AWS Audit Manager 不再開放給新客戶。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[AWS Audit Manager 可用性變更](https://docs.aws.amazon.com/audit-manager/latest/userguide/audit-manager-availability-change.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定您的預設評估報告目的地
當您產生評估報告時,Audit Manager 會將報告發佈到您選擇的 S3 儲存貯體。此 S3 儲存貯體稱為 [](concepts.md#assessment-report-destination)。您可以選擇 Audit Manager 存放評估報告的 S3 儲存貯體。
## 先決條件
### 評估報告目的地的組態提示
為了確保成功產生評估報告,建議您針對評估報告目的地使用下列組態。
**相同區域儲存貯體**
我們建議您使用與您的評估處於相同 AWS 區域 的 S3 儲存貯體。當您使用相同區域儲存貯體和評估時,您的評估報告最多可包含 22,000 個證據項目。相反地,當您使用跨區域儲存貯體和評估時,只能包含 3,500 個證據項目。
**AWS 區域**
客戶受管金鑰 AWS 區域 的 (如果您提供) 必須符合評估區域和評估報告目的地 S3 儲存貯體。如需如何變更 KMS 金鑰的說明,請參閱 [設定您的資料加密設定](settings-KMS.md)。如需支援的 Audit Manager 區域清單,請參閱 *Amazon Web Services 一般參考*中的 [AWS Audit Manager 端點和配額](https://docs.aws.amazon.com/general/latest/gr/audit-manager.html)。
**S3 儲存貯體加密**
如果您的評估報告目的地具有需要進行 [SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html#require-sse-kms) 伺服器端加密 (SSE) 的儲存貯體政策,則該儲存貯體政策中使用的 KMS 金鑰必須與您在 Audit Manager 資料加密設定中設定的 KMS 金鑰相符。如果您未在 Audit Manager 設定中設定 KMS 金鑰,且您的評估報告目的地儲存貯體政策需要 SSE,請確定儲存貯體政策允許 [SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。如需如何設定用於資料加密之 KMS 金鑰的說明,請參閱 [設定您的資料加密設定](settings-KMS.md)。
**跨帳戶 S3 儲存貯體**
Audit Manager 主控台不支援將跨帳戶 S3 儲存貯體用作評估報告目的地。您可以使用 AWS CLI 或其中一個 AWS SDKs 將跨帳戶儲存貯體指定為評估報告目的地,但為了簡單起見,建議您不要這麼做。
為了獲得最佳安全性和效能,我們建議您在與評估相同的 AWS 帳戶和區域中使用 S3 儲存貯體。
如果您選擇將跨帳戶 S3 儲存貯體用作評估報告目的地,請考慮以下幾點。
+ 根據預設,上傳物件 AWS 帳戶 的 擁有 S3 物件,例如評估報告。您可以使用 [S3 物件擁有權](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html)設定更改該預設行為,以便由具有 `bucket-owner-full-control` 標準存取控制清單 (ACL) 的帳戶寫入的任何新物件自動為儲存貯體擁有者所有。
我們雖不要求,但建議您對跨帳戶儲存貯體設定進行下列變更。進行這些變更可確保儲存貯體擁有者完全控制您發佈至其儲存貯體的評估報告。
+ [將 S3 儲存貯體的物件擁有權](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html#enable-object-ownership)設定為*首選儲存貯體擁有者*,而非預設*物件寫入器*
+ [新增儲存貯體政策](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html#ensure-object-ownership)以確保上傳至該儲存貯體的物件具有 `bucket-owner-full-control` ACL
+ 如需允許 Audit Manager 在跨帳戶 S3 儲存貯體中發佈報告,您必須將下列 S3 儲存貯體政策新增至評估報告目的地。以您自己的資訊取代{{預留位置文字}}。此政策中的 `Principal` 元素是擁有評估並建立評估報告的使用者或角色。`Resource` 指定發佈報告的跨帳戶 S3 儲存貯體。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow cross account assessment report publishing",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:user/{{AssessmentOwnerUserName}}"
},
"Action": [
"s3:ListBucket",
"s3:PutObject",
"s3:GetObject",
"s3:GetBucketLocation",
"s3:PutObjectAcl",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::{{CROSS-ACCOUNT-BUCKET}}",
"arn:aws:s3:::{{CROSS-ACCOUNT-BUCKET/*}}"
]
}
]
}
```
------
## 程序
您可以使用 Audit Manager 主控台、 AWS Command Line Interface (AWS CLI) 或 Audit Manager API 更新此設定。
------
#### [ Audit Manager console ]
**在 Audit Manager 主控台上更新您的預設評估報告目的地**
1. 從**評估**設定索引標籤,前往**評估報告目的地**區段。
1. 若要使用現有的 S3 儲存貯體,請從下拉式功能表中選取儲存貯體名稱。
1. 若要建立新的 S3 儲存貯體,請選擇**建立新儲存貯**體。
1. 完成後,選擇**儲存**。
------
#### [ AWS CLI ]
**若要在 中更新您的預設評估報告目的地 AWS CLI**
執行 [update-settings](https://docs.aws.amazon.com/cli/latest/reference/auditmanager/update-settings.html) 命令,並使用 `--default-assessment-reports-destination` 參數來指定 S3 儲存貯體。
在下列範例中,將{{預留位置文字}}取代為您自己的資訊。
```
aws auditmanager update-settings --default-assessment-reports-destination destinationType=S3,destination={{s3://amzn-s3-demo-destination-bucket}}
```
------
#### [ Audit Manager API ]
**使用 API 更新您的預設評估報告目的地**
呼叫 [UpdateSettings](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_UpdateSettings.html) 操作,並使用 [defaultAssessmentReportsDestination](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_UpdateSettings.html#auditmanager-UpdateSettings-request-defaultAssessmentReportsDestination) 參數來指定 S3 儲存貯體。
------
## 其他資源
+ [建立儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket.html)
+ [評估報告](assessment-reports.md)