AWS Audit Manager non è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, vedi modifica della AWS Audit Manager disponibilità.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS Audit Manager modifica della disponibilità
AWS Audit Manager è un servizio che consente di visualizzare e generare report sullo stato di conformità delle AWS risorse con framework di controllo come PCI DSS e SOC2 HIPAA. Audit Manager sta passando alla modalità di manutenzione e dal 30 aprile 2026 i clienti non saranno più in grado di configurare il servizio in nuovi account. I clienti esistenti che hanno configurato Audit Manager per un singolo account all'interno di una regione possono continuare a utilizzare il servizio per quell'account all'interno di quella regione, inclusa la creazione di nuove valutazioni; ma non saranno in grado di configurare Audit Manager per altre regioni o nuovi account. I clienti che hanno configurato Audit Manager all'interno dell'account di gestione di un'organizzazione potranno aggiungere gli account di tale organizzazione alle valutazioni, ma non saranno in grado di estenderne l'utilizzo ad altre regioni o configurare Audit Manager per nuove organizzazioni.
In modalità manutenzione, il team di assistenza continuerà a supportare il servizio. Ciò include correzioni di codice e manutenzione delle mappature delle sorgenti dati per i framework attualmente supportati. Tuttavia, il team di assistenza non creerà nuove funzionalità, né aggiungerà supporto per nuovi framework o nuove versioni di framework esistenti, né aggiungerà il supporto per nuove regioni.
I clienti che cercano soluzioni di gestione della conformità sono incoraggiati a esplorare i Conformance Pack in. AWS Config I Conformance Pack forniscono un mezzo per implementare e monitorare i controlli investigativi, sotto forma di Config Rules, su più account e regioni. Offrono modelli predefiniti per framework comuni (come HIPAA, NIST, PCI-DSS) e consentono la creazione di regole personalizzate. I Conformance Pack possono essere gestiti a livello di un singolo account o tra tutti gli account dei membri di un'organizzazione in. AWS Organizations
Dopo aver distribuito un Conformance Pack, è possibile visualizzare lo stato di conformità delle risorse all'interno della dashboard associata. In alternativa, puoi utilizzare il Config Resource Compliance Dashboard per visualizzare un inventario delle tue AWS risorse, insieme al loro stato di conformità, su più AWS account e regioni.
Limitazioni dei Conformance Pack per i clienti Audit Manager
AWS Config attualmente non offre modelli Conformance Pack per tutti i framework supportati da Audit Manager, incluso il GDPR. SOC2 La tabella seguente fornisce una mappatura che evidenzia le attuali lacune. Per gli aggiornamenti sui modelli di Conformance Pack disponibili, consulta la documentazione del prodotto.
AWS Config non fornisce una funzionalità di reporting di audit direttamente equivalente all'esportazione di Audit Manager. Tuttavia, i clienti possono esportare prove a supporto degli stati di conformità AWS Config utilizzando uno o più dei meccanismi descritti nella sezione seguente.
Dalle dashboard del Conformance Pack, i clienti possono visualizzare lo stato di conformità per ciascuna delle regole di Config associate. I clienti possono approfondire una regola e visualizzare lo stato di ogni singola risorsa e le prove, sotto forma di elemento di configurazione per quella risorsa.
AWS Config registra solo gli elementi di configurazione (CIs) come prova di conformità. A differenza di Audit Manager, non raccoglie AWS CloudTrail registri, AWS Security Hub controlli né effettua chiamate API ai servizi di destinazione. Le prove AWS Config raccolte da sono meno esaustive, ma più facili da consultare. Tutte le prove raccolte da AWS Config vengono mappate su uno stato di conformità di una AWS risorsa, tramite una regola di Config. Di conseguenza, a differenza di Audit Manager, AWS Config non presenta prove «inconcludenti».
Mappatura dei AWS Audit Manager framework ai Conformance Pack AWS Config
| AWS Audit Manager Framework | AWS Config Modello di Conformance Pack |
|---|---|
| ACSC Essential Eight | Best practice operative per ACSC Essentials 8 |
| ACSC ISM 02 marzo 2023 | Migliori pratiche operative per ACSC ISM - Parte 1; Migliori pratiche operative per ACSC ISM - Parte 2 |
| Framework di esempio di Audit Manager | -- Nessun equivalente -- |
| AWS Control Tower Guardrail | AWS Control Tower Pacchetto di conformità Detective Guardrails |
| AWS Framework generativo per le migliori pratiche di intelligenza artificiale v2 | Best practice operative per IA e ML |
| AWS License Manager | -- Nessun equivalente -- |
| AWS Le migliori pratiche di sicurezza di base | Operational Best practice for AWS Well-Architected Framework Security Pillar, oltre a pacchetti Security Best Practice per più servizi individuali |
| AWS Best practice operative | -- Nessun equivalente -- |
| AWS Well-Architected Framework WAF v10 | Best practice operative per AWS Well-Architected Framework Reliability Pillar; Best practice operative per AWS Well-Architected Framework Security Pillar |
| Controllo CCCS Medium Cloud | Migliori pratiche operative per CCCS-Medium |
| Benchmark CIS v1.2.0 AWS | -- Nessun equivalente -- |
| Benchmark CIS v1.3.0 AWS | -- Nessun equivalente -- |
| Benchmark CIS v1.4.0 AWS | Best practice operative per CIS-AWS-v1.4-Level1; -CIS-AWS-V1.4-Level2 Operational-Best-Practices-for |
| Controlli CIS v7.1, IG1 | -- Nessun equivalente -- |
| CIS Critical Security Controls versione 8.0, IG1 | Best practice operative per i controlli di sicurezza critici della CIS-v8- IG1 |
| FedRAMP Security Baseline Controls r4 | Best practice operative per FedRAMP (Low); -FedRAMP (Moderato); -FedRAMP (High Part 1); Operational-Best-Practices-for -FedRAMP (High Part 2) Operational-Best-Practices-for Operational-Best-Practices-for |
| GDPR 2016 | -- Nessun equivalente -- |
| Gramm-Leach-Bliley Atto | Buone pratiche operative per Gramm-Leach Bliley-Act |
| Titolo 21 CFR Parte 11 | Migliori pratiche operative per-FDA-21CFR Part-11 |
| Allegato 11, v1 delle GMP dell'UE | Migliori pratiche operative per GXP-EU-Allegato -11 |
| Regola di sicurezza HIPAA: febbraio 2003 | Migliori pratiche operative per la sicurezza HIPAA |
| Regola finale HIPAA Omnibus | Migliori pratiche operative per la sicurezza HIPAA |
| ISO/IEC 27001:2013 Allegato A | -- Nessun equivalente -- |
| NIST SP 800-53 Rev.5 | Migliori pratiche operative per NIST-800-53-Rev-5 |
| Framework per la sicurezza informatica NIST v1.1 | Migliori pratiche operative per il NIST-CSF |
| NIST SP 800-171 Rev. 2 | Migliori pratiche operative per NIST-800-171 |
| PCI DSS V3.2.1 | Best practice operative per PCI DSS 3.2.1 |
| PCI DSS V4.0 | Migliori pratiche operative per PCI-DSS-v4.0 |
| SSAE-18 SOC 2 | -- Nessun equivalente -- |
Esportazione di prove da AWS Config
- AWS Config Interrogazione avanzata (consigliata per esportare gli elementi di configurazione delle singole risorse come prova)
-
È possibile utilizzare le query SQL nella AWS Config console per selezionare risorse specifiche ed esportare la loro configurazione corrente in formato CSV o JSON.
-
Come: vai a AWS Config > Interrogazioni avanzate.
-
Esempio di interrogazione:
SELECT resourceId, resourceType, configuration, tags, compliance WHERE resourceType = 'AWS::EC2::Instance' AND resourceId = 'i-xxxxxxxxx' -
Esporta: scegli «Esegui» e poi «Esporta risultati» in formato CSV.
-
Ideale per: report curati su un sottoinsieme di risorse.
-
- GetResourceConfigHistory API (consigliata per la cronologia completa)
-
Se i revisori devono vedere lo stato di conformità di una risorsa in un periodo di tempo specifico (non solo lo stato attuale), utilizza la CLI/API.
-
Come: utilizzare il
get-resource-config-historycomando in. AWS CLI -
Esempio di comando:
aws configservice get-resource-config-history \ --resource-typeAWS::EC2::Instance\ --resource-idi-xxxxxxxxx\ --regionus-east-1 -
Output: restituisce un oggetto JSON dettagliato delle modifiche alla configurazione, incluso lo stato di conformità al momento di ogni modifica.
-
- Amazon Athena e Amazon Quick (consigliati per query filtrate su più risorse)
-
I clienti possono utilizzare Amazon Athena per creare ed eseguire query basate su SQL sui dati di configurazione delle risorse registrati da. AWS Config I clienti possono anche importare i dati in Amazon Quick per creare analisi e dashboard. Per ulteriori informazioni, consulta Visualizzazione AWS Config dei dati con Amazon Athena e Amazon Quick
.
Confronto delle soluzioni di conformità
| Funzionalità | AWS Audit Manager | AWS Config — Pacchetti di conformità |
|---|---|---|
| Controlli gestiti | Fornisce 35 framework gestiti, inclusi framework normativi e di settore, come PCI DSS e HIPAA SOC2, e framework di best practice. AWS | Fornisce oltre 100 modelli di Conformance Pack predefiniti, inclusi pacchetti normativi e di settore, come PCI DSS e HIPAA, e pacchetti Operational Best practice. AWS |
| Personalizzazione | Crea controlli e framework personalizzati. | Crea regole personalizzate e modelli autodefiniti. |
| Configurazione | Crea valutazioni basate su un framework. | Implementa un Conformance Pack. |
| Raccolta di prove | Raccoglie prove da quattro fonti di dati: (1) chiamate API di servizio, (2) AWS Security Hub controlli, (3) AWS CloudTrail eventi, (4) Regole di Config. I clienti devono prima implementare le regole utilizzando o. AWS Config AWS Control Tower | Registra le prove come elementi di configurazione che supportano le valutazioni delle regole di configurazione. |
| Dashboard di conformità | I dashboard di valutazione forniscono istantanee e visualizzazioni giornaliere dei controlli con prove non conformi. | I dashboard Conformance Pack forniscono il punteggio di conformità complessivo, la tempistica di conformità e la visualizzazione per regola. Visualizza in dettaglio lo stato di conformità per risorsa e prove di supporto, sotto forma di elementi di configurazione. |
| Correzione delle risorse non conformi | Non supportato. | I clienti possono definire e avviare piani di riparazione. |
| Formati delle prove | Risultati della valutazione delle regole di configurazione; risultati di singole chiamate API, ad esempio iam.getPolicy; risultati. AWS Security Hub | Risultati della valutazione delle regole di configurazione; elementi di configurazione. |
| Rapporti di audit | Le prove possono essere selezionate per l'inclusione in un rapporto di audit, che può essere esportato in formato PDF. Inoltre, supporta le esportazioni in formato CSV dallo strumento di ricerca delle prove. | I singoli elementi di configurazione possono essere esportati tramite lo strumento Config Advance Query. I clienti possono creare script CLI per esportare prove tramite il servizio. APIs |
Disabilitazione AWS Audit Manager
La disabilitazione di Audit Manager interrompe la raccolta di nuove prove, ma non elimina le prove esistenti, a meno che non si selezioni esplicitamente questa opzione. Le prove verranno conservate per due anni dalla data di raccolta. In qualità di cliente esistente, puoi riattivare il servizio per accedere alle prove e riavviare la raccolta delle prove.
I clienti possono disabilitare Audit Manager per l'account, tramite la scheda delle impostazioni nella console o la CLI.
I clienti che hanno distribuito Audit Manager per un'organizzazione devono disabilitare il servizio dall'account di gestione dell'organizzazione. Per impostazione predefinita, l'account amministratore delegato non dispone delle autorizzazioni necessarie per disabilitare Audit Manager per l'organizzazione.
Risorse aggiuntive
-
AWS Config — Documentazione dei Conformance Pack
-
AWS Audit Manager — Documentazione Evidence Finder
Domande frequenti
- Il AWS Audit Manager servizio è in fase di interruzione?
-
No. Il servizio Audit Manager viene spostato in modalità manutenzione. I clienti esistenti possono continuare a utilizzare il servizio normalmente.
- Perché l'Audit Manager sta AWS passando alla modalità di manutenzione?
-
Siamo in grado di offrire un'esperienza cliente migliore e più integrata investendo nella AWS Config gestione della conformità.
- Posso utilizzarlo oggi AWS Config per la gestione della conformità?
-
Sì. I Conformance Pack in AWS Config possono essere utilizzati come strumento per gestire la conformità AWS delle risorse con framework come PCI DSS, FedRAMP e HIPAA. I Conformance Pack consentono ai clienti di implementare collettivamente controlli investigativi per diversi framework e forniscono una dashboard che mostra la conformità a livello di risorse.
- Quali sono i vantaggi della migrazione all'utilizzo per la gestione della conformità? AWS Config
-
Per i clienti che cercano una soluzione per il monitoraggio della conformità delle AWS risorse a framework come PCI DSS, Conformance Packs within AWS Config offre una soluzione più completa e utilizzabile. I clienti possono (1) implementare controlli investigativi per un singolo account o un'intera organizzazione, (2) accedere a una dashboard che mostra un punteggio di conformità, (3) approfondire e visualizzare lo stato di conformità delle singole risorse, (4) accedere a una cronologia per una risorsa che mostra come la situazione di conformità è cambiata nel tempo, (4) raccogliere prove, sotto forma di elementi di configurazione, che supportino lo stato di conformità di una risorsa per un controllo.
- I Conformance Pack sostituiscono AWS Config direttamente i framework di Audit Manager?
-
No. I Conformance Pack sono uno strumento potente che i clienti possono utilizzare per gestire il livello di conformità delle proprie risorse. AWS Tuttavia, i Conformance Pack non sono equivalenti agli Audit Manager Frameworks. I modelli Conformance Pack forniti per framework come PCI DSS contengono solo i Core Controls tecnici che possono essere valutati come Config Rules. Un modello di Conformance Pack non contiene l'insieme completo di controlli di audit che un'organizzazione deve soddisfare per superare un audit PCI DSS; non esiste una regola di Config che verifichi che l'organizzazione abbia documentato le proprie politiche di sicurezza e procedure operative. Sebbene i dashboard di Compliance Pack forniscano un chiaro segnale dello stato di conformità AWS delle risorse valutate da Config Rules, AWS Config non offrono una soluzione generale di gestione della conformità per acquisire, organizzare e condividere le prove per l'intera serie di controlli richiesti da framework come PCI DSS. I clienti che cercano una soluzione a questo problema sono invece incoraggiati a prendere in considerazione soluzioni partner, come quelle di Vanta e Drata, che possono essere utilizzate insieme AWS Config per fornire una soluzione di automazione end-to-end della conformità.
- Esistono pacchetti di conformità per tutti i framework supportati da Audit Manager?
-
No, attualmente esistono diversi framework in Audit Manager per i quali non è disponibile un Conformance Pack corrispondente. AWS Config La tabella precedente fornisce una mappatura dai framework Audit Manager ai Config Conformance Pack. Le lacune più importanti sono il GDPR. SOC2 Controlla gli annunci di AWS Config «Novità» per gli aggiornamenti sulle nuove versioni del Conformance Pack. Oltre ai modelli Conformance Pack predefiniti forniti da AWS, i clienti possono definire i propri modelli Conformance Pack che si raggruppano insieme alle regole di configurazione e consentono ai clienti di definire azioni di riparazione per risorse non conformi.
- I clienti possono esportare prove per i revisori utilizzandole? AWS Config
-
AWS Config fornisce alcuni strumenti per esportare prove di conformità delle risorse. Consulta la pagina di modifica della disponibilità per indicazioni sull'uso di questo strumento.
- Come cliente esistente posso continuare a utilizzare Audit Manager normalmente?
-
Sì. In qualità di cliente esistente, puoi continuare a utilizzare Audit Manager normalmente, inclusa la creazione e la gestione di valutazioni, la revisione delle prove e la generazione di report di audit. I clienti che hanno implementato Audit Manager in tutta l'organizzazione possono estendere le valutazioni per includere nuovi account dell'organizzazione.
- In qualità di cliente esistente con un unico account, posso implementare Audit Manager per la mia organizzazione?
-
No. A partire dal 30 aprile 2026, i clienti con implementazioni con account singolo non saranno in grado di implementare Audit Manager in un'organizzazione.
- Come posso verificare se Audit Manager è configurato all'interno di un account?
-
Per le implementazioni con account singolo, i clienti possono accedere all'account e accedere all'interno della console al servizio Audit Manager per vedere se Audit Manager è configurato all'interno di quell'account. Per Organizations, i clienti devono eseguire questa operazione dall'account di gestione.
- Come faccio a disabilitare Audit Manager?
-
I clienti possono disabilitare Audit Manager per l'account, tramite la scheda delle impostazioni nella console o la CLI. I clienti che hanno distribuito Audit Manager per un'organizzazione devono disabilitare il servizio dall'account di gestione dell'organizzazione; per impostazione predefinita, l'account amministratore delegato per Audit Manager non dispone delle autorizzazioni necessarie. La disabilitazione di Audit Manager interrompe la raccolta di nuove prove, ma non elimina le prove esistenti, a meno che non si selezioni esplicitamente questa opzione. Le prove verranno conservate per due anni dalla data di raccolta. In qualità di cliente esistente, puoi riattivare il servizio per accedere alle prove e riavviare la raccolta delle prove.
- Come posso continuare ad accedere alle prove dopo aver disabilitato Audit Manager?
-
Il modo più semplice per continuare ad accedere alle prove raccolte da Audit Manager è abilitare prima Evidence Finder, prima di disabilitare il servizio. Quando abiliti Evidence Finder Audit Manager esporta le prove in un CloudTrail data lake, a cui potrai continuare ad accedere dopo aver disabilitato Audit Manager.
- Come posso utilizzarlo AWS Control Tower per la gestione della conformità?
-
AWS Control Tower fornisce un catalogo di controlli preventivi, proattivi e investigativi (implementati come regole di Config) che sono codificati per framework. Consente di distribuire tutti i controlli pertinenti a questi framework su uno o più all'interno dell'organizzazione. OUs Con la nuova esperienza basata solo sui controlli, non è più un prerequisito che l'organizzazione sia stata creata come Landing Zone. I vantaggi di questa soluzione AWS Control Tower sono che offre una visione a livello di unità organizzativa delle risorse non conformi. AWS Control Tower non utilizza i Conformance Pack per distribuire le regole di configurazione e pertanto non verrà visualizzato il Conformance Pack a meno che non si distribuisca anche il Conformance Pack. Né supporta i flussi di lavoro di riparazione.
- Come posso utilizzarlo AWS Security Hub CSPM per la gestione della conformità?
-
Per quei framework mappati su uno standard di sicurezza, AWS Security Hub CSPM offre un'alternativa alla gestione della conformità e AWS Config alla correzione all'interno di un unico account. L'abilitazione dello standard dall'interno della console CSPM di Security Hub implementa un set di regole collegate ai servizi per il framework associato. I clienti possono visualizzare una dashboard di conformità che mostra il punteggio di conformità complessivo e lo stato di ciascun controllo, con la possibilità di approfondire il livello delle singole risorse. Security Hub CSPM consente ai clienti di scaricare i risultati della regola in formato json e aggiunge un indice di gravità per il controllo che aiuta i clienti a dare priorità ai piani di correzione. Con la configurazione centrale è possibile configurare Security Hub CSPM su più regioni, account e unità organizzative ()OUs. Tuttavia, Security Hub CSPM fornisce standard di sicurezza solo per un numero limitato di framework, inclusi NIST 800-53 e PCI-DSS.
