本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 什么是 AWS Audit Manager？
<a name="what-is"></a>



欢迎阅读 AWS Audit Manager 用户指南。

AWS Audit Manager 帮助您持续审计 AWS 使用情况，以简化风险管理以及对法规和行业标准的合规性。Audit Manager 可自动收集证据，因此您可以更轻松评测您的策略、程序和活动（也称为*控件*）是否有效运作。当需要进行审计时，Audit Manager 可帮助您管理利益相关者对控件的审核。这意味着您可以用更少的人工生成审计就绪报告。

Audit Manager 提供了预先构建的框架，用于根据特定合规标准或法规，构造和自动执行评测。框架包括预先构建的控件集合，其中包含描述和测试程序。这些控件根据指定的合规标准或法规要求进行分组。您还可以根据自己的具体要求，自定义框架和控件，以支持内部审计。

您可对任何框架创建评测。当您创建评测时，Audit Manager 会自动运行资源评测。这些评测会收集您定义为审计范围内的 AWS 账户 的数据。收集的数据会自动转换至便于审计的证据。然后，将其附加至相关控件中，以帮助您证明在安全、变更管理、业务连续性和软件许可方面的合规性。此证据收集过程为持续进程，从您创建评测时开始。在您完成审计并且不再需要 Audit Manager 收集证据后，您可以停止收集证据。为此，请将您的评测状态更改为*非活动*。

## Audit Manager 的特点
<a name="features"></a>

使用 AWS Audit Manager，您可以执行以下任务：
+ **快速入门** - 从支持一系列合规标准和法规的预先构建框架中选择，[创建您的第一项评测](https://docs.aws.amazon.com/audit-manager/latest/userguide/tutorial-for-audit-owners.html)。然后，启动自动证据收集以审计您的 AWS 服务 使用情况。
+ **上传和管理来自混合或多云环境的证据** - 除了 Audit Manager 从您的 AWS 环境中收集的证据外，您还可以[上传](https://docs.aws.amazon.com/audit-manager/latest/userguide/upload-evidence.html)和集中管理来自本地或多云环境的证据。
+ **支持常见的合规标准和法规** - 选择其中一项 [AWS Audit Manager 标准框架](https://docs.aws.amazon.com/audit-manager/latest/userguide/framework-overviews.html)。这些框架根据常见的合规性标准和法规，提供了预先构建的控件映射。其中包括独联体基金会基准、PCI DSS、GDPR、HIPAA SOC2、GxP 和运营最佳实践。 AWS 
+ **监控您的有效评测**-使用 Audit Manager [控制面板](https://docs.aws.amazon.com/audit-manager/latest/userguide/dashboard.html)查看进行中的评测的分析数据，并快速识别需要补救的不合规证据。
+ **搜索证据** - 使用[证据查找器](evidence-finder.md)功能快速查找与您的搜索查询相关的证据。您可以根据搜索结果生成评测报告，也可以导出 CSV 格式的搜索结果。
+ **创建自定义控件** - [从头开始创建自己的控件](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html)或[创建现有标准控件或自定义控件的可编辑副本](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-existing.html)。您还可以通过自定义控件特征来创建风险评测问题，并将这些问题的答案存储为手动证据。
+ **将您的企业控件与一组预定义的 AWS 数据来源对应起来** - 选择代表您目标的通用控件，然后使用它们来[创建自定义控件](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html)，根据您的一系列合规性需求收集证据。
+ **创建自定义框架** - 根据内部审计的具体要求，使用标准或自定义控件[创建自己的框架](https://docs.aws.amazon.com/audit-manager/latest/userguide/custom-frameworks.html)。
+ **共享自定义框架** — [与其他人共享您的自定义 Audit Manager 框架](https://docs.aws.amazon.com/audit-manager/latest/userguide/share-custom-framework.html) AWS 账户，或 AWS 区域 在您自己的账户下将其复制到另一个框架中。
+ **支持跨团队协作**— 将[控件委托给](https://docs.aws.amazon.com/audit-manager/latest/userguide/delegate-for-audit-owners.html)主题专家，他们可以审核相关证据、添加评论并更新每个控制的状态。
+ **创建审计师报告**-[生成评测报告](https://docs.aws.amazon.com/audit-manager/latest/userguide/generate-assessment-report.html)，汇总为审计收集的相关证据，并链接至包含详细证据的文件夹。
+ **确保证据的完整性** - 将[证据存储](https://docs.aws.amazon.com/audit-manager/latest/userguide/settings-destination.html) 至安全位置，使其保持不变。

**注意**  
AWS Audit Manager 协助收集与核实特定合规标准和法规的遵守情况相关的证据。但是，它本身并不能评测您的合规情况。 AWS Audit Manager 因此，通过收集的证据可能不包括审计所需的有关您的 AWS 使用情况的所有信息。 AWS Audit Manager 不能代替法律顾问或合规专家。  
 

## Audit Manager 定价
<a name="pricing"></a>

有关定价的更多信息，请参阅[AWS Audit Manager 定价](https://aws.amazon.com/audit-manager/pricing/)。

## 您是 Audit Manager 的新用户吗？
<a name="first-time-user"></a>

如果您是首次接触 Audit Manager 的用户，我们建议您从以下页面开始：

1. [理解 AWS Audit Manager 概念和术语](concepts.md) – 了解 Audit Manager 中使用的关键概念和术语，例如评测、框架和控件。

1. [了解如何 AWS Audit Manager 收集证据](how-evidence-is-collected.md) – 了解 Audit Manager 如何为资源评测收集证据。

1. [使用推荐 AWS Audit Manager 的设置进行设置](setting-up.md) – 了解 Audit Manager 的设置要求。

1. [入门 AWS Audit Manager](getting-started.md) – 按照教程创建您的第一项 Audit Manager 评测。

1. [AWS Audit Manager API 参考](https://docs.aws.amazon.com/audit-manager/latest/APIReference/Welcome.html) — 熟悉 Audit Manager API 操作和数据类型。

## 相关 AWS 服务
<a name="related-services"></a>

AWS Audit Manager 与多个集成 AWS 服务 ，可自动收集可以包含在评估报告中的证据。

**AWS Security Hub CSPM**  
AWS Security Hub CSPM 使用基于 AWS 最佳实践和行业标准的自动安全检查来监控您的环境。Audit Manager 通过直接从 Security Hub CSPM 报告安全检查结果来捕获资源安全状况的快照。有关 Security Hub CSPM 的更多信息，请参阅[什么是？ AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) 在《*AWS Security Hub CSPM 用户指南》*中。

**AWS CloudTrail**  
AWS CloudTrail 帮助您监控对账户中 AWS 资源的调用。其中包括 AWS 管理控制台、 AWS CLI 等发出的呼叫 AWS 服务。Audit Manager CloudTrail 直接从中收集日志数据，并将处理后的日志转换为用户活动证据。有关的更多信息 CloudTrail，请参阅[什么是 AWS CloudTrail？](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 在《*AWS CloudTrail 用户指南》*中。

**AWS Config**  
AWS Config 提供了中 AWS 资源配置的详细视图 AWS 账户。这些信息包括资源之间的关联方式以及资源以前的配置方式。Audit Manager 通过直接从中报告发现的结果来捕获您的资源安全状况的快照 AWS Config。有关的更多信息 AWS Config，请参阅[什么是 AWS Config？](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) 在《*AWS Config 用户指南》*中。

**AWS License Manager**  
AWS License Manager 简化了将软件供应商许可证引入云端的流程。在构建云基础架构时 AWS，您可以通过将现有许可证库存重新用于云资源来节省成本。Audit Manager 提供了许可证管理器框架，可帮助您做好审计准备。此框架可与 License Manager 集成，可根据客户定义的许可规则汇总许可证使用信息。有关 License Manager 的更多信息，请参阅[什么是 AWS License Manager？](https://docs.aws.amazon.com/license-manager/latest/userguide/license-manager.html) 在《*AWS License Manager 用户指南》*中。

**AWS Control Tower**  
AWS Control Tower 为云基础架构实施预防和侦查护栏。Audit Manager 提供了一个 AWS Control Tower 护栏框架，可帮助您做好审计准备。该框架包含所有基于护栏的 AWS Config 规则。 AWS Control Tower有关的更多信息 AWS Control Tower，请参阅[什么是 AWS Control Tower？](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 在《*AWS Control Tower 用户指南》*中。

**AWS Artifact**  
AWS Artifact 是一个自助审核工件检索门户，可按需访问 AWS 基础设施的合规性文档和认证。 AWS Artifact 提供证据，证明 AWS 云基础架构符合合规性要求。相比之下， AWS Audit Manager 它可以帮助您收集、审查和管理证据，以证明您的使用 AWS 服务 是合规的。有关的更多信息 AWS Artifact，请参阅[什么是 AWS Artifact？](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html) 在《*AWS Artifact 用户指南》*中。您可以在中下载[AWS 报告列表](https://console.aws.amazon.com/artifact/reports) AWS 管理控制台。

**Amazon EventBridge**  
Amazon EventBridge 可帮助您自动处理 AWS 服务 并自动响应系统事件，例如应用程序可用性问题或资源更改。您可以使用 EventBridge 规则来检测和响应 Audit Manager 事件。根据您创建的规则，当事件与您在规则中指定的值匹配时， EventBridge 调用一个或多个目标操作。有关更多信息，请参阅 [AWS Audit Manager 使用 Amazon 进行监控 EventBridge](automating-with-eventbridge.md)。

有关特定合规计划范围 AWS 服务 内的列表，请参阅[AWS 服务 按合规计划划分的范围](https://aws.amazon.com/compliance/services-in-scope/)。有关更多一般信息，请参阅 [AWS 合规性计划](https://aws.amazon.com/compliance/programs/)。

## 更多 Audit Manager 资源
<a name="more-resources"></a>

浏览以下资源可了解有关 Audit Manager 的更多信息。
+ 视频：使用收集证据并管理审计数据 AWS Audit Manager  
[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/G4yRj4nLwFI/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/G4yRj4nLwFI)
+  [整合三条线模型（第 2 部分）：将 AWS Config 一致性包转换为*AWS 管理和治理博客*中的 AWS Audit Manager 评估](https://aws.amazon.com/blogs/mt/integrate-across-the-three-lines-model-part-2-transform-aws-config-conformance-packs-into-aws-audit-manager-assessments/) 

# 理解 AWS Audit Manager 概念和术语
<a name="concepts"></a>



为了帮助您开始使用，此页面定义了 AWS Audit Manager的术语并介绍了一些主要概念。

## A
<a name="auditmanager-concepts-A"></a>

 [A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 J [I](#auditmanager-concepts-I) \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 \$1 [R](#auditmanager-concepts-R) \$1 T [S](#auditmanager-concepts-S) \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z \$1 

**评测**  
您可以使用 Audit Manager 评测功能，自动收集与审计相关的证据。  
此评测基于一个框架，该框架是一组与您的审计相关的控件。您可以通过标准框架或自定义框架创建评测。标准框架包含支持特定合规标准或法规的预先构建控件。相比之下，自定义框架包含控件，您可以根据具体的审计要求对这些控件进行自定义和分组。使用框架作为起点，您可以创建评估，指定要包含在审计范围内的内容。 AWS 账户   
创建评估时，Audit Manager 会自动开始 AWS 账户 根据框架中定义的控制来评估您的资源。接下来，它会收集相关证据，并将其转换为便于审计师使用的格式。完成此操作后，它会将证据附加至您的评测控件。当需要进行审计时，您（或您选择的委托人）可以查看收集的证据，然后将其添加至评测报告。此评测报告可帮助您证明您的控件是否按预期运行。  
证据收集是一个持续的过程，从您创建评测时开始。您可以通过将评测状态更改为*非活动*，以停止证据收集。或者，您可在控制层停止证据收集。为此，您可以将评测中特定控件的状态更改为*非活动*。  
有关如何创建和管理评测的说明，请参阅 [在中管理评估 AWS Audit Manager](assessments.md)。

**评测报告**  
评测报告是通过 Audit Manager 评测生成的最终文档。这些报告汇总了为审计所收集的相关证据。它们链接至相关的证据文件夹。这些文件夹是根据评测中指定的控件命名和组织的。对于每项评测，您可以查看 Audit Manager 收集的证据，并决定要在评测报告中包含的证据。  
要了解有关评测报告的更多信息，请参阅[评测报告](assessment-reports.md)。若要了解如何生成评测报告，请参阅[在中准备评估报告 AWS Audit Manager](generate-assessment-report.md)。

**评测报告目标**  
评测报告目标是 Audit Manager 保存评测报告的默认 S3 桶。要了解更多信息，请参阅[配置默认评测报告目标](settings-destination.md)。

**审核**  
审计是指对贵组织的资产、运营或业务诚信的独立审核。信息技术 (IT) 审计专门检查贵组织信息系统内部的控件。IT 审计旨在确定信息系统是否能保护资产、有效运行和维护数据完整性。所有这些对于满足合规标准或法律规定的监管要求很重要。

** 审计负责人**  
根据上下文，*审计负责人*一词有两种不同的含义。  
在 Audit Manager 环境中，审计负责人是管理评测及其相关资源的用户或角色。Audit Manager 角色的职责包括创建评测、审核证据和生成评测报告。Audit Manager 是一项协作服务，当其他利益相关者参与评测，审计负责人将从中受益。例如，您可以将其他审计负责人添加至评测中以共享管理任务。或者，如果您是审计负责人，并且需要帮助解读为控件收集的证据，则可以[将控件委托](https://docs.aws.amazon.com/audit-manager/latest/userguide/delegate.html)至在此领域有专长的利益相关者。这样的人被称为*委托人*角色。  
从业务角度来看，审计负责人负责协调和监督其公司的审计准备工作，并向审计师提供证据。通常是指治理、风险和合规 (GRC) 专业人员，例如合规官或 GDPR 数据保护专员。GRC 专业人员拥有管理审计准备工作的专长和权力。更具体地说，他们了解合规性要求，可以分析、解释和编制报告数据。但是，其他业务角色也可以客串 Audit Manager 的审计负责人角色，不仅是负责此角色的 GRC 专业人员。例如，您可以选择由来自以下团队的技术专家设置和管理 Audit Manager 评测：  
+ SecOps
+ IT/ DevOps 
+ 安全运营 Center/Incident 响应
+ 拥有、开发、修复和部署云资产、并了解贵组织云基础架构的类似团队
您在 Audit Manager 评测中选择的指定审计负责人，在很大程度上取决于您的组织。这还取决于您的安全运营架构及审计的具体细节。在 Audit Manager 中，同一个人可以在一项评测中客串审计负责人角色，在另一项评测中客串委托人角色。  
无论您选择如何使用 Audit Manager，您都可以使用审计 owner/delegate 角色并向每个用户授予特定的 IAM 策略来管理整个组织的职责分工。通过这种两步方法，Audit Manager 可确保您完全控制个人评测的所有细节。有关更多信息，请参阅 [中针对用户角色的推荐策略 AWS Audit Manager](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-personas)。

** AWS 托管来源**  
 AWS 托管来源是为您 AWS 维护的证据来源。  
每个 AWS 托管源都是一组预定义的数据源，这些数据源映射到特定的通用控件或核心控件。当您使用通用控件作为证据来源时，您就会自动收集支持该通用控件的所有核心控件的证据。您也可以使用单个核心控件作为证据来源。  
每当更新 AWS 托管源时，相同的更新都会自动应用于使用该 AWS 托管源的所有自定义控件。这就表示您的自定义控件会根据该证据来源的最新定义收集证据。此举有助于您确保在云合规性环境发生变化时持续保持合规。  
另请参阅：[](#customer-managed-source)、[](#evidence-source)。

## C
<a name="auditmanager-concepts-C"></a>

 [A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 J [I](#auditmanager-concepts-I) \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 \$1 [R](#auditmanager-concepts-R) \$1 T [S](#auditmanager-concepts-S) \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z \$1 

**更改日志**  
对于评测中的每个控件，Audit Manager 都会跟踪该控件的用户活动。然后，您可以审核与特定控件相关活动的审计跟踪记录。有关变更日志中捕获的用户活动的更多信息，请参阅[更改日志选项卡](review-controls.md#review-changelog)。

**云合规性**  
云合规性是一般性原则，即云交付的系统必须符合云客户所面临的标准。

**通用控件**  
请参阅[](#control)。

**合规法规**  
合规法规是由机构规定的法律、规则或者其他命令，通常用于规范行为。示例为 GDPR。

**合规性标准**  
合规性标准是一套结构化的指导方针，详细说明了该组织遵守既定法规、规范或立法的流程。示例包括 PCI DSS 和 HIPAA。

**控件**  
控件是为信息系统或组织规定的保障措施或对策。控件旨在保护您信息的机密性、完整性和可用性，并满足一系列既定要求。它们可以确保您的资源按预期运行，您的数据可靠，并且您的组织遵守适当的法律和法规。  
在 Audit Manager 中，控件也可以提出供应商风险评测问卷。在这种情况下，控件一个特定的问题，它询问有关组织安全与合规状况的信息。  
当您的 Audit Manager 评测中处于活动状态时，控件会持续收集证据。您还可以手动将证据添加到任何控件中。每份证据都是一份记录，方便您证明遵守了控件要求。  
Audit Manager 提供以下类型的控件：      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/concepts.html)

**控件域**  
您可以将控件域视为一类控件，这类控件并不特定于任何合规性标准。控件域的一个例子就是*数据保护*。  
出于简单的组织目的，控件通常按域分组。每个域都有多个目标。  
控件域分组是 [Audit Manager 控制面板](https://docs.aws.amazon.com/audit-manager/latest/userguide/dashboard.html)最强大的功能之一。Audit Manager 会突出显示评测中存在不合规证据的控件，并按控件域对它们进行分组。这使您能够在准备审计时将补救工作重点放在特定主题域。

**控件目标**  
控件目标描述了属于其下的通用控件的目标。每个目标可以有多个通用控件。如果这些通用控件成功实施，它们将有助于您实现目标。  
每个控件目标都属于一个控件域。例如，*数据保护*控件域可能有一个名为 *数据分类和处理*的控件目标。为支持这一控件目标，您可以使用一种名为 *访问控制*的通用控件，来监控和检测未经授权访问您资源的行为。

** 核心控件**  
请参阅[](#control)。

** 自定义控件**  
请参阅[](#control)。

**客户管理型来源**  
客户管理型来源是您定义的证据来源。  
在 Audit Manager 中创建自定义控件时，可以使用此选项创建自己的单个数据来源。这使您可以灵活地从特定于业务的资源（例如自定义 AWS Config 规则）收集自动证据。如果要向自定义控件中添加手动证据，也可以使用此选项。  
当您使用客户管理型来源时，您负责维护自己创建的所有数据来源。  
另请参阅：[](#aws-managed-source)、[](#evidence-source)。

## D
<a name="auditmanager-concepts-D"></a>

 [A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 J [I](#auditmanager-concepts-I) \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 \$1 [R](#auditmanager-concepts-R) \$1 T [S](#auditmanager-concepts-S) \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z \$1 

**数据来源**  
Audit Manager 使用*数据来源*为控件收集证据。数据来源具有以下属性：  
+ **数据来源类型**定义了 Audit Manager 从中收集证据的数据来源类型。
  + 对于自动证据，类型可以是 *AWS Security Hub CSPM*、*AWS Config、 AWS CloudTrail* 或 *AWS API 调用*。
  + 如果您上传自己的证据，则类型为 *手动*。
  + Audit Manager API 将数据来源类型称为 [sourceType](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html#auditmanager-Type-ControlMappingSource-sourceType)。
+ **数据来源映射**是一个关键字，用于指出从何处收集给定数据来源类型的证据。
  + 例如，这可能是 CloudTrail 事件的名称或 AWS Config 规则的名称。
  + Audit Manager API 将数据来源映射称为 [sourceKeyword](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_SourceKeyword.html)。
+ **数据来源名称**标记了一对数据来源类型和映射。
  + 对于标准控件，Audit Manager 提供了默认名称。
  + 对于自定义控件，您可以提供自己的名称。
  + Audit Manager API 将数据来源命名为[sourceName](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html#auditmanager-Type-ControlMappingSource-sourceName)。
单个控件可包含多种数据来源类型和多个映射。例如，一个控件可能会从混合数据源类型（例如 AWS Config 和 Security Hub CSPM）中收集证据。另一个控件可能 AWS Config 将多个规则作为其唯一的数据源类型，并以多个 AWS Config 规则作为映射。  
下表列出了自动数据来源类型，并显示了一些相应映射的示例。      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/concepts.html)

**委托人**  
委托人是权限有限的 AWS Audit Manager 用户。委托人通常具有专业的业务或技术专长。例如，这些专长可能涉及数据留存政策、培训计划、网络基础设施或身份管理。委托人可以帮助审计负责人审核收集到的证据，以了解属于其专长的控件。委托人可以审核控件集及其相关证据、添加评论、上传其他证据，以及更新各个控件的状态（您分配给它们以供审核）。  
审计负责人将特定的控件分配给委托人，而非整个评测。因此，委托人的评测访问权限有限。有关如何委托控件集的说明，请参阅[代表团进来 AWS Audit Manager](delegate.md)。

## E
<a name="auditmanager-concepts-E"></a>

 [A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 J [I](#auditmanager-concepts-I) \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 \$1 [R](#auditmanager-concepts-R) \$1 T [S](#auditmanager-concepts-S) \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z \$1 

**证据**  
证据是一种记录，其中包含遵守控件要求所需的信息。证据示例包括用户调用变更活动和系统配置快照。  
Audit Manager 主要包含两类证据：*自动证据*和*手动证据*。      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/concepts.html)
自动收集证据从您创建评测开始。这是一个持续的进程，Audit Manager 根据证据类型和基础数据来源，以不同的频率收集证据。有关更多信息，请参阅 [了解如何 AWS Audit Manager 收集证据](how-evidence-is-collected.md)。  
有关如何审核评测证据的说明，请参阅[审查证据 AWS Audit Manager](review-evidence.md)。

**证据来源**  
证据来源定义控件从何处收集证据。它可以是单个数据来源，也可以是与通用控件或核心控件对应的一组预定义的数据来源。  
创建自定义控件时，您可以从 AWS 托管式来源和/或客户管理型来源中收集证据。  
我们建议您使用 AWS 托管来源。每当更新 AWS 托管源时，相同的更新都会自动应用于使用这些源的所有自定义控件。这就表示您的自定义控件会始终根据该证据来源的最新定义收集证据。此举有助于您确保在云合规性环境发生变化时持续保持合规。
另请参阅：[](#aws-managed-source)、[](#customer-managed-source)。

** 证据收集方法**  
控件可以通过两种方式收集证据。      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/concepts.html)
您可以将手动证据附加至任何自动控件中。在许多情况下，需要将自动和手动证据相结合，以证明完全遵守控件。尽管 Audit Manager 可以提供有用且关联的自动证据，但有些自动证据可能只能证明部分合规。在这种情况下，您可以用自己的证据补充 Audit Manager 提供的自动证据。  
例如：  
+ [AWS 生成式 AI 最佳实践框架 v2](aws-generative-ai-best-practices.md)包含一个名为 `Error analysis` 的控件。此控件要求您识别何时在模型使用中检测到不准确之处。它还要求您进行彻底的错误分析，以了解根本原因并采取纠正措施。
+ 为了支持这种控制，Audit Manager 会自动收集证据，以显示您的评估运行 AWS 账户 位置是否启用了 CloudWatch警报。您可以使用这些证据证明您的警报和检查配置正确，从而证明部分遵守了控件。
+ 为了证明完全合规，您可以用手动证据补充自动证据。例如，您可以上传显示错误分析流程、上报和报告的阈值、以及根本原因分析结果的策略或程序。您可以使用此手动证据证明既定政策已经到位，并且在出现提示时已采取纠正措施。
有关更详细的示例，请参阅[具有混合数据来源的控件](https://docs.aws.amazon.com/audit-manager/latest/userguide/examples-of-controls.html#mixed)。

**导出目的地**  
导出目标为默认 S3 桶，Audit Manager 会保存您从证据查找器中导出的文件。有关更多信息，请参阅 [为证据查找器配置默认导出目标](settings-export-destination.md)。

## F
<a name="auditmanager-concepts-F"></a>

 [A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 J [I](#auditmanager-concepts-I) \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 \$1 [R](#auditmanager-concepts-R) \$1 T [S](#auditmanager-concepts-S) \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z \$1 

**框架**  
Audit Manager 框架用于组织和自动执行特定标准或风险治理原则的评测。这些框架包括一系列预建或客户定义的控件，它们可以帮助您将 AWS 资源与这些控制的要求对应起来。  
Audit Manager 中有两种类型的框架。      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/concepts.html)
有关如何创建和管理框架的说明，请参阅[使用框架库管理中的框架 AWS Audit Manager](framework-library.md)。  
AWS Audit Manager 协助收集与核实特定合规标准和法规的遵守情况相关的证据。但是，它本身并不能评测您的合规情况。 AWS Audit Manager 因此，通过收集的证据可能不包括审计所需的有关您的 AWS 使用情况的所有信息。 AWS Audit Manager 不能代替法律顾问或合规专家。

**框架共享**  
您可以使用该[在中共享自定义框架 AWS Audit Manager](share-custom-framework.md)功能在各个 AWS 账户 地区之间快速共享您的自定义框架。若要共享自定义框架，请创建*共享请求*。然后，接收者有 120 天的时间接受或拒绝此请求。当他们接受时，Audit Manager 会将共享自定义框架复制到其框架库中。除了复制自定义框架外，Audit Manager 还会复制该框架中包含的、所有自定义控件。这些自定义控件已添加至收件人的控件库。Audit Manager 不复制标准框架或控件。这是因为默认情况下，这些资源已可用于每账户和区域。

## I
<a name="auditmanager-concepts-I"></a>

 [A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 J [I](#auditmanager-concepts-I) \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 \$1 [R](#auditmanager-concepts-R) \$1 T [S](#auditmanager-concepts-S) \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z \$1 

**尚无定论的证据**  
AWS Audit Manager 当无法进行自动合规性评估时，将证据标记为无定论。这会在以下情况下发生：  
+ 您尚未启用 AWS Config 或 AWS Security Hub CSPM，它们是关键数据源。
+ 证据是通过 API 调用、 AWS CloudTrail 日志或手动上传直接从 AWS 服务中收集的。
当没有自动评估这些证据的机制时， AWS Audit Manager 无法提供评估细节。因此，这标志着证据*尚无定论*。  
尚无定论的证据并不表明失败。相反，它表明您需要手动评估合规证据。

## R
<a name="auditmanager-concepts-R"></a>

 [A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 J [I](#auditmanager-concepts-I) \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 \$1 [R](#auditmanager-concepts-R) \$1 T [S](#auditmanager-concepts-S) \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z \$1 

**资源**  
资源是在审计过程中评测的有形资产或信息资产。 AWS 资源示例包括亚马逊 EC2 实例、亚马逊 RDS 实例、亚马逊 S3 存储桶和亚马逊 VPC 子网。

**资源评测**  
资源评测是评测单个资源的进程。该评测基于控件要求。当评测处于活动状态时，Audit Manager 会对评测范围内的每个资源进行资源评测。资源评测运行以下一系列任务：  

1. 收集证据，包括资源配置、事件日志和调查结果

1. 转换证据并将其映射至控件

1. 存储和追踪证据谱系以实现完整性

**资源合规性**  
资源合规性是指在收集合规性检查证据时评测的资源评测状态。  
Audit Manager 收集使用 AWS Config 和 Security Hub CSPM 作为数据源类型的控件的合规性检查证据。在这个收集证据期间，可能需要评测多种资源。因此，一份合规性检查证据可包含一个或多个资源。  
您可以使用证据查找器中的**资源合规性**筛选条件来浏览资源级别的合规状态。搜索完成后，您可以预览与您的搜索查询匹配的资源。  
在证据查找器中，资源合规性包含三个可能得值：      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/concepts.html)

## S
<a name="auditmanager-concepts-S"></a>

 [A](#auditmanager-concepts-A)\$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) \$1 [E](#auditmanager-concepts-E) [F](#auditmanager-concepts-F) \$1 G \$1 H \$1 J [I](#auditmanager-concepts-I) \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 \$1 [R](#auditmanager-concepts-R) \$1 T [S](#auditmanager-concepts-S) \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z \$1 

** 范围内的服务**  
Audit Manager 管理 AWS 服务 哪些属于您的评估范围。如果您之前有过评测，则您过去可能手动指定了范围内的服务。2024 年 6 月 4 日之后，您无法再手动指定或编辑范围内的服务。  
*范围内的服务*是 AWS 服务 指您的评估收集相关证据的服务。当您将某项服务纳入评测范围后，Audit Manager 会评测此服务的资源。一些资源示例包括下面这些：  
+ 一个 Amazon EC2 实例
+ 一个 S3 存储桶
+ IAM 用户或角色
+ 一个 DynamoDB 表
+ 网络组件，如 Amazon 虚拟私有云（VPC）、安全组，或网络访问控制列表 (ACL)
例如，如果 Amazon S3 属于范围内的服务，则 Audit Manager 可收集有关您 S3 存储桶的证据。收集的确切证据由控件的[](#control-data-source)决定。例如，如果数据源类型为 AWS Config，而数据源映射是 AWS Config 规则（例如`s3-bucket-public-write-prohibited`），则 Audit Manager 会收集该规则评估的结果作为证据。  
请记住，范围内的服务不同于*数据源类型*，后者 AWS 服务 也可以是其他类型。有关更多信息，请参阅本指南*疑难解答*部分的[范围内的服务和数据来源类型有什么区别？](evidence-collection-issues.md#data-source-vs-service-in-scope)。

** 标准控件**  
请参阅[](#control)。

# 了解如何 AWS Audit Manager 收集证据
<a name="how-evidence-is-collected"></a>



中的每项主动评估 AWS Audit Manager 都会自动从一系列数据源收集证据。在每次评估中，您可以定义哪些 AWS 账户 审计经理将收集范围内的证据，并由审计经理管理 AWS 服务 哪些评估的证据。这些服务和账户中的每一个都包含您拥有和使用的多种资源。Audit Manager 中的证据收集涉及对每个范围内资源评测。这被称为*资源评测*。

以下步骤描述了 Audit Manager 收集每次资源评测方法的证据：

**1. 评测来自数据来源的资源**  
为了开始收集证据，Audit Manager 会评测来自数据来源范围内的资源。它通过捕获配置快照、相关的合规性检查结果或用户活动实现此目的。然后，它会运行分析以确定该数据支持的控件类型。然后，资源评测结果将被保存并转化为证据。有关不同证据类型的更多信息，请参阅本指南 *AWS Audit Manager 的概念和术语*部分中的[](concepts.md#evidence)。

**2. 将评测结果转化为证据**  
资源评测的结果既包含从该资源中捕获的原始数据，也包含说明数据支持哪种控件的元数据。Audit Manager 会将原始数据转换为便于审计师使用的格式。然后，转换后的数据和元数据将保存为 Audit Manager 证据，然后再附加至控件。

**3. 将证据随附至关联控件**  
Audit Manager 读取证据元数据。然后，它将已保存的证据附加至评测中的相关对照中。随附证据将在 Audit Manager 中可见。资源评测周期完成。

**注意**  
根据控件配置，在某些情况下，可以将相同的证据附加制来自多个 Audit Manager 评测的多个控件中。当多个控件附带相同证据时，Audit Manager 会精确计量一次资源评测。原因是同样的证据仅收集一次。但是，Audit Manager 评测中的控件可以包含来自多个数据来源的多个证据。

## 证据收集频率
<a name="frequency"></a>

证据收集是一个持续的过程，从您创建评测时开始。Audit Manager 以不同的频率从多个数据来源收集证据。因此，关于收集证据的频率尚无 one-size-fits-all答案。证据收集频率取决于证据类型及其数据来源，如下所述。
+ **合规性检查** — Audit Manager 从 AWS Security Hub CSPM 和收集此类证据 AWS Config。
  +  对于 Security Hub CSPM，证据收集遵循您的 Security Hub CSPM 检查的时间表。有关 Security Hub CSPM 检查时间表的更多信息，请参阅《*AWS Security Hub CSPM 用户*指南》中的[安全检查运行时间表](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-schedule.html)。有关 Audit Manager 支持的 Security Hub CSPM 检查的更多信息，请参阅。[AWS Security Hub CSPM 支持的控件 AWS Audit Manager](control-data-sources-ash.md)
  + 对于 AWS Config，证据收集遵循 AWS Config 规则中定义的触发器。有关 AWS Config 规则触发器的更多信息，请参阅*AWS Config 用户指南*中的 [触发器类型](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html#aws-config-rules-trigger-types)。有关 Audit AWS Config 规则 Manager 支持的内容的更多信息，请参阅[AWS Config 规则 由 AWS Audit Manager](control-data-sources-config.md)。
  + AWS Audit Manager 当无法进行自动合规性评估时，将证据标记为无定论。当您尚未启用 AWS Config 或（它们是关键数据源）时 AWS Security Hub CSPM，就会发生这种情况。当通过 API 调用、 AWS CloudTrail 日志或手动上传直接从 AWS 服务中收集证据时，也会发生这种情况。当没有自动评估这些证据的机制时， AWS Audit Manager 无法提供评估细节。因此，这标志着证据尚无定论。尚无定论的证据并不表明失败。相反，它表明您需要手动评估合规证据。
+ **用户活动** — Audit Manager 会持续收集此类证据。 AWS CloudTrail 这种频率是持续的，原因是用户活动可以在一天中的任何时间发生。有关更多信息，请参阅 [AWS CloudTrail 支持的事件名称 AWS Audit Manager](control-data-sources-cloudtrail.md)。
+ **配置数据** — Audit Manager 使用对其他证据（例如 Amazon EC2、Amazon S3 或 IAM）的描述 API 调用来收集 AWS 服务 此类证据。您可以要调用哪些 API 操作。您还可以在 Audit Manager 中将频率设置为每天、每周或者每月。在控件库中创建或编辑控件时，可以指定此频率。有关如何编辑或创建控件的说明，请参阅[使用控件库管理中的控件 AWS Audit Manager](control-library.md)。有关 Audit Manager 支持的 API 调用的更多信息，请参阅[AWS 支持的 API 调用 AWS Audit Manager](control-data-sources-api.md)。

无论数据来源的证据收集频率如何，只要控件和评测处于活动状态，就会自动收集新的证据。

# AWS Audit Manager 控件示例
<a name="examples-of-controls"></a>



您可以查看本页上的示例，详细了解 AWS Audit Manager中的控件工作原理。

在 Audit Manager 中，控件可以自动从四种数据来源类型收集证据：

1. **AWS CloudTrail**— 从 CloudTrail 日志中捕获用户活动并将其作为用户活动证据导入

1. **AWS Security Hub CSPM**— 从 Security Hub CSPM 收集调查结果并将其作为合规检查证据导入

1. **AWS Config** – 从 AWS Config 中收集规则评估结果并将其作为合规性检查证据导入

1. **AWS API 调用** — 从 API 调用中捕获资源快照并将其作为配置数据证据导入

请注意，某些控件使用这些预定义的数据来源群组来收集证据。这些数据来源群组被称为 [AWS 托管式来源](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#aws-managed-source)。每个 AWS 托管源代表一个普通控件或一个核心控件。这些托管式来源为您提供了一种有效的方法，将您的合规性要求与一组相关的底层数据来源对应起来，这些数据来源由 AWS的[行业认证评估员](https://aws.amazon.com/professional-services/security-assurance-services/)负责验证和维护。

本页的示例显示了控件如何从每种数据来源类型收集证据。这些示例描述了控件的外观、Audit Manager 从数据来源收集证据的方式，以及您为证明合规性可以采取的后续步骤。

**提示**  
我们建议您启用 AWS Config 和 Security Hub CSPM，以便在 Audit Manager 中获得最佳体验。启用这些服务后，Audit Manager 可以使用 Security Hub CSPM 调查结果 AWS Config 规则 并生成自动证据。  
[启用 AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)后，确保您还 [支持所有安全标准](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-enable-disable.html#securityhub-standard-enable-console) ，并 [打开整合控件调查发现设置](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#turn-on-consolidated-control-findings)。此步骤可确保 Audit Manager 可以导入所有支持合规标准的调查发现。
[启用](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html)后 AWS Config，请确保您还为与审计[相关的合规性标准启用](https://docs.aws.amazon.com/config/latest/developerguide/setting-up-aws-config-rules-with-console.html)[相关内容 AWS Config 规则或部署合规包](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-console.html)。此步骤可确保 Audit Manager 可以导入您启用的所有支持 AWS Config 规则 内容的调查结果。

包含以下每种类型的控件示例：

**Topics**
+ [

## AWS Security Hub CSPM 用作数据源类型的自动控件
](#automated-security-hub)
+ [

## AWS Config 用作数据源类型的自动控件
](#automated-config)
+ [

## 使用 AWS API 调用作为数据源类型的自动控件
](#automated-api)
+ [

## AWS CloudTrail 用作数据源类型的自动控件
](#automated-cloudtrail)
+ [

## 手动控件
](#manual)
+ [

## 具有混合数据来源类型（自动和手动）的控件
](#mixed)

## AWS Security Hub CSPM 用作数据源类型的自动控件
<a name="automated-security-hub"></a>

此示例显示了 AWS Security Hub CSPM 用作数据源类型的控件。此标准控件取自 [AWS 基础安全最佳实践标准 (FSBP) ](https://docs.aws.amazon.com/audit-manager/latest/userguide/aws-foundational-security-best-practices.html)框架。Audit Manager 使用此控制来生成证据，以帮助您的 AWS 环境符合 FSBP 要求。

**控件细节示例**
+ **控件名称** - `FSBP1-012: AWS Config should be enabled`
+ **控件集** – `Config`。这是特定于框架的一组 FSBP 控件，与配置管理相关。
+ **证据来源** - 各项数据来源
+ **数据源类型** — AWS Security Hub CSPM
+ **证据类型** - 合规性检查

在以下示例中，此控件显示在基于 FSBP 框架创建的 Audit Manager 评测中。

![\[屏幕截图显示了评估中的 Security Hub CSPM 控件。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/control-example-automated_securityhub-console.png)


评测显示控件状态。还显示了迄今为止为此控件收集了多少证据。在这里，您可以委托控件审阅，也可以自己完成审阅。选择控件名称会打开详情页面，其中包含更多信息，包括该控件的证据。

**此控件的作用**  
此控件要求在所有使用 AWS Config Security Hub CSPM AWS 区域 的地方都启用该控件。Audit Manager 可以使用此控件来检查您是否已启用 AWS Config。

**Audit Manager 如何为此控件收集证据**  
Audit Manager 采取以下措施来为此控件收集证据：

1. 对于每项控件，Audit Manager 都会评测您的范围内资源。它使用控件设置中指定的数据来源来执行此操作。在此示例中，您的 AWS Config 设置是资源，Security Hub CSPM 是数据源类型。Audit Manager 会查找特定 Security Hub CSPM 检查（[[Config.1](https://docs.aws.amazon.com/securityhub/latest/userguide/config-controls.html#config-1)]）的结果。

1. 资源评测结果将被保存并转化为审计员友好证据。Audit Manager 为使用 S *ecurity Hub CSPM 作为数据源类型的控制生成合规性检查*证据。该证据包含直接从 Security Hub CSPM 报告的合规检查结果。

1. Audit Manager 将已保存证据附加至您命名为`FSBP1-012: AWS Config should be enabled`的评测。

**如何使用 Audit Manager 证明该控件的合规性**  
将证据附至控件后，您（或您选择的委托人）可以审核证据，了解是否需要采取任何补救措施。

在此示例中，Audit Manager 可能会显示来自 Security Hub CSPM 的*失败*裁决。如果您尚未启用，则可能会发生这种情况 AWS Config。在这种情况下，您可以采取更正措施，即启用 AWS Config，这有助于使您的 AWS 环境符合 FSBP 要求。

当您的 AWS Config 设置与控件一致时，请将控件标记为*已审核*，并将证据添加到您的评估报告中。然后，您可以与审计员共享此报告，以证明控件按预期运行。

## AWS Config 用作数据源类型的自动控件
<a name="automated-config"></a>

此示例显示了 AWS Config 用作数据源类型的控件。这是取自 [AWS Control Tower 防护机制](https://docs.aws.amazon.com/audit-manager/latest/userguide/controltower.html) 框架的标准控件。Audit Manager 使用此控制来生成证据，帮助您的 AWS 环境与 AWS Control Tower 护栏保持一致。

**控件细节示例**
+ **控件名称** - `CT-4.1.2: 4.1.2 - Disallow public write access to S3 buckets`
+ **控件集** - 此控件属于 `Disallow public access` 控件集。这是一组与访问管理相关的控件。
+ **证据来源** - 单个数据来源
+ **数据源类型** — AWS Config
+ **证据类型** - 合规性检查

在以下示例中，此控件出现在根据 AWS Control Tower Guardrails 框架创建的 Audit Manager 评估中。

![\[显示评估中对 AWS Config 照的屏幕截图。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/control-example-automated_config-console.png)


评测显示控件状态。还显示了迄今为止为此控件收集了多少证据。在这里，您可以委托控件审阅，也可以自己完成审阅。选择控件名称会打开详情页面，其中包含更多信息，包括该控件的证据。

**此控件的作用**  
Audit Manager 可以使用此控制来检查您的 S3 存储桶策略的访问级别是否过于宽松，无法满足要求 AWS Control Tower 。更具体地说，它可以检查阻止公共访问设置、桶策略和桶访问控制列表 (ACL)，以确认您的桶是否允许公共写入权限。

**Audit Manager 如何为此控件收集证据**  
Audit Manager 采取以下措施来为此控件收集证据：

1. 对于每个控件，Audit Manager 都会使用控件设置中指定的数据来源评测您的范围内的资源。在这种情况下，您的 S3 桶是资源， AWS Config 是数据来源类型。Audit Manager 会查找特定 AWS Config 规则 ([s3-bucket-public-write-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html)) 的结果，以评估评估范围内的每个 S3 存储桶的设置、策略和 ACL。

1. 资源评测结果将被保存并转化为审计员友好证据。Audit Manager 会为 AWS Config 用作数据源类型的控件生成*合规性检查*证据。该证据包含直接从中报告的合规检查结果 AWS Config。

1. Audit Manager 将已保存证据附加至您命名为`CT-4.1.2: 4.1.2 - Disallow public write access to S3 buckets`的评测。

**如何使用 Audit Manager 证明该控件的合规性**  
将证据附至控件后，您（或您选择的委托人）可以审核证据，了解是否需要采取任何补救措施。

在此示例中，Audit Manager 可能会显示一项 AWS Config 声明 S3 存储桶*不合规*的裁决。如果您的一个 S3 桶具有不限制公共策略的“阻止公共访问”设置，并且当前策略允许公共写入权限，则可能会发生这种情况。若要纠正此问题，您可以更新“阻止公共访问”设置，以限制公共策略。或者，您可使用不允许公共写入权限的其他桶策略。此纠正措施有助于使您的 AWS 环境符合 AWS Control Tower 要求。

如果您确信自己的 S3 桶访问权限级别与控件一致，则可以将控件标记为 *已审核*，并将证据添加至评测报告。然后，您可以与审计员共享此报告，以证明控件按预期运行。

## 使用 AWS API 调用作为数据源类型的自动控件
<a name="automated-api"></a>

此示例显示了一个使用 AWS API 调用作为数据源类型的自定义控件。Audit Manager 使用此控制来生成证据，这些证据有助于使您的 AWS 环境符合您的特定要求。

**控件细节示例**
+ **控件名称** - `Password Use`
+ **控件集** - 此控件属于名为 `Access Control` 的控件集。这是一组与身份和访问管理相关的控件。
+ **证据来源** - 单个数据来源
+ **数据源类型** — AWS API 调用
+ **证据类型** - 配置数据

在以下示例中，此控件显示在通过自定义框架创建的 Audit Manager 评测中。

![\[显示评测中的 API 控件的屏幕截图。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/control-example-automated_api-console.png)


评测显示控件状态。还显示了迄今为止为此控件收集了多少证据。在这里，您可以委托控件审阅，也可以自己完成审阅。选择控件名称会打开详情页面，其中包含更多信息，包括该控件的证据。

**此控件的作用**  
Audit Manager 可以使用此自定义控件来帮助您确保有足够的访问控制策略。此控件要求您在选择和使用密码时遵循良好安全规范。Audit Manager 可以通过检索评测范围内的 IAM 主体的所有密码策略列表，帮助您验证这一点。

**Audit Manager 如何为此控件收集证据**  
Audit Manager 采取以下措施来为此自定义控件收集证据：

1. 对于每个控件，Audit Manager 都会使用控件设置中指定的数据来源评测您的范围内的资源。在这种情况下，您的 IAM 委托人是资源， AWS API 调用是数据源类型。Audit Manager 会查找特定 IAM API 调用的响应 ([GetAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html))。然后，它会为 AWS 账户 返回您的评测范围内的密码策略。

1. 资源评测结果将被保存并转化为审计员友好证据。Audit Manager 为使用 API 调用作为数据来源的控件生成 *配置* 数据证据。此证据包含从 API 响应中捕获的原始数据，以及表明具体的数据支持控件的其他元数据。

1. Audit Manager 将已保存证据附加至您命名为 `Password Use` 的评测中的自定义控件。

**如何使用 Audit Manager 证明该控件的合规性**  
将证据附至控件后，您（或您选择的委托人）可以审核证据，了解是否充足或是否需要采取任何补救措施。

在此示例中，您可以通过查看证据来查看 API 调用响应。该[GetAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html)响应描述了您账户中用户密码的复杂性要求和强制轮换周期。您可以使用此 API 响应作为证据，证明您已经为评估范围内的内容制定了 AWS 账户 足够的密码访问控制策略。如果需要，您还可以通过向控件添加评论，来提供有关这些政策的其他注释。

如果您确信自己的 IAM 主体的密码策略与自定义控件一致，则可以将控件标记为*已审核*，并将证据添加至评测报告。然后，您可以与审计员共享此报告，以证明控件按预期运行。

## AWS CloudTrail 用作数据源类型的自动控件
<a name="automated-cloudtrail"></a>

此示例显示了 AWS CloudTrail 用作数据源类型的控件。这是取自 [2003 HIPAA 安全规则框架](https://docs.aws.amazon.com/audit-manager/latest/userguide/HIPAA.html)的标准控件。Audit Manager 使用此控件生成证据，以帮助使您的 AWS 环境符合 HIPAA 要求。

**控件细节示例**
+ **控件名称** - `164.308(a)(5)(ii)(C): Administrative Safeguards - 164.308(a)(5)(ii)(C)`
+ **控件集** - 此控件属于名为 `Section 308` 的控件集。这是特定于框架的一组 HIPAA 控件，与行政保障措施相关。
+ **证据来源**- AWS 托管来源（核心控制）
+ **底层数据来源类型** - AWS CloudTrail
+ **证据类型** - 用户活动

以下是基于 HIPAA 框架创建的 Audit Manager 评测中的控件：

![\[显示评估中对 CloudTrail 照的屏幕截图。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/control-example-automated_cloudtrail-console.png)


评测显示控件状态。还显示了迄今为止为此控件收集了多少证据。在这里，您可以委托控件审阅，也可以自己完成审阅。选择控件名称会打开详情页面，其中包含更多信息，包括该控件的证据。

**此控件的作用**  
此控件要求您制定监控程序来检测未经授权的访问。未经授权的访问的一个例子就是，某些人在未启用多重身份验证（MFA）的情况下登录控制台。Audit Manager 可提供证据，证明您已将 Amazon CloudWatch 配置为在未启用 MFA 的情况下监控管理控制台登录请求，从而帮助您验证此控制权。

**Audit Manager 如何为此控件收集证据**  
Audit Manager 采取以下措施来为此控件收集证据：

1. 对于每个控件，Audit Manager 都会使用控件设置中指定的证据来源评测您范围内的资源。在本例中，控件使用多个核心控件作为证据来源。

   每个核心控件都是一组由单个数据来源组成的托管式来源。在我们的示例中，其中一个核心控件 (`Configure Amazon CloudWatch alarms to detect management console sign-in requests without MFA enabled`) 使用 CloudTrail 事件 (`monitoring_EnableAlarmActions`) 作为基础数据源。

   Audit Manager 会查看您的 CloudTrail 日志，使用`monitoring_EnableAlarmActions`关键字来查找记录的 CloudWatch 警报启用操作 CloudTrail。然后，它会返回评测范围内的相关事件的日志。

1. 资源评测结果将被保存并转化为审计员友好证据。Audit Manager 为 CloudTrail 用作数据源类型的控件生成*用户活动*证据。该证据包含从 Amazon 捕获的原始数据 CloudWatch，以及表明数据支持哪种控制的其他元数据。

1. Audit Manager 将已保存证据附加至您命名为`164.308(a)(5)(ii)(C): Administrative Safeguards - 164.308(a)(5)(ii)(C)`的评测。

**如何使用 Audit Manager 证明该控件的合规性**  
将证据附至控件后，您（或您选择的委托人）可以审核证据，了解是否需要采取任何补救措施。

在此示例中，您可以查看证据，以查看记录的警报启用事件。 CloudTrail您可以使用此日志作为证据，证明您已经制定了足够的监控程序，可以检测未启用 MFA 就尝试登录控制台的行为。如果需要，您还可以通过向控件添加评论来提供其他注释。例如，如果日志显示存在多次未启用 MFA 的登录尝试，则您可以添加一条评论，描述您是如何修复该问题的。定期监控控制台登录，可以帮助您防止因差异和不当登录尝试而导致的安全问题。反过来，这种最佳实践有助于使您的 AWS 环境符合 HIPAA 的要求。

如果您确信自己的监控程序与控件一致，则可以将控件标记为*已审核*，并将证据添加至评测报告。然后，您可以与审计员共享此报告，以证明控件按预期运行。

## 手动控件
<a name="manual"></a>

部分控件不支持自动证据收集。这包括依赖于提供实物记录和签名的控件，以及观察、访谈和其他非在云中生成的事件。在这些情况下，您可手动上传证据，以证明您满足了控件要求。

此示例显示了取自 [NIST 800-53（Rev. 5）框架](https://docs.aws.amazon.com/audit-manager/latest/userguide/NIST800-53r5.html)的手动控件。您可以使用 Audit Manager 上传和存储证明该控件合规的证据。

**控件细节示例**
+ **控件名称** - `AT-4: Training Records`
+ **控件集** – `(AT) Awareness and training`。这是特定于框架的一组 NIST 控件，与培训相关。
+  **证据来源** - 单个数据来源
+ **数据来源类型** - 手动
+ **证据类型** - 手动

以下是根据 NIST 800-53（Rev. 5）框架创建的 Audit Manager 评估中显示的控件： Low-Moderate-High

![\[显示评测中的控件的屏幕截图。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/control-example-manual-console.png)


评测显示控件状态。还显示了迄今为止为此控件收集了多少证据。在这里，您可以委托控件审阅，也可以自己完成审阅。选择控件名称会打开详情页面，其中包含更多信息，包括该控件的证据。

**此控件的作用**  
您可以使用此控件来协助您确保员工接受适当的安全和隐私培训。具体而言，您可以证明您已根据所有员工的角色为其安排了有据可查的安全和隐私培训活动。您还可以出示证据，证明针对每个人都保留了培训记录。

**如何手动上传此控件的证据**  
要上传补充自动证据的手动证据，请参阅[中的上传手动证据 AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/upload-evidence.html)。Audit Manager 将已上传的证据附加至命名为 `AT-4: Training Records` 的评测中的控件。

**如何使用 Audit Manager 证明该控件的合规性**  
如果您有支持此控件的文档，则可将其作为手动证据上传。例如，您可以上传人力资源部门向员工发放的、基于角色的强制性培训材料的最新副本。

就像自动控件一样，您可以将手动控件委托给利益相关者，他们可以帮助您审核证据（或者在本例中提供证据）。例如，当您查看此控件时，您可能会意识到自己只能部分满足其要求。如果您没有员工本人参加培训的跟踪记录副本，则可能出现这种情况。您可以将控件委派给人力资源利益相关者，然后该利益相关者可以上传参加培训的员工列表。

如果您确信自己与控件一致，则可以将其标记为*已审核*，并将证据添加至评测报告。然后，您可以与审计员共享此报告，以证明控件按预期运行。

## 具有混合数据来源类型（自动和手动）的控件
<a name="mixed"></a>

在许多情况下，需要将自动和手动证据相结合以满足控制措施。尽管 Audit Manager 可以提供与控件相关的自动证据，但您可能需要通过自己识别和上传的手动证据补充这些数据。

此示例显示的控件结合了手动证据和自动证据。这是取自 [NIST 800-53 (Rev. 5) 框架](https://docs.aws.amazon.com/audit-manager/latest/userguide/NIST800-53r5.html)的标准控件。Audit Manager 使用此控件生成证据，以帮助使您的 AWS 环境符合 NIST 要求。

**控件细节示例**
+ **控件名称** - `Personnel Termination`
+ **控件集** – `(PS) Personnel Security (10)`。这组特定于框架的 NIST 控件与针对组织系统执行硬件或软件维护的人员有关。
+ **证据来源**- AWS 托管（核心控制）和单个数据源（手动）
+ **基础数据源类型** — AWS API 调用、 AWS CloudTrail、 AWS Config、手动
+ **证据类型** - 配置数据、用户活动、合规性检查、手动证据

以下是根据 NIST 800-53 (Rev. 5) 框架创建的 Audit Manager 评测中显示的控件：

![\[显示评测中的控件的屏幕截图。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/control-example-mixed-console.png)


评测显示控件状态。还显示了迄今为止为此控件收集了多少证据。在这里，您可以委托控件审阅，也可以自己完成审阅。选择控件名称会打开详情页面，其中包含更多信息，包括该控件的证据。

**此控件的作用**  
如果员工被解雇，您可以使用此控件确认您在保护组织信息。具体而言，您可以证明自己禁用了系统访问权限并撤销了员工的凭证。此外，您可以证明所有被解雇的员工都参加了离职面谈，其中包括对组织相关安全协议的讨论。

**Audit Manager 如何为此控件收集证据**  
Audit Manager 采取以下措施来为此控件收集证据：

1. 对于每个控件，Audit Manager 都会使用控件设置中指定的证据来源评测您范围内的资源。

   在本例中，控件使用多个核心控件作为证据来源。反过来，这些核心控制措施中的每一个都从各个数据源（AWS API 调用 AWS CloudTrail、和 AWS Config）收集相关证据。Audit Manager 使用这些数据源类型根据相关的 API 调用、 CloudTrail 事件和 AWS Config 规则评估您的 IAM 资源（例如群组、密钥和策略）。

1. 资源评测结果将被保存并转化为审计员友好证据。此证据包含从每个数据来源捕获的原始数据，以及指明数据支持哪种控件的其他元数据。

1. Audit Manager 将已保存证据附加至您命名为`Personnel Termination`的评测。

**如何手动上传此控件的证据**  
要上传补充自动证据的手动证据，请参阅[中的上传手动证据 AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/upload-evidence.html)。Audit Manager 将已上传的证据附加至命名为 `Personnel Termination` 的评测中的控件。

**如何使用 Audit Manager 证明该控件的合规性**  
将证据附至控件后，您（或您选择的委托人）可以审核证据，了解是否充足或是否需要采取任何补救措施。例如，当您查看此控件时，您可能会意识到自己只能部分满足其要求。如果您有证据证明访问权限已被撤销，但没有任何离职面谈证明文件的副本，便会是这种情况。您可以将控件委派给人力资源利益相关者，然后该利益相关者可以上传离职面谈证明文件的副本。或者，如果在审计期间没有员工被解雇，您可以留下评论，说明控件中没有附上签名文件的原因。

如果您确信自己与控件一致，则可以将控件标记为*已审核*，并将证据添加至评测报告。然后，您可以与审计员共享此报告，以证明控件按预期运行。

# 使用 AWS Audit Manager
<a name="using-auditmanager"></a>



您可以 AWS Audit Manager 通过各种选项进行访问，具体取决于您的特定需求和偏好。以下是一些您可以与 Audit Manager 进行交互的不同方法：
+ **Audit Manager 控制台**

  在[https://console.aws.amazon.com/auditmanager/家](https://console.aws.amazon.com/auditmanager/home)中直接访问 Audit Manager 控制台，该控制台提供了一个用户友好的界面，用于管理您的审计和相关资源。
+ **Audit Manager API**

   通过 Audit Manager API 以编程方式与 Audit Manager 进行交互，使您可以自动执行任务并将其集成到现有工作流中。有关更多信息，请参阅 [https://docs.aws.amazon.com/audit-manager/latest/APIReference/Welcome.html](https://docs.aws.amazon.com/audit-manager/latest/APIReference/Welcome.html)。
+ **AWS SDKs**

  使用 AWS 软件开发套件 (SDKs) 以编程方式与 Audit Manager 交互，使您能够使用各种编程语言编写代码。有关更多信息，请参阅 [AWS Audit Manager 与 AWS SDK 一起使用](sdk-general-information-section.md)。
+ **AWS CloudFormation**

  使用创建 Audit Manager 资源 AWS CloudFormation，它允许您将审计基础架构定义和部署为代码。有关更多信息，请参阅 [使用创建 AWS Audit Manager 资源 AWS CloudFormation](creating-resources-with-cloudformation.md)。
+ **第三方集成**

  将 Audit Manager 与支持的第三方治理、风险与合规性（GRC）产品集成，使您能够充分利用现有的 GRC 工具和流程。有关更多信息，请参阅 [与第三方 GRC 产品集成](third-party-integration.md)。
+ **与您自己的 GRC 系统集成**

  将 Audit Manager 的证据整合到您自己的 GRC 系统中，使您可以将证据直接从 Audit Manager 发送到 GRC 应用程序中。有关更多信息，请参阅 [将 Audit Manager 证据整合到您的 GRC 系统中](tutorial-for-grc-integration.md)。

# AWS Audit Manager 与 AWS SDK 一起使用
<a name="sdk-general-information-section"></a>



AWS 软件开发套件 (SDKs) 可用于许多流行的编程语言。每个 SDK 都提供 API、代码示例和文档，使开发人员能够以其首选语言构建应用程序。


| SDK 文档 | Audit Manager 特定文档 | 代码示例 | 
| --- | --- | --- | 
|  [适用于 C\$1\$1 的 AWS SDK](https://docs.aws.amazon.com/sdk-for-cpp)  |  [适用于 C\$1\$1 的 AWS SDK Audit Manager 的 API 参考](https://docs.aws.amazon.com/sdk-for-cpp/latest/api/aws-cpp-sdk-auditmanager/html/namespace_aws_1_1_audit_manager.html)  |  [适用于 C\$1\$1 的 AWS SDK 代码示例](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/cpp)  | 
|  [适用于 Go 的 AWS SDK](https://docs.aws.amazon.com/sdk-for-go)  |  [适用于 Go 的 AWS SDK Audit Manager 的 API 参考](https://pkg.go.dev/github.com/aws/aws-sdk-go-v2/service/auditmanager)  |  [适用于 Go 的 AWS SDK 代码示例](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/gov2)  | 
|  [适用于 Java 的 AWS SDK](https://docs.aws.amazon.com/sdk-for-java)  |  [AWS SDK for Java 2.x Audit Manager 的 API 参考](https://sdk.amazonaws.com/java/api/latest/software/amazon/awssdk/services/auditmanager/AuditManagerClient.html)  |  [适用于 Java 的 AWS SDK 代码示例](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javav2)  | 
|  [适用于 JavaScript 的 AWS SDK](https://docs.aws.amazon.com/sdk-for-javascript)  |   [适用于 JavaScript 的 AWS SDK Audit Manager 的 API 参考](https://docs.aws.amazon.com/AWSJavaScriptSDK/latest/AWS/AuditManager.html)  |  [适用于 JavaScript 的 AWS SDK 代码示例](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javascriptv3)  | 
|  [适用于 .NET 的 AWS SDK](https://docs.aws.amazon.com/sdk-for-net)  |  [适用于 .NET 的 AWS SDK Audit Manager 的 API 参考](https://docs.aws.amazon.com/sdkfornet/v3/apidocs/items/AuditManager/NAuditManager.html)  |  [适用于 .NET 的 AWS SDK 代码示例](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3)  | 
|  [适用于 PHP 的 AWS SDK](https://docs.aws.amazon.com/sdk-for-php)  |  [适用于 PHP 的 AWS SDK Audit Manager 的 API 参考](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-auditmanager-2017-07-25.html)  |  [适用于 PHP 的 AWS SDK 代码示例](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/php)  | 
|  [适用于 Python (Boto3) 的 AWS SDK](https://docs.aws.amazon.com/pythonsdk)  |  [AWS SDK for Python (Boto) Audit Manager 的 API 参考](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/auditmanager.html)  |  [适用于 Python (Boto3) 的 AWS SDK 代码示例](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python)  | 
|  [适用于 Ruby 的 AWS SDK](https://docs.aws.amazon.com/sdk-for-ruby)  |  [适用于 Ruby 的 AWS SDK Audit Manager 的 API 参考](https://docs.aws.amazon.com/sdk-for-ruby/v3/api/Aws/AuditManager.html)  |  [适用于 Ruby 的 AWS SDK 代码示例](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/ruby)  | 

有关特定于 Audit Manager 的[示例，请参阅 Audit Manager 使用的代码示例 AWS SDKs](https://docs.aws.amazon.com/code-library/latest/ug/auditmanager_code_examples.html)。

**注意**  
Audit Manager 可用于 适用于 Python (Boto3) 的 AWS SDK botocore 版本 1.19.32 及更高版本。开始使用 SDK 之前，请确保您使用的是相应的 botocore 版本。

# 使用创建 AWS Audit Manager 资源 AWS CloudFormation
<a name="creating-resources-with-cloudformation"></a>



AWS Audit Manager 与 AWS CloudFormation一项服务集成，可帮助您对 AWS 资源进行建模和设置，从而减少创建和管理资源和基础设施所花费的时间。您可以创建一个描述所需的所有 AWS 资源（例如评估）的模板，并为您 CloudFormation 预置和配置这些资源。

使用时 CloudFormation，您可以重复使用您的模板来一致且重复地设置 AWS Audit Manager 资源。描述一次您的资源，然后在多个 AWS 账户和区域中一遍又一遍地配置相同的资源。

## AWS Audit Manager 和 CloudFormation 模板
<a name="working-with-templates"></a>

要为 AWS Audit Manager 及相关服务预置和配置资源，您必须了解 [CloudFormation 模板](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html)。模板是 JSON 或 YAML 格式的文本文件。这些模板描述了您要在 CloudFormation 堆栈中配置的资源。如果你不熟悉 JSON 或 YAML，可以使用 D CloudFormation esigner 来帮助你开始使用 CloudFormation 模板。有关更多信息，请参阅《AWS CloudFormation 用户指南》**中的[什么是 CloudFormation Designer？](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/working-with-templates-cfn-designer.html)。

AWS Audit Manager 支持在中创建评估 CloudFormation。有关更多信息（包括这些评测的 JSON 和 YAML 模板示例），请参阅 *AWS CloudFormation 用户指南*中的 [AWS Audit Manager 资源类型参考](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-auditmanager-assessment.html)。

## 了解更多关于 CloudFormation
<a name="learn-more-cloudformation"></a>

要了解更多信息 CloudFormation，请参阅以下资源：
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS CloudFormation 用户指南](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ [CloudFormation API 引用](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/Welcome.html)
+ [AWS CloudFormation 命令行界面用户指南](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/what-is-cloudformation-cli.html)

# 与第三方 GRC 产品集成
<a name="third-party-integration"></a>



AWS Audit Manager 支持与本页上列出的第三方合作伙伴 GRC 产品集成。

如果您的公司使用混合云模型或多云模型，则很可能会使用 GRC 产品管理来自这些环境的证据。当该产品与 Audit Manager 集成后，您可以将有关 AWS 使用情况的证据直接提取到您的 GRC 环境中。这简化了合规性管理方式，在您准备审计时，为您提供了一个审核和补救证据的集中场所。

阅读本页面，概述可以从 Audit Manager 提取证据的第三方 GRC 产品。您还可以查看关于可直接在这些产品中执行的 Audit Manager API 操作的参考。

**Topics**
+ [

## 了解第三方集成如何用于 Audit Manager
](#understanding-grc-integrations)
+ [

## 与 Audit Manager 集成的第三方 GRC 合作伙伴产品
](#supported-grc-integrations)

## 了解第三方集成如何用于 Audit Manager
<a name="understanding-grc-integrations"></a>

GRC 合作伙伴可以公开 APIs 使用 Audit Manager 将其产品与 Audit Manager 集成。通过此集成，您可以将 GRC 环境中的企业控件映射至 Audit Manager 提供的通用控件。

**提示**  
您可以将企业控件映射至任何类型的 [Audit Manager 控件](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#control)。但是，我们建议您使用通用控件。当您映射到表示目标的常用控件时，Audit Manager 会从由管理的一组预定义的数据源中收集证据 AWS。这意味着您不必成为 AWS 专家，就能知道哪些数据来源会为您的目标收集相关证据。

完成此一次性控件映射实践后，您可以直接在 GRC 产品中创建 Audit Manager 评测。此操作将开始收集有关您的 AWS 使用情况的证据。然后，您可以看到这些 AWS 证据以及从混合环境中收集的其他证据，所有这些都是在企业控制的相同背景下进行的。

当您将 Audit Manager 与第三方 GRC 产品集成时，请记住以下几点：
+ 集成适用于所有[支持 Audit Manager 的AWS 区域](https://docs.aws.amazon.com/general/latest/gr/audit-manager.html)。
+ 您在 GRC 合作伙伴产品中创建的任何 Audit Manager 资源也将反映在 Audit Manager。
+ 除了第三方 GRC 产品定价外，您还需要支付[AWS Audit Manager 定价](https://aws.amazon.com/audit-manager/pricing/)。
+ Audit Manager 收集的证据是不可变。第三方 GRC 产品中的证据呈现方式与 Audit Manager 控制台的呈现方式完全相同。但是，如果您使用第三方集成，则可以通过在报告中提供其他背景信息，强化这些证据的可信度。
+ [适用于 Audit Manager 的相同限额](https://docs.aws.amazon.com/audit-manager/latest/userguide/service-quotas.html)也适用于第三方 GRC 产品。例如，每个 AWS 账户 最多可包含 100 项有效 Audit Manager 评测。无论您是在 Audit Manager 控制台还是在第三方 GRC 产品中创建评测，此账户级别限额都适用。大多数 Audit Manager 配额（但不是全部）都列在 Service Quotas 控制台的 AWS Audit Manager 命名空间下。若要了解如何请求提高限额，请参阅 [管理您的 Audit Manager 限额](service-quotas.md#managing-your-service-quotas)。

如果您有合规解决方案，并且有兴趣与 Audit Manager 集成，请发送电子邮件至 `auditmanager-partners@amazon.com`。

## 与 Audit Manager 集成的第三方 GRC 合作伙伴产品
<a name="supported-grc-integrations"></a>

以下第三方 GRC 产品可以从 Audit Manager 提取证据。

### MetricStream
<a name="metricstream"></a>

要使用此集成，请联系以[MetricStream](https://aws.amazon.com/marketplace/pp/prodview-5ph5amfrrmyx4?qid=1616170904192&sr=0-1&ref_=srh_res_product_title)获取和购买 MetricStream GRC 软件。

Enterprise GRC解决方案建立在 MetricStream 平台上，允许对 MetricStream 企业范围的GRC活动和流程采取全面的协作方法。通过将来自 Audit Manager 的证据引入 MetricStream，您可以主动识别 AWS 环境中的不合规证据，并将其与来自本地数据源或其他云合作伙伴的证据一起进行审查。这为您提供了一种便捷而集中的方式，可以在准备审计阶段审核和改进您的云安全与合规状况。

通过与 A MetricStream udit Manager 集成，您可以执行以下 API 操作。


| Task | API 操作 | 
| --- | --- | 
| 设置 Audit Manager 集成 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/third-party-integration.html)  | 
|  审核 Audit Manager 资源  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/third-party-integration.html)  | 
|  创建 Audit Manager 资源  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/third-party-integration.html)  | 
|  更新 Audit Manager 资源  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/third-party-integration.html)  | 
|  管理证据  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/third-party-integration.html)  | 
| 删除 Audit Manager 资源 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/third-party-integration.html)  | 

**相关 MetricStream 链接**
+ [AWS Marketplace link](https://aws.amazon.com/marketplace/pp/prodview-5ph5amfrrmyx4?qid=1616170904192&sr=0-1&ref_=srh_res_product_title)
+ [产品链接](https://www.metricstream.com/products/cyber-grc.htm)
+ [产品定价](https://info.metricstream.com/ms-pricing.html?Channel=ms-side-widget)

# 将 Audit Manager 证据整合到您的 GRC 系统中
<a name="tutorial-for-grc-integration"></a>



作为企业客户，您的资源可能分布于多个数据中心，包括其他云供应商和本地环境。要从这些环境中收集证据，您可以使用第三方 GRC（治理、风险和合规性）解决方案，例如 C MetricStream yberGRC 或 RSA Archer。或者，您可以使用自己内部开发的专有 GRC 系统。

本教程向您展示了如何将内外部 GRC 系统与 Audit Manager 集成。这种集成使供应商能够收集有关其客户 AWS 使用和配置的证据，并将这些证据直接从 Audit Manager 发送到 GRC 应用程序。如此一来，您就可以将多个环境中的合规性报告集中到一起。

在本教程中：

1. **供应商**是指 GRC 应用程序与 Audit Manager 集成的实体或公司。

1. **客户**是指使用以及同时使用 AWS内部或外部 GRC 应用程序的实体或公司。

**注意**  
在某些情况下，GRC 应用程序由同一家公司拥有和使用。在本例中，**供应商**是指拥有 GRC 应用程序的群组或团队，而**客户**是指使用 GRC 应用程序的团队或群组。

**本教程介绍如何执行以下操作：**
+ [第 1 步：启用 Audit Manager](#tutorial-for-grc-integration-step1)
+ [步骤 2：设置权限](#tutorial-for-grc-integration-step2)
+ [步骤 3：将您的企业控件映射至 Audit Manager 控件](#tutorial-for-grc-integration-step3)
+ [步骤 4：随时更新控件映射](#tutorial-for-grc-integration-step4)
+ [第 5 步：创建评测](#tutorial-for-grc-integration-step5)
+ [步骤 6. 开始收集证据](#tutorial-for-grc-integration-step6)

## 先决条件
<a name="tutorial-for-grc-integration-prerequisites"></a>

**在开始之前，请务必满足下列条件：**
+ 您在 AWS中运行基础设施。
+ 您使用内部 GRC 系统，或者使用供应商提供的第三方 GRC 软件。
+ 您已完成[设置 Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/setting-up.html) 所需的所有[先决条件](https://docs.aws.amazon.com/audit-manager/latest/userguide/setup-prerequisites.html)。
+ 您熟悉 [理解 AWS Audit Manager 概念和术语](concepts.md)。

**需要注意的一些限制：**
+ Audit Manager 是区域性的 AWS 服务。您必须在运行 AWS 工作负载的每个区域单独设置 Audit Manager。
+ Audit Manager 不支持将来自多个区域的证据聚合到一个区域中。如果您的资源跨越多个 AWS 区域，则必须在 GRC 系统中汇总证据。
+ Audit Manager 为您可以创建的资源数量设置了默认限额。如有需要，您可以请求增加这些默认限额。有关更多信息，请参阅 [AWS Audit Manager的限额和限制](https://docs.aws.amazon.com/audit-manager/latest/userguide/service-quotas.html)。

## 第 1 步：启用 Audit Manager
<a name="tutorial-for-grc-integration-step1"></a>

### 谁完成此步骤
<a name="tutorial-for-grc-integration-step1-who"></a>

Customer

### 您需要了解的内容
<a name="tutorial-for-grc-integration-step1-what"></a>

首先为您的 AWS 账户启用 Audit Manager。如果您的账户属于组织，则可以使用您的管理账户启用 Audit Manager，然后为 Audit Manager 指定委派管理员。

### 过程
<a name="tutorial-for-grc-integration-step1-procedure"></a>

**启用 Audit Manager**  
按照说明[启用 Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/setup-audit-manager.html)。对要收集证据的所有区域重复设置程序。

**提示**  
如果您使用 AWS Organizations，我们强烈建议您在此步骤中设置委托管理员。如果您使用 Audit Manager 中的委派管理员账户，则可以使用证据查找器在组织中的所有成员账户中搜索证据。

## 步骤 2：设置权限
<a name="tutorial-for-grc-integration-step2"></a>

### 谁完成此步骤
<a name="tutorial-for-grc-integration-step2-who"></a>

Customer

### 您需要了解的内容
<a name="tutorial-for-grc-integration-step2-what"></a>

在此步骤中，客户为其账户创建一个 IAM 角色。然后，客户向供应商授予代入该角色的权限。

![\[显示 IAM 角色如何为供应商账户授予访问权限的示意图。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/vendor-role-access.png)


### 过程
<a name="tutorial-for-grc-integration-step2-procedure"></a>

**为客户账户创建角色**  
按照《IAM 用户指南**》中[为 IAM 用户创建角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。
+ 在角色创建工作流的第 8 步中，选择**创建策略**并为角色输入策略。

  角色必须至少具有以下权限：

------
#### [ JSON ]

****  

  ```
  {
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
      {
        "Sid" : "AuditManagerAccess",
        "Effect" : "Allow",
        "Action" : [
          "auditmanager:*"
        ],
        "Resource" : "*"
      },
      {
        "Sid" : "OrganizationsAccess",
        "Effect" : "Allow",
        "Action" : [
          "organizations:ListAccountsForParent",
          "organizations:ListAccounts",
          "organizations:DescribeOrganization",
          "organizations:DescribeOrganizationalUnit",
          "organizations:DescribeAccount",
          "organizations:ListParents",
          "organizations:ListChildren"
        ],
        "Resource" : "*"
      },
      {
        "Sid" : "IAMAccess",
        "Effect" : "Allow",
        "Action" : [
          "iam:GetUser",
          "iam:ListUsers",
          "iam:ListRoles"
        ],
        "Resource" : "*"
      },        
      {
        "Sid" : "S3Access",
        "Effect" : "Allow",
        "Action" : [
          "s3:ListAllMyBuckets"
        ],
        "Resource" : "*"
      },
      {
        "Sid" : "KmsAccess",
        "Effect" : "Allow",
        "Action" : [
          "kms:DescribeKey",
          "kms:ListKeys",
          "kms:ListAliases"
        ],
        "Resource" : "*"
      },
      {
        "Sid" : "KmsCreateGrantAccess",
        "Effect" : "Allow",
        "Action" : [
          "kms:CreateGrant"
        ],
        "Resource" : "*",
        "Condition" : {
          "Bool" : {
            "kms:GrantIsForAWSResource" : "true"
          },
          "StringLike" : {
            "kms:ViaService" : "auditmanager.*.amazonaws.com"
          }
        }
      },
      {
        "Sid" : "SNSAccess",
        "Effect" : "Allow",
        "Action" : [
          "sns:ListTopics"
        ],
        "Resource" : "*"
      }, 
      {
        "Sid" : "TagAccess",
        "Effect" : "Allow",
        "Action" : [
          "tag:GetResources"
        ],
        "Resource" : "*"
      }
    ]
  }
  ```

------
+ 在角色创建工作流的第 11 步中，输入 `vendor-auditmanager` 作为**角色名称**。

**允许供应商账户代入该角色**  
按照《IAM 用户指南》**中[向用户授予切换角色的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html)中的说明进行操作。
+ 策略声明必须包括对 `sts:AssumeRole action` 的 `Allow` 影响。
+ 还必须包括资源元素中该角色的 Amazon 资源名称（ARN）。
+ 以下是您可以使用的示例策略语句。

  在本政策中，将*placeholder text*替换为供应商的 AWS 账户 ID。

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": {
          "Effect": "Allow",
          "Action": "sts:AssumeRole",
          "Resource": "arn:aws:iam::111122223333:role/vendor-auditmanager"
      }
  }
  ```

------

## 步骤 3：将您的企业控件映射至 Audit Manager 控件
<a name="tutorial-for-grc-integration-step3"></a>

### 谁完成此步骤
<a name="tutorial-for-grc-integration-step3-who"></a>

Customer

### 您需要了解的内容
<a name="tutorial-for-grc-integration-step3-what"></a>

供应商会维护一份精选的企业控件清单，供客户在评测中使用。要与 Audit Manager 集成，供应商必须创建一个接口，使客户能够将其企业控件映射至相应的 Audit Manager 控件。您可以映射至[](concepts.md#common-control)（首选），也可以映射至[](concepts.md#standard-control)。在供应商的 GRC 应用程序中开始任何评测之前，您必须完成此映射。

![\[显示企业控件如何映射至 Audit Manager 控件的示意图。\]](http://docs.aws.amazon.com/zh_cn/audit-manager/latest/userguide/images/control-mapping.png)


### 选项 1：将企业控件映射至通用控件（推荐）
<a name="mapping-to-common-controls"></a>

推荐采用这种方法将企业控件映射至 Audit Manager。这是因为通用控件与通用行业标准非常一致。这样，您可以更轻松地将它们映射到您的企业控件。

通过这种方法，供应商可以创建一个接口，使客户能够一次性完成其企业控件和 Audit Manager 提供的相应通用控件之间的映射。供应商可以使用[ListControls[ListCommonControls](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListCommonControls.html)](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListControls.html)、和 [GetControl](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetControl.html)API 操作向客户显示这些信息。客户完成映射练习后，供应商就可以使用这些映射在 Audit Manager 中[创建自定义控件](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html)。

下面是通用控件映射的示例：

假设您有一个名为 `Asset Management` 的企业控件。该企业控件映射至 Audit Manager 中的两个通用控件（`Asset performance management` 和 `Asset maintenance scheduling`）。在本例中，您必须在 Audit Manager 中创建自定义控件（我们将其命名为 `enterprise-asset-management`）。然后，将 `Asset performance management` 和 `Asset maintenance scheduling` 作为证据来源添加到新的自定义控件中。这些证据来源从一组预定义 AWS 的数据源中收集支持证据。这为您提供了一种有效的方法来识别与您的企业控制要求对应 AWS 的数据源。

#### 过程
<a name="mapping-to-common-controls-procedure"></a>

**查找您可以映射到的可用通用控件**  
按照以下步骤在 Audit Manager 中[查找可用的通用控件列表](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html)。

**创建自定义控件**

1. 按照以下步骤根据您的企业控件[创建自定义控件](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html)。

   在自定义控件创建工作流的第 2 步中指定证据来源时，请执行以下操作：
   + 选择 **AWS 托管式来源**作为证据来源。
   + 选择**使用符合您合规性目标的通用控件**。
   + 最多选择五种通用控件作为企业控件的证据来源。

1. 对所有企业控件重复此任务，然后在 Audit Manager 中为每个控件创建相应的自定义控件。

### 选项 2：将企业控件映射至标准控件
<a name="mapping-to-standard-controls"></a>

Audit Manager 提供了大量预先构建的标准控件。您可以在企业控件和这些标准控件之间完成一次性映射。确定与企业控件相对应的标准控件后，可以将这些标准控件直接添加到自定义框架中。如果您选择此选项，则无需在 Audit Manager 中创建任何自定义控件。

#### 过程
<a name="mapping-to-common-controls-procedure"></a>

**查找可以映射到的可用标准控件**  
按照以下步骤在 Audit Manager 中[查找可用的标准控件列表](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html)。

**创建自定义框架**

1. 按照以下步骤在 Audit Manager 中[创建自定义框架](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-custom-frameworks-from-scratch.html)。

   在框架创建过程的第 2 步中指定控件集时，请包括映射至您企业控件的标准控件。

1. 对所有企业控件重复此任务，直到自定义框架中包含所有相应的标准控件。

## 步骤 4：随时更新控件映射
<a name="tutorial-for-grc-integration-step4"></a>

### 谁完成此步骤
<a name="tutorial-for-grc-integration-step4-who"></a>

供应商、客户

### 您需要了解的内容
<a name="tutorial-for-grc-integration-step4-what"></a>

Audit Manager 会不断更新常用控件和标准控制措施，以确保它们使用最新的可用 AWS 数据源。这就表示映射控件是一项一次性的任务：将标准控件添加到自定义框架后，您无需对其进行管理；将通用控件作为证据来源添加到自定义控件中后，您也无需对其进行管理。每当更新通用控件时，都会自动将相同的更新应用于使用该通用控件作为证据来源的所有自定义控件。

但是，今后可能会出现新的通用控件和标准控件供您用作证据来源。考虑到这一点，供应商和客户应当创建一个工作流，定期从 Audit Manager 获取最新的通用控件和标准控件。然后，您可以查看企业控件和 Audit Manager 控件之间的映射，并根据需要更新映射。

### 如果您的企业控件映射到通用控件
<a name="if-your-enterprise-controls-are-mapped-to-common-controls"></a>

在映射过程中，您创建了自定义控件。您就可以使用 Audit Manager 编辑这些自定义控件，以便它们使用最新可用的通用控件作为证据来源。自定义控件更新生效后，您现有的评测将针对更新的自定义控件自动收集证据。您无需创建新的框架或评测。

#### 过程
<a name="if-your-enterprise-controls-are-mapped-to-common-controls-procedure"></a>

**查找您可以映射到的最新通用控件**  
按照以下步骤在 Audit Manager 中[查找可用的通用控件](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html)。

**编辑自定义控件**

1. 按照以下步骤在 Audit Manager 中[编辑自定义控件](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-controls.html)。

   在编辑工作流的第 2 步中更新证据来源时，请执行以下操作：
   + 选择 **AWS 托管式来源**作为证据来源。
   + 选择**使用符合您合规性目标的通用控件**。
   + 为您的自定义控件选择要用作证据来源的新通用控件。

1. 对要更新的所有企业控件重复此任务。

### 如果您的企业控件映射到标准控件
<a name="if-your-enterprise-controls-are-mapped-to-standard-controls"></a>

在这种情况下，供应商必须创建一个包含最新可用标准控件的新自定义框架，然后使用此新框架创建新的评测。创建新评测后，您可以将旧评测标记为非活动状态。

#### 过程
<a name="if-your-enterprise-controls-are-mapped-to-standard-controls-procedure"></a>

**查找可以映射到的最新标准控件**  
按照以下步骤在 Audit Manager 中[查找可用的标准控件](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html)。

**创建自定义框架并添加最新的标准控件**  
按照以下步骤在 Audit Manager 中[创建自定义框架](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-custom-frameworks-from-scratch.html)。

在框架创建工作流的第 2 步中指定控件集时，请包括新的标准控件。

**创建评测**  
在 GRC 应用程序中创建评测。

**将评测状态更改为非活动**  
按照以下步骤在 Audit Manager 中[更改评测的状态](https://docs.aws.amazon.com/audit-manager/latest/userguide/change-assessment-status-to-inactive.html)。

## 第 5 步：创建评测
<a name="tutorial-for-grc-integration-step5"></a>

**谁完成此步骤**  
GRC 应用程序，并附上供应商提供的信息 

**您需要了解的内容**  
作为客户，您无需直接在 Audit Manager 中创建评测。当您开始对 GRC 应用程序中的某些控件进行评测时，GRC 应用程序会在 Audit Manager 中为您创建相应的资源。首先，GRC 应用程序使用您创建的映射来识别相关的 Audit Manager 控件。接下来，它会使用控件信息为您创建自定义框架。最后，它会在 Audit Manager 中使用新创建的自定义框架创建评测。

在 Audit Manager 中创建评测还需要一个[范围](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-assessments.html#specify-accounts)。此范围列出了客户想要在 AWS 账户 哪里进行评估和收集证据。客户必须直接在 GRC 应用程序中定义此范围。

作为供应商，您需要存储映射到 GRC 应用程序中启动的评测的 `assessmentId`。必须有此 `assessmentId` 才能从 Audit Manager 获取证据。

**查找评测 ID**

1. 使用该[ListAssessments](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListAssessments.html)操作在 Audit Manager 中查看您的评估。您可以使用 [status](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListAssessments.html#auditmanager-ListAssessments-request-status) 参数查看处于活动状态的评测。

   ```
   aws auditmanager list-assessments --status ACTIVE
   ```

1. 在响应中，确定要存储在 GRC 应用程序中的评测，并记下 `assessmentId`。

## 步骤 6. 开始收集证据
<a name="tutorial-for-grc-integration-step6"></a>

**谁完成此步骤**  
AWS Audit Manager，并附上供应商提供的信息

**您需要了解的内容**  
创建评测后，最多需要 24 小时才能开始收集证据。此时，您的企业控件正在积极为您的 Audit Manager 评测收集证据。

我们建议您使用[证据查找器](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html)特征在 Audit Manager 中快速查询和查找证据。如果您以委派管理员的身份使用证据查找器，则可以在组织中的所有成员账户中搜索证据。使用筛选条件和分组的组合，可以逐步缩小搜索查询的范围。例如，如果您想从高层次查看系统运行状况，请进行广泛搜索并按评测、日期范围以及资源合规性进行筛选。如果您的目标是修复特定资源，则可以执行狭窄搜索，以瞄准特定控件或资源 ID 的证据。定义筛选条件后，您可分组并预览匹配的搜索结果，然后再创建评测报告。

**启用证据查找器**
+ 按照以下说明在 Audit Manager 设置中[启用证据查找器](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder-settings-enable.html)。

启用证据查找器后，您可以决定从 Audit Manager 为评测获取证据的节奏。您还可以为评测中的特定控件获取证据，并将证据存储在映射到企业控件的 GRC 应用程序中。您可以通过以下 Audit Manager API 操作来获取证据：
+ [GetEvidence](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidence.html)
+ [GetEvidenceByEvidenceFolder](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceByEvidenceFolder.html)
+ [GetEvidenceFolder](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceFolder.html)
+ [GetEvidenceFoldersByAssessment](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceFoldersByAssessment.html)
+ [GetEvidenceFoldersByAssessmentControl](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceFoldersByAssessmentControl.html)

## 定价
<a name="tutorial-for-grc-integration-pricing"></a>

无论您是供应商还是客户，此集成设置都不会产生任何额外费用。客户需要为在 Audit Manager 中收集的证据付费。有关定价的更多信息，请参阅 [AWS Audit Manager 定价](https://aws.amazon.com/audit-manager/pricing/)。

## 其他 资源
<a name="tutorial-for-grc-integration-whatnow"></a>

您可以通过查看以下资源来详细了解本教程中介绍的概念：
+ [评测](https://docs.aws.amazon.com/audit-manager/latest/userguide/assessments.html) - 了解管理评测的概念和任务。
+ [控件库](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-library.html) - 了解管理自定义控件的概念和任务。
+ [框架库](https://docs.aws.amazon.com/audit-manager/latest/userguide/framework-library.html) - 了解管理自定义框架的概念和任务。
+ [证据查找器](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html) - 了解如何导出 CSV 文件或根据查询结果生成评测报告。
+ [下载中心](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html) - 了解如何下载评测报告以及从 Audit Manager 中导出 CSV 文件。