AWS Audit Manager 不再開放給新客戶。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[AWS Audit Manager 可用性變更](https://docs.aws.amazon.com/audit-manager/latest/userguide/audit-manager-availability-change.html)。 本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 疑難排解評估和證據收集問題 請參考此頁面提供的資訊來解決 Audit Manager 中的常見評估和證據收集問題。 **證據收集問題** + [我建立了一個評估,但還看不到任何證據](#no-evidence-yet) + [我的評估未從 收集合規檢查證據 AWS Security Hub CSPM](#no-evidence-from-security-hub) + [我的評估未從 收集合規檢查證據 AWS Config](#no-evidence-from-config) + [我的評估未從 收集使用者活動證據 AWS CloudTrail](#no-evidence-from-cloudtrail) + [我的評估未收集 AWS API 呼叫的組態資料證據](#no-evidence-from-aws-api-calls) + [常見的控制項不會收集任何自動化證據](#manual-common-control) + [我的證據是以不同的時間間隔產生的,我不確定它的收集頻率](#evidence-collection-frequency) + [我先停用再重新啟用 Audit Manager,導致我既有的評估不再進行收集證據](#no-evidence-from-preexisting-assessments-after-reregistering) + [在評估詳細資訊頁面上,系統會提示我重新建立評估](#recreate-assessment-post-common-controls) + [資料來源和證據來源之間的差異是什麼?](#data-source-vs-evidence-source) **評估問題** + [我的評估建立失敗](#assessment-creation-failed) + [如果我從組織中移除範圍內的帳戶,會發生什麼情況?](#what-happens-if-account-is-removed) + [我看不到評估範圍內的服務](#unable-to-view-services) + [我無法編輯評估範圍內的服務](#unable-to-edit-services) + [範圍內的服務和資料來源類型有什麼不同?](#data-source-vs-service-in-scope) ## 我建立了一個評估,但還看不到任何證據 如果您看不到任何證據,可能是您在建立評估後尚未等待至少 24 小時,或是發生設定錯誤。 我們建議您檢查以下內容: 1. 確認自建立評估以來已過 24 小時。建立評估 24 小時後,即可使用自動證據。 1. 請確定您在 AWS 區域 AWS 服務 與預期看到證據的 相同的 中使用 Audit Manager。 1. 如果您預期看到來自 AWS Config 和 的合規檢查證據 AWS Security Hub CSPM,請確定 AWS Config 和 Security Hub CSPM 主控台都顯示這些檢查的結果。 AWS Config 和 Security Hub CSPM 結果應該會顯示在您使用 Audit Manager AWS 區域 的相同 中。 如果您仍然無法在評估中看到證據,並且不是由於上述任一問題所造成,請查看此頁面描述的其他潛在原因。 ## 我的評估未從 收集合規檢查證據 AWS Security Hub CSPM 如果您沒有看到 AWS Security Hub CSPM 控制項的合規檢查證據,這可能是由於下列其中一個問題所致。 ** AWS Security Hub CSPM 中缺少配置** 如果您在啟用 AWS Security Hub CSPM時遺漏了某些設定步驟,可能會導致此問題。 若要修正此問題,請確定您使用 Audit Manager 的必要設定啟用 Security Hub CSPM。如需說明,請參閱[啟用和設定 AWS Security Hub CSPM](setup-recommendations.md#securityhub-recommendations)。 **Security Hub CSPM 控制名稱在您的 中輸入不正確 `ControlMappingSource`** 當您使用 Audit Manager API 建立自訂控制項時,您可以將 Security Hub CSPM 控制項指定為證據收集的[資料來源映射](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html)。若要執行此操作,請輸入控制 ID 做為 [https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_SourceKeyword.html#auditmanager-Type-SourceKeyword-keywordValue](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_SourceKeyword.html#auditmanager-Type-SourceKeyword-keywordValue)。 如果您沒有看到 Security Hub CSPM 控制項的合規檢查證據,可能是 `keywordValue`在您的 中輸入不正確`ControlMappingSource`。`keywordValue` 會區分大小寫。如果輸入不正確,Audit Manager 可能無法辨識該規則。因此,您可能無法如預期收集該控制項的合規檢查證據。 若要修正此問題,請[更新自訂控制項](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_UpdateControl.html)並修訂`keywordValue`. Security Hub CSPM 關鍵字的正確格式會有所不同。如需準確性,請參閱 的清單[支援的 Security Hub CSPM 控制項](control-data-sources-ash.md#security-hub-controls-for-custom-control-data-sources)。 **`AuditManagerSecurityHubFindingsReceiver` Amazon EventBridge 規則遺失** 當您啟用 Audit Manager 時,系統會在 Amazon EventBridge 中自動建立並啟用名為 `AuditManagerSecurityHubFindingsReceiver` 的規則。此規則可讓 Audit Manager 收集 Security Hub CSPM 調查結果作為證據。 如果在您使用 Security Hub CSPM AWS 區域 的 中未列出並啟用此規則,Audit Manager 無法收集該區域的 Security Hub CSPM 調查結果。 若要解決此問題,請前往 [EventBridge 主控台](https://console.aws.amazon.com/events)並確認`AuditManagerSecurityHubFindingsReceiver`規則存在於您的 中 AWS 帳戶。如果規則不存在,建議您[停用 Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/disable.html),然後重新啟用服務。如果此動作無法解決問題,或停用 Audit Manager 不是可選選項,[請聯絡 支援](https://aws.amazon.com/contact-us) 尋求協助。 **Security Hub CSPM 建立的服務連結 AWS Config 規則** 請記住,Audit Manager 不會從 [Security Hub CSPM 建立的服務連結 AWS Config 規則](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-awsconfigrules.html)中收集證據。這是由 Security Hub CSPM 服務啟用和控制的特定受管 AWS Config 規則類型。Security Hub CSPM 會在您的 AWS 環境中建立這些服務連結規則的執行個體,即使相同規則的其他執行個體已存在。因此,為防止證據重複,Audit Manager 不支援從服務連結規則收集證據。 ## 我已停用 Security Hub CSPM 中的安全控制。Audit Manager 是否會收集該安全控制的合規檢查證據? Audit Manager 不會收集已停用安全控制的證據。 如果您在 Security Hub CSPM 中將安全控制項的狀態設定為[停用](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-overall-status.html#controls-overall-status-values),則不會對目前帳戶和區域中的該控制項執行安全檢查。因此,Security Hub CSPM 中沒有可用的安全調查結果,而且 Audit Manager 不會收集任何相關證據。 透過遵守您在 Security Hub CSPM 中設定的停用狀態,Audit Manager 可確保您的評估準確反映與您環境相關的作用中安全控制項和調查結果,不包括您刻意停用的任何控制項。 ## 我在 Security Hub CSPM `Suppressed` 中將調查結果的狀態設定為 。Audit Manager 是否會收集有關該調查結果的合規檢查證據? Audit Manager 會收集已隱藏問題清單之安全控制的證據。 如果您將問題清單的工作流程狀態設定為在 Security Hub CSPM [中隱藏](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-workflow-status.html),這表示您已檢閱問題清單,但不認為需要任何動作。在 Audit Manager 中,這些隱藏的問題清單會收集為證據並附加到您的評估。證據詳細資訊會顯示直接從 Security Hub CSPM `SUPPRESSED`報告的 評估狀態。 此方法可確保您的 Audit Manager 評估準確代表 Security Hub CSPM 的問題清單,同時提供在稽核中可能需要進一步檢閱或考量的任何隱藏問題清單的可見性。 ## 我的評估未從 收集合規檢查證據 AWS Config 如果您沒有看到 AWS Config 規則的合規檢查證據,這可能是由於下列其中一個問題所致。 **在您的 `ControlMappingSource` 中規則識別碼輸入錯誤** 當您使用 Audit Manager API 建立自訂控制項時,您可以將 AWS Config 規則指定為證據收集的[資料來源映射](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html)。您指定的 [https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_SourceKeyword.html#auditmanager-Type-SourceKeyword-keywordValue](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_SourceKeyword.html#auditmanager-Type-SourceKeyword-keywordValue) 取決於規則的類型。 如果您沒有看到 AWS Config 規則的合規檢查證據,可能是在您的 中輸入`keywordValue`不正確`ControlMappingSource`。`keywordValue` 會區分大小寫。如果輸入不正確,Audit Manager 可能無法辨識規則。因此,您可能無法如預期收集該規則的合規檢查證據。 若要修正此問題,請[更新自訂控制項](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_UpdateControl.html)並修訂`keywordValue`. + 對於自訂規則,請確定 `keywordValue` 具有 `Custom_` 字首,後面接著自訂規則名稱。自訂規則名稱的格式可能會有所差異。為確保正確性,請造訪 [AWS Config 控制台](https://console.aws.amazon.com/config/)以驗證您的自訂規則名稱。 + 對於受管規則,請確定 `keywordValue` 是 `ALL_CAPS_WITH_UNDERSCORES` 中的規則識別碼。例如 `CLOUDWATCH_LOG_GROUP_ENCRYPTED`。如需準確性,請參考[支援的受管規則關鍵字](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources-config.html#aws-config-managed-rules)清單。 **注意** 對於某些受管規則,規則識別碼與規則名稱不同。例如,[受限制 ssh](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html) 的規則識別碼為 `INCOMING_SSH_DISABLED`。請務必使用規則識別碼,而不是規則名稱。若要尋找規則識別碼,請從[受管規則清單](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)中選擇規則,然後找到其**識別碼**值。 **此規則為服務連結 AWS Config 規則** 您可以使用[受管規則](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources-config.html#aws-config-managed-rules)和[自訂規則](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources-config.html#aws-config-custom-rules)作為證據收集的資料來源映射項目。但是,Audit Manager 不會從大多數[服務連結規則](https://docs.aws.amazon.com/config/latest/developerguide/service-linked-awsconfig-rules.html)中收集證據。 Audit Manager 只會從下列兩種類型收集證據的服務連結規則: + 一致性套件中的服務連結規則 + 來自 的服務連結規則 AWS Organizations Audit Manager 不會從其他服務連結規則收集證據,特別是任何具有Amazon Resource Name (ARN)且包含下列字首的規則:`arn:aws:config:*:*:config-rule/aws-service-rule/...` Audit Manager 無法從大多數服務連結 AWS Config 規則中收集證據的原因,是為了防止評估中出現重複的證據。服務連結規則是一種特定的受管規則類型,可讓其他 在您的帳戶中 AWS 服務 建立 AWS Config 規則。例如,[某些 Security Hub CSPM 控制項使用 AWS Config 服務連結規則來執行安全檢查](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-awsconfigrules.html)。對於每個使用服務連結 AWS Config 規則的 Security Hub CSPM 控制項,Security Hub CSPM 會在您的 AWS 環境中建立所需 AWS Config 規則的執行個體。即使您帳戶中已存在原始規則,也會發生這種情況。因此,為避免從同一規則中重複收集相同證據,Audit Manager 會忽略服務連結規則,而不會從中收集證據。 **AWS Config 未啟用** AWS Config 必須在您的 中啟用 AWS 帳戶。 AWS Config 以此方式設定之後,Audit Manager 會在每次評估 AWS Config 規則時收集證據。請確定您在 AWS Config 中已啟用 AWS 帳戶。如需說明,請參閱[啟用和設定 AWS Config](https://docs.aws.amazon.com/audit-manager/latest/userguide/setup-recommendations.html#config-recommendations)。 ** AWS Config 規則會在您設定評估之前評估資源組態** 如果您的 AWS Config 規則設定為評估特定資源的組態變更,您可能會看到 中的評估 AWS Config 與 Audit Manager 中的證據不相符。如果規則評估發生在您在 Audit Manager 評估中設定控制項之前,就會發生這種情況。在此情況下,直到基礎資源再次變更狀態並觸發規則的重新評估,Audit Manager 才會產生證據。 作為解決方法,您可以在 AWS Config 主控台中導覽至規則[,並手動重新評估規則](https://docs.aws.amazon.com/config/latest/developerguide/evaluating-your-resources.html#evaluating-your-resources-console)。這將調用與該規則相關之所有資源的新評估。 ## 我的評估未從 收集使用者活動證據 AWS CloudTrail 當您使用 Audit Manager API 建立自訂控制項時,您可以指定 CloudTrail 事件名稱做為證據收集的[資料來源映射項目](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html)。若要執行此操作,請將事件名稱輸入為 [https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_SourceKeyword.html#auditmanager-Type-SourceKeyword-keywordValue](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_SourceKeyword.html#auditmanager-Type-SourceKeyword-keywordValue)。 如果您在 CloudTrail 事件中沒有看到使用者活動證據,可能是因為 `keywordValue` 在您的 `ControlMappingSource` 中輸入不正確。`keywordValue` 會區分大小寫。如果輸入不正確,Audit Manager 可能無法辨識事件名稱。因此,您可能無法依預期收集該事件的使用者活動證據。 若要修正此問題,請[更新自訂控制項](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_UpdateControl.html)並修訂`keywordValue`. 請確保事件寫入為 `serviceprefix_ActionName`。例如 `cloudtrail_StartLogging`。如需準確性,請參閱[服務授權參考](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)中的 AWS 服務 字首和動作名稱。 ## 我的評估未收集 AWS API 呼叫的組態資料證據 當您使用 Audit Manager API 建立自訂控制項時,您可以將 AWS API 呼叫指定為證據收集的[資料來源映射](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html)。若要執行此作業,您可以將 API 呼叫輸入為 [https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_SourceKeyword.html#auditmanager-Type-SourceKeyword-keywordValue](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_SourceKeyword.html#auditmanager-Type-SourceKeyword-keywordValue)。 如果您沒有看到 AWS API 呼叫的組態資料證據,可能是 `keywordValue`在您的 中輸入不正確`ControlMappingSource`。`keywordValue` 會區分大小寫。如果輸入不正確,Audit Manager 可能無法辨識 API 呼叫。因此,您可能無法按預期收集該 API 呼叫的組態資料證據。 若要修正此問題,請[更新自訂控制項](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_UpdateControl.html)並修訂`keywordValue`. 請確保 API 呼叫寫入為 `serviceprefix_ActionName`。例如 `iam_ListGroups`。如需準確性,請參閱 的清單[AWS 支援的 API 呼叫 AWS Audit Manager](control-data-sources-api.md)。 ## 常見的控制項不會收集任何自動化證據 當您檢閱常見控制項時,您可能會看到下列訊息:**此常見控制項不會從核心控制項收集自動化證據**。 這表示目前沒有 AWS 受管證據來源可支援此常見控制項。因此,**證據來源**索引標籤是空的,不會顯示任何核心控制項。 當通用控制項未收集自動化證據時,稱為*手動通用控制項*。手動常見控制項通常需要提供實體記錄和簽章,或有關在您 AWS 環境外部發生的事件的詳細資訊。因此,通常沒有 AWS 資料來源可以產生證據來支援控制項的需求。 如果通用控制項是手動的,您仍然可以將它用作自訂控制項的證據來源。唯一的差別是,通用控制項不會自動收集任何證據。反之,您將需要手動上傳自己的證據,以支援常見控制項的要求。 **將證據新增至手動常見控制項** 1. **建立自訂控制項** + 依照步驟[建立](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html)或[編輯](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-controls.html)自訂控制項。 + 當您在步驟 2 中指定證據來源時,請選擇手動通用控制項做為證據來源。 1. **建立自訂架構 ** + 依照步驟[建立](https://docs.aws.amazon.com/audit-manager/latest/userguide/custom-frameworks.html)或[編輯](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-custom-frameworks.html)自訂架構。 + 當您在步驟 2 中指定控制項集時,請包含新的自訂控制項。 1. **建立評估 ** + 依照步驟從自訂架構[建立評估](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-assessments.html)。 + 此時,手動通用控制項現在是作用中評估控制項中的證據來源。 1. **上傳手動證據** + 依照步驟將[手動證據新增至](https://docs.aws.amazon.com/audit-manager/latest/userguide/upload-evidence.html#how-to-upload-manual-evidence-files)評估中的控制項。 **注意** 隨著未來有更多 AWS 資料來源可用, AWS 可能會更新通用控制項,以包含核心控制項作為證據來源。在這種情況下,如果通用控制項是一或多個作用中評估控制項中的證據來源,您將自動受益於這些更新。您不需要進一步設定,而且您將開始收集支援常見控制的自動化證據。 ## 我的證據是以不同的時間間隔產生的,我不確定它的收集頻率 Audit Manager 評估中的控制項會映射至各種資料來源。每個資料來源都有不同的證據收集頻率。因此,對於收集證據的頻率,沒有一種適合所有情況的標準答案。某些資料來源會評估合規性,而其他資料來源僅擷取資源狀態和變更資料,不涉及合規性判斷。 以下是不同資料來源類型的摘要,以及收集證據的頻率。 | Data source type (資料來源類型) | Description | 證據收集頻率 | 此控制項在評估中處於作用中狀態時 | | --- | --- | --- | --- | | AWS CloudTrail | 追蹤特定使用者活動。 | 持續性 | Audit Manager 將根據您選擇的關鍵字過濾 CloudTrail 日誌。已處理的日誌檔會匯入為**使用者活動**證據。 | | AWS Security Hub CSPM | 透過報告 Security Hub CSPM 的問題清單,擷取資源安全狀態的快照。 | 根據 Security Hub CSPM 檢查的排程 (通常大約每 12 小時) | Audit Manager 會直接從 Security Hub CSPM 擷取安全調查結果。調查結果會匯入為**合規檢查**證據。 | | AWS Config | 透過從 報告問題清單,擷取資源安全狀態的快照 AWS Config。 | 根據 AWS Config 規則中定義的設定 | Audit Manager 會直接從 擷取規則評估 AWS Config。評估結果會匯入為合規檢查證據。 | | AWS API 呼叫 | 直接透過對指定 的 API 呼叫,擷取資源組態的快照 AWS 服務。 | 每日、每週或每月 | Audit Manager 會根據您的指定頻率進行 API 呼叫。系統會將回應匯入為組態資料‬證據。 | 無論證據收集頻率如何,只要評估處於活動狀態,系統都會自動收集新證據。如需詳細資訊,請參閱[證據收集頻率](how-evidence-is-collected.md#frequency)。 如需了解詳細資訊,請參閱 [自動化證據支援的資料來源類型](control-data-sources.md) 和 [變更控制項收集證據的頻率](change-evidence-collection-frequency.md)。 ## 我先停用再重新啟用 Audit Manager,導致我既有的評估不再進行收集證據 當您停用 Audit Manager 並選擇不刪除資料時,您現有的評估會進入休眠狀態,並停止收集證據。這表示當您重新啟用 Audit Manager 時,您先前建立的評估仍可使用。但是,它們不會自動恢復收集證據。 如需重新開始收集既有評估的證據,請[編輯評估](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-assessment.html)並選擇**儲存**,而不進行任何變更。 ## 在評估詳細資訊頁面上,系統會提示我重新建立評估 ![快顯訊息的螢幕擷取畫面,提示您重新建立評估。](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/troubleshooting-recreate-assessment-post-common-controls-console.png) 如果您看到一則訊息,指出**建立新評估以收集更全面的證據**,這表示 Audit Manager 現在提供建立評估之標準架構的新定義。 在新的架構定義中,所有架構的標準控制項現在可以從[AWS 受管來源](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#aws-managed-source)收集證據。這表示每當一般或核心控制項的基礎資料來源有更新時,Audit Manager 會自動將相同的更新套用至所有相關的標準控制項。 若要受益於這些 AWS 受管來源,建議您從更新的架構[建立新的評估](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-assessments.html)。執行此操作後,您可以將[舊的評估狀態變更為非作用中](https://docs.aws.amazon.com/audit-manager/latest/userguide/change-assessment-status-to-inactive.html)。此動作有助於確保您的新評估收集從 AWS 受管來源取得的最準確和全面的證據。如果您不採取任何動作,您的評估會繼續使用舊的架構和控制定義來收集證據,就像以前一樣。 ## 資料來源和證據來源之間的差異是什麼? *證據來源*會決定從何處收集證據。這可以是個別資料來源,或是映射至核心控制項或常見控制項的預先定義資料來源群組。 *資料來源*是證據來源的最精細類型。資料來源包含下列詳細資訊,可告知 Audit Manager 確切從何處收集證據資料: + [資料來源類型 ](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources.html)(例如, AWS Config) + [資料來源映射 ](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#control-data-source)(例如,特定 AWS Config 規則,例如 `s3-bucket-public-write-prohibited`) ## 我的評估建立失敗 如果您的評估建立失敗,這可能是由於下列其中一個問題所致。 ** AWS 帳戶 您在評估範圍內選擇了太多** 如果您使用的是 AWS Organizations,Audit Manager 最多可以支援單一評估範圍內的 200 個成員帳戶。如果您超過此數字,評估建立將會失敗。 作為解決方法,您可以針對每個評估執行多個不同帳戶的評估,所有評估最多 250 個唯一的成員帳戶。 **您範圍內的帳戶已透過另一個作用中的評估進行評估** 如果您嘗試建立包含已在另一個作用中評估範圍內的帳戶的評估,則評估建立會失敗。當多個團隊或組織嘗試同時評估相同的帳戶時,可能會發生這種情況。 您可能會看到類似以下的錯誤訊息:`Scope: AWS Account [account-id] has assessments in progress`。 若要解決此問題,您可以採取下列其中一個動作: + **與其他團隊協調** - 聯絡組織中的其他團隊,以確定哪些評估目前正在使用有問題的帳戶。然後,您可以協調以避免重疊的評估範圍。 + **修改您的評估範圍** - 從評估範圍中移除衝突的帳戶,並使用其餘帳戶建立評估。其他評估完成後,您可以分別評估衝突的帳戶。 + **等待其他評估完成** - 如果其他評估是暫時或即將完成,您可以等待它完成,然後再建立具有所需範圍的評估。 此限制有助於確保證據收集不會在多個評估之間發生衝突,而且稽核結果會保持準確且一致。 ## 如果我從組織中移除範圍內的帳戶,會發生什麼情況? 從組織移除範圍內帳戶時,Audit Manager 不會再收集該帳戶的證據,而且會從帳戶在範圍內的所有評估中移除。從所有評估中移除成員帳戶也會減少範圍內的唯一帳戶總數,讓您從組織新增帳戶。 ## 我看不到評估範圍內的服務 如果您沒有看到**AWS 服務**索引標籤,這表示範圍內的服務是由 Audit Manager 為您管理。當您建立新的評估時,Audit Manager 會從該時間點開始為您管理範圍內的服務。 如果您有較舊的評估,您之前可能會在評估中看到此索引標籤。不過,Audit Manager 會自動從評估中移除此標籤,並在發生下列任一事件時接管範圍內的服務管理: + 您可以編輯評估 + 您可以編輯評估中使用的其中一個自訂控制項 Audit Manager 會檢查您的評估控制項及其資料來源,然後將此資訊對應至對應的 ,以推斷範圍內的服務 AWS 服務。如果評估的基礎資料來源變更,我們會視需要自動更新範圍,以反映正確的服務。這可確保您的評估收集有關 AWS 環境中所有相關服務的準確和全面的證據。 ## 我無法編輯評估範圍內的服務 [在 中編輯評估 AWS Audit Manager](edit-assessment.md) 工作流程不再具有**編輯服務**步驟。這是因為 Audit Manager 現在會管理評估 AWS 服務 範圍內的 。 如果您有較舊的評估,您可以在建立該評估時手動定義範圍內的服務。不過,您無法繼續編輯這些服務。當發生下列任一事件時,Audit Manager 會自動接管評估範圍內的服務管理: + 您可以編輯評估 + 您可以編輯評估中使用的其中一個自訂控制項 Audit Manager 會檢查您的評估控制項及其資料來源,然後將此資訊對應至對應的 ,以推斷範圍內的服務 AWS 服務。如果評估的基礎資料來源變更,我們會視需要自動更新範圍,以反映正確的服務。這可確保您的評估收集有關 AWS 環境中所有相關服務的準確和全面的證據。 ## 範圍內的服務和資料來源類型有什麼不同? [](concepts.md#service-in-scope) 是 AWS 服務 包含在評估範圍內的 。當一項服務在範圍內時,Audit Manager 會收集您使用該服務及其資源的相關證據。 **注意** Audit Manager 會管理哪些 AWS 服務 在您的評估範圍內。如果您有較舊的評估,您可以在過去手動指定範圍內的服務。之後,您無法指定或編輯範圍內的服務。 [資料來源類型](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources.html)會指出從何處收集證據。如果您上傳自己的證據,則資料來源類型為*手動*。如果由 Audit Manager 收集證據,則資料來源可以是下列四種類型之一: 1. AWS Security Hub CSPM – 透過報告 Security Hub CSPM 的問題清單,擷取資源安全狀態的快照。 1. AWS Config – 透過報告問題清單,擷取資源安全狀態的快照 AWS Config。 1. AWS CloudTrail – 追蹤資源的特定使用者活動。 1. AWS API 呼叫 – 直接透過對特定 的 API 呼叫,擷取資源組態的快照 AWS 服務。 這裡有兩個例子來說明範圍內的服務,以及資料來源類型之間的差異。 **範例 1** 假設您想收集名為 *4.1.2 — 禁止對 S3 儲存貯體進行公開寫入存取*的控制項證據。此控制項會檢查 S3 儲存貯體政策的存取層級。針對此控制項,Audit Manager 會使用特定 AWS Config 規則 ([s3-bucket-public-write-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html)) 來尋找 S3 儲存貯體的評估。在此範例中,下列情況成立: + [](concepts.md#service-in-scope) 是 Amazon S3 + 正在評估的[資源](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#resource)是您的 S3 儲存貯體 + [資料來源類型](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources.html)為 AWS Config + [資料來源映射](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#control-data-source)是特定 AWS Config 規則 (`s3-bucket-public-write-prohibited`) **範例 2** 假設您想收集名為 *164.308(a)(5)(ii)(C)* 的 HIPAA 控制項的證據。此控制項需要監控程序來偵測不適當的登入。針對此控制項,Audit Manager 會使用 CloudTrail 日誌來尋找所有 [AWS 管理主控台登入事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-aws-console-sign-in-events.html)。在此範例中,下列情況成立: + [](concepts.md#service-in-scope) 是 IAM + 正在評估的[資源](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#resource)是您的使用者 + [資料來源類型](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources.html)是 CloudTrail + [資料來源映射項目](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#control-data-source)是特定的 CloudTrail 事件(`ConsoleLogin`)