本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 在中创建评估 AWS Audit Manager
本主题基于[审计负责人教程:创建评测](tutorial-for-audit-owners.md)。您可以在此页面上找到详细说明,它会向您展示如何根据框架创建评测。按以下步骤创建评测并开始持续收集证据。
## 先决条件
开始本教程之前,请确保满足以下条件:
+ 您已完成 [使用推荐 AWS Audit Manager 的设置进行设置](setting-up.md) 中描述的所有先决条件。您必须使用自己 AWS 账户 和 Audit Manager 控制台来完成本教程。
+ 您的 IAM 身份具有在 Audit Manager 中创建和管理评测的相应权限。建议通过这两个策略授予这些权限:[AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html)和[允许用户管理访问 AWS Audit Manager](security_iam_id-based-policy-examples.md#management-access)。
## 过程
**Contents**
+ [第 1 步:指定评测详细信息](#specify-details)
+ [步骤 2: AWS 账户 在作用域中指定](#specify-accounts)
+ [第 3 步:指定审计负责人](#choose-audit-owners)
+ [审计所有者权限](#choose-audit-owners-permissions)
+ [步骤 4:审核并创建](#review-and-create)
### 第 1 步:指定评测详细信息
首先选择框架并提供评测的基本信息。
**若要指定评测详细信息**
1. 在[https://console.aws.amazon.com/auditmanager/家](https://console.aws.amazon.com/auditmanager/home)中打开 AWS Audit Manager 控制台。
1. 在导航窗格中,选择 **评测模板**,然后选择 **创建**。
1. 在**名称**下,输入评测的名称。
1. (可选)在**描述**下,输入评测的描述。
1. 在**评测报告目标**下,选择要保存评测报告的目标 S3 存储桶。
**提示**
默认的评测报告目标基于您的[评测设置](https://docs.aws.amazon.com/audit-manager/latest/userguide/settings-destination.html)。如果您愿意,可以创建和使用多个 S3 存储桶来帮助您整理不同评估的评估报告。 AWS Audit Manager 支持将评估报告导出到 Amazon S3 存储桶,包括跨账户目标。为了获得最佳安全性和性能,我们建议在与评估相同的 AWS 账户和区域中使用 S3 存储桶。
1. 在**选择框架**下,选择创建评测要依据的框架。您也可以使用搜索栏,按名称、合规性标准或法规查找框架。
**提示**
若要了解有关框架的更多信息,请选择框架名称来查看框架详细信息页面。
1. (可选)在**标签**下,选择**添加新标签**以将标签与您的评测相关联。可为每个标签指定密钥和值。标签密钥为必填项,在搜索此评测时可用作搜索标准。
1. 选择**下一步**。
**注意**
务必确保您的评测为指定框架收集适当证据。在开始收集证据前,我们建议您查看选定框架的要求。然后,根据您当前的 AWS Config 规则参数验证这些要求。为确保您的规则参数与此框架要求保持一致,您可以[在 AWS Config中更新规则](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_manage-rules.html)。
例如,假设您正在为 CIS v1.2.0 创建评测。此框架包含名为 [1.9 – 确保 IAM 密码策略的最小长度为 14 或以上字符](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls.html#securityhub-cis-controls-1.9)的控件。在中 AWS Config,该[iam-password-policy](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)规则有一个`MinimumPasswordLength`用于检查密码长度的参数。该参数的默认值为 14 个字符。因此,该规则与控件要求保持一致。如果您未使用默认参数值,请确保使用的值大于等于 CIS v1.2.0 中要求的 14 个字符。您可在 [AWS Config 文档](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)中找到每条托管规则的默认参数详细信息。
### 步骤 2: AWS 账户 在作用域中指定
您可以指定多个 AWS 账户 在评估范围内。Audit Manager 通过与 AWS Organizations集成,支持多个账户。这意味着 Audit Manager 评测可跨多个账户进行,收集的证据将合并至委派管理员账户。若要在 Audit Manager 中启用 “组织”,请参阅 [启用并设置 AWS Organizations](setup-recommendations.md#enabling-orgs)。
**注意**
在评测范围内,Audit Manager 最多可支持 200 个账户。如果您尝试包含超过 200 个账户,则评估创建将失败。
此外,如果您尝试在所有评估中添加超过 250 个唯一帐户,则评估创建将失败。
**AWS 账户 在作用域中指定**
1. 在下方 **AWS 账户** AWS 账户 ,选择要包含在评估范围内的内容。
+ 如果您在 Audit Manager 中启用了组织,则会显示多个账户。您可从列表中选择一个或多个账户。或者,您也可以按账户名、ID 或电子邮件搜索账户。
+ 如果您没有在 A AWS 账户 udit Manager 中启用 Organizations,则只会列出您当前的组织。
1. 选择**下一步**。
**注意**
从您的组织中移除范围内的账户后,Audit Manager 将不再为该账户收集证据。但是,该账户会继续在您的评测中的**AWS 账户**选项卡下显示。如需将该账户从范围内的账户列表中移除,请[编辑评测](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-assessment.html)。在编辑过程中,已移除的账户不再显示在列表中,该账户不在范围内不影响变更的保存。
### 第 3 步:指定审计负责人
在此步骤中,您将为评测指定审计负责人。审计负责人是您工作场所中负责管理 Audit Manager 评估的个 DevOps 人(通常来自 GRC 或团队)。 SecOps我们建议他们使用该[AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html)政策。
**若要指定审计负责人**
1. 在 **审计负责人**下,查看当前的审计负责人列表。**审计所有者**列显示用户 IDs 和角色。该**AWS 账户**列显示该 AWS 账户 审计所有者的信息。
1. 选中复选框的审计负责人将纳入您的评测。清除任何审计负责人的复选框,以将其从评测中删除。要查找其他审计负责人,请使用搜索栏,以按姓名或 AWS 账户搜索。
1. 完成后,选择**下一步**。
#### 审计所有者权限
以下政策适用于评估的所有审计负责人。
在附加策略之前,Audit Manager 会*placeholder text*用您的账户和资源标识符替换。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AuditOwner",
"Effect": "Allow",
"Principal": {
"AWS": "Principal for user/role who are the audit owners of the Assessment"
},
"Action": [
"auditmanager:GetAssessment",
"auditmanager:UpdateAssessment",
"auditmanager:UpdateAssessmentControlSetStatus",
"auditmanager:UpdateAssessmentStatus",
"auditmanager:UpdateAssessmentControl",
"auditmanager:DeleteAssessment",
"auditmanager:GetChangeLogs",
"auditmanager:GetEvidenceFoldersByAssessment",
"auditmanager:GetEvidenceFoldersByAssessmentControl",
"auditmanager:BatchImportEvidenceToAssessmentControl",
"auditmanager:GetEvidenceFolder",
"auditmanager:GetEvidence",
"auditmanager:GetEvidenceByEvidenceFolder",
"auditmanager:BatchCreateDelegationByAssessment",
"auditmanager:BatchDeleteDelegationByAssessment",
"auditmanager:AssociateAssessmentReportEvidenceFolder",
"auditmanager:BatchAssociateAssessmentReportEvidence",
"auditmanager:BatchDisassociateAssessmentReportEvidence",
"auditmanager:CreateAssessmentReport",
"auditmanager:DeleteAssessmentReport",
"auditmanager:DisassociateAssessmentReportEvidenceFolder",
"auditmanager:GetAssessmentReportUrl"
],
"Resource": [
"arn:aws:auditmanager:us-east-1:123456789012:assessment/assessment_ID",
"arn:aws:auditmanager:us-east-1:123456789012:assessment/assessment_ID/*"
]
}
]
}
```
------
### 步骤 4:审核并创建
审核您的评测信息。若要更改步骤信息,请选择**编辑**。完成后,选择**创建评测**。
此操作将开始持续收集评测证据。创建评测后,将继续收集证据,直至您将[评测状态更改](https://docs.aws.amazon.com/audit-manager/latest/userguide/change-assessment-status-to-inactive.html)为*非活动*。或者,您可以通过[将控件状态更改](https://docs.aws.amazon.com/audit-manager/latest/userguide/change-assessment-control-status.html)为*非活动*,停止收集特定控件的证据。
**注意**
评测创建后 24 小时可获得自动证据。Audit Manager 会自动从多个数据来源收集证据,证据收集的频率取决于证据类型。要了解更多信息,请参阅本指南中的 [证据收集频率](how-evidence-is-collected.md#frequency)。
## 后续步骤
要稍后重访评测,请参阅[在中查找您的评估 AWS Audit Manager](access-assessments.md)。您可以按照以下步骤找到您的评测,以便可以查看、编辑或继续使用。
## 其他资源
有关 Audit Manager 中评测问题的解决方案,请参阅[对评测和证据收集问题进行排查](evidence-collection-issues.md)。