AWS Audit Manager](security_iam_id-based-policy-examples.md#management-access)。
## 过程
您可以使用 Audit Manager 控制台、Audit Manager API 或 AWS Command Line Interface (AWS CLI)查看评测。
------
#### [ Audit Manager console ]
**在 Audit Manager 控制台查看评测**
1. 在[https://console.aws.amazon.com/auditmanager/家](https://console.aws.amazon.com/auditmanager/home)中打开 AWS Audit Manager 控制台。
1. 在左侧导航窗格中选择**评测**,查看您的评测。
1. 选择任何评测名称即可查看该评测的详细信息。
------
#### [ AWS CLI ]
**若要查看您的评测(CLI)**
若要在 Audit Manager 中查看评测,请运行[list-assessments](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/auditmanager/list-assessments.html)命令。您可以使用 `--status` 子命令查看处于活动状态或非活动状态的评测。
```
aws auditmanager list-assessments --status ACTIVE
```
```
aws auditmanager list-assessments --status INACTIVE
```
------
#### [ Audit Manager API ]
**使用 API 查看评测**
要在 Audit Manager 中查看评估,请使用[ListAssessments](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListAssessments.html)操作。您可以使用[状态](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListAssessments.html#auditmanager-ListAssessments-request-status)属性查看处于活动状态或非活动状态的评测。
如需了解更多信息,请选择前面的链接之一,在 *AWS Audit Manager API 参考*中阅读更多内容。这包括有关如何使用特定语言 AWS SDKs之一的`ListAssessments`操作和参数的信息。
------
## 后续步骤
准备好浏览评测内容后,请按照[在中查看评估 AWS Audit Manager](review-assessment.md)中的步骤操作。本页将引导您了解评测的详细信息并解释您在此看到的信息。
您还可在评测页面[编辑评测](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-assessment.html)、[删除评测](https://docs.aws.amazon.com/audit-manager/latest/userguide/delete-assessment.html)或[创建评测](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-assessments.html)。
## 其他资源
有关 Audit Manager 中评测问题的解决方案,请参阅[对评测和证据收集问题进行排查](evidence-collection-issues.md)。
# 在中查看评估 AWS Audit Manager
在 Audit Manager 中创建评测后,您可以随时打开和查看评测。
## 关键点
准备好浏览自己的评测后,您可以逐渐更深入地了解评测细节,并以更高的粒度级别来审核评测。
1. **评测详细信息** - 首先审核评测的总体详情。在此页面上,您可以审核评测名称、描述、范围及其他详细信息。这能让您大致了解评测。
1. **评测控件详细信息** - 接下来,可以审核每个评测控件的详细信息,来更深入地了解评测。这将使您能够了解每个控件的具体要求和目标。
1. **证据文件夹详细信息** - 对于每个评测控件,您可以审核包含给定控件的证据的相应证据文件夹。这些文件夹整理了与每个控件相关的支持证据。
1. **证据详细信息** - 最后,进一步深入审核每个文件夹中的各项证据。这可能包括配置快照、用户活动日志、合规性调查发现或手动上传的证据(例如文档和屏幕截图等)。审核这些证据将有助于您了解贵组织具体是如何满足控件要求的。
通过执行这些步骤,您可以全面了解自己的评估,了解其组成部分,并审核支持组织合规性工作的证据。
## 其他资源
要开始在 Audit Manager 中审核评测,请按照此处概述的程序进行操作。
+ [在中查看评估详情 AWS Audit Manager](review-assessments.md)
+ [在中查看评估控制 AWS Audit Manager](review-controls.md)
+ [查看中的证据文件夹 AWS Audit Manager](review-evidence-folders-detail.md)
+ [审查证据 AWS Audit Manager](review-evidence.md)
# 在中查看评估详情 AWS Audit Manager
在需要查看评测的详细信息时,您会在评测详细信息页面上发现这些信息被整理成几个部分。这些部分有助于您轻松获取和理解任务的相关信息。
**Contents**
+ [先决条件](#review-assessments-prerequisites)
+ [过程](#review-assessments-procedure)
+ [评测详细信息部分](#review-assessment-summary)
+ [“控件” 选项卡](#review-assessment-controls)
+ [评测报告选择选项卡](#review-assessment-evidence)
+ [AWS 账户 选项卡](#review-assessment-accounts)
+ [AWS 服务 选项卡](#review-assessment-services)
+ [“审计负责人” 选项卡](#review-assessment-audit-owners)
+ [标签选项卡](#review-assessment-tags)
+ [更改日志选项卡](#review-assessment-changelog)
+ [后续步骤](#review-assessments-next-steps)
+ [其他资源](#review-assessments-additional-resources)
## 先决条件
下列步骤假设您之前至少创建过一个评测。如果您尚未创建评测,在按照以下步骤进行操作时不会看到任何结果。
确保您的 IAM 身份具有在 AWS Audit Manager中查看评测的相应权限。建议通过这两个策略授予这些权限:[AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html)和[允许用户管理访问 AWS Audit Manager](security_iam_id-based-policy-examples.md#management-access)。
## 过程
**打开和查看评测详细信息页面**
1. 在[https://console.aws.amazon.com/auditmanager/家](https://console.aws.amazon.com/auditmanager/home)中打开 AWS Audit Manager 控制台。
1. 在左侧导航窗格中选择**评测**,查看您的评测。
1. 选择评测名称以打开。
1. 使用以下信息作为参考来查看评测详细信息。
**Topics**
+ [评测详细信息部分](#review-assessment-summary)
+ [“控件” 选项卡](#review-assessment-controls)
+ [评测报告选择选项卡](#review-assessment-evidence)
+ [AWS 账户 选项卡](#review-assessment-accounts)
+ [AWS 服务 选项卡](#review-assessment-services)
+ [“审计负责人” 选项卡](#review-assessment-audit-owners)
+ [标签选项卡](#review-assessment-tags)
+ [更改日志选项卡](#review-assessment-changelog)
### 评测详细信息部分
您可以使用**评测详细信息**部分来查看评测摘要。
![\[评测详细信息部分的屏幕截图,其中有与以下定义相关的标签。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/assessment-details-console.png)
在评测详细信息部分,您可以查看以下信息:
| Name | 说明 |
| --- | --- |
| **1。描述** | 评估描述。 |
| **2。合规性类型** | 评测支持的合规性标准或法规。 |
| 3。评测报告目标 | Audit Manager 在其中保存评测报告的 S3 存储桶。 |
| 4。证据总数 | 为本评测收集的证据项总数。 |
| 5。评测报告选择 | 选择纳入评测报告的证据项数量。 |
| 6。Date created (创建日期) | 评测的创建时间。 |
| 7。上次更新 | 上次编辑评测的日期。 |
| 8。状态 | 评测的状态。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/review-assessments.html) |
### “控件” 选项卡
您可以使用此选项卡查看有关评测中的控件的信息。
在**控件状态摘要**下,您可以查看以下信息:
| Name | 说明 |
| --- | --- |
| **控件总数** | 此评测中的控件总数。 |
| **已审核** | 审计负责人或代表已审核的控件数量。 |
| 正在审核中 | 当前正在审核中的控件数量。 |
| 非活跃 | 不再主动收集证据的控件数量。 |
在**控件集**表格中,您可以查看按控件集分组的控件列表。您可以展开或折叠每个控件集内的控件。如果您要查找特定控件,也可以按名称搜索。
在该表格中,您可以查看以下信息:
| Name | 说明 |
| --- | --- |
| **按控件集分组的控件** | 控件集的名称。 |
| **控件状态** | 控件的状态。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/review-assessments.html) |
| 代表 | 此控件的审核者,前提是该控件已分配给代表进行审核。 |
| 证据总数 | 为本控件收集的证据项总数。 |
### 评测报告选择选项卡
您可以使用此选项卡查看将纳入评测报告的证据。证据按证据文件夹分组,证据文件夹根据创建日期进行整理。
您可浏览这些文件夹,然后选择要纳入评测报告中的证据。有关如何向评测报告中添加证据的说明,请参阅[向评测报告添加证据](generate-assessment-report-include-evidence.md)。
在本节中,您可以查看以下信息:
| Name | 说明 |
| --- | --- |
| **证据查找器** | 证据文件夹的名称。文件夹名称基于证据收集的日期。 |
| **选定证据** | 文件夹内纳入评测报告中的证据项数量。 |
| 控件名称 | 与此证据文件夹关联的控件名称。 |
### AWS 账户 选项卡
您可以使用此选项卡查看评估范围内的内容。 AWS 账户
在本节中,您可以查看以下信息:
| Name | 说明 |
| --- | --- |
| **账户 ID** | AWS 账户的 ID。 |
| **账户名称** | AWS 账户的名称。 |
| 电子邮件 | 与 AWS 账户关联的电子邮件地址。 |
### AWS 服务 选项卡
您可能会在评测中看到此选项卡,也可能不会看到。
#### 如果 AWS 服务 选项卡未显示(理想状态)
如果您没有看到此选项卡,则表示 Audit Manager AWS 服务 正在管理哪些属于您的评估范围。
Audit Manager 通过检查评测控件及其数据来源,然后将这些信息映射到相应的 AWS 服务,来推断此范围。每当评测的底层数据来源发生变化时,Audit Manager 都会根据需要自动更新范围以反映正确的 AWS 服务。这可确保您的评测能够收集有关您 AWS 环境中所有相关服务的准确、全面的证据。
#### 如果显示 AWS 服务 选项卡
如果您看到此选项卡,则表示 Audit Manager 无法管理 AWS 服务 哪些属于您的评估范围。
在这种情况下,您将看到有关属于您所定义范围内的服务的以下信息:
| Name | 说明 |
| --- | --- |
| **AWS 服务** | AWS 服务的名称。 |
| **类别** | 服务类别,例如 计算或数据库。 |
| 描述 | AWS 服务的描述。 |
Audit Manager 对下表中的服务执行资源评测。例如,如果列出了 Amazon S3,则 Audit Manager 可收集有关您的 S3 存储桶的证据。收集的确切证据由控件的[](concepts.md#control-data-source)决定。例如,如果数据源类型为 AWS Config,而数据源映射是 AWS Config 规则(例如`s3-bucket-public-write-prohibited`),则 Audit Manager 会收集该规则评估的结果作为证据。有关更多信息,请参阅本指南中的[范围内的服务和数据来源类型有什么区别?](evidence-collection-issues.md#data-source-vs-service-in-scope)。
如果您在控制台中通过标准框架创建评测,则 Audit Manager 会为您选中服务,并根据框架要求映射其数据来源。如果标准框架仅包含手动控件, AWS 服务 则不在范围内。
**注意**
下次您编辑评测或更改评测中的一个自定义控件时,Audit Manager 将为您接管范围内服务的管理工作。发生这种情况时,**AWS 服务** 选项卡将从您的评测中移除。
### “审计负责人” 选项卡
您可以使用此选项卡查看评测的审计负责人。
在本节中,您可以查看以下信息:
| Name | 说明 |
| --- | --- |
| **审计负责人** | 审计负责人的姓名。 |
| **AWS 账户** | 审计所有者的 AWS 账户 ID。 |
### 标签选项卡
您可以使用此选项卡查看评测的标签。这些标签继承自用于创建评测的框架。有关 Audit Manager 中标签的更多信息,请参阅[为资源添加标签 AWS Audit Manager](tagging.md)
在本节中,您可以查看以下信息:
| Name | 说明 |
| --- | --- |
| **键** | 标签密钥(如合规性标准、法规或类别等)。 |
| **值** | 标签的值。 |
### 更改日志选项卡
您可以使用此选项卡查看评测的用户活动。
在本节中,您可以查看以下信息:
| Name | 说明 |
| --- | --- |
| **日期** | 活动日期。 |
| **User** | 执行操作的用户。 |
| Action | 发生的操作,例如正在创建评测。 |
| Type | 已更改的对象类型,例如评测。 |
| 资源 | 受变更影响的资源,例如创建评测所依据的框架。 |
## 后续步骤
要继续查看您的评测内容,请按照[在中查看评估控制 AWS Audit Manager](review-controls.md)中的步骤进行操作。本页将引导您了解评测控件的详细信息并解释您在此看到的信息。
## 其他资源
+ [在我的评测详细信息页面上,系统提示我重新创建评测](evidence-collection-issues.md#recreate-assessment-post-common-controls)
+ [我在评测中看不到任何控件或控制集](control-issues.md#cannot-view-controls)
+ [我看不到评测的范围内服务](evidence-collection-issues.md#unable-to-view-services)
# 在中查看评估控制 AWS Audit Manager
在需要查看评测中的控件时,您会在评测控件详细信息页面上发现这些信息被整理成几个部分。这些部分有助于您轻松获取和理解任务的相关信息。
**Contents**
+ [先决条件](#review-controls-prerequisites)
+ [过程](#review-controls-procedure)
+ [控件详细信息部分](#review-control-detail)
+ [“证据文件夹” 选项卡](#review-evidence-folders)
+ [详细信息选项卡](#review-details)
+ [“证据来源”选项卡](#review-data-sources)
+ [“评论” 选项卡](#review-comments)
+ [更改日志选项卡](#review-changelog)
+ [后续步骤](#review-controls-next-steps)
+ [其他资源](#review-controls-additional-resources)
## 先决条件
下列步骤假设您之前至少创建过一个评测。如果您尚未创建评测,在按照以下步骤进行操作时不会看到任何结果。
确保您的 IAM 身份具有在 AWS Audit Manager中查看评测的相应权限。建议通过这两个策略授予这些权限:[AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html)和[允许用户管理访问 AWS Audit Manager](security_iam_id-based-policy-examples.md#management-access)。
## 过程
**打开和查看评测控件详细信息页面**
1. 在[https://console.aws.amazon.com/auditmanager/家](https://console.aws.amazon.com/auditmanager/home)中打开 AWS Audit Manager 控制台。
1. 在导航窗格中选择**评测**,并选择要打开的评测的名称。
1. 在评测页面中选择**控件**选项卡,向下滚动至**控件集**表,然后选择控件的名称将其打开。
1. 使用以下信息作为参考来查看评测控件详细信息。
**Topics**
+ [控件详细信息部分](#review-control-detail)
+ [“证据文件夹” 选项卡](#review-evidence-folders)
+ [详细信息选项卡](#review-details)
+ [“证据来源”选项卡](#review-data-sources)
+ [“评论” 选项卡](#review-comments)
+ [更改日志选项卡](#review-changelog)
### 控件详细信息部分
您可以使用**控件详细信息**部分来查看评测控件摘要。
在本节中,您可以查看以下信息:
| Name | 说明 |
| --- | --- |
| **描述** | 为此控件提供的描述。 |
| **控件状态** | 控件的状态。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/review-controls.html) |
### “证据文件夹” 选项卡
您可以使用此选项卡查看为此控件收集的证据。它每天都被整理至文件夹中。在此,您可以执行以下操作:
+ **查看证据文件夹** - 要查看任何证据文件夹的详细信息,请选择超链接的文件夹名称。
+ **向评测报告添加证据文件夹** - 要包含证据文件夹,请选择该文件夹,然后选择**添加至评测报告**。
+ **从评测报告中移除证据文件夹** - 要排除某个文件夹,请选择该文件夹,然后选择**从评测报告中移除**。
+ **添加手动证据** – 有关说明,请参阅[在中添加手动证据 AWS Audit Manager](upload-evidence.md)。
在本节中,您可以查看以下信息:
| Name | 说明 |
| --- | --- |
| **证据查找器** | 证据文件夹的名称。该名称基于收集或手动添加证据的日期。 |
| **合规性检查** | 证据文件夹中的问题数量。此数字表示直接从 AWS Security Hub CSPM AWS Config、或两者报告的安全问题总数。 如果您看到 “**不适用**”,则表示您要么未 AWS Config 启用 Security Hub CSPM,要么证据来自不同的数据源类型。 |
| 证据总数 | 文件夹内证据项的总数。 |
| 评测报告选择 | 文件夹内纳入评测报告中的证据项数量。 |
**提示**
如果您看不到要查找的证据文件夹,请将下拉筛选条件更改为**始终**。否则,在默认情况下,您将看到最近七天的文件夹。
### 详细信息选项卡
在本节中,您可以查看以下信息:
| Name | 说明 |
| --- | --- |
| **测试信息** | 测试控件是否按预期运行的推荐程序。 |
| 行动计划 | 如果控件需要修复,建议采取的行动。 |
### “证据来源”选项卡
您可以使用此选项卡查看评测控件收集的证据的来源。证据来源可包括以下任一来源:
| Name | 说明 |
| --- | --- |
| **通用控件** | 这些是收集证据以支持评测控件的通用控件。 常用控件使用为您 AWS 管理的基础数据源收集证据。对于列出的每个通用控件,Audit Manager 都会收集所有支持核心控件的相关证据。选择通用控件可查看相关的核心控件。 |
| **核心控件** | 这些是收集证据以支持评测控件的核心控件。 核心控件通过使用 AWS 为您管理的一组预定义的数据来源来收集证据。选择核心控件可查看底层数据来源。 |
| 数据源 | 这些是收集证据以支持评测控件的各项数据来源。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/review-controls.html) |
### “评论” 选项卡
在此选项卡中,您可以添加有关控件及其证据的评论。您还可以查看先前的评论列表。
+ 若要在 **发送评论** 下添加评论,您可以输入文本,然后选择 **提交评论**。
+ 在 **以前的评论**下,您可以查看之前的评论列表,以及发表评论的日期和关联用户 ID。
### 更改日志选项卡
您可以使用此选项卡查看评测控件的用户活动。提供与 AWS CloudTrail的审计跟踪记录相同的信息。通过直接在 Audit Manager 中捕获的用户活动,您可轻松查看指定控件的活动审计跟踪记录。
在本节中,您可以查看以下信息:
| Name | 说明 |
| --- | --- |
| **日期** | 活动的日期和时间,用协调世界时(UTC)格式表示。 |
| **User** | 执行活动的用户或角色。 |
| Action | 发生的操作,例如正在创建评测。 |
| Type | 已更改的对象类型,例如评测。 |
| 资源 | 受变更影响的资源,例如创建评测所依据的框架。 |
Audit Manager 在变更日志中追踪以下用户活动:
+ 创建评测
+ 编辑评测
+ 完成评测
+ 删除评测
+ 委托控件集以进行审核
+ 将已审核的控件集提交至审计负责人
+ 上传手动证据
+ 更新控件状态
+ 生成评测报告
## 后续步骤
要继续查看您的评测,请按照[查看中的证据文件夹 AWS Audit Manager](review-evidence-folders-detail.md)中的步骤进行操作。此页面将引导您浏览证据文件夹,并向您展示如何理解所看到的信息。
## 其他资源
+ [我在评测中看不到任何控件或控制集](control-issues.md#cannot-view-controls)
# 查看中的证据文件夹 AWS Audit Manager
在评测收集证据时,为了方便起见,Audit Manager 会将其整理到文件夹中。在需要查看证据文件夹时,您会发现这些信息被整理成几个部分。
**Contents**
+ [先决条件](#review-evidence-folders-detail-prerequisites)
+ [过程](#review-evidence-folders-detail-procedure)
+ [证据文件夹摘要](#review-evidence-folders-summary-summary)
+ [证据表](#review-evidence-folders-summary-evidence)
+ [后续步骤](#review-evidence-folders-detail-next-steps)
+ [其他资源](#review-evidence-folders-detail-additional-resources)
## 先决条件
下列步骤假设您之前至少创建过一个评测。如果您尚未创建评测,在按照以下步骤进行操作时不会看到任何结果。
确保您的 IAM 身份具有在 AWS Audit Manager中查看评测的相应权限。建议通过这两个策略授予这些权限:[AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html)和[允许用户管理访问 AWS Audit Manager](security_iam_id-based-policy-examples.md#management-access)。
请记住,评测需要长达 24 小时才开始收集自动证据。如果您的评测还没有任何证据,那么在您按照这些步骤操作时,将看不到任何结果。
## 过程
**打开和查看证据文件夹**
1. 在[https://console.aws.amazon.com/auditmanager/家](https://console.aws.amazon.com/auditmanager/home)中打开 AWS Audit Manager 控制台。
1. 在导航窗格中,选择**评测**,然后选择一个评测。
1. 从评测页面,选择**控件**选项卡,向下滚动至**控件**表,然后选择一个评测控件。
1. 从评测控件页面,选择**证据文件夹**选项卡。
1. 在**证据文件夹**表格中,选择证据文件夹的名称。
1. 使用以下信息作为参考来查看证据文件夹。
**Topics**
+ [证据文件夹摘要](#review-evidence-folders-summary-summary)
+ [证据表](#review-evidence-folders-summary-evidence)
### 证据文件夹摘要
您可以使用该页面的**摘要**部分查看证据文件夹中证据的整体概述。要了解有关不同证据类型的更多信息,请参阅[证据](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#evidence)。
![\[证据文件夹的屏幕截图,其中有与以下定义关联的标签。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/evidence-summary-console.png)
在本节中,您可以查看以下信息:
| Name | 说明 |
| --- | --- |
| **1。日期和时间** | 创建证据文件夹的日期和时间。用协调世界时(UTC)格式表示。 |
| **2。控件** | 与证据文件夹关联的控件的名称。 |
| 3。已添加到评测报告中 | 选择纳入评测报告的证据项数量。 |
| 4。证据总数 | 文件夹中证据项的总数。 |
| 5。资源 | 在此文件夹中收集证据时评估的 AWS 资源总数。 |
| 6。用户活动 | 属于*用户活动*类别的证据项数量。这些证据是从 AWS CloudTrail 日志中收集的。 |
| 7。配置数据 | 属于*配置数据*类别的证据项数量。这些证据是从拍摄其他配置快照的 API 调用中收集的 AWS 服务。 |
| 8。手动 | 属于*手动*类别的证据项的数量。此证据为手动上传。 |
| 9。合规性检查 | 属于*合规性检查*类别的证据项数量。这些证据是从 AWS Config AWS Security Hub CSPM、或两者中收集的。 |
| 10。合规性检查状态 | 直接从 AWS Security Hub CSPM、 AWS Config或两者兼而有之报告的问题总数。 |
### 证据表
您可以使用**证据**表格来查看证据文件夹中包含的证据。在该表格中,您可以执行以下操作:
+ **查看单个证据** - 若要查看任何一项证据的详细信息,请在**时间**列下选择超链接格式的证据名称。
+ **向评测报告添加证据** - 要包含证据,请选择该证据,然后选择**添加至评测报告**。
+ **从评测报告中移除证据** - 要排除某个证据,请选择该证据,然后选择**从评测报告中移除**。
+ **添加手动证据** – 有关说明,请参阅[在中添加手动证据 AWS Audit Manager](upload-evidence.md)。
在该表格中,您可以查看以下信息:
| Name | 说明 |
| --- | --- |
| **时间** | 指定收集证据的时间。这也是证据的名称。时间以世界标准时间 (UTC) 格式表示。 |
| **合规性检查** | 属于 合规性检查类别的证据的评估状态。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/review-evidence-folders-detail.html) |
| 按类型划分的证据 | 证据的类型。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/review-evidence-folders-detail.html) |
| 数据来源 | 从中收集证据的数据来源。 |
| 事件名称 | 调用证据收集的事件的名称。 |
| 事件源 | 确定事件相关 AWS 服务 内容的服务主体。 |
| 资源 | 收集证据时评测的资源数量。 |
| 评测报告选择 | 指明证据是否包含在评测报告中。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/review-evidence-folders-detail.html) |
## 后续步骤
准备好浏览文件夹中的各项证据时,请按照[审查证据 AWS Audit Manager](review-evidence.md)中的步骤进行操作。本页将引导您了解证据的详细信息以及如何解释您在此看到的信息。
## 其他资源
+ 有关 Audit Manager 中证据问题的解决方案,请参阅[对评测和证据收集问题进行排查](evidence-collection-issues.md)。
# 审查证据 AWS Audit Manager
需要审核某项具体的证据时,请按照本页上的说明进行操作。您会发现证据详细信息被分为几个部分。
**Contents**
+ [先决条件](#review-evidence-prerequisites)
+ [过程](#review-evidence-procedure)
+ [Summary](#review-evidence-folders-detail-1)
+ [属性](#review-evidence-folders-detail-2)
+ [要包含的资源](#review-evidence-folders-detail-3)
+ [其他资源](#review-evidence-additional-resources)
## 先决条件
下列步骤假设您之前至少创建过一个评测。如果您尚未创建评测,在按照以下步骤进行操作时不会看到任何结果。
确保您的 IAM 身份具有在 AWS Audit Manager中查看评测的相应权限。建议通过这两个策略授予这些权限:[AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html)和[允许用户管理访问 AWS Audit Manager](security_iam_id-based-policy-examples.md#management-access)。
请记住,评测需要长达 24 小时才开始收集自动证据。如果您的评测还没有任何证据,那么在您按照这些步骤操作时,将看不到任何结果。
## 过程
**打开并查看证据详细信息页面**
1. 在[https://console.aws.amazon.com/auditmanager/家](https://console.aws.amazon.com/auditmanager/home)中打开 AWS Audit Manager 控制台。
1. 在导航窗格中,选择**评测**,然后选择一个评测。
1. 从评测页面,选择**控件**选项卡,向下滚动至**控件**表,然后选择一个控件。
1. 在控件页面,选择**证据文件夹**选项卡。
1. 在**证据文件夹**表格中,选择证据文件夹的名称。
1. 选择**时间**列下的证据名称以打开证据详细信息页面。
1. 使用以下信息作为参考来查看证据详细信息。
**Topics**
+ [Summary](#review-evidence-folders-detail-1)
+ [属性](#review-evidence-folders-detail-2)
+ [要包含的资源](#review-evidence-folders-detail-3)
### Summary
您可以使用**摘要**部分查看证据概述。
![\[证据详细信息的屏幕截图,其中有与以下定义关联的标签。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/evidence-detail-console.png)
在本节中,您可以查看以下信息:
| Name | 说明 |
| --- | --- |
| **1。证据 ID** | 证据的唯一标识符。 |
| **2。日期和时间** | 收集证据的日期和时间。用协调世界时(UTC)格式表示。 |
| 3。合规性检查 | 合规性检查证据的评估状态。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/review-evidence.html) |
| 4。数据来源映射 | 用于收集证据的映射关键字。 |
| 5。数据来源类型 | 从中收集证据的数据来源。 |
| 6。账户 ID | AWS 账户 那些与证据有关的。 |
| 7。IAM ID | 相关的用户或角色(如适用)。 |
| 8。评测 | 与证据关联的评测的名称。 |
| 9。控件 | 与证据关联的控件的名称。 |
| 10。证据文件夹名称 | 包含证据的证据文件夹的名称。 |
| 11。包含在评测报告中 | 您可以通过该切换按钮在评测报告中包含或排除证据。 |
### 属性
您可以使用**属性**表格来详细查看证据属性。
在该表格中,您可以查看以下信息:
| Name | 说明 |
| --- | --- |
| **属性名称** | 属性的密钥。 |
| **值** | 属性的值。在某些情况下,会提供指向 JSON 文件的链接以及更多信息。 |
### 要包含的资源
您可以使用**包括的资源**表格来查看为生成此证据而评测的资源。
在本节中,您可以查看以下信息:
| Name | 说明 |
| --- | --- |
| **ARN** | 资源的 Amazon 资源名称(ARN)。有的证据类型可能不适用 ARN。 |
| **资源合规性** | 资源的评估状态。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/review-evidence.html) |
| 值 | 有关资源评估的更多信息。在某些情况下,会提供指向 JSON 文件的链接以及更多信息。 |
## 其他资源
+ 有关 Audit Manager 中证据问题的解决方案,请参阅[对评测和证据收集问题进行排查](evidence-collection-issues.md)。
# 在中编辑评估 AWS Audit Manager
您可能会遇到需要在中编辑现有评估的情况 AWS Audit Manager。也许您的审计范围已经改变,需要对评估中 AWS 账户 包含的内容进行更新。或者,由于人事变动,您可能需要修改向其指派评测的审计负责人名单。在这种情况下,您可以在不中断证据收集的情况下,编辑处于活动状态的评测并进行必要的调整。
以下页面概述了编辑评测详细信息、更改范围内的 AWS 账户 、更新审计负责人以及查看和保存更改的步骤。
## 先决条件
以下步骤假设您之前至少创建过一个评测,并且该评测处于活动状态。
确保您的 IAM 身份具有在 AWS Audit Manager中编辑评测的相应权限。建议通过这两个策略授予这些权限:[AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html)和[允许用户管理访问 AWS Audit Manager](security_iam_id-based-policy-examples.md#management-access)。
## 过程
**Contents**
+ [第 1 步:编辑评测详细信息](#edit-specify-details)
+ [步骤 2: AWS 账户 在作用域内编辑](#edit-accounts)
+ [第 3 步:编辑审计负责人](#edit-choose-audit-owners)
+ [审计所有者权限](#edit-choose-audit-owners-permissions)
+ [第 4 步:查看并保存](#edit-review-and-create)
### 第 1 步:编辑评测详细信息
按以下步骤编辑评测详细信息。
**若要编辑评测**
1. 在[https://console.aws.amazon.com/auditmanager/家](https://console.aws.amazon.com/auditmanager/home)中打开 AWS Audit Manager 控制台。
1. 在导航窗格中,选择**评测**。
1. 选择一项评测,然后选择 **编辑**。
1. 在**编辑评测详细信息**下,根据需要编辑您的评测详细信息。
1. 选择**下一步**。
### 步骤 2: AWS 账户 在作用域内编辑
在此步骤中,您可以更改纳入评测范围内的账户。Audit Manager 最多可以支持 200 个评估范围内的账户,在所有评估中支持 250 个唯一的成员账户。
**AWS 账户 在作用域内编辑**
1. 要添加 AWS 账户,请选中账户名旁边的复选框。
1. 要删除 AWS 账户,请清除账户名旁边的复选框。
1. 选择**下一步**。
**注意**
要编辑 Audit Manager 的委派管理员,请参阅[更改委派管理员](change-delegated-admin.md)。
### 第 3 步:编辑审计负责人
在此步骤中,您可以更改纳入评测范围内的审计负责人。
**编辑审计负责人**
1. 若要添加审计负责人,请选中账户名称旁边的复选框。
1. 要移除审计负责人,请清除账户名称旁边的复选框。
1. 选择**下一步**。
#### 审计所有者权限
以下政策适用于评估的所有审计负责人。
在附加策略之前,Audit Manager 会*placeholder text*用您的账户和资源标识符替换。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AuditOwner",
"Effect": "Allow",
"Principal": {
"AWS": "Principal for user/role who are the audit owners of the Assessment"
},
"Action": [
"auditmanager:GetAssessment",
"auditmanager:UpdateAssessment",
"auditmanager:UpdateAssessmentControlSetStatus",
"auditmanager:UpdateAssessmentStatus",
"auditmanager:UpdateAssessmentControl",
"auditmanager:DeleteAssessment",
"auditmanager:GetChangeLogs",
"auditmanager:GetEvidenceFoldersByAssessment",
"auditmanager:GetEvidenceFoldersByAssessmentControl",
"auditmanager:BatchImportEvidenceToAssessmentControl",
"auditmanager:GetEvidenceFolder",
"auditmanager:GetEvidence",
"auditmanager:GetEvidenceByEvidenceFolder",
"auditmanager:BatchCreateDelegationByAssessment",
"auditmanager:BatchDeleteDelegationByAssessment",
"auditmanager:AssociateAssessmentReportEvidenceFolder",
"auditmanager:BatchAssociateAssessmentReportEvidence",
"auditmanager:BatchDisassociateAssessmentReportEvidence",
"auditmanager:CreateAssessmentReport",
"auditmanager:DeleteAssessmentReport",
"auditmanager:DisassociateAssessmentReportEvidenceFolder",
"auditmanager:GetAssessmentReportUrl"
],
"Resource": [
"arn:aws:auditmanager:us-east-1:123456789012:assessment/assessment_ID",
"arn:aws:auditmanager:us-east-1:123456789012:assessment/assessment_ID/*"
]
}
]
}
```
------
### 第 4 步:查看并保存
审核您的评测信息。若要更改步骤信息,请选择**编辑**。编辑完成后,选择**保存更改**以确认改动。
完成编辑后,对评测的更改将在世界标准时间 (UTC) 第二天 00:00 生效。
## 后续步骤
如果不再需要为特定评测控件收集证据,可以更改该控件的状态。有关说明,请参阅[更改中评估控制的状态 AWS Audit Manager](change-assessment-control-status.md)。
如果不再需要为整个评测收集证据,可以将评测状态更改为非活动。有关说明,请参阅[在中将评估的状态更改为不活跃 AWS Audit Manager](change-assessment-status-to-inactive.md)。
## 其他资源
+ 有关 Audit Manager 中评测问题的解决方案,请参阅[对评测和证据收集问题进行排查](evidence-collection-issues.md)。
+ 有关为何无法再编辑范围内的服务的信息,请参阅本指南*疑难解答*部分中的[我无法编辑评测的范围内服务](evidence-collection-issues.md#unable-to-edit-services)。
# 在中添加手动证据 AWS Audit Manager
Audit Manager 可自动收集许多控件的证据。但是,某些控件可能需要无法自动收集的证据。在这种情况下,您可以手动添加自己的证据。
考虑以下示例:
+ 部分控件与提供实物记录(例如签名)或非在云中生成的事件(例如观察和访谈)有关。在这些情况下,您可手动添加文件作为证据。例如,如果控件需要有关您的组织结构的信息,则可以上传公司组织结构图的副本,以作为手动证据。
+ 部分控件代表了供应商风险评测问题。风险评测问题可能需要文件作为证据(如组织结构图)。或者它可能只需要一个简单的文字回复(例如职位列表)。对于后者,您可回答问题并将您的回答保存为手动添加的证据。
您还可以使用手动上传功能管理来自多个环境的证据。如果您的公司使用混合云模型或多云模型,则可上传来自本地环境、云端托管环境或 SaaS 应用程序的证据。这使您可以通过将证据存储在 Audit Manager 评测的结构中来组织证据(无论它来自哪里),其中每份证据都映射至特定控件。
## 关键点
在 Audit Manager 中向评测添加手动证据时,有三种方法可供选择。
1. **从 Amazon S3 导入文件** - 如果您的证据文件存储在 S3 存储桶中,例如文档、报告或其他无法由 Audit Manager 自动收集的材料,则此方法非常理想。通过直接从 S3 导入这些文件,您可以将此手动证据与自动收集的证据无缝集成。
1. **从浏览器上传文件** - 如果您的证据文件存储在本地计算机或网络上,则可以使用此方法将其手动上传到 Audit Manager。当您需要包含 AWS 环境中没有数字格式的物理记录(例如扫描的文档或图像)时,这种方法特别有用。
1. **添加自由格式的文本作为证据** - 在某些情况下,您需要提供的证据不是文件形式,而是文字回复或解释。此方法使您可以直接在 Audit Manager 中输入自由格式的文本。这在回答供应商风险评估问题时特别有用。
## 其他资源
+ 有关如何向评测控件添加手动证据的说明,请参阅以下资源。请记住,一次只能使用一种方法。
+ [从 Amazon S3 导入手动证据文件](import-from-s3.md)
+ [从浏览器上传手动证据文件](upload-from-computer.md)
+ [输入自由格式的文字回复作为手动证据](enter-text-response.md)
+ 要了解可以使用哪些文件格式,请参阅[支持的手动证据文件格式](supported-manual-evidence-files.md)。
+ 要详细了解 Audit Manager 中不同类型的证据,请参阅本指南 *概念和术语*部分中的[](concepts.md#evidence)。
+ 如需疑难解答方面的帮助,请参阅[我无法上传手动证据至控件](control-issues.md#cannot-upload-manual-evidence)。
# 从 Amazon S3 导入手动证据文件
您可以手动将 Amazon S3 存储桶中的证据文件导入评测。这使您能够使用其他辅助材料来补充自动收集的证据。
## 先决条件
+ 单个手动证据文件的最大限制为 100 MB。
+ 您必须使用其中一种[支持的手动证据文件格式](supported-manual-evidence-files.md)。
+ 每人每天 AWS 账户 可以手动将多达 100 个证据文件上传到对照组。超过此每日配额,会导致该控件的任何其他手动上传失败。如果您需要将大量手动证据上传至单个控件,请在几天内分批上传证据。
+ 当控件处于*非活动*状态,您无法上传该控件的手动证据。若要上传手动证据,您必须先[将控件状态更改](https://docs.aws.amazon.com/audit-manager/latest/userguide/change-assessment-control-status.html)为 *正在审核中*或 *已审核*。
+ 确保您的 IAM 身份具有在 AWS Audit Manager中管理评测的相应权限。建议通过这两个策略授予这些权限:[AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html)和[允许用户管理访问 AWS Audit Manager](security_iam_id-based-policy-examples.md#management-access)。
## 过程
您可以使用 Audit Manager 控制台、Audit Manager API 或 AWS Command Line Interface (AWS CLI)导入文件。
------
#### [ AWS console ]
**重要**
我们强烈建议您切勿导入任何敏感信息或个人身份信息(PII)作为手动证据。这包括但不限于社会安全号码、地址、电话号码或可用于识别个人身份的任何其他信息。
**在 Audit Manager 控制台上从 S3 导入文件**
1. 在[https://console.aws.amazon.com/auditmanager/家](https://console.aws.amazon.com/auditmanager/home)中打开 AWS Audit Manager 控制台。
1. 在左侧导航窗格中,选择**评测**,然后选择一个评测。
1. 选择**控件**选项卡,向下滚动至**控件集**,然后选择一个控件。
1. 在 **证据文件夹** 选项卡,选择 **添加手动证据**,然后选择 **从 S3 导入文件**。
1. 在下一页输入证据的 S3 URI。若要查找 S3 URI,您可在 [Amazon S3 控制台](https://console.aws.amazon.com/s3/)导航至对象,然后选择**复制 S3 URI**。
1. 选择**上传**。
------
#### [ AWS CLI ]
**重要**
我们强烈建议您切勿导入任何敏感信息或个人身份信息(PII)作为手动证据。这包括但不限于社会安全号码、地址、电话号码或可用于识别个人身份的任何其他信息。
在以下步骤中,*placeholder text*用您自己的信息替换。
**要从 S3 导入文件,请在 AWS CLI**
1. 运行 `[list-assessments](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/auditmanager/list-assessments.html)` 命令以查看您的评测列表。
```
aws auditmanager list-assessments
```
在回复中,找到您要上传证据的评测,并记下其评测编号。
1. 运行 `[get-assessment](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/auditmanager/get-assessment.html)` 命令并指定第一步中的评测 ID。
```
aws auditmanager get-assessment --assessment-id 1a2b3c4d-5e6f-7g8h-9i0j-0k1l2m3n4o5p
```
在响应中,找到要向其上传证据的控制集和控件,并记下它们 IDs。
1. 以下列参数运行 `[batch-import-evidence-to-assessment-control](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/auditmanager/batch-import-evidence-to-assessment-control.html)` 命令:
+ `--assessment-id` - 使用第一步中的评测 ID。
+ `--control-set-id`— 使用第二步中的控件集 ID。
+ `--control-id` - 使用第二步中的控件 ID。
+ `--manual-evidence` - 将 `s3ResourcePath` 用作手动证据类型,并指定证据的 S3 URI。若要查找 S3 URI,您可在 [Amazon S3 控制台](https://console.aws.amazon.com/s3/)导航至对象,然后选择**复制 S3 URI**。
```
aws auditmanager batch-import-evidence-to-assessment-control --assessment-id 1a2b3c4d-5e6f-7g8h-9i0j-0k1l2m3n4o5p --control-set-id ControlSet --control-id a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6 --manual-evidence s3ResourcePath=s3://amzn-s3-demo-bucket/EXAMPLE-FILE.extension
```
------
#### [ Audit Manager API ]
**重要**
我们强烈建议您切勿导入任何敏感信息或个人身份信息(PII)作为手动证据。这包括但不限于社会安全号码、地址、电话号码或可用于识别个人身份的任何其他信息。
**使用 API 从 S3 导入文件**
1. 调用 `[ListAssessments](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListAssessments.html)` 操作以查看您的评测清单。在回复中,找到您要上传证据的评测,并记下其评测编号。
1. 调用 `[GetAssessment](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetAssessment.html)` 命令并指定第一步中的评测 ID。在响应中,找到要向其上传证据的控制集和控件,并记下它们 IDs。
1. 按照以下参数调用 `[BatchImportEvidenceToAssessmentControl](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_BatchImportEvidenceToAssessmentControl.html)` 操作:
+ `[assessmentId](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_BatchImportEvidenceToAssessmentControl.html#auditmanager-BatchImportEvidenceToAssessmentControl-request-assessmentId)` - 使用第一步中的评测 ID。
+ `[controlSetId](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_BatchImportEvidenceToAssessmentControl.html#auditmanager-BatchImportEvidenceToAssessmentControl-request-controlSetId)`— 使用第二步中的控件集 ID。
+ `[controlId](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_BatchImportEvidenceToAssessmentControl.html#auditmanager-BatchImportEvidenceToAssessmentControl-request-controlId)` - 使用第二步中的控件 ID。
+ `[manualEvidence](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_BatchImportEvidenceToAssessmentControl.html#auditmanager-BatchImportEvidenceToAssessmentControl-request-manualEvidence)` - 将 `s3ResourcePath` 用作手动证据类型,并指定证据的 S3 URI。若要查找 S3 URI,您可在 [Amazon S3 控制台](https://console.aws.amazon.com/s3/)导航至对象,然后选择**复制 S3 URI**。
如需了解更多信息,请选择前面步骤中的任一链接,在《AWS Audit Manager API 参考》中**了解更多内容。这包括有关如何在特定语言 AWS SDKs中使用这些操作和参数的信息。
------
## 后续步骤
添加并审核评测证据后,可以生成评测报告。有关更多信息,请参阅 [在中准备评估报告 AWS Audit Manager](generate-assessment-report.md)。
## 其他资源
要了解可以使用哪些文件格式,请参阅[支持的手动证据文件格式](supported-manual-evidence-files.md)。
# 从浏览器上传手动证据文件
您可以手动将证据从浏览器上传到 Audit Manager 评测中。这使您能够使用其他辅助材料来补充自动收集的证据。
## 先决条件
+ 单个手动证据文件的最大限制为 100 MB。
+ 您必须使用其中一种[支持的手动证据文件格式](supported-manual-evidence-files.md)。
+ 每人每天 AWS 账户 可以手动将多达 100 个证据文件上传到对照组。超过此每日配额,会导致该控件的任何其他手动上传失败。如果您需要将大量手动证据上传至单个控件,请在几天内分批上传证据。
+ 当控件处于*非活动*状态,您无法上传该控件的手动证据。若要上传手动证据,您必须先[将控件状态更改](https://docs.aws.amazon.com/audit-manager/latest/userguide/change-assessment-control-status.html)为 *正在审核中*或 *已审核*。
+ 确保您的 IAM 身份具有在 AWS Audit Manager中管理评测的相应权限。建议通过这两个策略授予这些权限:[AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html)和[允许用户管理访问 AWS Audit Manager](security_iam_id-based-policy-examples.md#management-access)。
## 过程
您可以使用 Audit Manager 控制台、Audit Manager API 或 AWS Command Line Interface (AWS CLI)上传文件。
------
#### [ AWS console ]
**重要**
我们强烈建议您切勿上传任何敏感信息或个人身份信息(PII)作为手动证据。这包括但不限于社会安全号码、地址、电话号码或可用于识别个人身份的任何其他信息。
**在 Audit Manager 控制台上从浏览器上传文件**
1. 在[https://console.aws.amazon.com/auditmanager/家](https://console.aws.amazon.com/auditmanager/home)中打开 AWS Audit Manager 控制台。
1. 在左侧导航窗格中,选择**评测**,然后选择一个评测。
1. 在**控件**选项卡上,向下滚动至**控件集**,然后选择一个控件。
1. 从**证据文件夹**选项卡中,选择**添加手动证据**。
1. 选择**从浏览器上传文件**。
1. 选择您要上传的文件。
1. 选择**上传**。
------
#### [ AWS CLI ]
**重要**
我们强烈建议您切勿上传任何敏感信息或个人身份信息(PII)作为手动证据。这包括但不限于社会安全号码、地址、电话号码或可用于识别个人身份的任何其他信息。
在以下步骤中,*placeholder text*用您自己的信息替换。
**要从浏览器上传文件,请在 AWS CLI**
1. 运行 `[list-assessments](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/auditmanager/list-assessments.html)` 命令以查看您的评测列表。
```
aws auditmanager list-assessments
```
在回复中,找到您要上传证据的评测,并记下其评测编号。
1. 运行 `[get-assessment](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/auditmanager/get-assessment.html)` 命令并指定第一步中的评测 ID。
```
aws auditmanager get-assessment --assessment-id 1a2b3c4d-5e6f-7g8h-9i0j-0k1l2m3n4o5p
```
在响应中,找到要向其上传证据的控制集和控件,并记下它们 IDs。
1. 运行 `[get-evidence-file-upload-url](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/auditmanager/get-evidence-file-upload-url.html)` 命令并指定要上传的文件。
```
aws auditmanager get-evidence-file-upload-url --file-name fileName.extension
```
在响应中,记录预签名 URL 和`evidenceFileName`。
1. 使用第三步中的预签名 URL,从浏览器上传文件。此操作会将您的文件上传至 Amazon S3,并在那里将其另存为可以附加至评测控件的对象。在接下来的步骤中,您将使用`evidenceFileName`参数引用新创建对象。
**注意**
当您使用预签名 URL 上传文件时,Audit Manager 会使用服务器端加密来保护和存储您的数据。 AWS Key Management Service为了支持这一点,在使用预签名 URL 上传文件时,必须在请求中使用 `x-amz-server-side-encryption` 标头。
如果您使用的是 AWS KMS key 在 Audit Manager [配置数据加密设置](settings-KMS.md) 设置中管理的客户,请确保在请求中还包含`x-amz-server-side-encryption-aws-kms-key-id`标题。如果请求中没有该 `x-amz-server-side-encryption-aws-kms-key-id` 标头,Amazon S3 会假定您想要使用 AWS 托管式密钥。
有关更多信息,请参阅 A *mazon 简单存储服务*用户指南中的[使用服务器端 AWS Key Management Service 密钥加密 (SSE-KMS) 保护数据](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)。
1. 以下列参数运行 `[batch-import-evidence-to-assessment-control](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/auditmanager/batch-import-evidence-to-assessment-control.html)` 命令:
+ `--assessment-id` - 使用第一步中的评测 ID。
+ `--control-set-id`— 使用第二步中的控件集 ID。
+ `--control-id` - 使用第二步中的控件 ID。
+ `--manual-evidence` - 将`evidenceFileName` 用作手动证据类型,并指定第三步中的证据文件名。
```
aws auditmanager batch-import-evidence-to-assessment-control --assessment-id 1a2b3c4d-5e6f-7g8h-9i0j-0k1l2m3n4o5p --control-set-id ControlSet --control-id a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6 --manual-evidence evidenceFileName=fileName.extension
```
------
#### [ Audit Manager API ]
**重要**
我们强烈建议您切勿上传任何敏感信息或个人身份信息(PII)作为手动证据。这包括但不限于社会安全号码、地址、电话号码或可用于识别个人身份的任何其他信息。
**使用 API 从浏览器上传文件**
1. 调用 `[ListAssessments](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListAssessments.html)` 操作。在回复中,找到您要上传证据的评测,并记下其评测编号。
1. 调用 `[GetAssessment](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetAssessment.html)` 操作并指定第一步中的 `assessmentId`。在响应中,找到要向其上传证据的控制集和控件,并记下它们 IDs。
1. 调用 `[GetEvidenceFileUploadUrl](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceFileUploadUrl.html)` 操作并指定要上传的`fileName`。在响应中,记录预签名 URL 和`evidenceFileName`。
1. 使用第三步中的预签名 URL,从浏览器上传文件。此操作会将您的文件上传至 Amazon S3,并在那里将其另存为可以附加至评测控件的对象。在接下来的步骤中,您将使用`evidenceFileName`参数引用新创建对象。
**注意**
当您使用预签名 URL 上传文件时,Audit Manager 会使用服务器端加密来保护和存储您的数据。 AWS Key Management Service为了支持这一点,在使用预签名 URL 上传文件时,必须在请求中使用 `x-amz-server-side-encryption` 标头。
如果您使用的是 AWS KMS key 在 Audit Manager [配置数据加密设置](settings-KMS.md) 设置中管理的客户,请确保在请求中还包含`x-amz-server-side-encryption-aws-kms-key-id`标题。如果请求中没有该 `x-amz-server-side-encryption-aws-kms-key-id` 标头,Amazon S3 会假定您想要使用 AWS 托管式密钥。
有关更多信息,请参阅 A *mazon 简单存储服务*用户指南中的[使用服务器端 AWS Key Management Service 密钥加密 (SSE-KMS) 保护数据](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)。
1. 按照以下参数调用 `[BatchImportEvidenceToAssessmentControl](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_BatchImportEvidenceToAssessmentControl.html)` 操作:
+ `[assessmentId](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_BatchImportEvidenceToAssessmentControl.html#auditmanager-BatchImportEvidenceToAssessmentControl-request-assessmentId)` - 使用第一步中的评测 ID。
+ `[controlSetId](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_BatchImportEvidenceToAssessmentControl.html#auditmanager-BatchImportEvidenceToAssessmentControl-request-controlSetId)`— 使用第二步中的控件集 ID。
+ `[controlId](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_BatchImportEvidenceToAssessmentControl.html#auditmanager-BatchImportEvidenceToAssessmentControl-request-controlId)` - 使用第二步中的控件 ID。
+ `[manualEvidence](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_BatchImportEvidenceToAssessmentControl.html#auditmanager-BatchImportEvidenceToAssessmentControl-request-manualEvidence)` - 将`evidenceFileName` 用作手动证据类型,并指定第三步中的证据文件名。
如需了解更多信息,请选择前面步骤中的任一链接,在《AWS Audit Manager API 参考》中**了解更多内容。这包括有关如何在特定语言 AWS SDKs中使用这些操作和参数的信息。
------
## 后续步骤
收集并审核评测证据后,可以生成评测报告。有关更多信息,请参阅 [在中准备评估报告 AWS Audit Manager](generate-assessment-report.md)。
## 其他资源
要了解可以使用哪些文件格式,请参阅[支持的手动证据文件格式](supported-manual-evidence-files.md)。
# 输入自由格式的文字回复作为手动证据
您可以通过输入自由格式的文字并将该文字保存为证据,为评测控件提供更多背景信息和支持信息。这使您可以手动记录自动证据收集无法捕获的详细信息。
例如,您可以使用 Audit Manager 创建自定义控件,来表示供应商风险评测问卷中的问题。在这种情况下,每一个控件的名称都是一个特定的问题,询问有关组织安全与合规性状况的信息。要记录您针对给定供应商风险评测问题的回复,可以输入文字回复并将其保存为控件的手动证据。
## 先决条件
+ 当控件处于*非活动*状态,您无法上传该控件的手动证据。若要上传手动证据,您必须先[将控件状态更改](https://docs.aws.amazon.com/audit-manager/latest/userguide/change-assessment-control-status.html)为 *正在审核中*或 *已审核*。
+ 确保您的 IAM 身份具有在 AWS Audit Manager中管理评测的相应权限。建议通过这两个策略授予这些权限:[AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html)和[允许用户管理访问 AWS Audit Manager](security_iam_id-based-policy-examples.md#management-access)。
## 过程
您可以使用 Audit Manager 控制台、Audit Manager API 或 AWS Command Line Interface (AWS CLI)输入文字回复。
------
#### [ AWS console ]
**重要**
我们强烈建议您切勿输入任何敏感信息或个人身份信息(PII)作为手动证据。这包括但不限于社会安全号码、地址、电话号码或可用于识别个人身份的任何其他信息。
**在 Audit Manager 控制台上输入文字回复**
1. 在[https://console.aws.amazon.com/auditmanager/家](https://console.aws.amazon.com/auditmanager/home)中打开 AWS Audit Manager 控制台。
1. 在左侧导航窗格中,选择**评测**,然后选择一个评测。
1. 选择**控件**选项卡,向下滚动至**控件集**,然后选择一个控件。
1. 从**证据文件夹**选项卡中,选择**添加手动证据**。
1. 选择**输入文字回复**。
1. 在所示弹出窗口中,以纯文本格式输入您的回复。
1. 选择**确认**。
------
#### [ AWS CLI ]
**重要**
我们强烈建议您切勿输入任何敏感信息或个人身份信息(PII)作为手动证据。这包括但不限于社会安全号码、地址、电话号码或可用于识别个人身份的任何其他信息。
在以下步骤中,*placeholder text*用您自己的信息替换。
**要在中输入文字回复 AWS CLI**
1. 运行 `[list-assessments](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/auditmanager/list-assessments.html)` 命令。
```
aws auditmanager list-assessments
```
在回复中,找到您要上传证据的评测,并记下其评测编号。
1. 运行 `[get-assessment](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/auditmanager/get-assessment.html)` 命令并指定第一步中的评测 ID。
```
aws auditmanager get-assessment --assessment-id 1a2b3c4d-5e6f-7g8h-9i0j-0k1l2m3n4o5p
```
在响应中,找到您要向其上传证据的控制集和控件,并记下它们 IDs。
1. 以下列参数运行 `[batch-import-evidence-to-assessment-control](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/auditmanager/batch-import-evidence-to-assessment-control.html)` 命令:
+ `--assessment-id` - 使用第一步中的评测 ID。
+ `--control-set-id`— 使用第二步中的控件集 ID。
+ `--control-id` - 使用第二步中的控件 ID。
+ `--manual-evidence` - 将 `textResponse` 用作手动证据类型,然后输入要另存为手动证据的文本。
```
aws auditmanager batch-import-evidence-to-assessment-control --assessment-id 1a2b3c4d-5e6f-7g8h-9i0j-0k1l2m3n4o5p --control-set-id ControlSet --control-id a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6 --manual-evidence textResponse="enter text here"
```
------
#### [ Audit Manager API ]
**重要**
我们强烈建议您切勿输入任何敏感信息或个人身份信息(PII)作为手动证据。这包括但不限于社会安全号码、地址、电话号码或可用于识别个人身份的任何其他信息。
**使用 API 输入文字回复**
1. 调用 `[ListAssessments](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListAssessments.html)` 操作。在回复中,找到您要上传证据的评测,并记下其评测编号。
1. 调用 `[GetAssessment](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetAssessment.html)` 操作并指定第一步中的 `assessmentId`。在响应中,找到您要向其上传证据的控制集和控件,并记下它们 IDs。
1. 按照以下参数调用 `[BatchImportEvidenceToAssessmentControl](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_BatchImportEvidenceToAssessmentControl.html)` 操作:
+ `[assessmentId](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_BatchImportEvidenceToAssessmentControl.html#auditmanager-BatchImportEvidenceToAssessmentControl-request-assessmentId)` - 使用第一步中的评测 ID。
+ `[controlSetId](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_BatchImportEvidenceToAssessmentControl.html#auditmanager-BatchImportEvidenceToAssessmentControl-request-controlSetId)`— 使用第二步中的控件集 ID。
+ `[controlId](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_BatchImportEvidenceToAssessmentControl.html#auditmanager-BatchImportEvidenceToAssessmentControl-request-controlId)` - 使用第二步中的控件 ID。
+ `[manualEvidence](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_BatchImportEvidenceToAssessmentControl.html#auditmanager-BatchImportEvidenceToAssessmentControl-request-manualEvidence)` - 将 `textResponse` 用作手动证据类型,然后输入要另存为手动证据的文本。
如需了解更多信息,请选择前面步骤中的任一链接,在《AWS Audit Manager API 参考》中**了解更多内容。这包括有关如何在特定语言 AWS SDKs中使用这些操作和参数的信息。
------
## 后续步骤
收集并审核评测证据后,可以生成评测报告。有关更多信息,请参阅 [在中准备评估报告 AWS Audit Manager](generate-assessment-report.md)。
# 支持的手动证据文件格式
下表列出并描述了您可以手动证据形式上传的文件类型。对于每种文件类型,该表还列出了所支持的文件扩展名。
| 文件类型 | 说明 | 支持的文件扩展名 |
| --- | --- | --- |
| 压缩或存档 | GNU Zip 压缩档案与 ZIP 压缩档案 | `.gz`, `.zip` |
| 文档 | 常见文档文件,例如 PDFs 和微软 Office 文件 | `.doc`, `.docx`, `.pdf`, `.ppt`, `.pptx`, `.xls`, `.xlsx` |
| Image | 图像和图形文件 | `.jpeg`, `.jpg`, `.png`, `.svg` |
| 文本 | 其他非二进制文本文件,例如纯文本文档以及标记语言文件 | `.cer`, `.csv`, `.html`, `.jmx`, `.json`, `.md`, `.out`, `.rtf`, `.txt`, `.xml`, `.yaml`, `.yml` |
## 其他资源
查看以下页面,了解可以将自己的证据添加至评测控件的不同方法。
+ [从 Amazon S3 导入手动证据文件](import-from-s3.md)
+ [从浏览器上传手动证据文件](upload-from-computer.md)
+ [输入自由格式的文字回复作为手动证据](enter-text-response.md)
# 在中准备评估报告 AWS Audit Manager
收集并审核评测证据后,可以生成评测报告。评测报告总结了您的评测,并提供指向包含相关证据的、一组有组织的文件夹链接。
## 关键点
新收集的证据不会自动显示在评测报告中。这表示您可以控制要在报告中纳入哪些证据。选择要纳入的证据后,您可以生成最终评测报告,来与审计人员共享。
生成评测报告时,它会被放入您作为评测报告目标的 S3 存储桶中。您还可以通过 Audit Manager 中的下载中心下载评测报告。
## 其他资源
有关评测报告及其管理方法的更多信息,请参阅以下资源。
+ [向评测报告添加证据](generate-assessment-report-include-evidence.md)
+ [从评测报告中移除证据](generate-assessment-report-remove-evidence.md)
+ [生成一份评测报告](generate-assessment-report-generation-steps.md)
+ [下载评测报告](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html#download-a-file)
+ [导航评测报告并浏览其内容](https://docs.aws.amazon.com/audit-manager/latest/userguide/assessment-reports.html)
+ [验证评测报告](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ValidateAssessmentReportIntegrity.html)
+ [删除评测报告](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html#delete-assessment-report-steps)
+ [根据证据查找器搜索结果生成评测报告](https://docs.aws.amazon.com/audit-manager/latest/userguide/exporting-search-results-from-evidence-finder.html#generate-one-time-report-from-search-results)
+ [配置默认评测报告目标](settings-destination.md)
+ [评测报告问题排查](assessment-report-issues.md)
# 向评测报告添加证据
在生成评测报告之前,您必须至少向评测报告添加一份证据。您可以添加整个证据文件夹,也可以从文件夹中添加具体的证据项。
## 过程
若要将证据纳入评测报告,请按以下步骤进行操作。
**若要向评测报告添加证据**
1. 在[https://console.aws.amazon.com/auditmanager/家](https://console.aws.amazon.com/auditmanager/home)中打开 AWS Audit Manager 控制台。
1. 在导航窗格中,选择**评测**,然后选择一个评测。
1. 在**控件**选项卡上,向下滚动到**控件集**表格,然后选择您要将其证据纳入评测报告中的控件。
1. 选择您要向评测报告中添加证据的方式。
1. 若要添加整个证据文件夹,请向下滚动至**证据** 文件夹,选择要添加的文件夹,然后选择 **添加至评测报告**。
**提示**
如果您看不到要查找的文件夹,请将下拉筛选条件更改为**始终**。否则,在默认情况下,您将看到最近七天的文件夹。
如果 **添加至评测报告** 显示为灰色,则表示证据文件夹已添加至评测报告中。
1. 若要添加特定证据,请选择一个证据文件夹以打开其内容。从列表中选择一个或多个项目,然后选择**添加至评测报告**。
**提示**
如果 **添加至评测报告** 显示为灰色,请确保选中了证据旁边的复选框,然后重试。
1. 将证据添加至评测报告后,会显示绿色的成功横幅。选择 **在评测报告中查看证据**以查看将纳入评测报告的证据。
+ 或者,您可以返回评测并选择 **评测报告选择** 选项卡,查看评测报告中将包含的证据。
## 后续步骤
如果您需要从评测报告中移除证据,请参阅[从评测报告中移除证据](generate-assessment-report-remove-evidence.md)。
准备好生成评测报告后,请参阅[生成一份评测报告](generate-assessment-report-generation-steps.md)。
## 其他资源
要查找常见问题的答案,请参阅本指南*疑难解答*部分中的[评测报告问题排查](assessment-report-issues.md)。
# 从评测报告中移除证据
如果您需要从评测报告中移除证据,请按以下步骤操作。您可以删除整个证据文件夹,也可以从文件夹中删除特定的证据项目。
## 过程
**若要从评测报告中移除证据**
1. 在[https://console.aws.amazon.com/auditmanager/家](https://console.aws.amazon.com/auditmanager/home)中打开 AWS Audit Manager 控制台。
1. 在导航窗格中选择**评测**,然后选择要打开的评测的名称。
1. 在**控件**选项卡上,向下滚动至**控件集**表,然后选择控件的名称将其打开。
1. 选择如何从评测报告中删除证据。
1. 要删除整个证据文件夹,请向下滚动到 **证据文件夹**,选择要删除的文件夹,然后选择**从评测报告中删除**。
**提示**
如果您看不到要查找的文件夹,请将下拉筛选条件更改为**始终**。否则,在默认情况下,您将看到最近七天的文件夹。
如果**从评测报告中移除**显示为灰色,则表明证据文件夹已从评测报告中删除。
1. 要删除特定证据,请选择一个证据文件夹以打开其内容。从列表中选择一个或多个项目,然后选择**从评测报告中删除**。
**提示**
如果 **从评测报告中删除**显示为灰色,请确保选中了证据旁边的复选框,然后重试。
1. 将证据添加至评测报告后,会显示绿色的成功横幅。选择 **在评测报告中查看证据**以查看将纳入评测报告的证据。
+ 或者,您可以返回评测并选择 **评测报告选择** 选项卡,查看评测报告中将包含的证据。
## 后续步骤
准备好生成评测报告后,请参阅[生成一份评测报告](generate-assessment-report-generation-steps.md)。
## 其他资源
要查找常见问题的答案,请参阅本指南*疑难解答*部分中的[评测报告问题排查](assessment-report-issues.md)。
# 生成一份评测报告
准备好生成评测报告后,请按以下步骤进行操作。
## 先决条件
在生成评测报告之前,您必须至少向评测报告添加一份证据。您可添加整个证据文件夹,也可以从文件夹中添加单个证据项目。
为确保您的评测报告成功生成,请查看我们的 [评测报告目标的配置提示](settings-destination.md#settings-assessment-report-destination-tips)。
## 过程
**要生成评测报告**
1. 在[https://console.aws.amazon.com/auditmanager/家](https://console.aws.amazon.com/auditmanager/home)中打开 AWS Audit Manager 控制台。
1. 在左侧导航窗格中,选择**评测**。
1. 选择要为其生成评测报告的评测名称。
1. 选择**评测报告选择**选项卡,然后选择 **生成评测报告**。
**提示**
如果 **生成评测报告** 显示为灰色,则表示尚未向评测报告中添加任何证据。
1. 在弹出窗口,提供评测报告的名称和描述,并查看评测报告的详细信息。
1. 选择 **生成评测报告**,等待几分钟,即可生成评测报告。
1. 从 Audit Manager 控制台**下载中心**页面查找并下载您的评测报告。
+ 或者,您可以前往评测报告目标 S3 存储桶,然后在此下载评测报告。
## 后续步骤
生成评测报告后,您可了解有关以下内容的更多信息:
+ **查找并下载您的评测报告** - 了解如何[从下载中心](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html#download-a-file)或 [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/download-objects.html) 下载您的评测报告。
+ **浏览您的评测报告** - 了解如何[导航评测报告并浏览其内容](https://docs.aws.amazon.com/audit-manager/latest/userguide/assessment-reports.html)。
+ **验证您的评估报告**-了解如何使用 [ValidateAssessmentReportIntegrity](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ValidateAssessmentReportIntegrity.html)API 操作来验证您的评估报告。
+ **删除不必要评测报告** - 了解如何[从下载中心](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html#delete-assessment-report-steps)或 [Amazon S3 中](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DeletingObjects.html) 删除不需要的报告。
+ **通过证据查找器生成评测报告** - 了解如何[根据证据查找器搜索结果生成评测报告](https://docs.aws.amazon.com/audit-manager/latest/userguide/viewing-search-results-in-evidence-finder.html#generate-one-time-report-from-search-results)。
## 其他资源
要查找常见问题的答案,请参阅本指南*疑难解答*部分中的[评测报告问题排查](assessment-report-issues.md)。
# 更改中评估控制的状态 AWS Audit Manager
您可以在处于活动状态的评测中更改评测控件的状态。更新控件的状态使您能够跟踪其进度并指出何时对其进行了审查,从而使评估井井有条,并且 up-to-date。
## 先决条件
以下步骤假设您之前创建过一个评测,并且该评测当前处于活动状态。
确保您的 IAM 身份具有在 AWS Audit Manager中管理评测的相应权限。建议通过这两个策略授予这些权限:[AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html)和[允许用户管理访问 AWS Audit Manager](security_iam_id-based-policy-examples.md#management-access)。
## 过程
您可以使用 Audit Manager 控制台、Audit Manager API 或 AWS Command Line Interface (AWS CLI)更新评测控件状态。
**注意**
将控件状态更改为 *已审核* 是最终决定。将控件的状态设置为 *已审核* 后,您无法再更改该控件的状态或恢复至以前的状态。
------
#### [ Audit Manager console ]
**在 Audit Manager 控制台上更改评测控件状态**
1. 在[https://console.aws.amazon.com/auditmanager/家](https://console.aws.amazon.com/auditmanager/home)中打开 AWS Audit Manager 控制台。
1. 在导航窗格中,选择**评测**。
1. 选择评测名称以打开。
1. 在评测页面中选择**控件**选项卡,向下滚动至**控件集**表,然后选择控件的名称将其打开。
1. 选择页面右上角的**更新控件状态**,然后选择状态:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/change-assessment-control-status.html)
1. 选择**更新控件状态**以确认您的选择。
------
#### [ AWS CLI ]
**要在中更改评估控制状态 AWS CLI**
1. 运行 [list-assessments](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/auditmanager/list-assessments.html) 命令。
```
aws auditmanager list-assessments
```
响应可返回评测列表。找到包含要更新的控件的评测,并记下评测 ID。
1. 运行 [get-assessment](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/auditmanager/get-assessment.html) 命令并指定第 1 步中的评测 ID。
在以下示例中,*placeholder text*用您自己的信息替换。
```
aws auditmanager get-assessment --assessment-id 1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4e5f6g
```
在回复中,找到要更新的控件,并记下控件 ID 及其控件集 ID。
1. 运行[update-assessment-control](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/auditmanager/update-assessment-control.html)命令并指定以下参数:
+ `--assessment-id` - 控件所属的评测。
+ `--control-set-id` - 控件所属的控件集。
+ `--control-id` - 要更新的控件。
+ `--control-status` – 将该值设置为 `UNDER_REVIEW`、`REVIEWED` 或 `INACTIVE`。
在以下示例中,*placeholder text*用您自己的信息替换。
```
aws auditmanager update-assessment-control --assessment-id 1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4e5f6g --control-set-id "My control set" --control-id 2b3c4d5e-2b3c-2b3c-2b3c-2b3c4d5f6g7h --control-status REVIEWED
```
------
#### [ Audit Manager API ]
**使用 API 更改评测控件状态**
1. 使用 [ListAssessments](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListAssessments.html) 操作。
在回复中,找到包含要更新的控件的评测,并记下评测 ID。
1. 使用[GetAssessment](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetAssessment.html)操作并指定步骤 1 中的评估 ID。
在回复中,找到要更新的控件,并记下控件 ID 及其控件集 ID。
1. 使用该[UpdateAssessmentControl](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/auditmanager/update-assessment-control.html)操作并指定以下参数:
+ `[assessmentId](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_UpdateAssessmentControl.html#auditmanager-UpdateAssessmentControl-request-assessmentId)` - 控件所属的评测。
+ `[controlSetId](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_UpdateAssessmentControl.html#auditmanager-UpdateAssessmentControl-request-controlSetId)` - 控件所属的控件集。
+ `[controlId](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_UpdateAssessmentControl.html#auditmanager-UpdateAssessmentControl-request-controlId)` - 要更新的控件。
+ `[controlStatus](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_UpdateAssessmentControl.html#auditmanager-UpdateAssessmentControl-request-controlStatus)` – 将该值设置为 `UNDER_REVIEW`、`REVIEWED` 或 `INACTIVE`。
如需了解更多关于这些 API 操作的信息,请选择前面步骤中的任一链接,在《AWS Audit Manager API 参考》中**了解更多内容。这包括有关如何在特定语言 AWS SDKs中使用这些操作和参数的信息。
------
## 后续步骤
准备好更改评测状态时,请参阅[在中将评估的状态更改为不活跃 AWS Audit Manager](change-assessment-status-to-inactive.md)。
# 在中将评估的状态更改为不活跃 AWS Audit Manager
如果不再需要为评测收集证据,可以将评测状态更改为*非活动*。当评测的状态变为非活动时,评测将停止收集证据。因此,您不再需要为该评测支付任何费用。
除了停止收集证据外,Audit Manager 还对非活动评测中的控件执行了以下更改:
+ 所有控件集都更改为 *已审核* 状态。
+ 所有处于*审核中* 状态的控件都更改为 *已审核* 状态。
+ 非活动评测的受托人无法再查看或编辑其控件和控件集。
## 先决条件
以下步骤假设您之前创建过一个评测,并且该评测当前处于活动状态。
确保您的 IAM 身份具有在 AWS Audit Manager中管理评测的相应权限。建议通过这两个策略授予这些权限:[AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html)和[允许用户管理访问 AWS Audit Manager](security_iam_id-based-policy-examples.md#management-access)。
## 过程
您可以使用 Audit Manager 控制台、Audit Manager API 或 AWS Command Line Interface (AWS CLI)更新评测状态。
**警告**
此操作不可逆。我们建议您谨慎行事,确保将评测标记为非活动状态。当评测处于非活动状态时,您对其内容具有只读访问权限。这意味着您仍然可以查看之前收集的证据并生成评测报告。但是,您无法编辑非活动评测、添加注释或上传任何手动证据。
------
#### [ Audit Manager console ]
**在 Audit Manager 控制台上更改评测状态为非活动**
1. 在[https://console.aws.amazon.com/auditmanager/家](https://console.aws.amazon.com/auditmanager/home)中打开 AWS Audit Manager 控制台。
1. 在导航窗格中,选择**评测**。
1. 选择评测名称以打开。
1. 在页面右上角,选择**更新评测状态**,然后选择 **非活动**。
1. 在弹出窗口中选择 **更新状态**,以确认您要将状态更改为非活动状态。
评测及其控件的更改将在大约一分钟后生效。
------
#### [ AWS CLI ]
**要在中将评估状态更改为不活跃 AWS CLI**
1. 首先确定要更新的评测。为此,请运行[list-assessments](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/auditmanager/list-assessments.html)命令。
```
aws auditmanager list-assessments
```
响应可返回评测列表。找到您将停用的评测,并记下评测编号。
1. 接下来,运行[update-assessment-status](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/auditmanager/update-assessment-status.html)命令并指定以下参数:
+ `--assessment-id` - 使用此参数指定要停用的评测。
+ `--status` – 将该值设置为 `INACTIVE`。
在以下示例中,*placeholder text*用您自己的信息替换。
```
aws auditmanager update-assessment-status --assessment-id a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 --status INACTIVE
```
评测及其控件的更改将在大约一分钟后生效。
------
#### [ Audit Manager API ]
**使用 API 将评测状态更改为非活动**
1. 使用该[ListAssessments](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListAssessments.html)操作查找要停用的评估,并记下评估 ID。
1. 使用该[UpdateAssessmentStatus](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_UpdateAssessmentStatus.html)操作并指定以下参数:
+ [assessmentId](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_UpdateAssessmentStatus.html#auditmanager-UpdateAssessmentStatus-request-assessmentId) - 使用此参数指定要停用的评测。
+ [状态](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_UpdateAssessmentStatus.html#auditmanager-UpdateAssessmentStatus-request-status) - 将此值设置为 `INACTIVE`。
评测及其控件的更改将在大约一分钟后生效。
如需了解更多关于这些 API 操作的信息,请选择前面步骤中的任一链接,在《AWS Audit Manager API 参考》中**了解更多内容。这包括有关如何在特定语言 AWS SDKs中使用这些操作和参数的信息。
------
## 后续步骤
当您确定不再需要处于非活动状态的评测时,可以通过删除该评测来清理您的 Audit Manager 环境。有关说明,请参阅[在中删除评估 AWS Audit Manager](delete-assessment.md)。
# 在中删除评估 AWS Audit Manager
当您不再需要评测时,可以将其从 Audit Manager 环境中删除。这样您就能够清理工作空间,专注于处理与当前任务和优先级相关的评测。
**提示**
如果您的目标是降低成本,请考虑[将评测状态更改为非活动](https://docs.aws.amazon.com/audit-manager/latest/userguide/change-assessment-status-to-inactive.html),而不是将其删除。此操作会停止证据收集,并将评测置于只读状态,您可以在其中查看先前收集的证据。非活动评测不会产生任何费用。
## 先决条件
下列步骤假设您之前创建过一个评测。
确保您的 IAM 身份具有在 AWS Audit Manager中删除评测的相应权限。建议通过这两个策略授予这些权限:[AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html)和[允许用户管理访问 AWS Audit Manager](security_iam_id-based-policy-examples.md#management-access)。
## 过程
您可以使用 Audit Manager 控制台、Audit Manager API 或 AWS Command Line Interface (AWS CLI) 删除评测。
**警告**
此操作将永久删除评测及其收集的所有证据。您无法恢复此数据。因此,我们建议您谨慎行事,并且确定要删除评测。
------
#### [ Audit Manager console ]
**在 Audit Manager 控制台上删除评测**
1. 在[https://console.aws.amazon.com/auditmanager/家](https://console.aws.amazon.com/auditmanager/home)中打开 AWS Audit Manager 控制台。
1. 在导航窗格中,选择**评测**。
1. 选择要删除的评测,然后选择**删除**。
------
#### [ AWS CLI ]
**要删除中的评估 AWS CLI**
1. 首先,确定要删除的评测。为此,请运行[list-assessments](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/auditmanager/list-assessments.html)命令。
```
aws auditmanager list-assessments
```
响应可返回评测列表。找到您要删除的评测,并记下评测编号。
1. 接下来,运行 [delete-assessment](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/auditmanager/delete-assessment.html) 命令并指定待删除评测的 `--assessment-id`。
在以下示例中,*placeholder text*用您自己的信息替换。
```
aws auditmanager delete-assessment --assessment-id a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
```
------
#### [ Audit Manager API ]
**使用 API 删除评测**
1. 使用[ListAssessments](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListAssessments.html)操作查找要删除的评估。
在回复中记录评测 ID。
1. 使用[DeleteAssessment](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_DeleteAssessment.html)操作并指定要删除的[评估的 AssessementID](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_DeleteAssessment.html#auditmanager-DeleteAssessment-request-assessmentId)。
如需了解更多关于这些 API 操作的信息,请选择前面的任一链接,在 *AWS Audit Manager API 参考*中阅读更多内容。这包括有关如何在特定语言 AWS SDKs中使用这些操作和参数的信息。
------
## 其他资源
有关 Audit Manager 中的数据留存的更多信息,请参阅[删除 Audit Manager 数据](data-protection.md#data-deletion-and-retention)。