本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 配置默认评测报告目标
生成评测报告时,Audit Manager 会将报告发布到您选择的 S3 存储桶。此 S3 存储桶被称为[](concepts.md#assessment-report-destination)。您可以选择 Audit Manager 用于存储评测报告的 S3 存储桶。
## 先决条件
### 评测报告目标的配置提示
为确保成功生成评测报告,我们建议您为评测报告目标使用以下配置。
**同区域存储桶**
建议您使用与评测在相同 AWS 区域 中的 S3 存储桶。当您使用同区域存储桶和评测时,您的评测报告最多可以包含 22,000 个证据项目。相反,当您使用跨区域存储桶和评测时,只能包含 3,500 个证据项目。
**AWS 区域**
您的客户托管密钥(如果您提供了密钥)必须与您的评估区域和您的评估报告目标 S3 存储桶相匹配。 AWS 区域 有关如何更改 KMS 密钥的说明,请参阅[配置数据加密设置](settings-KMS.md)。有关受支持的 Audit Manager 区域列表,请参阅 *Amazon Web Services 一般参考*中的 [AWS Audit Manager 端点和限额](https://docs.aws.amazon.com/general/latest/gr/audit-manager.html)。
**S3 存储桶加密**
如果您的评测报告目标的存储桶策略要求使用 [SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html#require-sse-kms) 进行服务器端加密(SSE),那么在该存储桶策略中使用的 KMS 密钥必须与您在 Audit Manager 数据加密设置中配置的 KMS 密钥匹配。如果您尚未在 Audit Manager 设置中配置 KMS 密钥,并且您的评测报告目标存储桶策略需要 SSE,请确保存储桶策略允许 [SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。有关如何配置用于数据加密的 KMS 密钥的说明,请参阅[配置数据加密设置](settings-KMS.md)。
**跨账户 S3 存储桶**
Audit Manager 控制台不支持使用跨账户 S3 存储桶作为评测报告目标。可以使用 AWS CLI 或中的一个来指定跨账户存储桶作为评估报告目的地 AWS SDKs,但为简单起见,我们建议您不要这样做。
为了获得最佳安全性和性能,我们建议在与评估相同的 AWS 账户和区域中使用 S3 存储桶。
如果您确实选择使用跨账户 S3 存储桶作为评测报告目标,请考虑以下几点。
+ 默认情况下,S3 对象(例如评估报告)归上传对象的 AWS 账户 所有。您可以使用 [S3 对象所有权](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html)设置来更改此默认行为,以便由具有 `bucket-owner-full-control` 标准访问控制列表(ACL)的账户写入的任何新对象都会自动归存储桶所有者拥有。
尽管这不是必需的,但我们建议您对跨账户存储桶设置进行以下更改。进行这些更改可确保存储桶所有者完全控制您发布到其存储桶的评测报告。
+ [将 S3 存储桶的对象所有权设置](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html#enable-object-ownership)为*首选存储桶所有者*,而不是默认的*对象写入者*
+ [添加存储桶策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html#ensure-object-ownership)以确保上传到该存储桶的对象具有 `bucket-owner-full-control` ACL
+ 要允许 Audit Manager 在跨账户 S3 存储桶中发布报告,您必须将以下 S3 存储桶策略添加到您的评测报告目标。将 *placeholder text* 替换为您自己的信息。此策略中的 `Principal` 元素是负责评测并创建评测报告的用户或角色。`Resource` 指定发布报告的跨账户 S3 存储桶。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow cross account assessment report publishing",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/AssessmentOwnerUserName"
},
"Action": [
"s3:ListBucket",
"s3:PutObject",
"s3:GetObject",
"s3:GetBucketLocation",
"s3:PutObjectAcl",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::CROSS-ACCOUNT-BUCKET",
"arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*"
]
}
]
}
```
------
## 过程
您可以使用 Audit Manager 控制台、 AWS Command Line Interface (AWS CLI) 或 Audit Manager API 更新此设置。
------
#### [ Audit Manager console ]
**在 Audit Manager 控制台上更新默认评测报告目标**
1. 在**评测**设置选项卡中,转到**评测报告目标**部分。
1. 要使用现有的 S3 存储桶,请从下拉菜单中选择存储桶名称。
1. 要创建新的 S3 存储桶,请选择**创建新存储桶**。
1. 完成操作后,选择**保存**。
------
#### [ AWS CLI ]
**要在中更新您的默认评估报告目的地 AWS CLI**
运行 [update-settings](https://docs.aws.amazon.com/cli/latest/reference/auditmanager/update-settings.html) 命令并使用 `--default-assessment-reports-destination` 参数指定 S3 存储桶。
在以下示例中,*placeholder text*用您自己的信息替换:
```
aws auditmanager update-settings --default-assessment-reports-destination destinationType=S3,destination=s3://amzn-s3-demo-destination-bucket
```
------
#### [ Audit Manager API ]
**使用 API 更新默认评测报告目标**
调用[UpdateSettings](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_UpdateSettings.html)操作并使用[defaultAssessmentReports目标](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_UpdateSettings.html#auditmanager-UpdateSettings-request-defaultAssessmentReportsDestination)参数指定 S3 存储桶。
------
## 其他资源
+ [创建存储桶](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket.html)
+ [评测报告](assessment-reports.md)