本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Config 规则 由 AWS Audit Manager
您可以使用 Audit Manager 捕获 AWS Config 评估作为审计证据。创建或编辑自定义控件时,可以将一个或多个 AWS Config 规则指定为证据收集的数据源映射。 AWS Config 根据这些规则执行合规性检查,然后 Audit Manager 将结果报告为合规性检查证据。
除了托管规则外,您还可以将自定义规则映射到控件数据来源。
**Contents**
+ [关键点](#aws-config-key-points)
+ [支持的 AWS Config 托管规则](#aws-config-managed-rules)
+ [在 Audit Manager 中使用 AWS Config 自定义规则](#aws-config-custom-rules)
+ [其他 资源](#aws-config-rules-troubleshoot)
## 关键点
+ Audit Manager 不从[服务相关 AWS Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/service-linked-awsconfig-rules.html)中收集证据,但一致性数据包和来自 AWS Organizations的服务相关规则除外。
+ Audit Manager 不为您管理 AWS Config 规则。在开始收集证据之前,我们建议您查看当前的 AWS Config 规则参数。然后,根据所选框架的要求验证这些参数。如果需要,您可以[在 AWS Config中更新规则的参数](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_manage-rules.html),使其与框架要求保持一致。这将有助于确保您的评测收集该框架的正确合规性检查证据。
例如,假设您正在为 CIS v1.2.0 创建评测。此框架包含名为[确保 IAM 密码策略的最小长度为 14 或以上字符](https://docs.aws.amazon.com/securityhub/latest/userguide/iam-controls.html#iam-15)的控件。在中 AWS Config,该[iam-password-policy](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)规则有一个`MinimumPasswordLength`用于检查密码长度的参数。该参数的默认值为 14 个字符。因此,该规则与控件要求保持一致。如果您未使用默认参数值,请确保使用的值大于等于 CIS v1.2.0 中要求的 14 个字符。您可在 [AWS Config 文档](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)中找到每条托管规则的默认参数详细信息。
+ 如果您需要验证 AWS Config 规则是托管规则还是自定义规则,则可以使用[AWS Config 控制台](https://console.aws.amazon.com/config/)执行此操作。从左侧导航菜单中,选择**规则**,然后在表格中查找规则。如果是托管规则,则**类型**列显示 **AWS 托管**。
![\[AWS Config 控制台中显示的托管规则。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/rules-managed-console.png)
## 支持的 AWS Config 托管规则
Audit Manager 支持以下 AWS Config 托管规则。在为自定义控件设置数据来源时,可以使用以下任何托管规则标识符关键字。有关下面列出的任何托管规则的更多信息,请从列表中选择一个项目或参阅 *AWS Config 用户指南*中的 [AWS Config 托管规则](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html)。
**提示**
当您在创建自定义控件期间在 Audit Manager 控制台中选择托管规则时,请务必查找以下规则标识符关键字之一,而不是规则名称。有关规则名称和规则标识符之间的区别以及如何查找托管规则标识符的信息,请参阅本用户指南的[疑难解答](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-issues.html#managed-rule-missing)部分。
| 支持的 AWS Config 托管规则关键字 |
| --- |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/control-data-sources-config.html) |
## 在 Audit Manager 中使用 AWS Config 自定义规则
您可以使用 AWS Config 自定义规则作为审计报告的数据源。当控件具有映射到 AWS Config 规则的数据源时,Audit Manager 会添加由该 AWS Config 规则创建的评估。
您可以使用的自定义规则取决于您登录 Aud AWS 账户 it Manager 时使用的规则。如果可以在中访问自定义规则 AWS Config,则可以将其用作 Audit Manager 中的数据源映射。
+ **对于个人 AWS 账户** — 您可以使用您在账户中创建的任何自定义规则。
+ **对于属于组织的账户** - 无论哪种情况,您都可以使用任何成员级别的自定义规则。或者,您可以使用 AWS Config中提供的任何组织级别的自定义规则。
将自定义规则映射为控件的数据来源后,您可以将该控件添加到 Audit Manager 中的自定义框架。
## 其他 资源
+ 如需帮助解决有关此数据来源类型的问题,请参阅[我的评估没有从中收集合规检查证据 AWS Config](evidence-collection-issues.md#no-evidence-from-config)和 [AWS Config 集成问题](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-issues.html#config-rule-integration.title)。
+ 要使用此数据来源类型创建自定义控件,请参阅[在中创建自定义控件 AWS Audit Manager](create-controls.md)。
+ 要创建使用您的自定义控件的自定义框架,请参阅[在中创建自定义框架 AWS Audit Manager](custom-frameworks.md)。
+ 要将自定义控件添加到现有自定义框架,请参阅[在中编辑自定义框架 AWS Audit Manager](edit-custom-frameworks.md)。
+ 要在中创建自定义规则 AWS Config,请参阅《*AWS Config 开发人员指南》 AWS Config中的开发*[自定义规则](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules.html)。