本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 將 Audit Manager 證據整合到您的 GRC 系統
身為企業客戶,您可能擁有跨多個資料中心的資源,包括其他雲端廠商和內部部署環境。若要從這些環境收集證據,您可以使用第三方 GRC (治理、風險與合規) 解決方案,例如 MetricStream CyberGRC 或 RSA Archer。或者,您可以使用您在內部開發的專屬 GRC 系統。
本教學課程說明如何將內部或外部 GRC 系統與 Audit Manager 整合。此整合可讓廠商收集客戶 AWS 用量和組態的相關證據,並將該證據直接從 Audit Manager 傳送至 GRC 應用程式。透過這樣做,您可以集中多個環境的合規報告。
在本教學課程中:
1. **供應商**是擁有與 Audit Manager 整合之 GRC 應用程式的實體或公司。
1. **客戶**是使用 的實體或公司 AWS,也使用內部或外部 GRC 應用程式。
**注意**
在某些情況下,GRC 應用程式由相同公司擁有和使用。在此案例中,**廠商**是擁有 GRC 應用程式的群組或團隊,而**客戶**是使用 GRC 應用程式的團隊或群組。
**此教學課程會讓您了解如何執行以下操作:**
+ [步驟 1:啟用 Audit Manager](#tutorial-for-grc-integration-step1)
+ [步驟 2:設定許可](#tutorial-for-grc-integration-step2)
+ [步驟 3。將您的企業控制項映射至 Audit Manager 控制項](#tutorial-for-grc-integration-step3)
+ [步驟 4. 讓您的控制項映射保持最新狀態](#tutorial-for-grc-integration-step4)
+ [步驟 5:建立評估](#tutorial-for-grc-integration-step5)
+ [步驟 6. 開始收集證據](#tutorial-for-grc-integration-step6)
## 先決條件
**開始之前,請確定您符合下列條件:**
+ 您的基礎設施正在其中執行 AWS。
+ 您可以使用內部 GRC 系統,或使用廠商提供的第三方 GRC 軟體。
+ 您已完成[設定 Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/setting-up.html) 所需的所有[先決條件](https://docs.aws.amazon.com/audit-manager/latest/userguide/setup-prerequisites.html)。
+ 您熟悉 [了解 AWS Audit Manager 概念和術語](concepts.md)。
**要記住的一些限制:**
+ Audit Manager 是區域性的 AWS 服務。您必須在執行 AWS 工作負載的每個區域中分別設定 Audit Manager。
+ Audit Manager 不支援將多個區域的證據彙總到單一區域。如果您的資源跨越多個 AWS 區域,您必須在 GRC 系統中彙總證據。
+ Audit Manager 具有您可以建立的資源數量的預設配額。如有需要,您可以請求增加這些預設配額。如需詳細資訊,請參閱[配額和 的限制 AWS Audit Manager。](https://docs.aws.amazon.com/audit-manager/latest/userguide/service-quotas.html)
## 步驟 1:啟用 Audit Manager
### 誰完成此步驟
客戶
### 您需要執行的事項
首先為您的 啟用 Audit Manager AWS 帳戶。如果您的帳戶是組織的一部分,您可以使用管理帳戶啟用 Audit Manager,然後為 Audit Manager 指定委派管理員。
### 程序
**啟用 Audit Manager**
依照指示[啟用 Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/setup-audit-manager.html)。針對您要收集證據的所有區域重複設定程序。
**提示**
如果您使用 AWS Organizations,強烈建議您在此步驟中設定委派管理員。當您在 Audit Manager 中使用委派管理員帳戶時,您可以使用證據搜尋工具來搜尋組織中所有成員帳戶的證據。
## 步驟 2:設定許可
### 誰完成此步驟
客戶
### 您需要執行的事項
在此步驟中,客戶會為其帳戶建立 IAM 角色。然後,客戶會授予廠商擔任角色的許可。
![\[顯示 IAM 角色如何授予廠商帳戶存取權的圖表。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/vendor-role-access.png)
### 程序
**為客戶帳戶建立角色**
請按照 *IAM 使用者指南* 的 [為 IAM 使用者建立角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) 中的指示進行操作。
+ 在角色建立工作流程的步驟 8 中,選擇**建立政策**並輸入角色的政策。
角色至少必須具有下列許可:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "AuditManagerAccess",
"Effect" : "Allow",
"Action" : [
"auditmanager:*"
],
"Resource" : "*"
},
{
"Sid" : "OrganizationsAccess",
"Effect" : "Allow",
"Action" : [
"organizations:ListAccountsForParent",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListParents",
"organizations:ListChildren"
],
"Resource" : "*"
},
{
"Sid" : "IAMAccess",
"Effect" : "Allow",
"Action" : [
"iam:GetUser",
"iam:ListUsers",
"iam:ListRoles"
],
"Resource" : "*"
},
{
"Sid" : "S3Access",
"Effect" : "Allow",
"Action" : [
"s3:ListAllMyBuckets"
],
"Resource" : "*"
},
{
"Sid" : "KmsAccess",
"Effect" : "Allow",
"Action" : [
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases"
],
"Resource" : "*"
},
{
"Sid" : "KmsCreateGrantAccess",
"Effect" : "Allow",
"Action" : [
"kms:CreateGrant"
],
"Resource" : "*",
"Condition" : {
"Bool" : {
"kms:GrantIsForAWSResource" : "true"
},
"StringLike" : {
"kms:ViaService" : "auditmanager.*.amazonaws.com"
}
}
},
{
"Sid" : "SNSAccess",
"Effect" : "Allow",
"Action" : [
"sns:ListTopics"
],
"Resource" : "*"
},
{
"Sid" : "TagAccess",
"Effect" : "Allow",
"Action" : [
"tag:GetResources"
],
"Resource" : "*"
}
]
}
```
------
+ 在角色建立工作流程的步驟 11 中,輸入 `vendor-auditmanager`做為**角色名稱**。
**允許廠商帳戶擔任該角色**
請遵循 IAM 使用者指南中[授予使用者切換角色的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html)中的指示。 **
+ 政策陳述式必須包含對 `Allow`的影響`sts:AssumeRole action`。
+ 它還必須在資源元素中包含角色的 Amazon Resource Name (ARN)。
+ 以下是您可以使用的政策陳述式範例。
在此政策中,將*預留位置文字*取代為您廠商的 AWS 帳戶 ID。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::111122223333:role/vendor-auditmanager"
}
}
```
------
## 步驟 3。將您的企業控制項映射至 Audit Manager 控制項
### 誰完成此步驟
客戶
### 您需要執行的事項
供應商會維護一份精選的企業控制清單,供客戶在評估中使用。若要與 Audit Manager 整合,廠商必須建立 界面,讓客戶將其企業控制項映射至對應的 Audit Manager 控制項。您可以映射到 [](concepts.md#common-control)(偏好) 或 [](concepts.md#standard-control)。您必須先完成此映射,才能在廠商的 GRC 應用程式中開始任何評估。
![\[顯示企業控制項如何映射至 Audit Manager 控制項的圖表。\]](http://docs.aws.amazon.com/zh_tw/audit-manager/latest/userguide/images/control-mapping.png)
### 選項 1:將企業控制項映射至常見控制項 (建議)
這是將企業控制項映射至 Audit Manager 的建議方法。這是因為常見控制項與常見產業標準密切一致。這可讓您更輕鬆地將它們映射到您的企業控制項。
透過此方法,廠商會建立界面,讓客戶能夠在其企業控制項與 Audit Manager 提供的對應常見控制項之間執行一次性映射。供應商可以使用 [ListControls](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListControls.html)、[ListCommonControls](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListCommonControls.html) 和 [GetControl](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetControl.html) API 操作,將此資訊提供給客戶。客戶完成映射練習後,廠商就可以使用這些映射在 Audit Manager 中[建立自訂控制項](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html)。
以下是常見控制項映射的範例:
假設您有一個名為 的企業控制項`Asset Management`。此企業控制映射到 Audit Manager (`Asset performance management` 和 `Asset maintenance scheduling`) 中的兩個常見控制。在此情況下,您必須在 Audit Manager 中建立自訂控制項 (我們將命名為 `enterprise-asset-management`)。然後,將 `Asset performance management` 和 `Asset maintenance scheduling` 作為證據來源新增至新的自訂控制項。這些證據來源會從預先定義的 AWS 資料來源群組收集支援的證據。這為您提供一種有效率的方式來識別映射到企業控制需求的 AWS 資料來源。
#### 程序
**尋找您可以映射至 的可用常見控制項**
依照步驟尋找 [Audit Manager 中可用的常見控制項清單](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html)。
**建立自訂控制項**
1. 依照步驟建立[與您的企業控制一致的自訂](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html)控制項。
當您在自訂控制項建立工作流程的步驟 2 中指定證據來源時,請執行下列動作:
+ 選擇**AWS 受管來源**做為證據來源。
+ 選取**使用符合您合規目標的常見控制項**。
+ 選擇最多五個常用控制項做為企業控制的證據來源。
1. 為所有企業控制項重複此任務,並在 Audit Manager 中為每個控制項建立對應的自訂控制項。
### 選項 2:將企業控制項映射至標準控制項
Audit Manager 提供大量預先建置的標準控制項。您可以在企業控制項和這些標準控制項之間執行一次性映射。識別與企業控制項對應的標準控制項之後,您可以將這些標準控制項直接新增至自訂架構。如果您選擇此選項,則不需要在 Audit Manager 中建立任何自訂控制項。
#### 程序
**尋找您可以映射至 的可用標準控制項**
依照步驟在 Audit Manager [中尋找可用的標準控制項清單](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html)。
**建立自訂架構**
1. 依照步驟在 Audit Manager 中[建立自訂架構](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-custom-frameworks-from-scratch.html)。
當您在架構建立程序的步驟 2 中指定控制項集時,請包含映射至企業控制項的標準控制項。
1. 針對所有企業控制項重複此任務,直到您已在自訂架構中包含所有對應的標準控制項為止。
## 步驟 4. 讓您的控制項映射保持最新狀態
### 誰完成此步驟
供應商、客戶
### 您需要執行的事項
Audit Manager 會持續更新常見控制項和標準控制項,以確保它們使用最新的可用 AWS 資料來源。這表示映射控制項是一項一次性任務:在將標準控制項新增至自訂架構之後,您不需要管理這些控制項,而且在將它們新增為自訂控制項中的證據來源之後,您不需要管理常見控制項。每當通用控制項更新時,相同的更新會自動套用到使用該通用控制項做為證據來源的所有自訂控制項。
不過,隨著時間的推移,新的常見控制項和標準控制項可能會變成可供您使用做為證據來源。考慮到這一點,廠商和客戶應該建立工作流程,以定期從 Audit Manager 擷取最新的常見控制項和標準控制項。然後,您可以檢閱企業控制項和 Audit Manager 控制項之間的映射,並視需要更新映射。
### 如果您的企業控制項對應至常見控制項
在映射過程中,您已建立自訂控制項。您可以使用 Audit Manager 編輯這些自訂控制項,讓它們使用最新的可用常見控制項做為證據來源。自訂控制項更新生效後,您現有的評估會自動針對更新的自訂控制項收集證據。您不需要建立新的架構或評估。
#### 程序
**尋找您可以映射到的最新常見控制項**
依照步驟在 Audit Manager [中尋找可用的常見控制項](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html)。
**編輯自訂控制項**
1. 依照步驟在 Audit Manager 中[編輯自訂控制項](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-controls.html)。
當您在編輯工作流程的步驟 2 中更新證據來源時,請執行下列動作:
+ 選擇**AWS 受管來源**做為證據來源。
+ 選取**使用符合您合規目標的常見控制項**。
+ 選擇您要用作自訂控制項證據來源的新常見控制項。
1. 針對您要更新的所有企業控制項重複此任務。
### 如果您的企業控制項對應至標準控制項
在此情況下,廠商必須建立新的自訂架構,其中包含最新的可用標準控制項,然後使用此新架構建立新的評估。建立新評估之後,您可以將舊評估標記為非作用中。
#### 程序
**尋找您可以映射到的最新標準控制項**
依照步驟在 Audit Manager [中尋找可用的標準控制項](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html)。
**建立自訂架構並新增最新的標準控制項**
依照步驟在 Audit Manager 中[建立自訂架構](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-custom-frameworks-from-scratch.html)。
當您在架構建立工作流程的步驟 2 中指定控制項集時,請包含新的標準控制項。
**建立評估**
在 GRC 應用程式中建立評估。
**將評估的狀態變更為非作用中**
依照步驟在 Audit Manager [中變更評估的狀態](https://docs.aws.amazon.com/audit-manager/latest/userguide/change-assessment-status-to-inactive.html)。
## 步驟 5:建立評估
**誰完成此步驟**
GRC 應用程式,以及廠商的輸入
**您需要執行的事項**
身為客戶,您不需要直接在 Audit Manager 中建立評估。當您在 GRC 應用程式中啟動特定控制項的評估時,GRC 應用程式會在 Audit Manager 中為您建立對應的資源。首先,GRC 應用程式會使用您建立的映射來識別相關的 Audit Manager 控制項。接下來,它會使用控制項資訊來為您建立自訂架構。最後,它會使用新建立的自訂架構,在 Audit Manager 中建立評估。
在 Audit Manager 中建立評估也需要一個[範圍](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-assessments.html#specify-accounts)。此範圍會取得 AWS 帳戶 客戶想要執行評估並收集證據的 清單。客戶必須直接在 GRC 應用程式中定義此範圍。
身為廠商,您需要存放`assessmentId`映射至 GRC 應用程式中啟動之評估的 。`assessmentId` 這是從 Audit Manager 擷取證據的必要項目。
**尋找評估 ID**
1. 使用 [ListAssessments](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListAssessments.html) 操作在 Audit Manager 中檢視您的評估。您可以使用 [狀態](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListAssessments.html#auditmanager-ListAssessments-request-status)參數來檢視作用中的評估。
```
aws auditmanager list-assessments --status ACTIVE
```
1. 在回應中,識別您要存放在 GRC 應用程式中的評估,並記下 `assessmentId`。
## 步驟 6. 開始收集證據
**誰完成此步驟**
AWS Audit Manager,具有來自廠商的輸入
**您需要執行的事項**
建立評估之後,最多需要 24 小時才能開始收集證據。此時,您的企業控制項現在正在積極收集 Audit Manager 評估的證據。
我們建議您使用[證據搜尋工具](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html)功能,在 Audit Manager 中快速查詢和尋找證據。如果您以委派管理員的身分使用證據搜尋工具,您可以在組織中的所有成員帳戶中搜尋證據。使用篩選條件和分組的組合,您可以逐步縮小搜尋查詢的範圍。例如,如果您想要系統健全狀況的高階檢視,請擴大搜尋範圍,並依據評估、日期範圍和資源合規性進行篩選。如果您的目標是修復特定資源,則可以縮小搜尋範圍,以針對特定控制項或資源 ID 的證據作為目標。定義篩選條件後,您可以先分組並預覽相符的搜尋結果,然後再建立評估報告。
**啟用證據搜尋工具**
+ 依照指示,從 Audit Manager 設定[啟用證據搜尋工具](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder-settings-enable.html)。
啟用證據搜尋工具後,您可以決定從 Audit Manager 擷取證據以進行評估的節奏。您也可以在評估中擷取特定控制項的證據,並將證據存放在映射至企業控制項的 GRC 應用程式中。您可以使用下列 Audit Manager API 操作來擷取證據:
+ [GetEvidence](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidence.html)
+ [GetEvidenceByEvidenceFolder](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceByEvidenceFolder.html)
+ [GetEvidenceFolder](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceFolder.html)
+ [GetEvidenceFoldersByAssessment](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceFoldersByAssessment.html)
+ [GetEvidenceFoldersByAssessmentControl](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceFoldersByAssessmentControl.html)
## 定價
無論您是廠商還是客戶,您都不會為此整合設定產生任何額外費用。客戶需支付在 Audit Manager 中收集的證據費用。如需定價的詳細資訊,請參閱 [AWS Audit Manager 定價](https://aws.amazon.com/audit-manager/pricing/)。
## 其他資源
您可以檢閱下列資源,進一步了解本教學課程中介紹的概念:
+ [評估](https://docs.aws.amazon.com/audit-manager/latest/userguide/assessments.html) – 了解管理評估的概念和任務。
+ [控制項程式庫](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-library.html) – 了解管理自訂控制項的概念和任務。
+ [架構程式庫](https://docs.aws.amazon.com/audit-manager/latest/userguide/framework-library.html) – 了解管理自訂架構的概念和任務。
+ [證據搜尋工具](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html) - 了解如何匯出 CSV 檔案或從您的查詢結果產生評估報告。
+ [下載中心](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html) - 了解如何從 Audit Manager 下載評估報告和 CSV 匯出。