本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 中建立評估 AWS Audit Manager
本主題以 為基礎[稽核擁有者教學課程:建立評估](tutorial-for-audit-owners.md)。您可以在此頁面中找到詳細說明,說明如何從架構建立評估。請依照下列步驟建立評估,並開始持續收集證據。
## 先決條件
開始本教學課程之前,請確定您符合下列條件:
+ 您已完成 [AWS Audit Manager 使用建議的設定進行設定](setting-up.md) 中描述的所有先決條件。您必須使用 AWS 帳戶 和 Audit Manager 主控台來完成本教學課程。
+ 您的 IAM 身分具有在 Audit Manager 中建立和管理評估的適當許可。授予這些許可的兩個建議政策是 [AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html) 和 [允許使用者管理對 的存取 AWS Audit Manager](security_iam_id-based-policy-examples.md#management-access)。
## 程序
**Contents**
+ [步驟 1:指定評估詳細資訊](#specify-details)
+ [步驟 2: AWS 帳戶 在範圍內指定](#specify-accounts)
+ [步驟 3:指定稽核擁有者](#choose-audit-owners)
+ [稽核擁有者許可](#choose-audit-owners-permissions)
+ [步驟 4:檢閱和建立](#review-and-create)
### 步驟 1:指定評估詳細資訊
首先選擇一個架構並提供評估的基本資訊。
**指定評估詳細資訊**
1. 開啟 AWS Audit Manager 主控台,[網址為 https://console.aws.amazon.com/auditmanager/home](https://console.aws.amazon.com/auditmanager/home)。
1. 在導覽窗格中,選擇 **評估**,然後選擇**建立評估**。
1. 在**名稱**下,輸入評估的名稱。
1. (選用) 在**描述**下,輸入評估的描述。
1. 在**評估報告目的地**下,選取您要儲存評估報告的 S3 儲存貯體。
**提示**
預設評估報告目的地取決於您的[評估設定](https://docs.aws.amazon.com/audit-manager/latest/userguide/settings-destination.html)。如果您願意,您可以建立和使用多個 S3 儲存貯體來協助您組織不同評估的評估報告。 AWS Audit Manager 支援將評估報告匯出至 Amazon S3 儲存貯體,包括跨帳戶目的地。為了獲得最佳安全性和效能,我們建議您在與評估相同的 AWS 帳戶和區域中使用 S3 儲存貯體。
1. 在**選取架構**下,選取您要從中建立評估的架構。您也可以使用搜尋列,依名稱、合規標準或法規來查詢架構。
**提示**
若要進一步了解架構,請選擇架構名稱以查看架構詳細資訊頁面。
1. (選用) 在**標籤**下,選擇**新增標籤**,將標籤與您的評估建立關聯。您可以指定每一個標籤的金鑰和值。標籤索引鍵是必要的,在搜尋此評估時,可用作搜尋條件。
1. 選擇**下一步**。
**注意**
請務必確保您的評估會針對特定架構收集正確的證據。開始收集證據之前,建議您檢閱所選架構的需求。然後,根據您目前的 AWS Config 規則參數驗證這些需求。如需確保規則參數符合架構需求,您可以[在 AWS Config中更新規則](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_manage-rules.html)。
例如,假設您正在為 CIS v1.2.0 建立評估。此架構包含一個名為 [1.9 — 確保 IAM 密碼政策的長度至少需要 14 或更高](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls.html#securityhub-cis-controls-1.9)的控制項。在 AWS Config中,[iam-password-policy](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) 規則具有一個 `MinimumPasswordLength` 參數,用於檢查密碼長度。此參數的預設值為 14 字元。因此,該規則符合控制項的需求。如果您沒有使用預設參數值,請確保您使用的值等於或大於 CIS v1.2.0 的 14 個字元要求。您可以在 [AWS Config 文件](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)中找到每個受管規則的預設參數詳細資訊。
### 步驟 2: AWS 帳戶 在範圍內指定
您可以指定多個 AWS 帳戶 在評估範圍內。Audit Manager 透過與 AWS Organizations整合來支援多個帳戶。這表示 Audit Manager 評估可以在多個帳戶上執行,而且所收集的證據會合併到委派的管理員帳戶。如需在 Audit Manager 中啟用 Organizations,請參閱 [啟用和設定 AWS Organizations](setup-recommendations.md#enabling-orgs)。
**注意**
Audit Manager 最多可以支援 200 個評估範圍內的帳戶。如果您嘗試包含超過 200 個帳戶,評估建立將會失敗。
此外,如果您嘗試在所有評估中新增超過 250 個唯一帳戶,則評估建立將會失敗。
**在 AWS 帳戶 範圍內指定**
1. 在 下**AWS 帳戶**,選取 AWS 帳戶 您要包含在評估範圍內的 。
+ 如果您在 Audit Manager 中啟用了 Organizations,則會顯示多個帳戶。您可以從清單中選擇一或多個帳戶。或者,您也可以使用帳戶名稱、ID 或電子郵件搜尋帳戶。
+ 如果您未在 Audit Manager 中啟用 Organizations, AWS 帳戶 則只會列出您目前的 。
1. 選擇**下一步**。
**注意**
當範圍內的帳戶從組織中移除時,Audit Manager 不會再為該帳戶收集證據。但是,該帳戶仍會繼續顯示在您的評估中的 **AWS 帳戶** 索引標籤下。若要從範圍內的帳戶清單中移除該帳戶,請[編輯評估](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-assessment.html)。已移除帳戶在編輯期間不再顯示於清單中,您可以在不包含該帳戶的範圍內儲存您的變更。
### 步驟 3:指定稽核擁有者
在此步驟中,您可以指定評估的稽核擁有者。稽核擁有者是工作場所中負責管理稽核管理員評估的個人,通常來自 GRC、SecOps 或 DevOps 團隊。我們建議他們使用 [AWSAuditManagerAdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerAdministratorAccess.html) 政策。
**如需指定稽核擁有者**
1. 在**稽核擁有者**下,檢閱目前的稽核擁有者清單。**稽核擁有者**一欄會顯示使用者 ID 和角色。**AWS 帳戶** 資料欄會顯示該稽核擁有者 AWS 帳戶 的 。
1. 核取方塊已選擇的稽核擁有者會包含在您的評估中。清除任何稽核擁有者的核取方塊,即可將其從評估中移除。您可以使用搜尋列,按名稱或 AWS 帳戶搜尋尋找其他稽核擁有者。
1. 完成時,選擇**下一步**。
#### 稽核擁有者許可
以下政策已附加至評估的所有稽核擁有者。
在連接政策之前,Audit Manager 會將*預留位置文字*取代為您的帳戶和資源識別符。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AuditOwner",
"Effect": "Allow",
"Principal": {
"AWS": "Principal for user/role who are the audit owners of the Assessment"
},
"Action": [
"auditmanager:GetAssessment",
"auditmanager:UpdateAssessment",
"auditmanager:UpdateAssessmentControlSetStatus",
"auditmanager:UpdateAssessmentStatus",
"auditmanager:UpdateAssessmentControl",
"auditmanager:DeleteAssessment",
"auditmanager:GetChangeLogs",
"auditmanager:GetEvidenceFoldersByAssessment",
"auditmanager:GetEvidenceFoldersByAssessmentControl",
"auditmanager:BatchImportEvidenceToAssessmentControl",
"auditmanager:GetEvidenceFolder",
"auditmanager:GetEvidence",
"auditmanager:GetEvidenceByEvidenceFolder",
"auditmanager:BatchCreateDelegationByAssessment",
"auditmanager:BatchDeleteDelegationByAssessment",
"auditmanager:AssociateAssessmentReportEvidenceFolder",
"auditmanager:BatchAssociateAssessmentReportEvidence",
"auditmanager:BatchDisassociateAssessmentReportEvidence",
"auditmanager:CreateAssessmentReport",
"auditmanager:DeleteAssessmentReport",
"auditmanager:DisassociateAssessmentReportEvidenceFolder",
"auditmanager:GetAssessmentReportUrl"
],
"Resource": [
"arn:aws:auditmanager:us-east-1:123456789012:assessment/assessment_ID",
"arn:aws:auditmanager:us-east-1:123456789012:assessment/assessment_ID/*"
]
}
]
}
```
------
### 步驟 4:檢閱和建立
檢閱評估的資訊。如需變更步驟的資訊,請選擇**編輯**。完成後,請選擇 **建立評估**。
該動作意味著評估證據持續收集過程的開始。建立評估之後,系統會繼續收集證據,直到您[變更評估狀態](https://docs.aws.amazon.com/audit-manager/latest/userguide/change-assessment-status-to-inactive.html)為*非作用中*為止。或者,您可以將控制項[狀態變更為](https://docs.aws.amazon.com/audit-manager/latest/userguide/change-assessment-control-status.html)*非作用中*,以停止特定控制項的證據收集。
**注意**
自動化證據會在建立評估的 24 小時後提供。Audit Manager 會自動從多個資料來源收集證據,而證據收集的頻率根據證據類型而定。如需進一步了解,請參閱本指南中的 [證據收集頻率](how-evidence-is-collected.md#frequency)。
## 後續步驟
若要在日後重新檢視您的評估,請參閱 [在 中尋找您的評估 AWS Audit Manager](access-assessments.md)。您可以遵循這些步驟來尋找評估,以便檢視、編輯或繼續執行評估。
## 其他資源
如需 Audit Manager 中評估問題的解決方案,請參閱 [疑難排解評估和證據收集問題](evidence-collection-issues.md)。