設定您的預設評估報告目的地

為了確保成功產生評估報告，建議您針對評估報告目的地使用下列組態。

相同區域儲存貯體

我們建議您使用與您的評估處於相同 AWS 區域 的 S3 儲存貯體。當您使用相同區域儲存貯體和評估時，您的評估報告最多可包含 22,000 個證據項目。相反地，當您使用跨區域儲存貯體和評估時，只能包含 3,500 個證據項目。

AWS 區域

客戶受管金鑰 AWS 區域 的 （如果您提供） 必須符合評估區域和評估報告目的地 S3 儲存貯體。如需如何變更 KMS 金鑰的說明，請參閱 設定您的資料加密設定。如需支援的 Audit Manager 區域清單，請參閱 Amazon Web Services 一般參考中的 AWS Audit Manager 端點和配額。

S3 儲存貯體加密

如果您的評估報告目的地具有需要進行 SSE-KMS 伺服器端加密 (SSE) 的儲存貯體政策，則該儲存貯體政策中使用的 KMS 金鑰必須與您在 Audit Manager 資料加密設定中設定的 KMS 金鑰相符。如果您未在 Audit Manager 設定中設定 KMS 金鑰，且您的評估報告目的地儲存貯體政策需要 SSE，請確定儲存貯體政策允許 SSE-S3。如需如何設定用於資料加密之 KMS 金鑰的說明，請參閱 設定您的資料加密設定。

跨帳戶 S3 儲存貯體

Audit Manager 主控台不支援將跨帳戶 S3 儲存貯體用作評估報告目的地。您可以使用 AWS CLI 或其中一個 AWS SDKs 將跨帳戶儲存貯體指定為評估報告目的地，但為了簡單起見，建議您不要這麼做。

提示

為了獲得最佳安全性和效能，我們建議您在與評估相同的 AWS 帳戶和區域中使用 S3 儲存貯體。

如果您選擇將跨帳戶 S3 儲存貯體用作評估報告目的地，請考慮以下幾點。

• 根據預設，上傳物件 AWS 帳戶 的 擁有 S3 物件，例如評估報告。您可以使用 S3 物件擁有權設定更改該預設行為，以便由具有 bucket-owner-full-control 標準存取控制清單 (ACL) 的帳戶寫入的任何新物件自動為儲存貯體擁有者所有。

  我們雖不要求，但建議您對跨帳戶儲存貯體設定進行下列變更。進行這些變更可確保儲存貯體擁有者完全控制您發佈至其儲存貯體的評估報告。

  • 將 S3 儲存貯體的物件擁有權設定為首選儲存貯體擁有者，而非預設物件寫入器

  • 新增儲存貯體政策以確保上傳至該儲存貯體的物件具有 bucket-owner-full-control ACL

• 如需允許 Audit Manager 在跨帳戶 S3 儲存貯體中發佈報告，您必須將下列 S3 儲存貯體政策新增至評估報告目的地。以您自己的資訊取代預留位置文字。此政策中的 Principal 元素是擁有評估並建立評估報告的使用者或角色。Resource 指定發佈報告的跨帳戶 S3 儲存貯體。

  JSON

  {
      "Version":"2012-10-17",
      "Statement": [
          {
              "Sid": "Allow cross account assessment report publishing",
              "Effect": "Allow",
              "Principal": {
                  "AWS": "arn:aws:iam::111122223333:user/AssessmentOwnerUserName"
              },
              "Action": [
                  "s3:ListBucket",
                  "s3:PutObject",
                  "s3:GetObject",
                  "s3:GetBucketLocation",
                  "s3:PutObjectAcl",
                  "s3:DeleteObject"
              ],
              "Resource": [
                  "arn:aws:s3:::CROSS-ACCOUNT-BUCKET",
                  "arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*"
              ]
          }
      ]
  }