AWS Audit Manager steht neuen Kunden nicht mehr offen. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter Änderung der AWS Audit Manager Verfügbarkeit.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Audit Manager Änderung der Verfügbarkeit
AWS Audit Manager ist ein Service, mit dem Sie mithilfe von Kontrollsystemen wie SOC2 PCI DSS und HIPAA den Compliance-Status Ihrer AWS Ressourcen einsehen und Berichte darüber erstellen können. Audit Manager wechselt in den Wartungsmodus und ab dem 30. April 2026 können Kunden den Service nicht mehr für neue Konten einrichten. Bestandskunden, die Audit Manager für ein einzelnes Konto in einer Region eingerichtet haben, können den Service für dieses Konto in dieser Region weiterhin nutzen, einschließlich der Erstellung neuer Bewertungen. Sie können Audit Manager jedoch nicht für weitere Regionen oder neue Konten einrichten. Kunden, die Audit Manager im Verwaltungskonto einer Organisation eingerichtet haben, können Konten dieser Organisation zu Bewertungen hinzufügen. Sie können die Nutzung jedoch nicht auf weitere Regionen ausdehnen oder Audit Manager für neue Organisationen einrichten.
Im Wartungsmodus wird das Serviceteam den Service weiterhin unterstützen. Dies beinhaltet Codekorrekturen und die Pflege der Datenquellenzuordnungen für die derzeit unterstützten Frameworks. Das Serviceteam wird jedoch weder neue Funktionen entwickeln noch Unterstützung für neue Frameworks oder neue Versionen vorhandener Frameworks hinzufügen und auch keine Unterstützung für neue Regionen hinzufügen.
Kunden, die nach Compliance-Management-Lösungen suchen, werden gebeten, sich die Conformance Packs unter anzusehen. AWS Config Conformance Packs bieten die Möglichkeit, Detective Controls in Form von Config Rules für mehrere Konten und Regionen bereitzustellen und zu überwachen. Sie bieten vorgefertigte Vorlagen für gängige Frameworks (wie HIPAA, NIST, PCI-DSS) und ermöglichen die Erstellung benutzerdefinierter Regeln. Conformance Packs können auf der Ebene eines einzelnen Kontos oder für alle Mitgliedskonten einer Organisation in verwaltet werden. AWS Organizations
Nachdem Sie ein Conformance Pack bereitgestellt haben, können Sie den Compliance-Status Ihrer Ressourcen im zugehörigen Dashboard einsehen. Alternativ können Sie das Config Resource Compliance Dashboard verwenden, um einen Bestand Ihrer AWS Ressourcen zusammen mit ihrem Compliance-Status für mehrere AWS Konten und Regionen einzusehen.
Einschränkungen von Conformance Packs für Audit Manager Manager-Kunden
AWS Config bietet derzeit keine Conformance Pack-Vorlagen für alle von Audit Manager unterstützten Frameworks an, einschließlich SOC2 GDPR. Die folgende Tabelle enthält eine Übersicht, aus der hervorgeht, wo derzeit Lücken bestehen. Aktuelle Informationen zu verfügbaren Conformance Pack-Vorlagen finden Sie in der Produktdokumentation.
AWS Config bietet keine Funktion zur Auditberichterstattung, die direkt dem Audit Manager Manager-Export entspricht. Kunden können jedoch AWS Config mithilfe eines oder mehrerer der im folgenden Abschnitt beschriebenen Mechanismen Nachweise exportieren, um den Compliance-Status zu belegen.
In den Conformance Pack-Dashboards können Kunden den Compliance-Status für jede der zugehörigen Konfigurationsregeln einsehen. Kunden können eine Regel detailliert untersuchen und den Status jeder einzelnen Ressource sowie die entsprechenden Nachweise in Form des Konfigurationselements für diese Ressource einsehen.
AWS Config zeichnet nur Konfigurationselemente (CIs) als Nachweis der Konformität auf. Im Gegensatz zu Audit Manager sammelt es keine AWS CloudTrail Protokolle, AWS Security Hub Kontrollen und führt keine API-Aufrufe an Zieldienste durch. Die von gesammelten Nachweise AWS Config sind weniger erschöpfend, aber einfacher zu handhaben. Alle von AWS Config gesammelten Nachweise werden über eine Konfigurationsregel einem Compliance-Status für eine AWS Ressource zugeordnet. Folglich legt Audit Manager im Gegensatz zu Audit Manager AWS Config keine „unschlüssigen“ Beweise vor.
Zuordnung von AWS Audit Manager Frameworks zu Conformance Packs AWS Config
| AWS Audit Manager Framework | AWS Config Vorlage für ein Conformance Pack |
|---|---|
| ACSC Essential Eight | Bewährte Methoden für die Implementierung von ACSC Essential 8 |
| ACSC ISM 02. März 2023 | Bewährte betriebliche Verfahren für ACSC ISM — Teil 1; Bewährte betriebliche Verfahren für ACSC ISM — Teil 2 |
| Audit Manager Manager-Beispielframework | -- Kein Äquivalent -- |
| AWS Control Tower Leitplanken | AWS Control Tower Detective Guardrails Konformitätspaket |
| AWS Framework für bewährte Methoden für generative KI v2 | Bewährte Methoden für die Ausführung von KI und ML |
| AWS License Manager | -- Kein Äquivalent -- |
| AWS Bewährte grundlegende Sicherheitsmethoden | Operative Best Practices für AWS Well-Architected Framework Security Pillar sowie Security Best Practice-Pakete für mehrere einzelne Services |
| AWS Bewährte Verfahren für den Betrieb | -- Kein Äquivalent -- |
| AWS Well-Architected Framework WAF v10 | Operative Best Practices für die Zuverlässigkeit eines AWS Well-Architected Frameworks; Säule Operational Best Practices für die Sicherheit eines AWS Well-Architected Frameworks |
| CCCS-Kontrolle für mittlere Cloud-Umgebungen | Bewährte Betriebspraktiken für CCCS-Medium |
| AWS CIS-Benchmark v1.2.0 | -- Kein Äquivalent -- |
| AWS CIS-Benchmark v1.3.0 | -- Kein Äquivalent -- |
| AWS CIS-Benchmark v1.4.0 | Bewährte Betriebspraktiken für CIS-AWS-V1.4-Level1; -CIS-AWS-V1.4-Level2 Operational-Best-Practices-for |
| CIS Controls v7.1, IG1 | -- Kein Äquivalent -- |
| CIS Critical Security Controls Version 8.0, IG1 | Bewährte Betriebspraktiken für kritische GIS-Sicherheitskontrollen V8- IG1 |
| FedRAMP Security Baseline Controls r4 | Bewährte Betriebspraktiken für FedRAMP (Niedrig); -FedRAMP (Moderat); Operational-Best-Practices-for -FedRAMP (Hoch Teil 1); Operational-Best-Practices-for FedRAMP (Hoch Teil 2) Operational-Best-Practices-for |
| GDPR 2016 | -- Kein Äquivalent -- |
| Gramm-Leach-Bliley Handeln | Bewährte Betriebspraktiken für Gramm-Leach-Bliley-Act |
| Titel 21 CFR Teil 11 | Bewährte Betriebspraktiken für FDA-21 CFR-Teil-11 |
| EU-GMP Anhang 11, v1 | Bewährte Betriebspraktiken für GxP-EU-Annex-11 |
| HIPAA-Sicherheitsregel: Februar 2003 | Bewährte betriebliche Verfahren für die HIPAA-Sicherheit |
| Endgültige HIPAA Omnibus-Regel | Bewährte betriebliche Verfahren für die HIPAA-Sicherheit |
| ISO/IEC 27001:2013 Anhang A | -- Kein Äquivalent -- |
| NIST SP 800-53 Rev. 5 | Bewährte Betriebspraktiken für NIST-800-53-Rev-5 |
| NIST-Framework für Cybersicherheit v1.1 | Bewährte Betriebspraktiken für NIST-CSF |
| NIST SP 800-171 Rev. 2 | Bewährte Betriebspraktiken für NIST-800-171 |
| PCI DSS v3.2.1 | Bewährte Methoden für die Ausführung von PCI DSS 3.2.1 |
| PCI DSS V4.0 | Bewährte Methoden für den Betrieb von PCI-DSS-v4.0 |
| SSAE-18 SOC 2 | -- Kein Äquivalent -- |
Beweise werden exportiert von AWS Config
- AWS Config Erweiterte Abfrage (empfohlen für den Export einzelner Ressourcen-Konfigurationselemente als Nachweis)
-
Sie können SQL-Abfragen in der AWS Config Konsole verwenden, um bestimmte Ressourcen auszuwählen und ihre aktuelle Konfiguration im CSV- oder JSON-Format zu exportieren.
-
Wie: Gehen Sie zu AWS Config > Erweiterte Abfragen.
-
Beispiel für eine Abfrage:
SELECT resourceId, resourceType, configuration, tags, compliance WHERE resourceType = 'AWS::EC2::Instance' AND resourceId = 'i-xxxxxxxxx' -
Exportieren: Wählen Sie „Ausführen“ und dann „Ergebnisse exportieren“ nach CSV.
-
Am besten geeignet für: Kuratierte Berichte über eine Teilmenge von Ressourcen.
-
- GetResourceConfigHistory API (für den vollständigen Verlauf empfohlen)
-
Wenn Prüfer den Compliance-Status einer Ressource über einen bestimmten Zeitraum (nicht nur den aktuellen Status) einsehen müssen, verwenden Sie die CLI/API.
-
Wie: Verwenden Sie den
get-resource-config-historyBefehl in der. AWS CLI -
Beispiel für einen Befehl:
aws configservice get-resource-config-history \ --resource-typeAWS::EC2::Instance\ --resource-idi-xxxxxxxxx\ --regionus-east-1 -
Ausgabe: Gibt ein detailliertes JSON-Objekt mit Konfigurationsänderungen zurück, einschließlich des Konformitätsstatus zum Zeitpunkt jeder Änderung.
-
- Amazon Athena und Amazon Quick (empfohlen für gefilterte Abfragen über mehrere Ressourcen hinweg)
-
Kunden können Amazon Athena verwenden, um SQL-basierte Abfragen für Ressourcenkonfigurationsdaten zu erstellen und auszuführen, die von aufgezeichnet wurden. AWS Config Kunden können die Daten auch in Amazon Quick importieren, um Analysen und Dashboards zu erstellen. Weitere Informationen finden Sie unter Visualisieren von AWS Config Daten mit Amazon Athena und Amazon
Quick.
Compliance-Lösungen im Vergleich
| Feature | AWS Audit Manager | AWS Config — Konformitätspakete |
|---|---|---|
| Verwaltete Kontrollen | Bietet 35 verwaltete Frameworks, darunter regulatorische und branchenspezifische Rahmenbedingungen wie SOC2 PCI DSS und HIPAA sowie AWS Best-Practice-Frameworks. | Bietet über 100 vordefinierte Conformance Pack-Vorlagen — darunter regulatorische und branchenspezifische Pakete wie PCI DSS und HIPAA sowie Operational Best Practice-Pakete. AWS |
| Anpassung | Erstellen Sie benutzerdefinierte Steuerungen und benutzerdefinierte Frameworks. | Erstellen Sie benutzerdefinierte Regeln und selbst definierte Vorlagen. |
| Einrichten | Erstellen Sie Assessments auf der Grundlage eines Frameworks. | Stellen Sie ein Conformance Pack bereit. |
| Sammlung von Beweisen | Sammelt Beweise aus vier Datenquellen: (1) Service-API-Aufrufe, (2) AWS Security Hub Kontrollen, (3) AWS CloudTrail Ereignisse, (4) Konfigurationsregeln. Kunden müssen zuerst Regeln mithilfe von AWS Config oder bereitstellen AWS Control Tower. | Zeichnet Beweise als Konfigurationselemente auf, die die Evaluierung von Konfigurationsregeln unterstützen. |
| Dashboards zur Einhaltung von Vorschriften | Bewertungs-Dashboards bieten täglich einen Überblick über Kontrollen, bei denen Verstöße festgestellt wurden. | Die Dashboards des Conformance Pack bieten einen Überblick über die Gesamtbewertung der Vorschriften, einen Zeitplan für die Einhaltung der Vorschriften und eine Übersicht nach Regeln. Im Detail können Sie sich den Status der Einhaltung der Vorschriften nach Ressourcen und Belegen in Form von Konfigurationselementen anzeigen lassen. |
| Behebung nicht richtlinienkonformer Ressourcen | Nicht unterstützt | Kunden können Behebungspläne definieren und initiieren. |
| Formate der Nachweise | Ergebnisse der Config-Regelauswertung; Ergebnisse einzelner API-Aufrufe, z. B. iam.getPolicy; Ergebnisse. AWS Security Hub | Ergebnisse der Auswertung von Konfigurationsregeln; Konfigurationselemente. |
| Auditberichte | Nachweise können für die Aufnahme in einen Prüfbericht ausgewählt werden, der im PDF-Format exportiert werden kann. Unterstützt auch Exporte im CSV-Format aus dem Evidence Finder Tool. | Einzelne Konfigurationselemente können über das Config Advance Query-Tool exportiert werden. Kunden können CLI-Skripte erstellen, um Beweise über den Service zu exportieren APIs. |
Deaktivierung AWS Audit Manager
Durch die Deaktivierung von Audit Manager wird die Erfassung neuer Nachweise beendet, Ihre vorhandenen Nachweise werden jedoch nicht gelöscht, es sei denn, Sie wählen diese Option ausdrücklich aus. Nachweise werden ab dem Datum ihrer Erfassung zwei Jahre lang aufbewahrt. Als Bestandskunde können Sie den Service wieder aktivieren, um Zugriff auf Beweise zu erhalten und die Beweiserhebung wieder aufzunehmen.
Kunden können Audit Manager für das Konto entweder über die Registerkarte „Einstellungen“ in der Konsole oder über die CLI deaktivieren.
Kunden, die Audit Manager für eine Organisation eingesetzt haben, sollten den Service über das Verwaltungskonto der Organisation deaktivieren. Standardmäßig verfügt das delegierte Administratorkonto nicht über die erforderlichen Berechtigungen, um Audit Manager für die Organisation zu deaktivieren.
Weitere Ressourcen
-
AWS Config — Dokumentation zu den Conformance Packs
-
AWS Audit Manager — Dokumentation zum Evidence Finder
Häufig gestellte Fragen
- Wird der AWS Audit Manager Dienst abgeschaltet?
-
Nein. Der Audit Manager Manager-Dienst wird in den Wartungsmodus versetzt. Bestandskunden können den Service weiterhin wie gewohnt nutzen.
- Warum wird AWS Audit Manager in den Wartungsmodus versetzt?
-
Wir können ein besseres und integrierteres Kundenerlebnis bieten, indem wir in AWS Config unser Compliance-Management investieren.
- Kann ich es heute AWS Config für Compliance Management nutzen?
-
Ja. Conformance Packs in AWS Config können als Tool für die Verwaltung der Einhaltung von AWS Ressourcen mit Frameworks wie PCI DSS, FedRAMP und HIPAA verwendet werden. Mit Conformance Packs können Kunden gemeinsam Detective Controls für verschiedene Frameworks implementieren und ein Dashboard bereitstellen, das die Einhaltung der Vorschriften auf Ressourcenebene anzeigt.
- Was sind die Vorteile einer Migration zur Nutzung AWS Config für Compliance Management?
-
Für Kunden, die nach einer Lösung zur Überwachung der Einhaltung von AWS Ressourcen mit Frameworks wie PCI DSS suchen, AWS Config bieten die enthaltenen Conformance Packs eine umfassendere und praktikablere Lösung. Kunden können (1) Detective Controls für ein einzelnes Konto oder eine gesamte Organisation einrichten, (2) auf ein Dashboard zugreifen, das eine Compliance-Bewertung anzeigt, (3) den Compliance-Status einzelner Ressourcen aufschlüsseln und einsehen, (4) auf eine Zeitleiste für eine Ressource zugreifen, die zeigt, wie sich der Compliance-Status im Laufe der Zeit verändert hat, (4) Beweise in Form von Konfigurationselementen abrufen, die den Compliance-Status einer Ressource für eine Kontrolle belegen.
- Sind Conformance Packs AWS Config ein direkter Ersatz für Frameworks in Audit Manager?
-
Nein. Conformance Packs sind ein leistungsstarkes Tool, mit dem Kunden den Compliance-Status ihrer AWS Ressourcen verwalten können. Conformance Packs entsprechen jedoch nicht den Audit Manager Frameworks. Die für Frameworks wie PCI DSS bereitgestellten Conformance Pack-Vorlagen enthalten nur die technischen Core Controls, die als Config Rules bewertet werden können. Eine Conformance Pack-Vorlage enthält nicht alle Auditkontrollen, die eine Organisation erfüllen muss, um ein PCI-DSS-Audit zu bestehen. Es gibt keine Konfigurationsregel, die bestätigt, dass die Organisation ihre Sicherheitsrichtlinien und Betriebsverfahren dokumentiert hat. Die Dashboards von Compliance Pack geben zwar ein klares Signal über den Compliance-Status Ihrer AWS Ressourcen, die anhand von Config Rules bewertet wurden, bieten AWS Config jedoch keine allgemeine Compliance-Management-Lösung zur Erfassung, Organisation und Weitergabe von Nachweisen für alle Kontrollen, die von Frameworks wie PCI DSS erforderlich sind. Kunden, die nach einer Lösung für dieses Problem suchen, sollten stattdessen Partnerlösungen wie die von Vanta und Drata in Betracht ziehen, die zusammen mit AWS Config zur Bereitstellung einer end-to-end Compliance-Automatisierungslösung verwendet werden können.
- Gibt es Conformance Packs für alle Frameworks, die von Audit Manager unterstützt werden?
-
Nein, es gibt derzeit eine Reihe von Frameworks in Audit Manager, für die es kein entsprechendes Conformance Pack gibt. AWS Config Die obige Tabelle enthält eine Zuordnung von Audit Manager Manager-Frameworks zu Config Conformance Packs. Die wichtigsten Lücken sind die SOC2 DSGVO. Aktuelle Informationen zu neuen Conformance Pack-Versionen finden Sie unter AWS Config „Neuigkeiten“. Zusätzlich zu den von AWS bereitgestellten vordefinierten Conformance Pack-Vorlagen können Kunden ihre eigenen Conformance Pack-Vorlagen definieren, die zusammen mit Config Rules gruppiert werden und es Kunden ermöglichen, Abhilfemaßnahmen für nicht konforme Ressourcen zu definieren.
- Können Kunden Nachweise exportieren, die sie für Prüfer verwenden können? AWS Config
-
AWS Config bietet einige Tools für den Export von Nachweisen zur Einhaltung der Vorschriften im Zusammenhang mit Ressourcen. Anleitungen zur Verwendung dieses Tools finden Sie auf der Seite „Verfügbarkeit ändern“.
- Kann ich als Bestandskunde Audit Manager weiterhin wie gewohnt verwenden?
-
Ja. Als Bestandskunde können Sie Audit Manager weiterhin wie gewohnt verwenden, einschließlich der Erstellung und Verwaltung von Bewertungen, der Überprüfung von Nachweisen und der Erstellung von Auditberichten. Kunden, die Audit Manager in ihrer gesamten Organisation eingesetzt haben, können Assessments auf neue Accounts aus dem Unternehmen ausweiten.
- Kann ich als Bestandskunde mit einem einzigen Account Audit Manager für mein Unternehmen einsetzen?
-
Nein. Ab dem 30. April 2026 können Kunden mit Einzelkonto-Implementierungen Audit Manager nicht mehr unternehmensweit einsetzen.
- Wie überprüfe ich, ob Audit Manager in einem Konto eingerichtet ist?
-
Bei Bereitstellungen mit einem Konto können sich Kunden bei dem Konto anmelden und in der Konsole zum Audit Manager-Dienst navigieren, um zu sehen, ob Audit Manager für dieses Konto eingerichtet ist. Für Organizations sollten Kunden dies vom Verwaltungskonto aus tun.
- Wie deaktiviere ich Audit Manager?
-
Kunden können Audit Manager für das Konto entweder über die Registerkarte „Einstellungen“ in der Konsole oder über die CLI deaktivieren. Kunden, die Audit Manager für eine Organisation bereitgestellt haben, sollten den Dienst über das Verwaltungskonto der Organisation deaktivieren. Standardmäßig verfügt das delegierte Administratorkonto für Audit Manager nicht über die erforderlichen Berechtigungen. Durch die Deaktivierung von Audit Manager wird die Erfassung neuer Nachweise beendet, Ihre vorhandenen Nachweise werden jedoch nicht gelöscht, es sei denn, Sie wählen diese Option ausdrücklich aus. Nachweise werden ab dem Datum ihrer Erfassung zwei Jahre lang aufbewahrt. Als Bestandskunde können Sie den Service wieder aktivieren, um Zugriff auf Beweise zu erhalten und die Beweiserhebung wieder aufzunehmen.
- Wie kann ich weiterhin auf Beweise zugreifen, nachdem ich Audit Manager deaktiviert habe?
-
Der einfachste Weg, weiterhin auf die von Audit Manager gesammelten Nachweise zuzugreifen, besteht darin, zuerst Evidence Finder zu aktivieren, bevor Sie den Dienst deaktivieren. Wenn Sie Evidence Finder aktivieren, exportiert Audit Manager Beweise in einen CloudTrail Data Lake, auf den Sie auch nach der Deaktivierung von Audit Manager weiterhin zugreifen können.
- Wie kann ich es AWS Control Tower für das Compliance-Management verwenden?
-
AWS Control Tower bietet einen Katalog von präventiven, proaktiven und detektiven Kontrollen (implementiert als Config Rules), die vom Framework gesteuert werden. Es ermöglicht Ihnen, alle für diese Frameworks relevanten Kontrollen für eine oder mehrere OUs innerhalb Ihrer Organisation bereitzustellen. Mit dem neuen System, bei dem nur noch Kontrollen möglich sind, ist es nicht mehr erforderlich, dass die Organisation als Landing Zone eingerichtet wurde. Die Vorteile von AWS Control Tower bestehen darin, dass Sie auf OU-Ebene einen Überblick über Ressourcen erhalten, bei denen die Vorschriften nicht eingehalten werden. AWS Control Tower verwendet keine Conformance Packs zur Bereitstellung von Config Rules. Daher wird das Conformance Pack nur angezeigt, wenn Sie das Conformance Pack auch bereitstellen. Es unterstützt auch keine Korrektur-Workflows.
- Wie kann ich es AWS Security Hub CSPM für das Compliance-Management verwenden?
-
Für Frameworks, die einem Sicherheitsstandard zugeordnet sind, AWS Security Hub CSPM bietet es eine Alternative zum Compliance-Management und AWS Config zur Problembehebung innerhalb eines einzigen Kontos. Wenn Sie den Standard von der Security Hub CSPM-Konsole aus aktivieren, wird eine Reihe von serviceverknüpften Regeln für das zugehörige Framework bereitgestellt. Kunden können sich ein Compliance-Dashboard ansehen, das den gesamten Compliance-Wert und den Status der einzelnen Kontrollen anzeigt. Sie haben zudem die Möglichkeit, bis zur Ebene der einzelnen Ressourcen vorzugehen. Security Hub CSPM ermöglicht es Kunden, die Ergebnisse für die Regel im JSON-Format herunterzuladen, und fügt eine Schweregradbewertung für die Kontrolle hinzu, die Kunden bei der Priorisierung von Behebungsplänen unterstützt. Mit der zentralen Konfiguration können Sie Security Hub CSPM für mehrere Regionen, Konten und Organisationseinheiten () OUs konfigurieren. Security Hub CSPM bietet jedoch Sicherheitsstandards nur für eine begrenzte Anzahl von Frameworks, darunter NIST 800-53 und PCI-DSS.
