AWS Audit Manager 不再開放給新客戶。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[AWS Audit Manager 可用性變更](https://docs.aws.amazon.com/audit-manager/latest/userguide/audit-manager-availability-change.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 中的資料保護 AWS Audit Manager
AWS [共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)適用於 中的資料保護 AWS Audit Manager。如此模型所述, AWS 負責保護執行所有 的全域基礎設施 AWS 雲端。您負責維護在此基礎設施上託管內容的控制權。您也同時負責所使用 AWS 服務 的安全組態和管理任務。如需資料隱私權的詳細資訊,請參閱[資料隱私權常見問答集](https://aws.amazon.com/compliance/data-privacy-faq/)。如需有關歐洲資料保護的相關資訊,請參閱*AWS 安全性部落格*上的[AWS 共同責任模型和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 部落格文章。
基於資料保護目的,我們建議您保護 AWS 帳戶 登入資料,並使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 設定個別使用者。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:
+ 每個帳戶均要使用多重要素驗證 (MFA)。
+ 使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 使用 設定 API 和使用者活動記錄 AWS CloudTrail。如需有關使用 CloudTrail 追蹤擷取 AWS 活動的資訊,請參閱*AWS CloudTrail 《 使用者指南*》中的[使用 CloudTrail 追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解決方案,以及其中的所有預設安全控制 AWS 服務。
+ 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。
+ 如果您在 AWS 透過命令列界面或 API 存取 時需要 FIPS 140-3 驗證的密碼編譯模組,請使用 FIPS 端點。如需有關 FIPS 和 FIPS 端點的更多相關資訊,請參閱[聯邦資訊處理標準 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)。
我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如**名稱**欄位。這包括當您使用 Audit Manager 或使用主控台、API AWS CLI或其他 AWS 服務 AWS SDKs 時。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您提供外部伺服器的 URL,我們強烈建議請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。
除此之外,我們特別建議 Audit Manager 客戶在建立評估、自訂控制項、自訂架構和委派評論時,不要在自由格式欄位中包含敏感識別資訊。
## 刪除 Audit Manager 資料
有幾種方法可以刪除 Audit Manager 資料。
**停用 Audit Manager 時的資料刪除**
[停用 Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/disable.html) 時,您可以決定是否要刪除所有 Audit Manager 資料。如果您選擇刪除資料,資料會在停用 Audit Manager 後的 7 天內刪除。刪除資料後,您就無法復原。
**自動刪除資料**
某些 Audit Manager 資料會在特定時間後自動刪除。Audit Manager 會保留以下客戶資料。
| 資料類型 | 資料保留期間 | 備註 |
| --- | --- | --- |
| 證據 | 資料會自建立之日起保留兩年。 | 包括自動化證據和手動證據 |
| 客戶建立的資源 | 資料會無限期保留 | 包括評估、評估報告、自訂控制項和自訂架構 |
**手動刪除資料**
您可以隨時刪除單項 Audit Manager 資源。如需詳細說明,請參閱下列主題:
+ [在 中刪除評估 AWS Audit Manager](delete-assessment.md)
+ 另請參閱 *AWS Audit Manager API 參考*中的 [DeleteAssessment](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_DeleteAssessment.html)。
+ [在 中刪除自訂架構 AWS Audit Manager](delete-custom-framework.md)
+ 另請參閱 *AWS Audit Manager API 參考*中的 [DeleteAssessmentFramework](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_DeleteAssessmentFramework.html)。
+ [在 中刪除共享請求 AWS Audit Manager](deleting-shared-framework-requests.md)
+ 另請參閱:*AWS Audit Manager API 參考*中的 [DeleteAssessmentFrameworkShare](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_DeleteAssessmentFrameworkShare.html)
+ [刪除評估報告](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html#delete-assessment-report-steps)
+ 另請參閱:*AWS Audit Manager API 參考*中的 [DeleteAssessmentReport](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_DeleteAssessmentReport.html)
+ [在 中刪除自訂控制項 AWS Audit Manager](delete-controls.md)
+ 另請參閱:*AWS Audit Manager API 參考*中的 [DeleteControl](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_DeleteControl.html)
如需刪除您在使用 Audit Manager 時可能已建立的其他資源資料,請參閱下列內容:
+ *AWS CloudTrail 使用者指南*中,[刪除事件資料存放區](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-lake-cli.html#lake-cli-delete-eds)
+ *Amazon Simple Storage Service (Amazon S3) 使用者指南*中的[刪除儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-bucket.html)
## 靜態加密
為了加密靜態資料,Audit Manager AWS 受管金鑰 會對所有資料存放區和日誌使用伺服器端加密搭配 。
您的資料會使用客戶受管金鑰或 加密 AWS 擁有的金鑰,視您選取的設定而定。如果您未提供客戶受管金鑰,Audit Manager 會使用 AWS 擁有的金鑰 來加密您的內容。Audit Manager 中的所有 DynamoDB 和 Amazon S3 服務中繼資料透過 AWS 擁有的金鑰加密。
Audit Manager 會依下列方式加密資料:
+ 存放在 Amazon S3 的服務中繼資料會使用 AWS 擁有的金鑰 SSE-KMS 在 下加密。
+ 儲存在 DynamoDB 中的服務中繼資料使用 KMS 和 AWS 擁有的金鑰進行伺服器端加密。
+ 您儲存在 DynamoDB 中的內容使用客戶管理金鑰或 AWS 擁有的金鑰進行用戶端加密。KMS 金鑰根據您選擇的設定而定。
+ 您存放在 Audit Manager Amazon S3 中的內容使用 SSE-KMS 加密。KMS 金鑰根據您的選擇而定,可以是客戶管理金鑰或 AWS 擁有的金鑰。
+ 發佈到 S3 儲存貯體的評估報告會進行以下加密:
+ 如果您提供客戶管理金鑰,您的資料會使用 SSE-KMS 加密。
+ 如果您使用 AWS 擁有的金鑰,您的資料會使用 SSE-S3 加密。
## 傳輸中加密
Audit Manager 會提供安全且私有的端點,以供您加密傳輸中的資料。安全且私有的端點允許 AWS 保護對 Audit Manager 提出 API 請求的完整性。
**跨服務傳輸**
根據預設,所有服務間通訊皆受到 Transport Layer Security (TLS) 加密的保護。
## 金鑰管理
Audit Manager 支援 AWS 擁有的金鑰 和客戶受管金鑰,用於加密所有 Audit Manager 資源 (儲存在您帳戶中 S3 儲存貯體的評估、控制項、架構、證據和評估報告)。
建議您使用客戶管理金鑰。如此一來,您就可以檢視和管理用來保護資料的加密金鑰,包括在 AWS CloudTrail中檢視其使用日誌。選擇客戶管理金鑰時,Audit Manager 會針對 KMS 金鑰建立一個授權,以便可以用於加密您的內容。
**警告**
刪除或禁用用於加密 Audit Manager 資源的 KMS 金鑰之後,您就再也無法解密以該 KMS 金鑰加密的資源,這表示該資料已無法復原。
在 AWS Key Management Service (AWS KMS) 中刪除 KMS 金鑰具有破壞性和潛在危險性。如需有關刪除 KMS 金鑰的詳細資訊,請參閱*AWS Key Management Service 使用者手冊 AWS KMS keys*中的[刪除](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html)。
當您使用 AWS 管理主控台、Audit Manager API 或 AWS Command Line Interface () 啟用 Audit Manager 時,您可以指定加密設定AWS CLI。如需說明,請參閱[啟用 AWS Audit Manager](setup-audit-manager.md)。
您可以隨時檢閱和變更您的加密設定。如需說明,請參閱[設定您的資料加密設定](settings-KMS.md)。
如需如何設定客戶管理金鑰的詳細資訊,請參閱*AWS Key Management Service 使用者指南*中的[建立金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)。