AWS Audit Manager 常见问题

问：什么是 AWS Audit Manager？

AWS Audit Manager 帮助持续审计您的 AWS 使用情况，以简化评估风险以及针对相关法规与行业标准的合规性的方式。Audit Manager 可自动收集证据，使您可以更轻松地评估您的策略、程序和活动（也称为控件）是否有效运转。在开展审计时，AWS Audit Manager 会帮助您管理利益相关者对您的控件的审核，让您能够创建审计就绪报告，且大幅减少手动操作。 

问：AWS Audit Manager 的主要优势是什么？

• 轻松映射您的 AWS 使用情况到控件 - AWS Audit Manager 提供预构建的框架，其中包括 AWS 资源对著名行业标准和法规（例如《健康保险流通与责任法案》(HIPAA)、通用数据保护条例 (GDPR) 和支付卡行业数据安全标准 (PCI DSS)）控制要求的映射。
• 通过自动收集证据节省时间 - AWS Audit Manager 通过自动收集和整理由每个控制要求定义的证据为您节省时间。
• 跨团队简化协作 - AWS Audit Manager 帮助您简化审计利益相关者的协作。例如，通过委托功能，您可以将评估中的控件分配给主题专家进行审查。
• 不断准备生成审计就绪报告 - Audit Manager 持续收集并安全存储的证据成为一个记录，其中包含证明符合控件指定的要求所需的信息。
• 确保评估报告和证据完整性 - AWS Audit Manager 在其自己管理的存储库中存储证据，您的最终用户对存储库有只读权限。当您生成审计就绪报告时，Audit Manager 会生成报告文件校验和，以便您可以验证报告证据是否保持不变。

问：AWS Audit Manager 如何帮助我审计我的 AWS 使用情况？

AWS Audit Manager 的预构建框架帮助将您的 AWS 资源使用映射到行业标准或法规的要求，此类行业标准或法规包括 CIS AWS 基础知识基准、通用数据保护条例 (GDPR) 和支付卡行业数据安全标准 (PCI DSS) 等等。您还可以完全自定义框架及其控件，以帮助满足自己的特别业务要求。

问：何时应使用 AWS Audit Manager？

AWS Audit Manager 让您从手动收集、审查和管理证据转变为自动收集证据、提供追踪证据链保管的简便方法、实现团队协作和帮助管理证据安全性和完整性的解决方案。您还可以使用 Audit Manager 来支持持续审计和合规性，以及内部风险评估。

问：何时使用 AWS Audit Manager 和 AWS Security Hub？

您应该同时使用这二者，因为它们相辅相成。审计与合规专业人员使用 AWS Audit Manager 持续评估法规和行业标准的合规性。安全与合规专业人员以及开发运维工程师使用 AWS Security Hub 以持续监控和改善 AWS 账户和资源的安全状况。Security Hub 根据不同的行业和监管框架进行自动化安全检查。Audit Manager 会自动收集这些 Security Hub 检查生成的结果作为证据，并将其与其他证据（如 AWS CloudTrail 日志）结合起来，以帮助客户生成评估报告。Audit Manager 涵盖每个受支持框架中的全套控件，包括具有与之关联的自动化证据的控件以及需要手动上传证据的控件，例如事件响应计划。Security Hub 专注于通过安全检查生成自动证据，以获取 Audit Manager 中每个受支持框架中的控件子集。需要来自其他 AWS 服务（如 CloudTrail）的证据或需要用户上传的手动证据的控件未涵盖在 Security Hub 中。

问：AWS Audit Manager 的定价结构是什么？

AWS Audit Manager 按照每个区域每个账户所执行的资源评估次数来定价。当您根据框架定义并启动评估时，Audit Manager 将对每项单独的资源执行资源评估，例如您的 Amazon EC2 实例、Amazon RDS 实例、Amazon S3 存储桶或 Amazon VPC 子网。资源评估指的是收集、存储和管理证据的过程，您可以用此过程评估风险以及是否符合行业标准和法规。另请参见 AWS Audit Manager 定价。

问：AWS Audit Manager 是否免除了我在 PCI DSS 和 GDPR 等合规性标准或法规下的责任？

否。AWS Audit Manager 帮助您收集和准备证据进行审计。尽管 AWS 不提供法律或合规建议，但我们帮助您节省了手工生成和收集审计证据所需的数千小时时间，并使您能够将更多精力集中在于险补救和审计规划上。

问：AWS Audit Manager 是一项区域性服务还是一项全球服务？

AWS Audit Manager 是一项区域性服务。这样可以确保收集的所有证据以区域为基础，且不会跨越 AWS 区域边界。客户必须在每个区域启用 Audit Manager 才能查看该区域的证据。

问：AWS Audit Manager 支持哪些区域？

AWS Audit Manager 的区域可用性见此处所列：AWS 区域性服务列表

问：AWS Audit Manager 提供的预构建框架列表是什么？

AWS Audit Manager 为各种法规和行业标准提供基于 AWS 最佳实践的预构建标准框架。例如，AWS Audit Manager 中的预构建框架包括 AWS Control Tower、AWS License Manager、CIS AWS Foundations 基准测试 1.2.0 和 1.3.0；CIS 控制 v7.1 实施组 1、FedRAMP 中等基准、一般数据保护法规 (GDPR)、GxP 21 CFR 第 11 部分、《健康保险隐私和可携带性法案》(HIPAA)、支付卡行业数据安全标准 (PCI DSS) v3.2.1、服务组织控制 2 (SOC 2) 和 NIST 800-53 (Rev 5)。请参阅 AWS Audit Manager 文档中支持的框架的完整列表。

问：AWS Audit Manager 将证据数据存储在哪里？

AWS Audit Manager 在其自己管理的存储库中存储证据，您的最终用户对存储库有只读权限。通过 AWS Audit Manager，您能够在 S3 存储桶中生成评估报告，其中包含摘要文档和证据文件夹。

问：AWS Audit Manager 会将证据数据存储多久？

目前，AWS Audit Manager 将证据数据在其自己管理的存储库中最长存储 2 年，证据数据将在 2 年后删除。

问：AWS Audit Manager 的服务配额是多少？

• 每个账户的活动评估数量：100 
• 每个账户的自定义控件数量：500 
• 每个账户的自定义框架数量：100
  

问：什么是框架？

框架可以是预构建的和/或客户定义的控件的集合。这些控件根据指定的合规性或行业标准（如 PCI DSS、HIPAA、GDPR 或内部风险治理指导原则）的要求组织和分组。

问：什么是控件？

控件是一种说明性的描述，它解释了如何实施一个符合给定规则的程序，例如合规性要求。它提供了一种合理保证，确保您的组织使用的资源按照预期运行，确保数据可靠，且您的组织符合适用的法律和法规。

问：什么是自定义控件？

AWS Audit Manager 使您可以定义自己的控件，以从特定数据源中收集证据，从而帮助您满足独特的合规性要求。

问：什么是评估？

AWS Audit Manager 评估是 AWS Audit Manager 框架的一种实施。将框架用作起点，您可以创建评估并定义您想要包含在审计范围内的 AWS 账户和服务。创建评估后，AWS Audit Manager 开始根据框架中定义的控件自动评估您的 AWS 账户和服务中的资源。接下来，它收集相关证据并将证据转换为方便审计员查看的格式，然后再将证据附加到您的评估中的控件中。

问：什么是资源评估？

资源评估指的是收集、存储和管理证据的过程，您可以用此过程评估风险以及是否符合行业标准和法规。当您定义并启动基于评估框架的评估时，Audit Manager 将对每项单独的资源执行资源评估，例如您的 Amazon EC2 实例、Amazon RDS 实例、Amazon S3 存储桶或 Amazon VPC 子网。

问：什么是证据？

证据是记录，其中包含证明符合控件规定的要求所需的信息。举例来说，证据可以是用户触发的更改活动，或系统配置快照。

问：什么是评估报告？

评估报告是 AWS Audit Manager 评估生成的最终文件。该报告总结了为您的审计而收集的相关证据。报告与相关证据文件夹链接，根据您的评估中指定的控件进行命名和整理。

问：如何开始使用 AWS Audit Manager？

要开始使用，您可以在 AWS 管理控制台、AWS CLI 中或通过 API 设置 AWS Audit Manager。AWS Audit Manager 文档包含入门教程，该教程提供 AWS Audit Manager 的动手实践说明。在此教程中，您可以使用标准的框架创建评估，并开始证据的自动收集。

问：AWS Audit Manager 是否可以帮助跨多个 AWS 账户管理证据？

是，AWS Audit Manager 通过与 AWS Organizations 的集成支持多个账户。AWS Audit Manager 和 AWS Organizations 集成可使您在多个账户上运行 AWS Audit Manager 评估，并将证据整合到委派的管理员账户中。

问：如何为我的审计指定评估范围？

从框架启动评估时，您可以通过选择 AWS 账户和 AWS 服务来指定范围。您使用的框架定义 AWS Audit Manager 从中收集证据的 AWS 服务。然后，您可以根据该框架在评估的创建过程中从此处将 AWS 服务添加到范围内。

问：AWS Audit Manager 如何帮助我管理审计？

AWS Audit Manager 通过自动收集和整理由每个控制要求定义的证据为您节省时间。使用 Audit Manager，您可以专注于审查相关证据，确保控件按预期运行。在开展审计时，AWS Audit Manager 会帮助您管理利益相关者对您的控件的审核，让您能够创建审计就绪报告，且大幅减少手动操作。例如，通过委托功能，您可以将评估中的控件分配给主题专家进行审查。审查并选择相关证据后，您即已准备好构建一个审计就绪报告，该报告包括一个报告摘要和一组包含详细证据的文件夹。

问：我如何审查评估？

在 Audit Manager 中，您可以获得评估的摘要视图，您可以随时查看该视图。摘要中包含您的评估详细信息、控件、评估报告、范围中的 AWS 账户、范围中的 AWS 服务、审计拥有者、标签和更改日志。您还可以点击评估内列出的每个控件，以审查和更新与每个控件相关的详细信息，包括审查收集的证据、添加注释、上传人工证据、检查更改日志、更新控制状态或委派给团队成员。

问：如何委托领域专家代表我审查控件？

AWS Audit Manager 使您可以将包含控件集合的控件集委派给另一个用户进行审查。委派代表将能够审查证据、添加注释、上传人工证据，并更新控件集中每个控件的控件状态。委派代表可以将审查提交返回给您，这样您就可以检查控件集和相关的评论，并最终完成该控件集的审查。

问：如何创建自定义框架？

框架库是一个中心位置，从这个位置，您可以在 AWS Audit Manager 中访问和管理框架。它包含 Audit Manager 预先构建的标准框架目录，如 PCI DSS、CIS 基础知识基准以及 HIPAA 和您定义的自定义框架。可通过两种方法创建自定义框架。您可以自定义现有的框架，或者可以从头开始创建一个新框架。创建自定义框架时，您可以从 Audit Manager 控件库中添加控件并以适合您独特要求的方式将控件组织到控件集中。

问：如何创建自定义控件？

控件库是一个中心位置，从这个位置，您可以在 AWS Audit Manager 中访问和管理控件。它包含 Audit Manager 预先构建的标准控件目录和您定义的自定义控件。可通过两种方法创建自定义控件。您可以自定义现有的控件，或者可以从头开始创建一个新控件。创建自定义控件时，您可以在 AWS 上指定控件名称、描述、测试信息和最多 10 个您希望 Audit Manager 从其中自动收集证据的数据源。您还可以创建一个自定义控件，该控件只要求通过人工证据来支持那些需要非系统证据的控件，如人员组织和操作过程。

问：我可以从哪些控件数据源中自动收集证据？

当您在 AWS Audit Manager 中配置自定义控件时，您可以选择收集该控件的自动证据。您可以为自动证据选择以下四种类型的控件数据源中的一种：

• AWS CloudTrail 中的用户活动 - 用户活动的示例包括路由表更新、RDS 实例备份设置更改和 S3 存储桶加密策略更改。
• AWS Security Hub 的合规性检查 – 合规性检查的示例包括 PCI DSS 的 Security Hub 检查
• AWS Config 的合规性检查 - 合规性检查的示例包括 GDPR 的 Config 规则评估。
• AWS API 调用中的配置数据 - 配置数据的示例包括 VPC 路由表的路由列表、IAM 策略列表和 EC2 实例配置。

问：Audit Manager 中的证据收集频率如何？

在 AWS Audit Manager 中，证据收集的频率取决于证据的类型，说明如下：

• 配置数据证据类型（包括资源配置的快照）按每天、每周或每月的频率从 AWS 服务（例如 EC2、S3、RDS、VPC 等）中直接捕获。客户可以在 Audit Manager 中配置此频率。
• 用户活动证据类型在资源配置更改触发时从 AWS CloudTrail 日志中捕获。
• 合规性检查证据类型（包括 AWS Security Hub 和/或 AWS Config 的结果）按这两个服务中定义的频率捕获。可以定期捕获，也可以在资源配置更改触发时捕获。

问：Audit Manager 如何与其他服务结合使用？

AWS Security Hub 基于 AWS 最佳实践和行业标准使用自动安全检查来监控您的环境，以便您可以对发现的问题采取纠正措施。AWS Audit Manager 为支持的合规性标准（如 CIS 基础知识基准和 PCI）导入 Security Hub 发现结果。AWS Audit Manager 自动执行附加分析并向收集的 Security Hub 结果中添加注释，从而为 AWS Security Hub 监控的 AWS 服务生成证据

借助 AWS CloudTrail，您可以记录日志、持续监控并保留与整个 AWS 基础设施中的操作相关的账户活动。Audit Manager 直接从 CloudTrail 中收集日志数据并执行附加分析。Audit Manager 对数据进行注释，为超过 175 个将日志提供给 AWS CloudTrail 的 AWS 服务自动生成证据。

AWS Config 可以持续监控和记录您的 AWS 资源配置，并让您可以依据配置需求自动评估记录的配置。AWS Audit Manager 从 AWS Config 中收集日志数据并执行附加分析。Audit Manager 对该数据进行注释，为 AWS Config 监控的 AWS 服务自动生成证据。

AWS Control Tower 基于 AWS 与数千家迁移到云的企业合作的经验所建立的最佳实践提供最简单的方法来设置和管理一个新的、安全的、多账户 AWS 环境。AWS Audit Manager 从 Control Tower 中导入护栏日志，并执行附加分析。Audit Manager 对该数据进行注释，为 Control Tower 防护机制日志所跟踪的 AWS 服务自动生成证据。

Amazon EventBridge 是一项无服务器服务，它使用事件将应用程序组件连接在一起，使您可以更轻松地构建可扩展的事件驱动型应用程序。您可以使用 EventBridge 规则来检测 Audit Manager 事件并作出反应，如创建、编辑或删除评估时的状态更改通知。您还可以使用 EventBridge 规则来检测任何委派工作流或评测控制审查状态的变更。

Amazon Bedrock 是一项完全托管的服务，可通过 API 提供来自 Amazon 和其他领先 AI 公司的基础模型（FM），使您能够使用组织数据私下调整现有的大型语言模型（LLM）。AWS Audit Manager 为 Amazon Bedrock 客户提供生成式人工智能最佳实践框架。您可以通过 AWS Audit Manager 在运行生成式人工智能模型和应用程序的账户中部署此最佳实践框架，以收集有助于监控预期策略合规性的证据。

问：Audit Manager 如何与 AWS 合作伙伴和第三方工具配合使用？
AWS Audit Manager 已与 AWS 合作伙伴兼监管、风险与合规性（GRC）解决方案提供商 MetricStream 集成。这种集成允许您将 AWS 使用情况和配置的证据直接从 Audit Manager 导入到您的 MetricStream CyberGRC 中。要了解更多信息，请访问 Audit Manager 文档。