本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 控制項和控制集問題疑難排解
<a name="control-issues"></a>



請參考此頁面提供的資訊來解決 Audit Manager 中控制項的常見問題。

**一般問題**
+ [我在評估中看不到任何控制項或控制集](#cannot-view-controls)
+ [我無法將手動證據上傳到控制項](#cannot-upload-manual-evidence)
+ [如果控制項顯示 “Replacement available”，這代表什麼意思？](#control-replacement-available)

**AWS Config 整合問題**
+ [我需要使用多個 AWS Config 規則做為單一控制項的資料來源](#need-to-use-multiple-rules)
+ [當我設定控制項資料來源時，無法使用自訂規則選項](#custom-rule-option-unavailable)
+ [自訂規則選項可用，但下拉式清單中沒有顯示任何規則](#no-custom-rules-displayed)
+ [一些自訂規則可用，但我看不到我想要使用的規則](#custom-rule-missing)
+ [我看不到要使用的受管規則](#managed-rule-missing)
+ [我想要共用自訂架構，但它具有使用自訂 AWS Config 規則做為資料來源的控制項。收件人可以收集這些控制項的證據嗎？](#shared-frameworks-with-custom-aws-config-rules)
+ [在 AWS Config中更新自訂規則時會發生什麼情況？ 我需要在 Audit Manager 中採取任何動作嗎？](#a-rule-is-updated)

## 我在評估中看不到任何控制項或控制集
<a name="cannot-view-controls"></a>

簡而言之，若要檢視評估的控制項，您必須被指定為該評估的稽核擁有者。此外，您還需要必要的 IAM 權限，才能檢視和管理相關 Audit Manager 資源。

如果您需要存取評估中的控制項，請要求該評估的一位稽核擁有者將您指定為稽核擁有者。您可以在[建立](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-assessments.html#choose-audit-owners)或[編輯](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-assessment.html#edit-choose-audit-owners)評估時指定稽核擁有者。

同樣請確保您具備管理評估的所需權限。我們建議稽核擁有者使用 [AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html) 策略。如果您需要 IAM 權限相關協助，請聯絡您的管理員或 [AWS 支援人員](https://aws.amazon.com/contact-us/)。有關如何將政策附加到 IAM 身分的更多資訊，請參閱 *IAM 使用者指南*中的[向使用者新增權限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)和[新增及移除 IAM 身分權限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。

## 我無法將手動證據上傳到控制項
<a name="cannot-upload-manual-evidence"></a>

如果您無法手動將證據上傳至控制項，可能是因為控制項處於*非作用中*狀態。

若要將手動證據上傳至控制項，您必須先將控制項狀態變更為*審核中*或*已審核*。如需說明，請參閱[在 中變更評估控制項的狀態 AWS Audit Manager](change-assessment-control-status.md)。

**重要**  
每個 每天最多 AWS 帳戶 只能手動上傳 100 個證據檔案到控制項。超過這個每日配額，會導致該控制項的任何額外手動上傳失敗。如果您需要將大量手動證據上傳至單一控制項，請在數天內分批上傳證據。

## 如果控制項顯示 “Replacement available”，這代表什麼意思？
<a name="control-replacement-available"></a>

![\[快顯訊息的螢幕擷取畫面，提示您重新建立評估。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/troubleshooting-control-replacement-available-console.png)


如果您看到此訊息，這表示更新的控制項定義可用於自訂架構中的一或多個標準控制項。我們建議您取代這些控制項，以便從 Audit Manager 現在提供改善的證據來源中獲益。

如需如何繼續的指示，請參閱 [在自訂架構詳細資訊頁面上，系統會提示我重新建立自訂架構](framework-issues.md#recreate-framework-post-common-controls)。

## 我需要使用多個 AWS Config 規則做為單一控制項的資料來源
<a name="need-to-use-multiple-rules"></a>

您可以將受管規則和自訂規則的組合用於單一控制項。若要這樣做，請定義控制項的多個證據來源，並為每個來源選取您偏好的規則類型。您可以為單一自訂控制項定義最多 100 個客戶受管資料來源。

## 當我設定控制項資料來源時，無法使用自訂規則選項
<a name="custom-rule-option-unavailable"></a>

這表示您沒有檢視您的 AWS 帳戶 或組織的自訂規則的權限。更具體地說，您沒有權限在 Audit Manager 主控台執行 [DescribeConfigRules](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeConfigRules.html) 作業。

若要解決此問題，請聯絡您的 AWS 管理員尋求協助。如果您就是 AWS 管理員，可以透過[管理您的 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)為使用者或群組提供權限。

## 自訂規則選項可用，但下拉式清單中沒有顯示任何規則
<a name="no-custom-rules-displayed"></a>

這表示您的 AWS 帳戶 或組織中沒有啟用和使用任何自訂規則。

如果您還沒有任何自訂規則 AWS Config，您可以建立一個。如需指示，請參閱 *AWS Config 開發人員指南*中的 [AWS Config 自訂規則](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules.html)。

若您預期看到自訂規則，請參閱下述疑難排解項目。

## 一些自訂規則可用，但我看不到我想要使用的規則
<a name="custom-rule-missing"></a>

如果您看不到預期查找的自訂規則，可能是下列問題之一所致。

**您的帳戶已從規則中排除**  
您使用的委派系統管理員帳戶可能已從規則中排除。  
您組織的管理帳戶 （或其中一個 AWS Config 委派管理員帳戶） 可以使用 AWS Command Line Interface () 建立自訂組織規則AWS CLI。當進行此操作時，他們可以指定[要排除的帳戶列表](https://docs.aws.amazon.com/config/latest/APIReference/API_PutOrganizationConfigRule.html#config-PutOrganizationConfigRule-request-ExcludedAccounts)，使這些帳戶不受該規則約束。如果您的帳戶在此清單中，則 Audit Manager 中無法使用該規則。  
若要解決此問題，請聯絡您的 AWS Config 管理員尋求協助。如果您是 AWS Config 管理員，您可以執行 [put-organization-config-rule](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-organization-config-rule.html) 命令來更新排除帳戶清單。

**規則未在 AWS Config中成功建立和啟用**  
也有可能未成功建立和啟用自訂規則。如果在[建立規則時發生錯誤](https://docs.aws.amazon.com/config/latest/APIReference/API_PutConfigRule.html#API_PutConfigRule_Errors)，或未[啟用](https://docs.aws.amazon.com/config/latest/developerguide/setting-up-aws-config-rules-with-console.html)該規則，則該規則不會顯示在 Audit Manager 的可用規則清單中。  
如需協助您解決此問題，建議您聯絡 AWS Config 管理員。

**此規則為受管規則**  
如果您在自訂規則的下拉式清單中找不到您要尋找的規則，則該規則可能是受管規則。  
您可以使用 [AWS Config 主控台](https://console.aws.amazon.com/config/)來驗證規則是否為受管規則。若要這麼做，請在左側導覽功能表中選擇**規則**，然後在表格中查找規則。如果規則是受管規則，**類型**欄會顯示 **AWS 受管**。  

![\[受管規則，如 AWS Config 主控台所示。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/rules-managed-console.png)

確認它是受管規則之後，請返回 Audit Manager 並選取**受管規則**作為規則類型。然後，在受管規則的下拉式清單中，尋找受管規則識別碼關鍵字。  

![\[與在 Audit Manager 主控台的受管規則的下拉式清單中找到的規則相同。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/control_data_source-managed_rule-console.png)


## 我看不到要使用的受管規則
<a name="managed-rule-missing"></a>

在您從 Audit Manager 主控台的下拉式清單中選取規則之前，請確定已選取**受管規則**作為規則類型。

![\[在 Audit Manager 主控台中選取的受管規則選項。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/ruletype-managed-console.png)


如果您仍然看不到預期尋找的受管規則，可能是您正在尋找規則*名稱*。相反地，您必須尋找規則*識別碼*。

如果您使用的是預設受管規則，其名稱和識別碼會類似。名稱以小寫字母表示，並使用破折號 (例如，`iam-policy-in-use`)。識別碼為大寫，並使用底線 (例如，`IAM_POLICY_IN_USE`)。若要尋找預設受管規則的識別符，請檢閱[支援的 AWS Config 受管規則關鍵字清單](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources-config.html#aws-config-managed-rules)，並遵循您要使用的規則連結。這會帶您前往該受管規則 AWS Config 的文件。從這裡，您可以看到名稱和識別碼。在 Audit Manager 下拉式清單中尋找識別碼關鍵字。

![\[在 AWS Config 文件中顯示的受管規則名稱和識別碼。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/ruleidentifier-configdocs.png)


如果您使用的是自訂受管規則，您可以使用 [AWS Config 主控台](https://console.aws.amazon.com/config/)來尋找規則識別符。舉例來說，假設您想要使用名為 `customized-iam-policy-in-use` 的受管規則。若要尋找此規則的識別符，請前往 AWS Config 主控台，在左側導覽功能表中選擇**規則**，然後在表格中選擇規則。

![\[在 AWS Config 主控台的規則表格中具有自訂名稱的受管規則。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/managedrule-customname-configconsole.png)


選擇**編輯**以開啟有關受管規則的詳細資料。

![\[AWS Config 主控台中的編輯規則選項。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/editrule-configconsole.png)


在**詳細資訊**一節下，您可以找到從 (`IAM_POLICY_IN_USE`) 建立的受管規則的來源識別碼。

![\[AWS Config 主控台中的受管規則詳細資訊。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/ruledetails-configconsole.png)


您現在可以返回 Audit Manager 主控台，並從下拉式清單中選取相同的識別碼關鍵字。

![\[Audit Manager 主控台中顯示的受管規則識別碼。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/ruleidentifier-console.png)


## 我想要共用自訂架構，但它具有使用自訂 AWS Config 規則做為資料來源的控制項。收件人可以收集這些控制項的證據嗎？
<a name="shared-frameworks-with-custom-aws-config-rules"></a>

是的，收件人可以收集這些控制的證據，但需要幾個步驟來實現這一目標。

若要讓 Audit Manager 使用 AWS Config 規則做為資料來源映射來收集證據，下列項目必須是 true。同樣適用於受管理規則和自訂規則。

1. 規則必須存在於收件人 AWS 的環境中

1. 規則必須在收件人 AWS 環境中啟用

請記住，您帳戶中的自訂 AWS Config 規則可能不存在於收件人 AWS 的環境中。此外，當收件者接受共享要求時，Audit Manager 不會在其帳戶中重新建立您的任何自訂規則。若要讓收件人使用您的自訂規則做為資料來源映射來收集證據，他們必須在其執行個體中建立相同的自訂規則 AWS Config。收件者[建立](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules.html)並[啟用](https://docs.aws.amazon.com/config/latest/developerguide/setting-up-aws-config-rules-with-console.html)規則後，Audit Manager 可以從該資料來源收集證據。

我們建議您與收件者通訊，讓他們知道是否需要在其 AWS Config執行個體中建立任何自訂規則。

## 在 AWS Config中更新自訂規則時會發生什麼情況？ 我需要在 Audit Manager 中採取任何動作嗎？
<a name="a-rule-is-updated"></a>

**對於您 AWS 環境中的規則更新**  
如果您在 AWS 環境中更新自訂規則，Audit Manager 不需要任何動作。Audit Manager 會依照下表所述偵測和處理規則更新。偵測到規則更新時，Audit Manager 不會另行通知。


| 案例 | Audit Manager 會做什麼 | 您需要執行的事項 | 
| --- | --- | --- | 
|  自訂規則會在您的 執行個體中**更新** AWS Config  | Audit Manager 會繼續使用更新的規則定義報告該規則的調查結果。 | 不需採取任何動作。 | 
|  自訂規則會在您的 執行個體****中刪除 AWS Config  | Audit Manager 會停止報告已刪除規則的調查結果。 |  不需採取任何動作。 如果需要，您可以[編輯自訂控制項](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-controls.html)，使用已刪除規則作為資料來源映射項目。這樣做有助於透過移除已刪除的規則，來清除資料來源設定。否則，刪除的規則名稱會保留為未使用的資料來源映射項目。  | 

**適用於您 AWS 環境外的規則更新**  
如果在 AWS 環境外更新自訂規則，Audit Manager 不會偵測規則更新。如果您使用共享的自訂架構，這將是需要考慮的因素。這是因為在此案例中，寄件者和收件人各自在不同的 AWS 環境中工作。下表提供適用於此方案的建議作法。


| 您的角色 | 案例 | 建議的動作 | 
| --- | --- | --- | 
|  寄件者  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/control-issues.html)  | 通知收件者您的更新。如此一來，他們就可以套用相同的更新，並與最新的規則定義保持同步。 | 
| 收件人 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/control-issues.html)  | 在您自己的 AWS Config執行個體中進行對應的規則更新。 |