Audit Manager Amazon

AWS Audit Manager
Guía del usuario

AWS Audit Manager Guía del usuario
AWS Audit Manager: Guía del usuario

Copyright © Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Las marcas comerciales y la imagen comercial de Amazon no se pueden utilizar en relación con ningún producto o
servicio que no sea de Amazon de ninguna manera que pueda causar confusión entre los clientes y que menosprecie
o desacredite a Amazon. Todas las demás marcas comerciales que no sean propiedad de Amazon son propiedad de
sus respectivos propietarios, que pueden o no estar afiliados, conectados o patrocinados por Amazon.
Table of Contents
¿Qué es AWS Audit Manager? ............................................................................................................ 1
Características de AWS Audit Manager ......................................................................................... 1
Precios de AWS Audit Manager ................................................................................................... 2
¿Es la primera vez que usa AWS Audit Manager? .......................................................................... 2
MásAWS Audit Managerrecursos .................................................................................................. 2
Conceptos y terminología ............................................................................................................ 2
Recolección de pruebas .............................................................................................................. 8
Recopilación de pruebas ..................................................................................................... 9
Ejemplos de controles ................................................................................................................. 9
Controles automatizados (Security Hub) ............................................................................... 10
Controles automatizados (AWS Config) ................................................................................ 11
Controles automatizados (llamadas API) .............................................................................. 13
Controles automatizados (CloudTrail) ................................................................................... 14
Controles manuales .......................................................................................................... 15
Controles con fuentes de datos mixtas ................................................................................. 17
Servicios relacionados de ........................................................................................................... 18
Uso de Audit Manager con unAWSSDK ....................................................................................... 19
Configuración ................................................................................................................................... 21
Paso 1: Registrarse en AWS ...................................................................................................... 21
Paso 2: Adjuntar la política de IAM requerida a una identidad de IAM ............................................... 21
Paso 3: HabilitarAWS Organizations(opcional) ............................................................................... 22
Crear o unirse a una organización ....................................................................................... 23
Habilite todas las características ......................................................................................... 23
Designar un administrador delegado .................................................................................... 23
Configure las características de su organizaciónAWS Security HubConfiguración de .................... 24
Paso 4: Habilitar AWS Audit Manager .......................................................................................... 24
Rol vinculado a servicio ..................................................................................................... 27
¿Qué tengo que hacer ahora? .................................................................................................... 28
Introducción ..................................................................................................................... 28
Actualizar la configuración .................................................................................................. 28
Introducción ..................................................................................................................................... 29
Audit Manager .......................................................................................................................... 29
Tutorial para propietarios de auditorías: Creación de una evaluación ................................................. 30
Paso 1: Especifique los detalles de evaluación ...................................................................... 30
Paso 2: Especifique cuentas de dentro del ámbito ................................................................. 31
Paso 3: Especificar servicios en el ámbito ............................................................................ 31
Paso 4: Especificar propietarios de auditoría ......................................................................... 32
Paso 5: Revisar y crear ..................................................................................................... 32
¿Qué tengo que hacer ahora? ............................................................................................ 32
Tutorial para delegados: Revisión de un conjunto de controles ......................................................... 33
Paso 1: Acceda a las notificaciones ..................................................................................... 33
Paso 2: Conjunto de control de revisión y pruebas ................................................................. 34
Paso 3: Subir pruebas manuales ......................................................................................... 35
Paso 4: Añadir un comentario ............................................................................................. 35
Paso 5: actualización del estado del control .......................................................................... 36
Paso 6. Volver a enviar el control revisado al propietario de la auditoría .................................... 36
¿Qué tengo que hacer ahora? ............................................................................................ 36
Uso del panel de .............................................................................................................................. 38
Conceptos y terminología de panel de control ............................................................................... 38
Elementos del panel .................................................................................................................. 40
Filtro de evaluación ........................................................................................................... 41
Instantánea diaria ............................................................................................................. 41
Controles con pruebas no conformes agrupadas por dominio de control .................................... 42
¿Qué tengo que hacer ahora? .................................................................................................... 43
iii
Solución de problemas .............................................................................................................. 44

No hay datos en mi panel .................................................................................................. 44
La opción de descarga de .csv no está disponible ................................................................. 44
No veo el archivo descargado al intentar descargar un archivo.csv ........................................... 44
Falta un dominio de control o control específico en el panel .................................................... 44
La instantánea diaria muestra diferentes cantidades de pruebas cada día. ¿Es normal? ............... 45
Evaluaciones .................................................................................................................................... 46
Creación de una evaluación ....................................................................................................... 46
Paso 1: Especifique los detalles de evaluación ...................................................................... 47
Paso 2: Especifique cuentas de dentro del ámbito ................................................................. 47
Paso 3: Especificar servicios en el ámbito ............................................................................ 48
Paso 4: Especificar propietarios de auditoría ......................................................................... 49
Paso 5: Revisar y crear ..................................................................................................... 49
¿Qué puedo hacer ahora? ................................................................................................. 49
Acceso a una evaluación de ...................................................................................................... 50
Edición de una evaluación ......................................................................................................... 50
Paso 1: Modifique los detalles de ........................................................................................ 50
Paso 2: Modificación de cuentas del ámbito .......................................................................... 51
Paso 3: Edición de servicios en el ámbito ............................................................................. 51
Paso 4: Editar propietarios de auditoría ................................................................................ 52
Paso 5: Consulte y guarde ................................................................................................. 52
Revisión de una evaluación de ................................................................................................... 52
Detalles de evaluación ....................................................................................................... 53
Ficha Controles ................................................................................................................ 53
Pestaña de selección de informes ...................................................................................... 54
AWSpestaña cuentas ........................................................................................................ 55
AWSpestaña servicios ....................................................................................................... 55
Ficha Propietarios de auditoría ........................................................................................... 55
Pestaña Etiquetas ............................................................................................................. 55
Tabulador Registro de cambios ........................................................................................... 56
Revisión de controles ................................................................................................................ 56
Detalles de control ............................................................................................................ 56
Estado de control .............................................................................................................. 57
Ficha Carpetas de pruebas ................................................................................................ 57
Tabulador Origen de datos ................................................................................................. 58
Pestaña Comentarios ........................................................................................................ 58
Tabulador Registro de cambios ........................................................................................... 58
Revisión de las pruebas ............................................................................................................ 59
Revisión de carpetas de pruebas ........................................................................................ 59
Revisión de pruebas individuales ........................................................................................ 61
Carga de pruebas manuales ...................................................................................................... 63
Generación de un informe de evaluación ...................................................................................... 64
Adición de pruebas ........................................................................................................... 64
Generación de un informe .................................................................................................. 64
Eliminación de un informe de ............................................................................................. 65
Cambio del estado de una evaluación ......................................................................................... 66
Eliminación de una evaluación .................................................................................................... 66
Delegations ...................................................................................................................................... 68
Para propietarios de auditar ....................................................................................................... 68
Delegación de un conjunto de controles ............................................................................... 68
Acceso a las delegaciones ................................................................................................. 70
Eliminación de delegaciones ............................................................................................... 71
Para delegados ........................................................................................................................ 71
Visualización de notificaciones ............................................................................................ 72
Revisión de controles y pruebas ......................................................................................... 72
Añadir comentarios ........................................................................................................... 73
Marcar un control como revisado ........................................................................................ 74
iv
Envío de un conjunto de controles al propietario de la auditoría ............................................... 74

Informes de evaluación ...................................................................................................................... 75
Cómo navegar por un informe .................................................................................................... 75
Secciones de informes .............................................................................................................. 75
Portada ........................................................................................................................... 76
Información general ........................................................................................................... 76
Índice .............................................................................................................................. 77
Página de conjunto de control ............................................................................................ 77
Página de control .............................................................................................................. 77
Página de resumen de pruebas .......................................................................................... 78
Página de detalles de prueba ............................................................................................. 79
Comprobación de integridad de un informe ................................................................................... 80
Solución de problemas .............................................................................................................. 80
Mi informe de evaluación no se ha podido generar ................................................................ 80
Error en la generación de informes ...................................................................................... 81
No se puede descomprimir el informe .................................................................................. 81
Recibo unAcceso denegadoerror cuando intento generar un informe ......................................... 81
La generación de mi informe de evaluación está atascadaEn cursoestado, y no estoy seguro de
cómo afecta esto a mi facturación ....................................................................................... 82
Destinos de un informe .............................................................................................................. 82
Sugerencias de configuración ............................................................................................. 82
Asuntos que tener en cuenta .............................................................................................. 83
Biblioteca de marco .......................................................................................................................... 84
Acceso a un marco ................................................................................................................... 85
Visualización de detalles del Marco ............................................................................................. 85
Detalles del marco ............................................................................................................ 85
Juegos de control ............................................................................................................. 86
Pestaña Etiquetas ............................................................................................................. 86
Creación de un marco personalizado ........................................................................................... 86
Crear nuevos ................................................................................................................... 87
Personalizar los existentes ................................................................................................. 88
Edición de un marco de trabajo personalizado .............................................................................. 90
Paso 1: Especificar detalles de la estructura ......................................................................... 90
Paso 2: Controles de edición .............................................................................................. 91
Paso 3. Revisar y actualizar ............................................................................................... 91
Eliminación de un marco personalizado ........................................................................................ 91
Uso compartido de un marco personalizado .................................................................................. 92
Intercambio de conceptos y terminología .............................................................................. 93
Envío de una solicitud de recurso compartido ....................................................................... 96
Respuesta a una solicitud de recurso compartido ................................................................. 101
Eliminación de una solicitud de uso compartido ................................................................... 104
Marcos admitidos .................................................................................................................... 104
AWS Audit ManagerMarco de ejemplo ............................................................................... 105
AWS Control TowerMedidas de seguridad .......................................................................... 106
AWS License Manager .................................................................................................... 107
Prácticas recomendadas de seguridad básica de AWS ......................................................... 109
AWSPrácticas recomendadas de funcionamiento ................................................................. 110
AWSWell-Architected ....................................................................................................... 111
Perfil de control de nube media CCCS ............................................................................... 112
CISAWSFundations Benchmark v.1.2 ................................................................................. 114
Controles CIS v7.1 IG1 .................................................................................................... 120
Controles CIS v8 IG1 ...................................................................................................... 122
Base de referencia moderada de FedRAMP ........................................................................ 123
Reglamento General de Protección de Datos (RGPD) ........................................................... 125
Ley Gramm-Leach-Bliley .................................................................................................. 140
v
GxP 21 CFR parte 11 ...................................................................................................... 141

GxP UE Anexo 11 .......................................................................................................... 143
HIPAA ........................................................................................................................... 144
ISO/IEC 27001:2013 ........................................................................................................ 145
NIST 800-53 (Rev. 5) ...................................................................................................... 147
NIST CSF v1.1 ............................................................................................................... 148
NIST SP 800-171 (Rev. 2) ............................................................................................... 150
PCI DSS v3.2.1 .............................................................................................................. 151
SOC 2 ........................................................................................................................... 153
Biblioteca de control ........................................................................................................................ 155
Acceso a un control ................................................................................................................ 155
Visualización de detalles de control ........................................................................................... 156
Sección de resumen ........................................................................................................ 156
Pestaña Detalles ............................................................................................................. 156
Ficha Origen de datos ..................................................................................................... 157
Tabulador Etiquetas ......................................................................................................... 157
Crear un control personalizado .................................................................................................. 157
Crear nuevo ................................................................................................................... 158
Personalizar los existentes ............................................................................................... 161
Edición de un control personalizado ........................................................................................... 164
Paso 1: Edición de detalles de control ................................................................................ 164
Paso 2: Edición de orígenes de datos ................................................................................ 165
Paso 3: Edición de un plan de acción ................................................................................ 166
Paso 4: Realice la revisión y actualización .......................................................................... 167
Eliminar un control personalizado .............................................................................................. 167
Cambiar la frecuencia de recopilación de pruebas ........................................................................ 167
Instantáneas de configuración de llamadas a API ................................................................. 168
Comprobaciones de conformidad deAWS Config ................................................................. 168
Comprobaciones de cumplimiento de Security Hub .............................................................. 169
Registros de actividad de usuario desdeAWS CloudTrail ....................................................... 169
Controlar orígenes de datos ..................................................................................................... 169
AWS Config ................................................................................................................... 170
AWS Security Hub .......................................................................................................... 177
AWSLlamadas a la API .................................................................................................... 179
AWS CloudTrail .............................................................................................................. 180
Configuración ................................................................................................................................. 181
Permisos ................................................................................................................................ 181
Cifrado de datos ..................................................................................................................... 181
Propietarios de auditoría predeterminados (opcional) .................................................................... 182
Destino del informe de evaluación (opcional) ............................................................................... 182
Notificaciones (opcional) ........................................................................................................... 183
Administrador delegado (opcional) ............................................................................................. 183
AWS Config (opcional) ............................................................................................................. 186
Security Hub (opcional) ............................................................................................................ 186
Desactivar AWS Audit Manager ................................................................................................ 186
Notificaciones ................................................................................................................................. 188
Requisitos previos ................................................................................................................... 188
Configuración de notificaciones enAWS Audit Manager ................................................................. 188
Solución de problemas ............................................................................................................. 189
He especificado un tema de Amazon SNS en Audit Manager, pero no recibo ninguna notificación . 189
He especificado un tema FIFO, pero no recibo notificaciones en el pedido esperado .................. 189
Solución de problemas ..................................................................................................................... 190
Evaluaciones y recopilación de pruebas ..................................................................................... 190
He creado una evaluación pero aún no veo ninguna prueba .................................................. 190
Mi evaluación no recopila ninguna prueba de comprobación de cumplimiento deAWS Security
Hub ............................................................................................................................... 191
Mi evaluación no está recopilando pruebas de otroAWSServicio de ......................................... 192
vi
Mis pruebas se generan a intervalos diferentes y no entiendo con qué frecuencia se recogen ...... 192
¿Qué ocurre si elimino una cuenta dentro del ámbito de mi organización? ................................ 193
No puedo editar los servicios en el ámbito de mi evaluación .................................................. 194
Ha ocurrido un error al crear ............................................................................................ 194
Permisos y acceso .................................................................................................................. 194
Seguí el procedimiento de configuración de Audit Manager, pero no tengo suficientes privilegios
de IAM .......................................................................................................................... 194
He especificado a alguien como propietario de la auditoría, pero aún no tiene acceso completo a
la evaluación. ¿Por qué es esto? ...................................................................................... 195
No puedo realizar ninguna acción en Audit Manager ............................................................ 195
Soy administrador y deseo permitir que otros obtengan acceso a Audit Manager ....................... 195
Quiero permitir que la gente se encuentre fuera de miAWScuenta para acceder a los recursos de
Audit Manager ................................................................................................................ 196
Controles y conjuntos de control ............................................................................................... 196
No veo ningún control ni conjunto de controles en mi evaluación ............................................ 197
No puedo cargar pruebas manuales a un control ................................................................. 197
Necesito usar variosAWS Configreglas como fuente de datos para un único control ................... 197
La opción de regla personalizada no está disponible para mi origen de datos ............................ 197
La lista desplegable de reglas personalizadas está vacía ...................................................... 198
No veo la regla personalizada que quiero usar .................................................................... 198
Quiero compartir un marco personalizado, pero tiene controles que utilizan personalizadosAWS
Configreglas como fuente de datos .................................................................................... 198
Qué ocurre cuando se actualiza una regla personalizada enAWS Config? ................................ 199
Informes de evaluación ............................................................................................................ 200
Mi informe de evaluación no se ha podido generar ............................................................... 200
Seguí la lista de comprobación anterior y mi informe de evaluación aún no ha podido generar ...... 201
No puedo descomprimir el informe de evaluación ................................................................. 201
Recibo unAcceso denegadoerror cuando intento generar un informe ....................................... 201
La generación de mi informe de evaluación está atascadaEn cursoestado, y no estoy seguro de
cómo afecta esto a mi facturación ..................................................................................... 202
Administradores delegados yAWS Organizations ......................................................................... 202
No puedo configurar Audit Manager con mi cuenta de administrador delegado .......................... 202
Cuando creo una evaluación, no veo las cuentas de mi organización enCuentas de dentro del
ámbito ........................................................................................................................... 203
Recibo unAcceso denegadoerror cuando intento generar un informe de evaluación utilizando mi
cuenta de administrador delegado ..................................................................................... 203
¿Qué ocurre en Audit Manager si desvinculo una cuenta de miembro de mi organización? .......... 204
¿Qué ocurre si vuelvo a vincular una cuenta de miembro a mi organización? ............................ 204
¿Qué ocurre si migro una cuenta de miembro de una organización a otra? ............................... 204
Notificaciones ......................................................................................................................... 204
He especificado un tema de Amazon SNS en Audit Manager, pero no recibo ninguna notificación . 205
He especificado un tema FIFO, pero no recibo notificaciones en el pedido esperado .................. 205
Panel ..................................................................................................................................... 205
No hay datos en mi panel ................................................................................................ 205
La opción de descarga de .csv no está disponible ................................................................ 206
No veo el archivo descargado al intentar descargar un archivo.csv ......................................... 206
Falta un dominio de control o control específico en el panel ................................................... 206
La instantánea diaria muestra diferentes cantidades de pruebas cada día. ¿Es normal? .............. 206
Uso compartido de marcos ....................................................................................................... 207
El estado de mi solicitud de recurso compartido enviada aparece comoFailed (Error) .................. 207
Mi solicitud de compartir tiene un punto azul junto a ella. ¿Qué significa esto? .......................... 207
Mi marco compartido tiene controles que utilizan personalizadosAWS Configreglas como fuente
de datos. ¿Puede el destinatario recopilar pruebas de estos controles? ................................... 209
He actualizado una regla personalizada que se utiliza en un marco compartido. ¿Tengo que
realizar alguna medida? ................................................................................................... 210
Cuotas ........................................................................................................................................... 212
Cuotas predeterminadas de Audit Manager ................................................................................. 212
vii
Administración de las cuotas .................................................................................................... 213

Seguridad ...................................................................................................................................... 214
Protección de los datos ............................................................................................................ 214
Cifrado en reposo ........................................................................................................... 215
Cifrado en tránsito ........................................................................................................... 216
Administración de claves .................................................................................................. 216
Identity and Access Management .............................................................................................. 216
Público .......................................................................................................................... 217
Autenticación con identidades ........................................................................................... 217
Administración de acceso mediante políticas ....................................................................... 219
Cómo AWS Audit Manager funciona con IAM ...................................................................... 221
Ejemplos de políticas basadas en identidad ........................................................................ 228
Prevención del suplente confuso entre servicios .................................................................. 238
Políticas administradas de AWS ........................................................................................ 239
Solución de problemas ..................................................................................................... 248
Uso de roles vinculados a servicios ................................................................................... 250
Validación de conformidad ........................................................................................................ 253
Resiliencia .............................................................................................................................. 253
Seguridad de infraestructuras .................................................................................................... 254
Puntos de enlace de la VPC (AWS PrivateLink) ........................................................................... 254
Consideraciones para los puntos de enlace de la VPC de AWS Audit Manager ......................... 255
Creación de un punto de enlace de la VPC de interfaz para AWS Audit Manager ....................... 255
Creación de una política de puntos de enlace de la VPC para AWS Audit Manager .................... 255
Registro y monitoreo ............................................................................................................... 256
Registros de CloudTrail .................................................................................................... 256
Configuración y vulnerabilidades ............................................................................................... 258
Etiquetado de recursos de ................................................................................................................ 259
Recursos admitidos ................................................................................................................. 259
Restricciones de las etiquetas ................................................................................................... 259
Administración de etiquetas enAWS Audit Manager ...................................................................... 260
Recursos de AWS CloudFormation .................................................................................................... 261
Audit Manager yAWS CloudFormationPlantillas de ....................................................................... 261
Obtener más información sobre AWS CloudFormation .................................................................. 261
Historial de documentos ................................................................................................................... 262
Glosario de AWS ............................................................................................................................ 267
................................................................................................................................................. cclxviii
viii
Características de AWS Audit Manager
¿Qué es AWS Audit Manager?

Le damos la bienvenida a la Guía del usuario de AWS Audit Manager.
AWS Audit Managerle ayuda a auditar continuamente suAWSuso para simplificar la forma en que
administra el riesgo y la conformidad con las normativas y los estándares del sector. Audit Manager
automatiza la recopilación de evidencias para que pueda evaluar más fácilmente si sus políticas,
procedimientos y actividades, también conocidas comocontroles—operan eficazmente. Cuando llega el
momento de realizar una auditoría, Audit Manager lo ayuda a gestionar las revisiones de los controles de
las partes interesadas. Esto significa que puede crear informes listos para auditorías con mucho menos
esfuerzo manual.
AWS Audit Managerproporciona marcos prediseñados que estructuran y automatizan las evaluaciones de
un estándar o reglamento de cumplimiento determinado. Los marcos incluyen una colección de controles
precompilada con descripciones y procedimientos de prueba. Estos controles se agrupan de acuerdo
con los requisitos de la norma o reglamento de cumplimiento especificados. También puede personalizar
marcos y controles para admitir auditorías internas de acuerdo con sus requisitos específicos.
Puede crear una evaluación desde cualquier marco. Cuando crea una evaluación,AWS Audit
Managerejecuta automáticamente evaluaciones de recursos. En estas evaluaciones se recopilan datos
tanto para elAWScuenta y servicios que defina como el ámbito de la auditoría. Los datos recopilados
se transforman automáticamente en pruebas aptas para auditorías. A continuación, se adjunta a los
controles pertinentes para ayudarle a demostrar el cumplimiento en materia de seguridad, administración
de cambios, continuidad del negocio y licencias de software. Este proceso de recopilación de pruebas está
en curso y comienza cuando crea la evaluación. Después de completar una auditoría y ya no necesitar
a Audit Manager para recopilar pruebas, puede detener la recopilación de pruebas. Para ello, cambie el
estado de su evaluación ainactivo.
Características de AWS Audit Manager

conAWS Audit Manager, puede realizar las siguientes tareas:
• Comience a utilizar rápidamente—Crear la primera evaluaciónseleccionando de una galería de marcos

prediseñados que admiten una serie de normas y regulaciones de cumplimiento. A continuación, inicie la
recopilación automática de pruebas para auditar suAWSuso del servicio.
• Cargar y administrar pruebas desde entornos híbridos o multinube— Además de la evidencia que Audit
Manager recopila de suAWSentorno, también puedescargary gestione de forma centralizada las pruebas
de su entorno local o multinube.
• Support normas y regulaciones comunes de cumplimiento— Elija una de las opciones deAWS Audit
Managerframeworks estándar. Estos marcos proporcionan asignaciones de control predefinidas
para normas y regulaciones comunes de conformidad. Estos incluyen el punto de referencia de CIS
Foundation, PCI DSS, RGPD, HIPAA, SOC2, GxP yAWSprácticas recomendadas operativas.
• Supervisar sus evaluaciones activas— Utilizar el Audit Managersalpicaderopara ver los datos analíticos
de sus evaluaciones activas e identificar rápidamente pruebas no conformes que deben corregirse.
• Personalizar frameworks—Crear sus propios marcoscon controles estándar o personalizados basados
en sus requisitos específicos para auditorías internas.
• Compartir frameworks personalizados—Comparte tu medidaAWS Audit Managermarcoscon
otroAWScuenta o réplica en otraAWSRegión en su propia cuenta.
• Support la colaboración entre equipos—Conjuntos de control delegadosa expertos en la materia que
puedan revisar las pruebas relacionadas, añadir comentarios y actualizar el estado de cada control.
• Creación de informes para auditores—Generar informes de evaluaciónque resumen la evidencia
relevante recopilada para su auditoría y enlazan a carpetas que contienen la evidencia detallada.
1
Precios de AWS Audit Manager
• Garantizar la integridad de los—Almacenar pruebasen un lugar seguro, donde permanece inalterado.
Note
AWS Audit Managerayuda a recopilar pruebas relevantes para verificar el cumplimiento de

normas y regulaciones específicas de cumplimiento. Sin embargo, no evalúa el cumplimiento por
sí mismo. Las pruebas que se recogen a través deAWS Audit Managerpor lo tanto, es posible
que no incluya toda la información sobre suAWSuso necesario para las auditorías.AWS Audit
Managerno sustituye a un asesor legal ni a los expertos en cumplimiento.
Precios de AWS Audit Manager

Para obtener más información sobre los precios, consulte Precios de AWS Audit Manager.
¿Es la primera vez que usa AWS Audit Manager?

Si es la primera vez que usa Audit Manager, le recomendamos que empiece con las siguientes páginas:
1. AWS Audit ManagerConceptos y terminología de— Obtenga información sobre los conceptos y términos
clave utilizados en Audit Manager, tales como evaluaciones, marcos y controles.
2. CómoAWS Audit Managerrecoge pruebas— Obtenga información sobre cómo Audit Manager recopila
pruebas para una evaluación de recursos.
3. Configuración de— Más información sobre los requisitos de configuración paraAWS Audit Manager.
4. Introducción— Siga un tutorial para crear su primera evaluación de Audit Manager.
5. AWS Audit ManagerReferencia de la API— Familiarícese con las acciones y los tipos de datos de la API
de Audit Manager.
MásAWS Audit Managerrecursos

Examine estos recursos para obtener más información sobreAWS Audit Manager.
• Recopilar pruebas y administrar datos de auditoría medianteAWS Audit Manager

• Configurar manualmente una evaluación personalizada de Audit ManagerdesdeAWSTalleres
• Integración en el modelo de tres líneas (segunda parte): TransformaciónAWS Configpaquetes de
conformidad enAWS Audit Managerevaluacionesdesde lasAWSBlog de gestión y gobernanza
Conceptos y terminología de AWS Audit Manager

Para ayudarle a empezar a utilizar, en esta página se definen términos y explican algunos de los conceptos
clave deAWS Audit Manager.
Evaluación
Puede utilizar una evaluación de Audit Manager para recopilar automáticamente pruebas relevantes
para una auditoría.
Una evaluación se basa en un marco, que es una agrupación de controles relacionados con la
auditoría. En función de los requisitos del negocio, puede crear una evaluación a partir de un marco
estándar o un marco personalizado. Los marcos estándar contienen conjuntos de control predefinidos
2
Conceptos y terminología
que admiten un estándar o reglamento de conformidad específicos. Por el contrario, los marcos
personalizados contienen controles que puede personalizar y agrupar según los requisitos de auditoría
interna. Utilizando un marco como punto de partida, puede crear una evaluación que especifique
laAWScuentas y servicios que desea incluir en el ámbito de la auditoría.
Cuando crea una evaluación, Audit Manager comienza a evaluar automáticamente los recursos de
suAWScuentas y servicios basados en los controles definidos en el marco. A continuación, recopila
la evidencia relevante y la convierte en un formato apto para auditores. Después de hacerlo, adjunta
las pruebas a los controles de su evaluación. Cuando llegue el momento de realizar una auditoría,
usted, o un delegado de su elección, puede revisar la evidencia recopilada y añadirla a un informe de
evaluación. Este informe de evaluación le ayuda a demostrar que los controles funcionan según lo
previsto.
La recopilación de pruebas es un proceso continuo que comienza cuando crea la evaluación. Puede
detener la recopilación de pruebas cambiando el estado de la evaluación ainactivo. Alternativamente,
puede detener la recopilación de pruebas en el nivel de control. Puede hacer esto cambiando el
estado de un control específico de su evaluación ainactivo.
Para obtener instrucciones sobre cómo crear y administrar evaluaciones, consulteEvaluaciones

enAWS Audit Manager (p. 46).
Informe de evaluación
Un informe de evaluación es un documento finalizado que se genera a partir de unAWS Audit

Managerevaluación. Estos informes resumen las pruebas pertinentes que se recopilan para su
auditoría. Enlazan a las carpetas de pruebas pertinentes. Las carpetas se nombran y organizan según
los controles especificados en la evaluación. Para cada evaluación, puede revisar la evidencia que
Audit Manager recopila y decidir qué pruebas desea incluir en el informe de evaluación.
Para obtener más información sobre los informes de evaluación, consulte.Informes de

evaluación (p. 75). Para obtener información sobre cómo generar un informe de evaluación,
consulteGeneración de un informe de evaluación (p. 64).
Auditoría
Una auditoría es un examen independiente de los activos, las operaciones o la integridad empresarial
de su organización. Una auditoría de tecnología de la información (TI) examina específicamente los
controles de los sistemas de información de su organización. El objetivo de una auditoría de TI es
determinar si los sistemas de información protegen los activos, funcionan eficazmente y mantienen la
integridad de los datos. Todo esto es importante para cumplir los requisitos reglamentarios exigidos
por una norma o reglamento de cumplimiento.
Titular de auditoría
El términopropietario de auditoríatiene dos significados distintos según el contexto.
En el contexto de Audit Manager, un propietario de auditoría es un usuario o rol de IAM que administra
una evaluación y sus recursos relacionados. Las responsabilidades de este personaje de Audit
Manager incluyen la creación de evaluaciones, la revisión de pruebas y la generación de informes de
evaluación. Audit Manager es un servicio colaborativo y los propietarios de auditorías se benefician
cuando otras partes interesadas participan en sus evaluaciones. Por ejemplo, puede agregar otros
propietarios de auditoría a la evaluación para compartir tareas de administración. O bien, si eres
propietario de una auditoría y necesitas ayuda para interpretar las pruebas recopiladas para un
control, puedesdelegar ese conjunto de controlesa una parte interesada que tenga experiencia en la
materia en esa esfera. Tal persona se conoce comodelegadopersona.
En términos comerciales, un propietario de auditoría es alguien que coordina y supervisa los esfuerzos
de preparación de auditoría de su empresa y presenta pruebas a un auditor. Normalmente, se trata de
un profesional de gobernanza, riesgo y cumplimiento (GRC), como un responsable de cumplimiento o
un responsable de protección de datos del RGPD. Los profesionales de GRC tienen la experiencia y la
autoridad necesarias para gestionar la preparación de auditorías. Más concretamente, comprenden los
requisitos de cumplimiento y pueden analizar, interpretar y preparar datos de informes. Sin embargo,
3
otros roles empresariales también pueden asumir la personalidad de Audit Manager de un propietario
de auditoría; no solo los profesionales de GRC asumen este rol. Por ejemplo, puede optar por que
un experto técnico de uno de los siguientes equipos configure y gestione las evaluaciones de Audit
Manager:
• SecOps
• EL/DevOps
• Centro de operaciones de seguridad/respuesta a
• Equipos similares que poseen, desarrollan, corrigen e implementan activos en la nube y
comprenden la infraestructura de nube de su organización
Quien elija asignar como propietario de auditoría en la evaluación de Audit Manager depende en gran
medida de su organización. También depende de cómo estructure las operaciones de seguridad y los
detalles de la auditoría. En Audit Manager, el mismo individuo puede asumir la persona del propietario
de la auditoría en una evaluación y la persona delegada en otra.
Independientemente de cómo elija utilizar Audit Manager, puede gestionar la separación de tareas en
toda la organización utilizando el propietario o delegado de la auditoría y otorgando políticas de IAM
específicas a cada usuario. Mediante este enfoque de dos pasos, Audit Manager se asegura de tener
pleno control sobre todas las características específicas de una evaluación individual. Para obtener
más información, consultePolíticas recomendadas para personas de usuario enAWS Audit Manager.
Registro de cambios
Para cada control de una evaluación,AWS Audit Managercaptura registros de cambios para realizar un
seguimiento de la actividad de los usuarios de ese control. A continuación, puede revisar un registro
de auditoría de actividades relacionadas con un control específico. Para obtener más información
acerca de las actividades del usuario se capturan en los registros de cambios, consulteTabulador
Registro de cambios (p. 58).
Conformidad en
El cumplimiento de la nube es el principio general de que los sistemas entregados en la nube deben
cumplir con los estándares a los que se enfrentan los clientes de la nube.
Reglamento de conformidad
Un reglamento de cumplimiento es una ley, norma u otra orden prescrita por una autoridad,
típicamente para regular la conducta. Un ejemplo es el RGPD.
Estándar de conformidad
Un estándar de cumplimiento es un conjunto estructurado de directrices que detallan los procesos de

una organización para mantener la conformidad con los reglamentos, especificaciones o legislación
establecidos. Algunos ejemplos incluyen PCI DSS e HIPAA.
Control
Un control es una descripción prescriptiva que describe cómo ajustarse a una regla determinada.
Proporciona una garantía de que los recursos que utiliza su organización funcionan según lo previsto,
que los datos son fiables y que su organización cumple con las leyes y reglamentos aplicables. Una
norma o reglamento de conformidad contiene varios controles, que se agrupan en conjuntos de
controles.
Existen dos tipos de control enAWS Audit Manager:

• Controles estándar— Controles predefinidos basados enAWSprácticas recomendadas para varias
normas y reglamentos de cumplimiento. Puede utilizar estos controles para ayudarle a preparar
auditorías de normas y regulaciones comunes de cumplimiento.
• Controles personalizados— Controles personalizados que define comoAWS Audit Managerusuario.
Puede utilizar estos controles para ayudarle a cumplir sus requisitos de cumplimiento específicos.
Para obtener más información, consulteEjemplos deAWS Audit Managercontroles. Para obtener
instrucciones sobre cómo crear y administrar controles, consulteBiblioteca de control (p. 155).
4
Origen de datos de control
Un origen de datos de control define el recurso dondeAWS Audit Managerrecopila pruebas para
respaldar los requisitos de un control. Ejemplos deAWSincluye los siguientes orígenes de datos:
• Registro de AWS CloudTrail
• Regla de AWS Config
• AWS Security Hubcomprobar
• Instancia de Amazon EC2
• Bucket de Amazon S3
• AWS Identity and Access Management(IAM) usuario o rol
• Componente de red, como una tabla de Amazon Virtual Private Cloud (VPC), grupo de seguridad o
lista de control de acceso a la red (ACL)
Un único control puede tener varios orígenes de datos.

Dominios de control
Puede pensar en un dominio de control como una categoría general de controles que no es específica
de ningún marco. Las agrupaciones de dominios de control son una de las características más
potentes delAudit Manager. Audit Manager resalta los controles de las evaluaciones que tienen
pruebas no conformes y los agrupa por dominio de control. Esto le permite centrar sus esfuerzos de
corrección en dominios temáticos específicos mientras se prepara para una auditoría.
Note
Un dominio de control es diferente a unconjunto de controles. Un conjunto de controles es

una agrupación de controles específica del marco que suele definir un organismo regulador.
Por ejemplo, el marco PCI DSS tiene un conjunto de controles denominadoRequisito 8:
Identificar y autenticar el acceso a los componentes del sistema. Este conjunto de controles
se encuentra dentro del dominio de control deAdministración de identidades y accesos.
Audit Manager clasifica los controles en los siguientes dominios de control.
Controlar el nombre Descripción de lo que rigen estos controles

del dominio
Planificación de Cómo establece procesos que protegen las operaciones empresariales

continuidad y críticas de los efectos de las principales interrupciones del sistema y la red.
contingencia del
negocio
Administración de Cómo prueba, aprueba, implementa y documenta los cambios en la

cambios infraestructura de nube.
Seguridad y Cómo protege la privacidad, la disponibilidad y la integridad de sus datos.

privacidad de los
datos
Administración de Cómo mantiene su infraestructura en la nube en un estado deseado y

la configuración y el coherente.
desarrollo
Gobierno y Cómo alinea el uso de la computación en la nube con sus obligaciones

supervisión legales, normativas y éticas.
Identity and Access Cómo se asegura de que los usuarios adecuados tengan el acceso
Management adecuado a sus recursos tecnológicos.
5

del dominio
Administración de Cómo establece responsabilidades y procedimientos que garantizan una

incidencias respuesta rápida y eficaz a los incidentes de seguridad.
Registro y monitoreo Cómo revisa la actividad del usuario en busca de indicaciones de que se ha
intentado o realizado una actividad no autorizada.
Administración de Cómo administra y opera la red de datos mediante un sistema de

redes administración de redes.
Administración del Cómo evalúa y gestiona los riesgos de seguridad del personal a nivel
personal organizativo.
Seguridad física Cómo detecta y previene problemas de seguridad física en sus

instalaciones.
Gestión de riesgos Cómo evalúa los riesgos y pérdidas potenciales y cómo reduce o elimina
dichas amenazas.
Administración de la Cómo identifica, evalúa y mitiga los riesgos asociados con los productos de
cadena de suministro TI, los proveedores y las cadenas de suministro.
Administración de Cómo reduce el riesgo de que el hardware de TI de sus empleados se

dispositivos de pierda, se dañe o se vea comprometido.
usuario
Administración de Cómo define, evalúa y soluciona todas las vulnerabilidades conocidas de los
vulnerabilidades activos de la infraestructura de nube.
Delegado
Un delegado es unAWS Audit Managerusuario con permisos limitados. Los delegados suelen tener
experiencia técnica o comercial especializada. Por ejemplo, estos conocimientos pueden estar
relacionados con políticas de retención de datos, planes de formación, infraestructura de red o
administración de identidades. Los delegados ayudan a los propietarios de auditorías a revisar las
pruebas recopiladas de controles que se encuentran en su área de especialización. Los delegados
pueden revisar los conjuntos de controles y sus pruebas relacionadas, agregar comentarios, cargar
pruebas adicionales y actualizar el estado de cada uno de los controles que les asigna para su
revisión.
Los propietarios de auditorías asignan conjuntos de control específicos a los delegados, no a

evaluaciones completas. Como resultado, los delegados tienen acceso limitado a las evaluaciones.
Para obtener instrucciones sobre cómo delegar un conjunto de controles, consulteDelegaciones
deAWS Audit Manager (p. 68).
Evidencia
La evidencia es un registro que contiene la información necesaria para demostrar el cumplimiento de

los requisitos especificados por un control. Algunos ejemplos de pruebas incluyen una actividad de
cambio invocada por un usuario y una instantánea de configuración del sistema.
Existen dos tipos principales de pruebas enAWS Audit Manager:automatizadoymanual.

• Evidencia automatizada— Esta es la evidencia de queAWS Audit Managerse recopila
automáticamente. Esto incluye las tres categorías siguientes de pruebas automatizadas:
• Comprobación de conformidad— El resultado de una comprobación de conformidad se
recoge enAWS Security Hub,AWS Config, o ambos, con frecuencias variadas (por ejemplo,
puede utilizarAWS Security Hubpara configurar comprobaciones periódicas cada 12 horas o
6
continuamente si se invocan mediante eventos de cambio). Algunos ejemplos de comprobaciones

de conformidad incluyen un control de seguridad enAWS Security Hubpara un control PCI DSS y
unAWS Configevaluación de reglas deAWS Configpara HIPAA.
• Actividad de usuario— La actividad del usuario que cambia la configuración de un recurso
se captura desdeAWS CloudTrailregistra a medida que se produce esa actividad. Algunos
ejemplos de actividades de usuario incluyen una actualización de tabla de rutas, un cambio en la
configuración de la copia de seguridad de instancias de Amazon RDS y un cambio en la política
de cifrado de bucket de Amazon S3.
• Datos de configuración— Una instantánea de la configuración de recursos se captura
directamente desde unAWSservicio diario, semanal o mensualmente. Algunos ejemplos de
instantáneas de configuración incluyen una lista de rutas para una tabla de rutas de VPC, una
configuración de copia de seguridad de instancias de Amazon RDS y una política de cifrado de
bucket de Amazon S3.
• Pruebas manuales— Esta es la prueba que puede cargar enAWS Audit Managermanualmente
como documento de soporte adicional.
La recopilación automatizada de pruebas comienza cuando crea una evaluación. Se trata de

un proceso continuo y Audit Manager recopila pruebas a diferentes frecuencias según el tipo de
evidencia y la fuente de datos subyacente. Para obtener más información acerca de la recopilación
de pruebas, consulte.CómoAWS Audit Managerrecoge pruebas (p. 8). Para obtener instrucciones
sobre cómo revisar las pruebas de una evaluación de, consulteRevisión de las pruebas en una
evaluación (p. 59).
Infraestructura
UnAWS Audit Managerframework es un archivo que se utiliza para estructurar y automatizar las
evaluaciones de un estándar específico o principio de gobernanza de riesgos. Estos marcos ayudan a
asignar suAWSrecursos a los requisitos de un control. Incluyen un conjunto de controles predefinidos
o definidos por el cliente. La colección contiene descripciones y procedimientos de prueba para cada
control. Estos controles se organizan y agrupan según los requisitos de una norma o reglamento de
cumplimiento especificados. Algunos ejemplos incluyen PCI DSS y RGPD.
Existen dos tipos de framework enAWS Audit Manager:

• Marcos estándar— Frameworks precompilados que se basan enAWSprácticas recomendadas para
diversas normas y reglamentos de cumplimiento. Puede utilizar estos marcos para ayudar en la
preparación de auditorías.
• Marcos personalizados— Marcos personalizados que define comoAWS Audit Managerusuario.
Puede utilizar estos marcos para ayudar en la preparación de auditorías de acuerdo con sus
requisitos específicos de cumplimiento o gobernanza de riesgos.
Para obtener instrucciones sobre cómo crear y administrar marcos de trabajo, consulteBiblioteca de
marco (p. 84).
Note
AWS Audit Managerayuda a recopilar pruebas relevantes para verificar el cumplimiento

de normas y regulaciones específicas de cumplimiento. Sin embargo, no evalúa el
cumplimiento por sí mismo. Las pruebas que se recogen a través deAWS Audit Managerpor
lo tanto, es posible que no incluya toda la información sobre suAWSuso necesario para
las auditorías.AWS Audit Managerno sustituye a un asesor legal ni a los expertos en
cumplimiento.
Uso compartido de marco
Puede utilizar elfunción de uso compartido de marcos personalizadosde Audit Manager para
compartir rápidamente sus marcos personalizadosAWScuentas y regiones. Para compartir un marco
personalizado, crea unsolicitud de compartir. El destinatario de la solicitud de acciones tiene 120 días
para aceptar o rechazar la solicitud. Cuando aceptan, Audit Manager replica el marco personalizado
compartido en su biblioteca de marcos. Además de replicar el marco personalizado, Audit Manager
7
Recolección de pruebas
también replica los conjuntos de controles personalizados y los controles incluidos en ese marco.
Estos controles personalizados se añaden a la biblioteca de control del destinatario. Audit Manager no
replica marcos ni controles estándar. Esto se debe a que estos recursos ya están disponibles de forma
predeterminada en cada cuenta y región de.
Recurso
Un recurso es un activo físico o de información que se evalúa en una auditoría. Ejemplos deAWSLos
recursos incluyen instancias Amazon EC2, instancias de Amazon RDS, buckets de Amazon S3 y
subredes de Amazon VPC.
Evaluación de recursos
Una evaluación de recursos es el proceso de evaluación de un recurso individual. Esta evaluación

se basa en el requisito de un control. Si bien una evaluación está activa,AWS Audit Managerejecuta
evaluaciones de recursos para cada recurso individual en el ámbito de la evaluación. Una evaluación
de recursos ejecuta el siguiente conjunto de tareas:
1. Recopila evidencia, incluidas configuraciones de recursos, registros de eventos y hallazgos
2. Traduce y mapea las pruebas a los controles
3. Almacena y rastrea el linaje de pruebas para permitir la integridad
CómoAWS Audit Managerrecoge pruebas

Cada evaluación activa enAWS Audit Managerrecopila automáticamente pruebas de diversas fuentes de
datos. Cada evaluación tiene un ámbito definido que especifica elAWSservicios y cuentas de los que Audit
Manager recopila datos. Cada una de estas fuentes de datos definidas contiene varios recursos y cada
recurso es un inventario de activos del sistema que posee. La recopilación de pruebas en Audit Manager
implica la evaluación de cada recurso dentro del ámbito. Esto se conoce comoevaluación de recursos.
En los siguientes pasos se describe cómo Audit Manager recopila pruebas para cada evaluación de
recursos:
1. Evaluación de un recurso desde el origen de datos
Para iniciar la recopilación de pruebas,AWS Audit Managerevalúa un recurso dentro del alcance de un
origen de datos. Para ello, captura una instantánea de configuración, un resultado de comprobación
de cumplimiento relacionado y cualquier actividad del usuario. A continuación, ejecuta un análisis
para determinar qué control admiten estos datos. El resultado de la evaluación de recursos se guarda
y se convierte en evidencia. Para obtener más información sobre los distintos tipos de pruebas,
consulte.Evidenciaen laAWS Audit ManagerConceptos y terminología dede esta guía.
2. Conversión de los resultados de la evaluación en pruebas
El resultado de la evaluación de recursos contiene los datos originales capturados de ese recurso y los
metadatos que indican qué control admiten los datos.AWS Audit Managerconvierte los datos originales en
un formato compatible con el auditor. Los datos y metadatos convertidos se guardan como prueba de Audit
Manager antes de adjuntarse a un control.
3. Adjuntar pruebas al control relacionado
AWS Audit Managerlee los metadatos de las pruebas. A continuación, adjunta la evidencia guardada a un
control relacionado dentro de la evaluación. La evidencia adjunta se hace visible en Audit Manager. Esto
completa el ciclo de evaluación de recursos.
Note
Según las configuraciones de control, la misma evidencia se puede adjuntar, en algunos casos,
a varios controles desde variosAWS Audit Managerevaluaciones. Cuando se adjunta la misma
8
Recopilación de pruebas
evidencia a varios controles, Audit Manager mide la evaluación de recursos exactamente una vez.
Esto se debe a que la misma evidencia se recoge exactamente una sola vez. Sin embargo, un
control de una evaluación de Audit Manager puede contener varias pruebas de varias fuentes de
datos.
Recopilación de pruebas
La recopilación de pruebas es un proceso continuo que comienza cuando crea la evaluación.AWS
Audit Managerrecopila pruebas de varias fuentes de datos a diferentes frecuencias. Como resultado, no
hayone-size-fits-todas las respuestas sobre la frecuencia con que se recopilan pruebas. La frecuencia
de la recopilación de pruebas se basa en el tipo de evidencia y su fuente de datos, como se describe a
continuación.
• Verificaciones de conformidad— Audit Manager recopila este tipo de evidencia deAWS Security
HubyAWS Config.
• ParaAWS Security Hub, la frecuencia de recopilación de pruebas sigue el cronograma de
suAWS Security Hubverificaciones. Para obtener más información acerca de la programación
de comprobaciones de Security Hub, consulteProgramación para ejecutar comprobaciones de
seguridaden laAWS Security HubGuía del usuario de. Para obtener más información acerca de las
comprobaciones de Security Hub admitidas por Audit Manager, consulteAWS Security Hubcontroles
compatibles conAWS Audit Manager (p. 177).
• ParaAWS Config, la frecuencia de la recopilación de pruebas sigue laDisparadores deque se
definen en suAWS Configreglas. Para obtener más información acerca de los disparadores deAWS
Configreglas, consulteTipos de disparadoresen laAWS ConfigGuía del usuario de. Para obtener más
información acerca de laAWS Config Rulescompatibles con Audit Manager, consulteAWS Config
Rulesapoyado porAWS Audit Manager (p. 170).
• Actividad de usuario— Audit Manager recopila este tipo de evidencia deAWS CloudTrailde forma
continua. Esta frecuencia es continua porque la actividad del usuario puede ocurrir en cualquier
momento del día. Para obtener más información, consulte AWS CloudTrailnombres de eventos
admitidos porAWS Audit Manager (p. 180).
• Datos de configuración— Audit Manager recopila este tipo de evidencia mediante una llamada de
API descrita a otroAWScomo Amazon EC2, Amazon S3 o IAM. Puedes elegir qué acciones de API
quieres llamar. También establece la frecuencia diaria, semanal o mensualmente en Audit Manager.
Puede especificar esta frecuencia al crear o editar un control en la biblioteca de controles. Para obtener
instrucciones sobre cómo editar o crear un control, consulteBiblioteca de control (p. 155). Para
obtener más información acerca de cómo Audit Manager utiliza llamadas a la API para crear pruebas,
consulteLlamadas a la API compatibles conAWS Audit Manager (p. 179).
Independientemente de la frecuencia de recopilación de pruebas para la fuente de datos, se recopilan

nuevas pruebas automáticamente mientras el control y la evaluación estén activos.
Ejemplos deAWS Audit Managercontroles

Puede revisar los ejemplos de esta página para obtener más información sobre cómo funcionan los
controles enAWS Audit Manager. En estos ejemplos se describe el aspecto de un control, cómo Audit
Manager genera pruebas para ese control y los siguientes pasos que puede tomar para demostrar el
cumplimiento.
Tip
Recomendamos habilitarAWS ConfigyAWS Security Hubpara obtener una experiencia óptima en

Audit Manager. Cuando habilita estos servicios, se pueden utilizar como fuente de datos para los
controles de las evaluaciones de Audit Manager. En otras palabras, Audit Manager puede utilizar
los hallazgos de Security Hub yAWS Config Rulespara generar pruebas automatizadas.
9
Controles automatizados (Security Hub)
• Después de tihabilitarAWS Security Hub, asegúrese de que tambiénhabilitar todos los

estándares de seguridad. Este paso garantiza que Audit Manager pueda importar los resultados
de todos los estándares de cumplimiento compatibles.
• Después de tihabilitarAWS Config, asegúrese de que tambiénhabilitar el correspondienteAWS
Config Rulesodesplegar un paquete de conformidadpara conocer el estándar de cumplimiento
relacionado con su auditoría. Este paso garantiza que Audit Manager pueda importar los
hallazgos de todos los admitidosAWS Config Rulesque has habilitado.
Hay ejemplos disponibles para cada uno de los siguientes tipos de controles:
Temas
• Controles automatizados que utilizanAWS Security Hubcomo origen de datos (p. 10)
• Controles automatizados que utilizanAWS Configcomo origen de datos (p. 11)
• Controles automatizados que utilizanAWSLlamadas a la API como fuente de datos (p. 13)
• Controles automatizados que utilizanAWS CloudTrailcomo origen de datos (p. 14)
• Controles manuales (p. 15)
• Controles con fuentes de datos mixtas (automatizados y manuales) (p. 17)
Controles automatizados que utilizanAWS Security

Hubcomo origen de datos
En este ejemplo se muestra un control que utilizaAWS Security Hubcomo origen de datos. Se trata de un
control estándar tomado delAWSMarco de prácticas recomendadas de seguridad básica (FSBP). Audit
Manager utiliza este control para generar pruebas que pueden ayudar a llevar suAWSentorno de acuerdo
con los requisitos de FSBP.
Detalles de control de ejemplo
• Nombre de control–IAM policies should not allow full "*" administrative

privileges
• Conjunto de control— Este control pertenece alIAMconjunto de control. Se trata de una agrupación de
controles relacionados con la administración de identidades y accesos.
• Origen de datos–AWS Security Hub
• Tipo de evidencia— Comprobación de conformidad
En el ejemplo siguiente, este control se encuentra dentro de una evaluación de Audit Manager creada a
partir del marco FSBP.
La evaluación muestra el estado del control. También muestra cuántas pruebas se han recopilado para
este control hasta el momento y qué cantidad de esa evidencia se incluye en su informe de evaluación.
Desde aquí, puede delegar el conjunto de controles para su revisión o completar la revisión usted mismo.
10
Controles automatizados (AWS Config)
Al elegir el nombre del control, se abre una página de detalles con más información, incluidas las pruebas
de ese control.
Qué hace este control
Audit Manager puede utilizar este control para comprobar si sus políticas de IAM son demasiado
amplias para cumplir los requisitos de FSBP. Más concretamente, puede comprobar si las políticas de
IAM administradas por el cliente tienen acceso de administrador que incluye la siguiente declaración
comodín:"Effect": "Allow"con"Action": "*"sobre"Resource": "*".
Cómo recopila Audit Manager las pruebas de este control
Audit Manager toma los siguientes pasos para recopilar pruebas de este control:
1. Para cada control, Audit Manager evalúa sus recursos dentro del ámbito. Esto lo hace utilizando el
origen de datos especificado en la configuración de control. En este ejemplo, las políticas de IAM son
el recurso y Security Hub yAWS Configson el origen de datos. Audit Manager busca el resultado de
una comprobación específica de Security Hub ([IAM.1]), que a su vez utiliza unAWS Configregla para
evaluar las políticas de IAM (iam-policy-no-statements-with-admin-access).
2. El resultado de la evaluación de recursos se guarda y se convierte en pruebas amigables para el
auditor. Audit Manager generacomprobación de conformidadpruebas de los controles que utilizan
Security Hub como fuente de datos. Esta evidencia contiene el resultado de la comprobación de
cumplimiento notificada directamente desde Security Hub.
3. Audit Manager adjunta la evidencia guardada al control de la evaluación denominadaIAM policies
should not allow full "*" administrative privileges.
Cómo utilizar Audit Manager para demostrar el cumplimiento de este control
Una vez que la evidencia se adjunta al control, usted, o un delegado de su elección, puede revisar la
evidencia para ver si es necesaria alguna corrección.
En este ejemplo, Audit Manager podría mostrar unFracasarfallo de Security Hub. Esto puede ocurrir
si sus políticas de IAM contienen comodines (*) y son demasiado amplios para cumplir con el control.
En este caso, puede actualizar las políticas de IAM para que no permitan privilegios administrativos
completos. Para lograrlo, puede determinar las tareas que tienen que realizar los usuarios y elaborar
políticas al respecto para permitir a los usuarios realizar solo esas tareas. Esta acción correctiva ayuda a
llevarAWSentorno de acuerdo con los requisitos de FSBP.
Cuando sus políticas de IAM estén en línea con el control, marque el control comoRevisadoy añada la
evidencia a su informe de evaluación. A continuación, puede compartir este informe con los auditores para
demostrar que el control funciona según lo previsto.
Controles automatizados que utilizanAWS Configcomo

origen de datos
En este ejemplo se muestra un control que utilizaAWS Configcomo origen de datos. Se trata de un
control estándar tomado delAWS Control TowerMarco de medidas de seguridad. Audit Manager utiliza
este control para generar pruebas que ayudan a aportarAWSentorno en consonancia conAWS Control
TowerProtecciones de seguridad.
• Nombre de control–4.1.2 - Disallow public write access to S3 buckets

• Conjunto de control— Este control pertenece alDisallow public accessconjunto de control. Se
trata de una agrupación de controles relacionados con la gestión del acceso.
• Origen de datos–AWS Config
11
Controles automatizados (AWS Config)
• Tipo de evidencia— Comprobación de conformidad
partir delAWS Control TowerMarco de medidas de seguridad.
La evaluación muestra el estado del control, cuánta evidencia se ha recopilado para este control hasta
el momento y qué cantidad de esa evidencia se incluye en su informe de evaluación. Desde aquí, puede
delegar el conjunto de controles para su revisión o completar la revisión usted mismo. Al elegir el nombre
del control, se abre una página de detalles con más información, incluidas las pruebas de ese control.
Audit Manager puede utilizar este control para comprobar si los niveles de acceso de las políticas de
bucket de S3 son demasiado indulgentes para cumplirAWS Control Towerrequisitos. Más concretamente,
puede comprobar la configuración de Bloquear acceso público, las políticas del bucket y las listas de
control de acceso (ACL) del bucket para confirmar que los buckets no permiten el acceso de escritura
pública.
1. Para cada control, Audit Manager evalúa los recursos dentro del ámbito utilizando el origen de datos
especificado en la configuración de control. En este caso, los depósitos de S3 son el recurso yAWS
Configes el origen de datos. Audit Manager busca el resultado de un determinadoAWS ConfigRegla
(s3-bucket-public-write-prohibido) para evaluar la configuración, la política y la ACL de cada uno de los
depósitos de S3 que se encuentran en el ámbito de la evaluación.
auditor. Audit Manager generacomprobación de conformidadpruebas de los controles que utilizanAWS
Configcomo origen de datos. Esta evidencia contiene el resultado de la comprobación de cumplimiento
notificada directamente desdeAWS Config.
3. Audit Manager adjunta la evidencia guardada al control de la evaluación denominada4.1.2 -
Disallow public write access to S3 buckets.
En este ejemplo, Audit Manager podría mostrar una regla deAWS Configindicando que un bucket S3
esno conforme. Esto podría suceder si uno de los buckets de S3 tiene una configuración Bloquear acceso
público que no restringe las políticas públicas y la política que está en uso permite el acceso de escritura
pública. Para solucionarlo, puede actualizar la configuración Bloquear acceso público para restringir
las políticas públicas. O bien, puedes usar una política de bucket diferente que no permita el acceso de
escritura pública. Esta acción correctiva ayuda a llevarAWSentorno en consonancia conAWS Control
Towerrequisitos.
Cuando esté satisfecho de que los niveles de acceso al bucket S3 están en línea con el control, puede
marcar el control comoRevisadoy añada la evidencia a su informe de evaluación. A continuación, puede
compartir este informe con los auditores para demostrar que el control funciona según lo previsto.
12
Controles automatizados (llamadas API)
Controles automatizados que utilizanAWSLlamadas a

la API como fuente de datos
En este ejemplo se muestra un control personalizado que utilizaAWSLlamadas a la API como fuente de
datos. Audit Manager utiliza este control para generar pruebas que pueden ayudar a llevar suAWSentorno
de acuerdo con sus requisitos específicos.
• Nombre de control–Password Use

• Conjunto de control— Este control pertenece a un conjunto de controles llamadoAccess Control. Se
trata de una agrupación de controles relacionados con la administración de identidades y accesos.
• Origen de datos–AWSLlamadas a la API
• Tipo de evidencia— Datos de configuración
partir de un marco personalizado.
de ese control.
Audit Manager puede utilizar este control personalizado para ayudarle a garantizar que dispone de
suficientes políticas de control de acceso. Este control requiere que siga buenas prácticas de seguridad
en la selección y el uso de contraseñas. Audit Manager puede ayudarle a validarlo recuperando una lista
de todas las políticas de contraseñas de los principales de IAM que se encuentran en el ámbito de su
evaluación.
Audit Manager lleva a cabo los siguientes pasos para recopilar pruebas de este control personalizado:
especificado en la configuración de control. En este caso, los principales de IAM son los recursos y una
llamada a la API es el origen de datos. Audit Manager busca el resultado de una llamada a la API de
IAM específica (GetAccountPasswordPolicy). A continuación, devuelve las políticas de contraseñas
delAWScuentas incluidas en el ámbito de su evaluación.
auditor. Audit Manager generadatos de configuraciónpruebas de controles que utilizan llamadas a API
como fuente de datos. Esta evidencia contiene los datos originales capturados de las respuestas de la
API y metadatos adicionales que indican qué control admiten los datos.
3. Audit Manager adjunta la evidencia guardada al control personalizado de la evaluación
denominadaPassword Use.
13
Controles automatizados (CloudTrail)
evidencia para ver si es suficiente o si es necesaria alguna corrección.
En este ejemplo, puede revisar la evidencia para ver las respuestas de la llamada a la API.
LaGetAccountPasswordPolicyLa respuesta describe los requisitos de complejidad y periodos de rotación
obligatorios para las contraseñas de usuario de IAM de su cuenta. Puede utilizar esta respuesta de la
API como prueba para demostrar que tiene suficientes políticas de control de acceso a contraseñas
implementadas para elAWScuentas que se encuentran en el ámbito de su evaluación. Si lo desea, también
puede proporcionar comentarios adicionales sobre estas políticas añadiendo un comentario al control.
Cuando esté seguro de que las políticas de contraseñas de sus directores de IAM están en línea con
el control personalizado, puede marcar el control comoRevisadoy añada la evidencia a su informe de
evaluación. A continuación, puede compartir este informe con los auditores para demostrar que el control
funciona según lo previsto.
Controles automatizados que utilizanAWS

CloudTrailcomo origen de datos
En este ejemplo se muestra un control que utilizaAWS CloudTrailcomo origen de datos. Se trata de un
control estándar tomado delMarco HIPAA. Audit Manager utiliza este control para generar pruebas que
pueden ayudar a llevar suAWSentorno en consonancia con los requisitos de la HIPAA.
• Nombre de control–164.308(a)(5)(ii)(C)
• Conjunto de control— Este control pertenece al conjunto de controles que se llama164.308
Administrative Safeguards.
• Origen de datos–AWS CloudTrail
• Tipo de evidencia— Actividad de usuario
Este control se muestra en una evaluación de Audit Manager creada a partir del marco HIPAA:
de ese control.
Este control requiere un procedimiento de supervisión para detectar inicios de sesión inapropiados. Un
ejemplo de inicio de sesión inapropiado es cuando alguien introduce varias combinaciones de nombres de
usuario o contraseñas para intentar acceder a un sistema de información. Audit Manager le ayuda a validar
este control proporcionando una lista de todos los intentos de inicio de sesión detectados para los recursos
que se encuentran en el ámbito de la evaluación.
14
Controles manuales
1. Para cada control, Audit Manager evalúa los recursos dentro del ámbito utilizando el origen de
datos especificado en la configuración de control. En este caso, los usuarios de IAM son el recurso,
yCloudTraillos logs son el origen de datos. Audit Manager busca el resultado de todosEventos de inicio
de sesión de AWS Management Consoleque se registran porCloudTrail. A continuación, devuelve un
registro de los eventos relevantes que se encuentran dentro del ámbito de la evaluación.
auditor. Audit Manager generaactividad de usuariopruebas de los controles que utilizanCloudTrailcomo
origen de datos. Esta evidencia contiene los datos originales capturados de los usuarios de IAM y
metadatos adicionales que indican qué control admiten los datos.
3. Audit Manager adjunta la evidencia guardada al control de la evaluación denominada164.308(a)(5)
(ii)(C).
En este ejemplo, puede revisar la evidencia para ver los eventos de inicio de sesión registrados
porCloudTrail. En este registro se describe la actividad de inicio de sesión de la consola de los usuarios de
IAM, que incluye la siguiente información:
• Todos los inicios de sesión exitosos

• Todos los intentos de inicio de sesión fallidos
• Verificación del momento en que se ha aplicado la autenticación multifactor (MFA)
• La dirección IP de cada evento de inicio de sesión
Puede utilizar este registro como prueba para demostrar que tiene suficientes procedimientos de
supervisión implementados para elAWScuentas que se encuentran en el ámbito de su evaluación. Si
lo desea, también puede proporcionar comentarios adicionales añadiendo un comentario al control.
Por ejemplo, si el registro muestra discrepancias, como varios intentos de inicio de sesión fallidos,
puede agregar un comentario que describa cómo solucionó el problema. La supervisión periódica de
los inicios de sesión de la consola le ayuda a evitar problemas de seguridad que pueden surgir debido a
discrepancias e intentos de inicio de sesión inapropiados. A su vez, esta práctica recomendada ayuda a
llevar suAWSentorno en consonancia con los requisitos de la HIPAA.
Cuando esté convencido de que el procedimiento de supervisión está en línea con el control, puede
marcarlo comoRevisadoy añada la evidencia a su informe de evaluación. A continuación, puede compartir
este informe con los auditores para demostrar que el control funciona según lo previsto.
Controles manuales
Algunos controles no admiten la recopilación automatizada de pruebas. Esto incluye controles que se
basan en el suministro de registros físicos y firmas, además de observaciones, entrevistas y otros eventos
que no se generan en la nube. En estos casos, puede cargar manualmente pruebas para demostrar que
cumple los requisitos del control.
En este ejemplo se muestra un control manual del que Audit Manager no recopila pruebas automatizadas.
Se trata de un control estándar tomado delMarco NIST 800-53 (Rev. 5). Puede utilizar Audit Manager para
cargar y almacenar pruebas que demuestren el cumplimiento de este control.
• Nombre de control–PS-4(1) - Post-employment Requirements
15
Controles manuales
• Conjunto de control— Este control pertenece alPersonnel Terminationconjunto de control. Se trata

de una agrupación de controles relacionados con la seguridad de la información en el contexto de los
procedimientos de terminación del empleo.
• Origen de datos— Manual
• Tipo de evidencia— Manual
Este control se muestra en una evaluación de Audit Manager creada a partir del marco NIST 800-53 (Rev.
5) de baja moderada-alta:
de ese control.
Puede utilizar este control para confirmar que está protegiendo la información de la organización si un
empleado finaliza. Específicamente, puede demostrar que notifica sistemáticamente a las personas
despedidas de los requisitos posteriores al empleo aplicables y legalmente vinculantes para la protección
de la información de la organización. Además, puede demostrar que todas las personas despedidas firman
un reconocimiento de los requisitos posteriores al empleo como parte del proceso de rescisión de su
organización.
Cómo puedes cargar manualmente pruebas para este control
Puede realizar los pasos siguientes para cargar pruebas manuales que respalden este control:
1. Coloque la prueba manual de que desea cargar en un bucket de Amazon Simple Storage Service
(Amazon S3) y anote el URI de S3.
2. En la evaluación de Audit Manager, abra el control, vaya a la pestaña de carpetas de pruebas y cargue
pruebas introduciendo el URI de S3. Para obtener instrucciones, consulteCarga de pruebas manuales
enAWS Audit Manager.
3. Audit Manager crea una carpeta de pruebas que lleva el nombre de la fecha en que se carga
la evidencia. A continuación, adjunta la evidencia cargada al control de la evaluación que se
denominaPS-4(1) - Post-employment Requirements.
Si tiene documentación que admite este control, puede cargarlo como prueba manual. Por ejemplo, puede
cargar la última copia de los requisitos posteriores al empleo legalmente vinculantes que su departamento
de Recursos Humanos emite a los empleados despedidos. Si alguna persona ha sido cancelada durante el
período de auditoría, también puede cargar copias fechadas dirigidas a esas personas canceladas.
Al igual que ocurre con los controles automatizados, puede delegar controles manuales a las partes
interesadas que pueden ayudarlo a revisar las pruebas (o, en este caso, suministrarlas). Por ejemplo,
cuando revisa este control, podría darse cuenta de que solo cumple parcialmente sus requisitos. Este
podría ser el caso si no tienes una carta de acuse de recibo firmada por una persona cancelada. Puede
delegar el control en un participante de RRHH, que luego puede cargar una copia de la carta firmada. O,
16
Controles con fuentes de datos mixtas
si no se canceló ningún empleado durante el período de auditoría, puede dejar un comentario que indique
por qué no se adjuntan cartas firmadas al control.
Cuando estés satisfecho de estar en línea con el control, puedes marcarlo comoRevisadoy añada la
Controles con fuentes de datos mixtas (automatizados

y manuales)
En muchos casos, se necesita una combinación de pruebas automatizadas y manuales para satisfacer un
control. Aunque Audit Manager puede proporcionar pruebas automatizadas que sean relevantes para el
control, es posible que deba complementar estos datos con pruebas manuales de que identifica y cargue
usted mismo.
En este ejemplo se muestra un control que utiliza una combinación de pruebas manuales y pruebas
automatizadas que provienen deAWSLlamadas a la API. Se trata de un control estándar tomado delMarco
NIST 800-53 (Rev. 5). Audit Manager utiliza este control para generar pruebas que pueden ayudar a llevar
suAWSentorno acorde con los requisitos del NIST.
• Nombre de control–MA-5(3) - Citizenship Requirements for Classified Systems

• Conjunto de control— Este control pertenece alMaintenance Personnelconjunto de control. Se
trata de una agrupación de controles relacionados con las personas que realizan el mantenimiento de
hardware o software en sistemas organizativos.
• Origen de datos–AWSLlamadas a la API, más pruebas manuales complementarias
• Tipo de evidencia— Datos de configuración
Este control se muestra en una evaluación de Audit Manager creada a partir del marco NIST 800-53 (Rev.
5):
de ese control.
Audit Manager puede utilizar este control para ayudarle a garantizar que el personal que realiza sus
actividades de mantenimiento y diagnóstico tenga el estatus de ciudadanía requerido. Si su sistema
procesa, almacena o transmite información clasificada, debe demostrar que su personal de mantenimiento
es ciudadano estadounidense. Audit Manager le ayuda a validarlo. Para ello, devuelve una lista completa
de todas las políticas y principios de IAM que se encuentran en el ámbito de su evaluación. A continuación,
puede verificar y demostrar que esta lista de usuarios tiene los requisitos de ciudadanía necesarios. Puede
hacerlo cargando manualmente pruebas complementarias de su estado de ciudadanía.
17
Servicios relacionados de
especificado en la configuración de control. En este caso, sus políticas y principios de IAM son los
recursos y una serie de llamadas a la API son el origen de datos. Audit Manager busca el resultado de
cuatro llamadas a la API de IAM específicas (ListUsers/ListRoles/ListGroups/ListPolicies) y devuelve
una lista de las políticas y principios de IAM que se encuentran en el ámbito de su evaluación.
auditor. Audit Manager generadatos de configuraciónpruebas de controles que utilizan llamadas a API
como fuente de datos. Esta evidencia contiene los datos originales capturados de las respuestas de la
API y metadatos adicionales que indican qué control admiten los datos.
3. Audit Manager adjunta la evidencia guardada al control de la evaluación denominadaMA-5(3) -
Citizenship Requirements for Classified Systems.
Cómo puedes cargar manualmente pruebas para este control
Puede seguir los siguientes pasos para cargar pruebas manuales que complementen la evidencia
automatizada:
1. Coloque la documentación de ciudadanía en un bucket de Amazon Simple Storage Service (Amazon

S3) y anote el URI de S3.
2. En la evaluación de Audit Manager, abra el control, vaya a la pestaña de carpetas de pruebas y cargue
pruebas. Para ello, introduzca el URI de S3. Para obtener instrucciones, consulteCarga de pruebas
manuales enAWS Audit Manager.
3. Audit Manager adjunta la evidencia cargada al control de la evaluación que se denominaMA-5(3) -
Citizenship Requirements for Classified Systems.
evidencia para ver si es suficiente o si es necesaria alguna corrección.
En este ejemplo, puede revisar la evidencia y ver una lista de 20 usuarios de IAM. Si no está seguro de
cómo identificar qué usuarios son personal de mantenimiento o la ciudadanía de esos usuarios, puede
delegar el control a un experto en la materia para su validación. El delegado puede confirmar la lista de
personal de mantenimiento y cargar pruebas complementarias manualmente como documentación de su
estado de ciudadanía. Confirmar la ciudadanía de todos los usuarios relevantes de IAM listados ayuda
a aportar suAWSentorno acorde con los requisitos del NIST. Alternativamente, si el sistema no procesa,
almacena ni transmite información clasificada, puedes dejar un comentario que indique por qué este
control no es aplicable.
Cuando esté satisfecho de estar en línea con el control, marque el control comoRevisadoy añada la
Servicios relacionados de AWS

AWS Audit Managerse integra con múltiplesAWSservicios para recopilar automáticamente pruebas que
puede incluir en los informes de evaluación.
AWS Security Hub
AWS Security Hubsupervisa su entorno mediante comprobaciones de seguridad automatizadas basadas

enAWSmejores prácticas y estándares de la industria. Audit Manager captura instantáneas de la postura
18
Uso de Audit Manager con unAWSSDK
de seguridad de los recursos mediante el informe de los resultados de las comprobaciones de seguridad
directamente desde Security Hub. Para obtener más información acerca de Security Hub, consulte.¿Qué
es ?AWS Security Hub?en laAWS Security HubGuía del usuario de.
AWS CloudTrail
AWS CloudTraille ayuda a supervisar las llamadas realizadas aAWSrecursos de su cuenta. Entre ellas se
incluyen las llamadas realizadas por elAWSManagement Console, elAWSCLI y otrosAWSServicios de .
Audit Manager recopila datos de registro deCloudTraildirectamente, y convierte los registros procesados en
pruebas de actividad del usuario. Para obtener más información sobre CloudTrail, consulte ¿Qué es AWS
CloudTrail? en la Guía del usuario de AWS CloudTrail.
AWS Config
AWS Config proporciona una vista detallada de la configuración de los recursos de AWS de su cuenta de
AWS. Esto incluye información sobre cómo se relacionan los recursos entre sí y cómo se han configurado
en el pasado. Audit Manager captura instantáneas de la postura de seguridad de los recursos mediante
informes de hallazgos directamente desdeAWS Config. Para obtener más información sobre AWS Config,
consulte ¿Qué es AWS Config? en la Guía del usuario de AWS Config.
AWS License Manager
AWS License Manager simplifica el proceso de llevar licencias de proveedores de software a la nube.
A medida que desarrolla la infraestructura en la nube enAWS, puede ahorrar en costos reorientando su
inventario de licencias existente para utilizarlo con los recursos de la nube. Audit Manager proporciona un
marco de License Manager para ayudarlo con la preparación de la auditoría. Este marco se integra con
License Manager para agregar información de uso de licencias basada en reglas de licencias definidas
por el cliente. Para obtener más información sobre License Manager, consulte.¿Qué es ?AWS License
Manager?en laAWS License ManagerGuía del usuario de.
AWS Control Tower
AWS Control Toweraplica barandillas preventivas y detectives para la infraestructura en la nube. Audit
Manager proporciona unAWS Control TowerMarco de barandillas para ayudarlo con la preparación de su
auditoría. Este marco contiene todos losAWS Configreglas basadas en barandillas deAWS Control Tower.
Para obtener más información sobre AWS Control Tower, consulte ¿Qué es AWS Control Tower? en la
Guía del usuario de AWS Control Tower.
AWS Artifact
AWS Artifactes un portal de recuperación de artefactos de auditoría de autoservicio que proporciona

acceso bajo demanda a la documentación y certificaciones de conformidad paraAWSinfraestructura.AWS
Artifactofrece pruebas para demostrar que elAWSLa infraestructura de nube cumple los requisitos de
conformidad. En cambio,AWS Audit Managerle ayuda a recopilar, revisar y administrar pruebas para
demostrar que su uso deAWSlos servicios están en cumplimiento. Para obtener más información sobre
AWS Artifact, consulte ¿Qué es AWS Artifact? en la Guía del usuario de AWS Artifact. Puede descargar
unlista deAWSreportsen laAWS Management Console.
Para obtener una lista de los servicios que AWS incluyen los programas de conformidad específicos,
consulte los servicios AWS incluidos en cada programa de conformidad. Para obtener más información
general, consulteAWSProgramas de conformidad.

Los kits de desarrollo de software (SDK) de AWS están disponibles en muchos lenguajes de programación
populares. Cada SDK proporciona una API, ejemplos de código y documentación que los desarrolladores
pueden utilizar para crear aplicaciones en su idioma preferido.
19
Documentación Documentación específica de Audit Ejemplos de código

de SDK Manager
AWS SDK for C AWS SDK for C++Referencia de API Ejemplos de código de
++ para Audit Manager AWS SDK for C++
AWS SDK for AWS SDK for GoReferencia de API Ejemplos de código de
Go para Audit Manager AWS SDK for Go
AWS SDK for AWS SDK for Java 2.xReferencia de Ejemplos de código de
Java API para Audit Manager AWS SDK for Java
AWS SDK for AWS SDK for JavaScriptReferencia Ejemplos de código de

JavaScript de API para Audit Manager AWS SDK for JavaScript
AWS SDK AWS SDK for .NETReferencia de API Ejemplos de código de

for .NET para Audit Manager AWS SDK for .NET
AWS SDK for AWS SDK for PHPReferencia de API Ejemplos de código de
PHP para Audit Manager AWS SDK for PHP
AWS SDK for AWS SDK for Python Ejemplos de código de

Python (Boto3) (Boto)Referencia de API para Audit AWS SDK for Python
Manager (Boto3)
AWS SDK for AWS SDK for RubyReferencia de Ejemplos de código de

Ruby API para Audit Manager AWS SDK for Ruby
Para ver ejemplos específicos de Audit Manager, consulteEjemplos de código paraAWS Audit Manager.
Note
AWS Audit Managerestá disponible en botocore versión 1.19.32 y posterior para elAWS SDK for
Python (Boto3). Antes de empezar a utilizar el SDK, asegúrese de que está utilizando la versión
botocore adecuada.
20
Paso 1: Registrarse en AWS
Configuración de AWS Audit

Manager
Antes de comenzar a usarAWS Audit Manager, asegúrese de que ha completado las siguientes tareas de
configuración.
Temas
• Paso 1: Registrarse en AWS (p. 21)
• Paso 2: Adjuntar la política de IAM requerida a una identidad de IAM (p. 21)
• Paso 3: HabilitarAWS Organizations(opcional) (p. 22)
• Paso 4: Habilitar AWS Audit Manager (p. 24)
• ¿Qué tengo que hacer ahora? (p. 28)
Paso 1: Registrarse en AWS

Si aún no tiene unAWScuenta, debe crear una. Para obtener más información, consulteCómo crear y
activar una nuevaAWScuenta.
Paso 2: Adjuntar la política de IAM requerida a una

identidad de IAM
LaAWS Identity and Access Management(IAM) identidad (usuario, rol o grupo) que utiliza para
accederAWS Audit Managerdebe contar con los permisos requeridos. Los roles de administrador tienen
estos permisos de forma predeterminada.
Para conceder los permisos necesarios para utilizar Audit Manager, adjunte la siguiente política a una
identidad de IAM. Para obtener más información acerca de cómo adjuntar una política a una identidad de
IAM, consulteAdición y eliminación de permisos de identidad de IAMen laIAM User Guide.
Note
Lo que ofrecemos aquí es una política básica que le permite registrarseAWS Audit Manager. Se
requieren todos los permisos de la siguiente política. Si omite alguna parte de esta política, no
podrá habilitar Audit Manager.
Esta guía también proporciona algunosejemplos de otras políticas de permisosque puedes usar
en Audit Manager. LaCreación de un tutorial de evaluación para propietarios de auditoríasen esta
guía supone que es un usuario con permisos de administrador o administración.
Te recomendamos que te dediques tiempo a personalizar tus permisos para que satisfagan tus
necesidades específicas. Si necesita más ayuda, póngase en contacto con su administrador
oAWS Support.
{
"Version": "2012-10-17",
21
Paso 3: HabilitarAWS Organizations(opcional)
"Statement": [
{
"Effect": "Allow",
"Action": "auditmanager:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "auditmanager.amazonaws.com"
}
}
},
{
"Sid": "CreateEventsAccess",
"Effect": "Allow",
"Action": [
"events:PutRule"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"events:source": "aws.securityhub",
"events:detail-type": "Security Hub Findings - Imported"
}
}
},
{
"Sid": "EventsAccess",
"Effect": "Allow",
"Action": [
"events:PutTargets"
],
"Resource": "arn:aws:events:*:*:rule/AuditManagerSecurityHubFindingsReceiver"
},
{
"Effect": "Allow",
"Action": "kms:ListAliases",
"Resource": "*",
"Condition": {
"StringLike": {
}
}
}
]
}
Para obtener más información acerca de IAM y cómo funciona conAWS Audit Manager, consulteIdentity
and Access Management en AWS Audit Manager (p. 216)en esta guía.
Paso 3: HabilitarAWS Organizations(opcional)

AWS Audit Manageradmite varias cuentas mediante la integración conAWS Organizations. Audit Manager
puede ejecutar evaluaciones en varias cuentas y consolidar pruebas en una cuenta de administrador
delegada. El administrador delegado tiene permisos para crear y administrar recursos de Audit Manager
con la organización como zona de confianza. Solo la cuenta de administración puede designar un
administrador delegado.
22
Crear o unirse a una organización
Si no necesita soporte para varias cuentas de Audit Manager, no necesita habilitarAWS Organizationsy
puede omitir las siguientes tareas. En su lugar, puede crear y ejecutar evaluaciones para una
solaAWSaccount.
Tareas para habilitarAWS Organizations
• Crear o unirse a una organización (p. 23)

• Habilitar todas las características en la organización (p. 23)
• Designar un administrador delegado paraAWS Audit Manager (p. 23)
• Configure las características de su organizaciónAWS Security HubConfiguración de (p. 24)
Crear o unirse a una organización

Si las recetasAWSla cuenta aún no forma parte de una organización, puede crear o unirse a
una organización como se describe enCreación y administración de una organizaciónen laAWS
OrganizationsGuía del usuario de.
Si ya utilizaAWS Organizationsy desea habilitar el soporte para varias cuentas desdeAWS Audit Manager,
continúe con el próximo paso.
Habilitar todas las características en la organización

Para recopilar pruebas de las cuentas de su organización,AWS Audit Managerrequiere quehabilitar todas
las características en la organización.
Una vez que su cuenta es miembro de una organización y habilite todas las características en la
organización, puede designar una cuenta de administrador delegado paraAWS Audit Manager.
Designar un administrador delegado paraAWS Audit

Manager
Si ya utilizaAWS Organizationsy desea habilitar el soporte para varias cuentas desdeAWS Audit Manager,
puede designar una cuenta de administrador delegado para Audit Manager.
Le recomendamos habilitarAWS Audit ManagerUsando unAWS Organizationscuenta de administración

y, a continuación, designe un administrador delegado. Después de eso, puede utilizar la cuenta de
administrador delegado para iniciar sesión y ejecutar evaluaciones. Como práctica recomendada,
recomendamos que cree únicamente evaluaciones utilizando la cuenta de administrador delegado en lugar
de la cuenta de administración.
Warning
Después de designar un administrador delegado mediante unAWS Organizationscuenta de

administración, su cuenta de administración ya no puede crear evaluaciones adicionales enAWS
Audit Manager. Además, la recopilación de pruebas se detiene para cualquier evaluación
existente creada por la cuenta de administración. En cambio, Audit Manager recopila y adjunta
pruebas al administrador delegado, que es la cuenta principal para administrar las evaluaciones
de su organización.
Para designar un administrador delegado
• Para agregar un administrador delegado al configurar Audit Manager por primera vez, siga las
instrucciones dePaso 4: Habilitar AWS Audit Manager (p. 24).
23
Configure las características de su
organizaciónAWS Security HubConfiguración de
• Para agregar o cambiar un administrador delegado en una fecha posterior, consulteAWS Audit
Managerconfiguración, Administrador delegado.
Cuestiones que deben considerarse
• No puede usarAWS Organizationscuenta de administración como administrador delegado en Audit

Manager.
• Si desea habilitar Audit Manager en más de unoAWSRegión, debe designar una cuenta de administrador
delegado por separado en cada región. En la configuración de Audit Manager, debe designar la misma
cuenta de administrador delegado en todas las regiones.
• Al designar un administrador delegado, asegúrese de que la cuenta de administrador delegado
tenga acceso a la clave KMS que proporciona al configurar Audit Manager. Para revisar y cambiar la
configuración de cifrado, consulteCifrado de datos (p. 181).
• Para obtener soluciones a Organizations comunes y problemas de administradores delegados
enAWS Audit Manager, consulteSolución de problemas de administrador delegado yAWS
OrganizationsProblemas (p. 202).
Configure las características de su organizaciónAWS

Security HubConfiguración de
ParaAWS Audit Managerpara recopilarAWS Security Hubpruebas de sus cuentas de miembro, debe
realizar los siguientes pasos en Security Hub.
Note
Debe asegurarse de que la cuenta de administrador delegado que ha designado en Security Hub
es la misma que designó en Audit Manager.
Para configurar los ajustes de Security Hub de su organización
1. Inicie sesión enAWS Management Consoley abraAWS Security HubConsola de enhttps://

console.aws.amazon.com/securityhub/.
2. Uso de lasAWS Organizationscuenta de administración, designe una cuenta como administrador
delegado para Security Hub. Para obtener más información, consulteDesignación de una cuenta de
administrador de Security Huben laAWS Security HubGuía del usuario de.
3. Con la cuenta de administrador delegado de la Organizations, vaya aConfiguración, cuentas,
seleccione todas las cuentas y, a continuación, agréguelas como miembros seleccionandoInscripción
automática. Para obtener más información, consulteHabilitación de cuentas de miembro de su
organizaciónen laAWS Security HubGuía del usuario de.
4. HabilitarAWS Configpara cada cuenta de miembro de la organización. Para obtener más información,
consulteHabilitación de cuentas de miembro de su organizaciónen laAWS Security HubGuía del
usuario de.
5. Habilite el estándar de seguridad PCI DSS para cada cuenta miembro de la organización.
LaAWSNorma CIS Foundations Benchmark y elAWSEl estándar de prácticas recomendadas
fundacionales ya está habilitado de forma predeterminada. Para obtener más información,
consulteHabilitar un estándar de seguridaden laAWS Security HubGuía del usuario de.
Paso 4: Habilitar AWS Audit Manager

Después de adjuntar la política requerida a una identidad de IAM, puede utilizar esa identidad para
habilitarAWS Audit Manager.
24
Puede habilitar Audit Manager mediante elAWS Management Console, API oAWS Command Line
Interface(AWS CLI).
Cómo habilitar AWS Audit Manager (consola)

Para habilitar AWS Audit Manager mediante la consola
1. Abra la consola de AWS Audit Manager enhttps://console.aws.amazon.com/auditmanager/home.

2. Use las credenciales de la identidad de IAM para iniciar sesión.
3. Elija Set up (Configurar)AWS Audit Manager.
4. UNDERPermisos, no se requiere acción alguna de forma predeterminada. Esto se debe a que Audit
Manager utiliza un rol vinculado a un servicio para conectarse a fuentes de datos en su nombre. Si es
necesario, puede revisar el rol vinculado a un servicio seleccionandoVer permisos de roles vinculados
a servicios de IAM.
5. UNDERCifrado de datos, la opción predeterminada es que Audit Manager cree y administre
unAWS KMS keypara almacenar sus datos de forma segura. Si desea utilizar sus propias claves
administradas por el cliente para cifrar datos en Audit Manager, elijaPersonalizar la configuración de
cifrado (avanzada). A continuación, puede elegir una clave KMS existente o crear una nueva.
Para obtener más información acerca de cómo configurar claves administradas por el cliente,
consulteCrear clavesen laAWS Key Management ServiceGuía del usuario de.
6. (Opcional) EnAdministrador delegado: opcional, puede designar una cuenta de administrador
delegado si desea que Audit Manager realice evaluaciones para varias cuentas.
Note
• Cuando designa una cuenta de administrador delegado mediante unAWS

Organizationscuenta de administración, debe asegurarse de que la cuenta de
administrador delegado tenga acceso a la clave KMS proporcionada durante el paso 5.
• Si desea habilitarAWS Audit Manageren más de unoAWSRegión, debe asignar una cuenta
de administrador delegado por separado en cada región.
• Recomendamos habilitar Audit Manager mediante unAWS Organizationscuenta de
administración y, a continuación, agregue un administrador delegado en suAWS Audit
ManagerConfiguración de. Después de eso, puede utilizar la cuenta de administrador
delegado para iniciar sesión y ejecutar evaluaciones. Como práctica recomendada,
recomendamos que cree únicamente evaluaciones utilizando la cuenta de administrador
delegado en lugar deAWS Organizationscuenta de administración.
7. (Opcional) EnAWS Config- opcional, le recomendamos habilitarAWS Configpara una experiencia
óptima. Esto permite a Audit Manager generar pruebas medianteAWS Configreglas. Para obtener más
instrucciones, consulteConfiguración deAWS Configen laAWS ConfigGuía del usuario de. También
puede habilitarAWS Configen un momento posterior desde suAWS Audit ManagerConfiguración de.
8. (Opcional) EnAWS Security Hub- opcional, recomendamos habilitar Security Hub para obtener una
experiencia óptima. Esto permite a Audit Manager generar pruebas mediante comprobaciones de
Security Hub. Para obtener más instrucciones, consulteConfiguración deAWS Security Huben laAWS
Security HubGuía del usuario de. También puede habilitar Security Hub más adelante desde suAWS
Audit ManagerConfiguración de.
9. ElegirConfiguración completaPara finalizar el proceso de configuración.
HabilitarAWS Audit Manager(API)

Para habilitarAWS Audit Manageruso de la API de Audit Manager
1. UsarRegisterAccount.
2. Use los siguientes parámetros de configuración:
25
a. kmsKey(opcional): puede utilizar este parámetro para cifrar los datos en Audit Manager mediante
la clave KMS.
b. delegatedAdminAccount(opcional) - Puede utilizar este parámetro para designar
suAWSorganizacióndelegatedAdminAccountpara Audit Manager.
Note
administrador delegado tenga acceso a la clave KMS proporcionada durante el paso
2a.
• Si desea habilitar Audit Manager en más de unoAWSRegión, debe asignar una cuenta
de administrador delegado por separado en cada región.
• Recomendamos habilitar Audit Manager mediante unAWS Organizationscuenta de
administración y, a continuación, configure un administrador delegado. Después de
eso, puede utilizar la cuenta de administrador delegado para iniciar sesión y ejecutar
evaluaciones. Como práctica recomendada, recomendamos que cree únicamente
evaluaciones utilizando la cuenta de administrador delegado en lugar deAWS
Organizationscuenta de administración.
Ejemplo de entrada:
{
"kmsKey":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"delegatedAdminAccount":"111122224444"
}
Ejemplo de resultados:
{
"status": "ACTIVE"
}
Habilitación de AWS Audit Manager (AWS CLI)

Para habilitar AWS Audit Manager usando la AWS CLI
1. En la línea de comandos, ejecuteregister-accountcomando.

2. Use los siguientes parámetros de configuración:
a. --kms-key(opcional): puede utilizar este parámetro para cifrar los datos en Audit Manager
mediante la clave KMS.
b. --delegated-admin-account(opcional) - Puede utilizar este parámetro para designar
suAWScuenta de administrador delegado de la organización para Audit Manager.
Note
administrador delegado tenga acceso a la clave KMS proporcionada durante el paso
2a.
• Si desea habilitarAWS Audit Manageren más de unoAWSRegión, debe asignar una
cuenta de administrador delegado por separado en cada región.
• Le recomendamos habilitarAWS Audit ManagerUsando unAWS Organizationscuenta
de administración y, a continuación, configure un administrador delegado. Después
26
Rol vinculado a servicio
de eso, puede utilizar la cuenta de administrador delegado para iniciar sesión y

ejecutar evaluaciones. Como práctica recomendada, recomendamos que cree
únicamente evaluaciones utilizando la cuenta de administrador delegado en lugar
deAWS Organizationscuenta de administración.
Ejemplo de entrada:
aws auditmanager register-account \

--kms-key arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab \
--delegated-admin-account 111122224444
Ejemplo de resultados:
status -> (string)
Para obtener más información sobreAWS CLIy para obtener instrucciones sobre la instalación delAWS
CLIconsulte las siguientes herramientas enAWS Command Line InterfaceGuía del usuario de la interfaz.
• Guía del usuario de AWS Command Line Interface

• Configuración inicial de la interfaz de línea de comandos de AWS
Rol vinculado a servicios asignado a AWS Audit

Manager
Al habilitar AWS Audit Manager, se asigna un rol vinculado a un servicio llamado
AWSServiceRoleForAuditManager. Este rol vinculado a servicios incluye la política que permite a
Audit Manager hacer lo siguiente en su nombre:
• Recopilar y evaluar datos de las siguientes fuentes de datos para generarAWS Audit Managerpruebas:
• Eventos de administración deAWS CloudTrail
• Comprobaciones de conformidad deAWS Config Rules
• Comprobaciones de conformidad deAWS Security Hub
• La llamada describe las API específicas de los siguientes servicios:
• AWS CloudTrail
• Amazon CloudWatch
• Grupos de usuarios de Amazon Cognito
• AWS Config
• Amazon EC2
• Amazon EFS
• Amazon EventBridge
• Amazon GuardDuty
• AWS Identity and Access Management (IAM)
• AWS KMS
• AWS License Manager
• AWS Organizations
• Amazon Route 53
• Simple Storage Service (Amazon S3)
• AWS Security Hub
27
¿Qué tengo que hacer ahora?
• AWS WAF
Puede ver los detalles del rol vinculado a un servicioAWSServiceRoleForAuditManagerEn la

consola. ElegirIntroducción, eligePermisosy luego seleccioneVer permisos de roles vinculados a servicios
de IAM. Para obtener más información, consulte Uso de roles vinculados a servicios de AWS Audit
Manager (p. 250).
Para obtener más información acerca los roles vinculados a servicios, consulte Uso de roles vinculados a
servicios en la Guía del usuario de IAM.

Ahora que ha configuradoAWS Audit Manager, está listo para comenzar a usar el servicio. También puede
visitar la página de configuración de la consola para actualizar cualquiera de los ajustes que eligió al
configurar Audit Manager.
Introducción a AWS Audit Manager

Puede comenzar en Audit Manager siguiendo un tutorial que le explica cómo crear su primera evaluación.
Para obtener más información, consulteTutorial para propietarios de auditorías: Creación de una
evaluación.
Actualice suAWS Audit ManagerConfiguración de

Puede actualizar la configuración en cualquier momento. Para obtener más información, consulte
Configuración de AWS Audit Manager (p. 181).
28
Audit Manager
Introducción a AWS Audit Manager

Usarstep-by-steptutoriales de esta sección para aprender a realizar tareas utilizandoAWS Audit Manager.
Tip
Los siguientes tutoriales se clasifican por audiencia. Elige el tutorial que más te convenga en
función de tu rol comopropietario de auditoríaodelegado.
• Titulares de auditoríason usuarios de Audit Manager responsables de crear y administrar las

evaluaciones. En el mundo empresarial, los propietarios de auditorías suelen ser profesionales
de gobernanza, gestión de riesgos y cumplimiento (GRC). Sin embargo, en el contexto de Audit
Manager, personas deSecOpsoDevOpslos equipos también pueden asumir la persona de
usuario de un propietario de auditoría. Los propietarios de auditorías pueden solicitar ayuda a
un experto en la materia, también conocido como delegado, para revisar controles específicos
y validar pruebas. Los propietarios de auditorías deben tener los permisos necesarios para
administrar una evaluación.
• Delegatesson expertos en la materia con experiencia técnica o empresarial especializada.
Aunque no son dueños ni administran evaluaciones de Audit Manager, aún pueden contribuir a
ellas. Los delegados ayudan a los propietarios de auditorías con tareas tales como la validación
de pruebas de los controles que corresponden a su área de especialización. Los delegados
tienen permisos limitados en Audit Manager. Esto se debe a que los propietarios de auditorías
delegan conjuntos de control específicos para su revisión y no para evaluaciones completas.
Para obtener más información acerca de estas personas y otros conceptos de Audit Manager,
consulteTitulares de auditoríayDelegatesen laConceptos y terminología de AWS Audit
Manager (p. 2)sección de esta guía. Para obtener más información acerca de los permisos de IAM
recomendados para cada persona, consulte Políticas recomendadas para personas de usuario
enAWS Audit Manager (p. 222).
Audit Manager
Creación de una evaluación
Público:Titulares de auditoría
Información general:Seguirstep-by-stepinstrucciones para crear su primera evaluación y ponerse en

marcha rápidamente. En este tutorial se explica cómo puede utilizar uno de los marcos estándar para
crear una evaluación y comenzar la recopilación automatizada de pruebas.
Revisión de un conjunto de controles
Público: Delegates
Información general:Ayudar al propietario de una auditoría revisando las pruebas de los controles
que corresponden a su área de especialización. Aprenda a revisar los conjuntos de controles y sus
pruebas relacionadas, agregar comentarios, cargar pruebas adicionales y actualizar el estado de un
control.
29
Tutorial para propietarios de
auditorías: Creación de una evaluación
Tutorial para propietarios de auditorías: Creación de

una evaluación
Este tutorial proporciona una introducción aAWS Audit Manager. En este tutorial, va a crear una evaluación
utilizando laAWS Audit ManagerMarco de ejemplo. Al crear una evaluación, inicia el proceso continuo de
recopilación automatizada de pruebas para los controles en ese marco.
Este tutorial le enseña a realizar las siguientes tareas:
• Seleccione un marco estándar para crear una evaluación

• Especifique elAWScuentas para incluir en la evaluación
• Especifique elAWSservicios que incluyan en la evaluación
• Especificar los propietarios de auditoría para la evaluación
• Revisar y crear la evaluación
Antes de comenzar este tutorial, asegúrese de cumplir las siguientes condiciones:
• Ha completado todos los requisitos previos que se describen enConfiguración de AWS Audit
Manager (p. 21). Debe utilizar suAWScuenta y elAWS Audit Managerconsola para completar este
tutorial.
• Su identidad de IAM se otorga con los permisos adecuados para crear y administrar una evaluación
enAWS Audit Manager. Dos políticas sugeridas que otorgan estos permisos sonEjemplo 2: Permitir
acceso completo de administradoryEjemplo 3: Permitir acceso a la administración.
• Está familiarizado con la terminología y la funcionalidad de Audit Manager. Para obtener información
general, consulte¿Qué es AWS Audit Manager? (p. 1)yConceptos y terminología de AWS Audit
Manager (p. 2).
Note

marcos y regulaciones de cumplimiento específicos. Sin embargo, no evalúa el cumplimiento por
Paso 1: Especifique los detalles de evaluación

Para el primer paso, seleccione un marco y proporcione información básica para su evaluación.
Para especificar los detalles de la evaluación

2. Elija LaunchAWS Audit Manager.
3. En el panel de navegación, elijaIntroduccióny luego seleccioneComience con un marco.
4. Elija el marco que desee y, a continuación, elijaCrear evaluación a partir del marco. En este ejemplo
se utiliza elAWS Audit ManagerMarco de ejemplo.
5. UNDERNombre de evaluación, escriba un nombre para la evaluación.
6. (Opcional) EnDescripción de evaluación, escriba una descripción para la evaluación.
7. UNDERDestino de informes de evaluación, elija el bucket de Amazon S3 en el que desea guardar los
informes de evaluación.
30
Paso 2: Especifique cuentas de dentro del ámbito
8. UNDERMarcos, confirme queAWS Audit ManagerMarco de ejemplo(o el marco de trabajo de su

elección) está seleccionado.
9. UNDEREtiquetas, eligeAñadir nueva etiquetapara asociar una etiqueta a la evaluación. Puede
especificar una clave y un valor para cada etiqueta. La clave de etiqueta es obligatoria y se puede
utilizar como criterio de búsqueda cuando busca esta evaluación. Para obtener más información
sobre las etiquetas de AWS Audit Manager, consulte Etiquetado de recursos de AWS Audit
Manager (p. 259).
10. Elija Next( Siguiente).
Paso 2: Especifique .AWSCuentas de dentro del

ámbito
A continuación, especifique laAWScuentas que desea incluir en el ámbito de la evaluación.
AWS Audit Managerse integra conAWS Organizations, para que pueda ejecutar una evaluación de
Audit Manager en varias cuentas y consolidar las pruebas en una cuenta de administrador delegada.
Para habilitar Organizations en Audit Manager (si aún no lo ha hecho), consultePaso 3: HabilitarAWS
Organizations(opcional) (p. 22)en elConfiguración depágina de esta guía.
Note
Audit Manager puede admitir hasta 150 cuentas aproximadamente en el ámbito de una
evaluación. Si intenta incluir más de 150 cuentas, la creación de la evaluación podría fallar.
Para especificar cuentas de dentro del ámbito
1. UNDERAWScuentas, seleccione laAWScuentas que desea incluir en el ámbito de la evaluación.

• Si ha habilitado Organizations enAWS Audit Manager, se enumeran varias cuentas.
• Si no ha habilitado Organizations en Audit Manager, solo aparece la cuenta actual.
Paso 3: Especifique .AWSservicios en el ámbito

El marco que ha seleccionado anteriormente define elAWSservicios que Audit Manager supervisa y
recopila pruebas.
Cuando utiliza la consola de Audit Manager para crear una evaluación a partir de un marco estándar,
la lista de servicios del ámbito está preseleccionada y no se puede editar. Esto se debe a que Audit
Manager asigna y selecciona automáticamente los orígenes de datos y los servicios por usted. Esta
selección se realiza de acuerdo con los requisitos del marco estándar. Si un listadoAWSel servicio no está
seleccionado, Audit Manager no recopila pruebas de los recursos relacionados con ese servicio. Esto
también ocurre si está seleccionado pero no te has suscrito a él en tu entorno.
En este paso del tutorial, puedes revisar quéAWSLos servicios se encuentran en el ámbito de la
evaluación basados en la definición del marco. Para obtener más información sobre los marcos y cómo
acceder a ellos y revisarlos, consulte laBiblioteca de marco (p. 84)sección de esta guía.
Para especificarAWSservicios en el ámbito
1. UNDERAWSServicios de, revise la lista de servicios que están en el ámbito de aplicación de esta
evaluación.
31
Paso 4: Especificar propietarios de auditoría
Tip
Si necesita editar la lista de servicios en el ámbito, puede hacerlo utilizando

laCreateAssessmentAPI proporcionada por Audit Manager.
Si lo desea, también puedepersonalizar un marco estándary, a continuación, cree una evaluación
a partir del marco personalizado.

En este paso, especificará los propietarios de la auditoría para la evaluación. Los propietarios de
auditorías son las personas que se encuentran en su lugar de trabajo, generalmente de GRC,SecOps,
o bienDevOpsequipos, que son responsables de administrar la evaluación de Audit Manager. Le
recomendamos que utilice elAWSAuditManagerAdministratorAccesspolítica.
Para especificar propietarios de auditorías
1. UNDERTitulares de auditoría, elija los propietarios de la auditoría para su evaluación. Para encontrar
propietarios de auditorías adicionales, utilice la barra de búsqueda para buscar por nombre
oAWSaccount.
Paso 5: Revisar y crear

Lea la información de la evaluación. Para cambiar la información de un paso, elijaEditar. Cuando haya
terminado, elijaCreación de evaluaciónpara lanzar su primera evaluación e iniciar la recopilación continua
de pruebas.
Después de crear una evaluación, la recopilación de pruebas continúa hasta quecambiar el estado de la
evaluaciónainactivo. Alternativamente, puede detener la recopilación de pruebas para un control específico
mediantecambiar el estado del controlainactivo.
Note
La evidencia automatizada está disponible 24 horas después de crear la evaluación.AWS Audit

Managerrecopila automáticamente pruebas de varias fuentes de datos y la frecuencia de esa
recopilación de pruebas se basa en el tipo de evidencia. Para obtener más información, consulte
la sección Recopilación de pruebas (p. 9) de esta guía.

Le recomendamos que continúe aprendiendo más acerca de los conceptos y las herramientas que se
presentan en este tutorial. Para ello, consulte los siguientes recursos:
• Revisión de una evaluación de (p. 52)–Le presenta la página de evaluación en la que puede explorar
los distintos componentes de la evaluación.
• Evaluaciones enAWS Audit Manager (p. 46)–Se basa en este tutorial y proporciona información
detallada sobre los conceptos y las tareas de administración de una evaluación. En este documento, le
recomendamos especialmente que consulte los siguientes temas:
• ProcedimientoCrear una evaluacióndesde un marco diferente
• Procedimientorevisar las pruebas de una evaluaciónyGenerar un informe de evaluación
• Procedimientocambiar el estado de una evaluaciónoeliminar una evaluación
• Biblioteca de marco (p. 84)–Presenta la biblioteca de marcos y explica cómocrear un marco
personalizadopara satisfacer sus propias necesidades de cumplimiento específicas.
32
Tutorial para delegados: Revisión
de un conjunto de controles
• Biblioteca de control (p. 155)–Presenta la biblioteca de control y explica cómocrear un control

personalizadopara utilizarlo en su marco personalizado.
• Conceptos y terminología de AWS Audit Manager (p. 2)–Proporciona definiciones de los conceptos y la
terminología utilizados en Audit Manager.
• [Vídeo]Recopilar pruebas y administrar datos de auditoría medianteAWS Audit Manager: muestra el
proceso de creación de la evaluación descrito en este tutorial y otras tareas, como revisar un control y
generar un informe de evaluación.
Tutorial para delegados: Revisión de un conjunto de

controles
En este tutorial se describe cómo revisar un conjunto de controles que compartió con usted un propietario
de auditoría enAWS Audit Manager.
Los propietarios de auditorías utilizan Audit Manager para crear evaluaciones y recopilar pruebas de los
controles enumerados en dicha evaluación. En ocasiones, los propietarios de auditorías pueden tener
preguntas o necesitar ayuda para validar las pruebas de un conjunto de controles. En esta situación, un
propietario de auditoría puede delegar un conjunto de controles en un experto en la materia para que lo
revise.
Como delegado, ayuda a los propietarios de auditorías a revisar las pruebas recopiladas de los controles
que entran en su área de especialización.
Este tutorial le enseña a realizar las siguientes tareas:
• Acceda a las notificaciones enviadas por un propietario de auditoría

• Revisar un conjunto de controles y sus pruebas conexas
• Subir pruebas manuales para respaldar un control
• Añadir un comentario para un control que estás revisando
• Actualiza el estado de un control
• Enviar el conjunto de controles revisados al propietario de la auditoría cuando se haya completado la
revisión
• SusAWSla cuenta está configurada. Para completar este tutorial, asegúrese de que utilice suAWScuenta
y elAWS Audit Managerconsola de . Para obtener más información, consulte Configuración de AWS
Audit Manager (p. 21).
• Está familiarizado con la terminología y la funcionalidad de Audit Manager. Para obtener información
general sobre Audit Manager, consulte¿Qué es AWS Audit Manager? (p. 1)yConceptos y terminología
de AWS Audit Manager (p. 2).
Paso 1: Acceda a las notificaciones

Comience iniciando sesión enAWS Audit Manager, donde puede acceder a las notificaciones para ver los
conjuntos de controles que se le han delegado para su revisión.
Para acceder a las notificaciones
33
Paso 2: Conjunto de control de revisión y pruebas
2. En el panel de navegación izquierdo, elijaNotificaciones. O bien, en la barra de flash azul de la parte

superior de la página, elijaVisualización de notificacionespara abrir la página de notificaciones.
3. En la páginaNotificaciones, revisa la lista de conjuntos de controles que se le han delegado. La tabla
de notificaciones incluye la siguiente información:
• Fecha— La fecha en la que se delegó el conjunto de controles.

• Evaluación— El nombre de la evaluación asociada al conjunto de controles. Puede elegir un nombre
de evaluación para abrir la página de detalles de la evaluación.
• Conjunto de control— El nombre del conjunto de controles que se le ha delegado para su revisión.
• Fuente— El usuario o rol de IAM que le delegó el conjunto de controles.
• Descripción— Las instrucciones de revisión proporcionadas por el propietario de la auditoría.
Tip
También puede suscribirse a un tema de SNS para recibir alertas por correo electrónico cuando
se le asigna un conjunto de controles para su revisión. Para obtener más información, consulte
Notificaciones de AWS Audit Manager.
Paso 2: Revisar el conjunto de controles y las pruebas

conexas
El siguiente paso consiste en revisar los conjuntos de controles que el propietario de la auditoría le ha
delegado. Examinando los controles y sus pruebas, puede determinar si se necesita alguna acción
adicional para un control. Las acciones adicionales pueden incluir la carga manual de pruebas adicionales
para demostrar el cumplimiento o dejar un comentario sobre ese control.
Para revisar un conjunto de controles
1. desde lasNotificaciones, revise la lista de conjuntos de controles que se le han delegado. A

continuación, identifique cuál desea revisar y elija el nombre de la evaluación relacionada.
2. En elControlesde la página de detalles de la evaluación, vaya a laConjuntos de controlTABLE.
3. En elControles agrupados por conjunto de controles, expanda el nombre de un conjunto de controles
para mostrar sus controles. A continuación, elija el nombre de un control para abrir la página de
detalles del control.
4. (Opcional) Elijaactualización del estado del controlPara cambiar el estado del control. Mientras la
revisión esté en curso, puede marcar el estado comoEn proceso de revisión.
5. Revisar información sobre el control en elcarpetas de evidencias,Orígenes de datos,Comentarios,
yRegistro de cambiospestañas. Para obtener más información acerca de cada una de estas pestañas
y cómo interpretar los datos que contienen, consulteRevisar los controles de una evaluación.
Para revisar la evidencia de un control
1. En la página de detalles de control, elija lacarpetas de evidenciastabulador.

2. Vaya a la .carpetas de evidencias, donde se muestra una lista de carpetas que contiene pruebas
de ese control. Estas carpetas se organizan y nombran en función de la fecha en que se recopiló la
evidencia de esa carpeta.
3. Elija el nombre de una carpeta de pruebas para abrirla. Desde aquí, puedes revisar un resumen de
todas las pruebas que se recopilaron en esa fecha. Este resumen también incluye el número total de
problemas de comprobación de cumplimiento que se notificaron directamente desdeAWS Security
Hub,AWS Config, o ambas. Para obtener instrucciones sobre cómo interpretar los datos de esta
página, consulteRevisión de carpetas de pruebas.
34
Paso 3: Subir pruebas manuales
4. En la página de resumen de la carpeta de pruebas, navegue hasta laEvidenciaTABLE. En elTiempo,

elija una línea de pedido para abrir y revisar los detalles de la evidencia recopilada en ese momento.
Para obtener instrucciones sobre cómo interpretar los datos de una página de detalles de pruebas,
consulteRevisión de las pruebas individuales.
Paso 3. Subir pruebas manuales (opcional)

AunqueAWS Audit Managerrecopila automáticamente pruebas de muchos controles; en algunos casos,
es posible que tenga que proporcionar pruebas adicionales. En estos casos, puede cargar manualmente
pruebas que le ayuden a demostrar el cumplimiento de ese control.
Antes de poder cargar pruebas manuales en la evaluación, primero debe colocar las pruebas en un
depósito de S3. Para obtener instrucciones, consulteCrear un bucketyCarga de objetosen laAmazon
Simple Storage Service Guía del usuario.
Important
CadaAWScuenta solo puede cargar manualmente hasta 100 archivos de pruebas a un control
cada día. Si se supera esta cuota diaria, cualquier carga manual adicional falla para ese control.
Si necesita cargar una gran cantidad de pruebas manuales en un solo control, cargue sus pruebas
en lotes a lo largo de varios días.
Para cargar pruebas manuales en un control

2. desde lasNotificaciones, puede ver la lista de conjuntos de controles que se le han delegado.
Identifique el conjunto de controles para el que desea agregar pruebas y elija el nombre de la
evaluación relacionada para abrir la página de detalles de la evaluación.
3. Elija el iconoControlespestaña, desplázate hacia abajo hastaConjuntos de controly, a continuación,
seleccione el nombre de un control para abrirlo.
4. Elija el iconocarpetas de evidenciasy, a continuación, elijaSubir pruebas manuales.
5. En la siguiente página, escriba el URI de S3 de la evidencia. Puede encontrar el URI de S3 navegando
hasta el objeto en elConsola de Amazon S3y elegirCopiar URI S3.
6. ElegirCargarpara cargar las pruebas manuales.
Note
Cuando hay un controlinactivostatus, no puedes cargar pruebas manuales para ese control.
Para cargar pruebas manuales, primero debe cambiar el estado del control aen proceso de
examenorevisado. Para obtener instrucciones sobre cómo cambiar el estado de un control,
consultePaso 5: Marcar un control como revisado (opcional) (p. 36).
Paso 4: Añadir un comentario para un control

(opcional)
Puede añadir comentarios para cualquier control que revise. Estos comentarios están visibles para el
propietario de la auditoría. Por ejemplo, puede dejar un comentario para proporcionar una actualización de
estado y confirmar que ha corregido cualquier problema con ese control.
Para añadir un comentario a un control
1. desde lasNotificaciones, revise la lista de conjuntos de controles que se le han delegado. Encuentre
el conjunto de controles para el que desea dejar un comentario y elija el nombre de la evaluación
relacionada.
35
Paso 5: actualización del estado del control
2. Elija el iconoControlesDesplácese hacia abajo hasta laConjuntos de controly, a continuación,

3. Elija el iconoComentariostabulador.
4. UNDEREnviar comentarios, escriba el comentario en el cuadro de texto.
5. ElegirEnviar comentariopara añadir tu comentario. Tu comentario aparece ahora debajo de
laComentarios anterioresde la página, junto con cualquier otro comentario relacionado con este
control.
Paso 5: Marcar un control como revisado (opcional)

El cambio del estado de un control es opcional. Sin embargo, le recomendamos que cambie el estado de
cada control aRevisadoa medida que completas tu reseña de ese control. Independientemente del estado
de cada control individual, puede enviar los controles al propietario de la auditoría.
Para marcar un control como revisado
1. desde lasNotificaciones, revise la lista de conjuntos de controles que se le han delegado. Encuentre el
conjunto de controles que contiene el control que desea marcar como revisado. A continuación, elija el
nombre de la evaluación relacionada para abrir la página de detalles de la evaluación.
2. En elControlesde la página de detalles de la evaluación, vaya a laConjuntos de controlTABLE.
para mostrar sus controles. Elija el nombre de un control para abrir la página de detalles del control.
4. Elegiractualización del estado del controly cambie el estado aRevisado.
5. En la ventana emergente que aparece, elijaactualización del estado del controlpara confirmar que ha
terminado de revisar el control.
Paso 6. Volver a enviar el control revisado al

propietario de la auditoría
Cuando hayas terminado de revisar todos los controles, envía el ajuste de control al propietario de la
auditoría para informarle de que has terminado la revisión.
Para enviar un cambio de control revisado al propietario
1. En el navegadorNotificaciones, revise la lista de conjuntos de controles que se le han asignado.

Encuentre el conjunto de controles que desea enviar al propietario de la auditoría y elija el nombre de
la evaluación relacionada.
2. Desplácese hasta elConjuntos de control, seleccione el conjunto de controles que desea volver a
enviar al propietario de la auditoría y, a continuación, elijaSubmit (Enviar) para revisión.
3. En la ventana emergente que aparece, puede agregar comentarios de alto nivel sobre ese conjunto de
controles antes de elegirSubmit (Enviar) para revisión.
Después de enviar el control al propietario de la auditoría, el propietario de la auditoría puede ver cualquier
comentario que le haya dejado.

Puede seguir aprendiendo más acerca de los conceptos que se presentan en este tutorial. A continuación
se muestran algunos recursos recomendados:
36
• Revisión de una evaluación de (p. 52)- Le presenta la página de evaluación, donde puede explorar
los diferentes componentes de una evaluación enAWS Audit Manager.
• Revisar los controles de una evaluaciónyRevisar las pruebas de una evaluación- Proporciona
definiciones de datos para ayudarle a interpretar los controles y las pruebas de cada evaluación.
• Conceptos y terminología de AWS Audit Manager (p. 2)- Proporciona definiciones de los conceptos y la
terminología que se utilizan en Audit Manager.
37
Conceptos y terminología de panel de control
Uso del panel de Audit Manager

Con el panel de Audit Manager, puede visualizar pruebas no conformes en sus evaluaciones activas. Es
una forma cómoda y rápida de supervisar sus evaluaciones, mantenerse informado y solucionar problemas
de forma proactiva. De forma predeterminada, el panel proporciona una vista agregada y descendente
de todas sus evaluaciones activas. Con esta vista, puede identificar visualmente los problemas de sus
evaluaciones sin tener que examinar primero grandes cantidades de pruebas individuales.
El panel es la primera pantalla que aparece al iniciar sesión en la consola de Audit Manager. Contiene dos
widgets que muestran los datos y los indicadores clave de rendimiento (KPI) que son más relevantes para
usted. Con un filtro de evaluación, puede refinar estos datos para centrarse en los KPI de una evaluación
específica. A partir de ahí, puede revisar las agrupaciones de dominios de control para identificar qué
controles tienen más pruebas inconformes. A continuación, puede explorar los controles subyacentes para
examinar y solucionar problemas.
Note
Si eres usuario de Audit Manager por primera vez o no tienes ninguna evaluación activa, no
se muestran datos en el panel de control. Primeros pasos,Crear una evaluación. Esto inicia la
recopilación de pruebas en curso. Después de un período de 24 horas, los datos de evidencia
agregados comenzarán a aparecer en el panel de control. Puede leer las secciones siguientes
para obtener información sobre cómo entender e interpretar estos datos.
Esta página abarca los siguientes temas:
Temas
• Conceptos y terminología de panel de control (p. 38)
• Elementos del panel (p. 40)
• ¿Qué tengo que hacer ahora? (p. 43)
• Solución de problemas (p. 44)

En esta sección se describen los aspectos importantes que debe saber sobre el panel de Audit Manager
antes de empezar a usarlo.
Permisos y visibilidad
Ambospropietarios de auditoríaydelegadostener acceso al panel. Esto significa que ambas personas

pueden ver las métricas y los agregados de todas las evaluaciones activas de suAWSaccount. Tener
acceso a la misma información permite que todo el equipo se centre en los mismos KPI y objetivos.
Filtros
Audit Manager proporciona un nivel de páginathe section called “Filtro de evaluación” (p. 41)que
puedes aplicar a todos los widgets de tu panel de control.
Pruebas no conforme
El panel resalta los controles de las evaluaciones que tienenEvidencia de verificación de

conformidadcon unno conformeconclusión. Las pruebas de comprobación de cumplimiento se refieren
a los controles que utilizanAWS ConfigoAWS Security Hubcomo origen de datos. Para este tipo de
evidencia, Audit Manager informa del resultado de una comprobación de conformidad directamente
38
desde esos servicios. Si Security Hub informa de unFracasarresultado, o siAWS Configinforma ano
conformeresultado, Audit Manager clasifica las pruebas como no conformes.
Pruebas no concluyentes
La evidencia esno concluyentesi una comprobación de conformidad no está disponible o aplicable.

Como resultado, no se puede realizar ninguna evaluación del cumplimiento. Este es el caso si un
control utilizaAWS ConfigoAWS Security Hubcomo fuente de datos pero no habilitó esos servicios.
Esto también ocurre si el control utiliza una fuente de datos que no admite comprobaciones de
cumplimiento, como pruebas manuales, llamadas a API oAWS CloudTrail.
Si la evidencia tiene un estado de comprobación de cumplimiento deno se usaen la consola, se

clasifica comono concluyenteen el panel de.
Pruebas conforme
La evidencia essumisosi una comprobación de cumplimiento no informó de ningún problema. Este es

el caso si Security Hub informa de unPasarresultado, oAWS Configinforma aSumisoresultado.
Dominios de control
El panel presenta el concepto dedominio de control. Puede pensar en un dominio de control como una
categoría general de controles que no es específica de ningún marco. Las agrupaciones de dominios
de control son una de las funciones más potentes del panel de control. Audit Manager resalta los
controles de las evaluaciones que tienen pruebas no conformes y los agrupa por dominio de control.
Con esta función, puede centrar sus esfuerzos de corrección en dominios temáticos específicos
mientras se prepara para una auditoría.
Note
Un dominio de control es diferente a unconjunto de controles. Un conjunto de controles es

una agrupación de controles específica del marco que suele definir un organismo regulador.
Por ejemplo, el marco PCI DSS tiene un conjunto de controles denominadoRequisito 8:
Identificar y autenticar el acceso a los componentes del sistema. Este conjunto de controles
se encuentra dentro del dominio de control deAdministración de identidades y accesos.
Audit Manager clasifica los controles en los siguientes dominios de control.

del dominio
Planificación de Cómo establece procesos que protegen las operaciones empresariales

continuidad y críticas de los efectos de las principales interrupciones del sistema y la red.
contingencia del
negocio
Administración de Cómo se prueban, aprueban, implementan y documentan los cambios en la

cambios infraestructura de la nube.
Seguridad y Cómo protege la privacidad, la disponibilidad y la integridad de sus datos.

privacidad de los
datos
Gestión de la Cómo mantiene su infraestructura en la nube en un estado deseado y

configuración y el coherente.
desarrollo
Gobierno y Cómo alinea el uso de la computación en la nube con sus obligaciones

supervisión legales, normativas y éticas.
Identity and Access Cómo se asegura de que los usuarios adecuados tengan el acceso
Management adecuado a sus recursos tecnológicos.
39
Elementos del panel

del dominio
Incident Cómo establece responsabilidades y procedimientos que garantizan una

Management respuesta rápida y eficaz a los incidentes de seguridad.
Registro y monitoreo Cómo revisa la actividad del usuario en busca de indicaciones de que se ha
intentado o realizado una actividad no autorizada.
Administración de Cómo administra y opera la red de datos mediante un sistema de

redes administración de redes.
Administración del Cómo evalúa y gestiona los riesgos de seguridad del personal a nivel
personal organizativo.
Seguridad física Cómo detecta y previene problemas de seguridad física en sus

instalaciones.
Administración de Cómo evalúa los riesgos y pérdidas potenciales y cómo se reducen o

riesgos eliminan dichas amenazas.
Administración de la Cómo identifica, evalúa y mitiga los riesgos asociados con los productos de
cadena de suministro TI, los proveedores y las cadenas de suministro.
Administración de Cómo reduce el riesgo de que el hardware de TI de sus empleados se

dispositivos de pierda, se dañe o se vea comprometido.
usuario
Administración de Cómo define, evalúa y soluciona todas las vulnerabilidades conocidas de los
vulnerabilidades activos de la infraestructura de nube.
Consistencia final de los datos
Los datos del panel deconsistencia final. Esto significa que, al leer datos desde el panel de control,
podría no reflejar instantáneamente los resultados de una operación de escritura o actualización
reciente. Si vuelve a comprobarlo en unas horas, el panel debe reflejar los datos más recientes.
Datos de evaluaciones eliminadas e inactivas
El panel muestra los datos de las evaluaciones activas. Si elimina una evaluación o cambia su estado
a inactivo el mismo día en que ve el panel, se incluyen los datos de esa evaluación de la siguiente
manera.
• Evaluaciones inactivas— Si Audit Manager recopiló pruebas para su evaluación antes de cambiarla
a inactiva, esos datos de evidencia se incluyen en el panel de control de ese día.
• Evaluaciones eliminadas— Si Audit Manager recopiló pruebas para su evaluación antes de
eliminarla, esos datos de evidencia no se incluyen en el recuento del panel de control para ese día.
Elementos del panel

En las siguientes secciones se tratan los distintos componentes del panel de control.
Temas
• Filtro de evaluación (p. 41)
• Instantánea diaria (p. 41)
• Controles con pruebas no conformes agrupadas por dominio de control (p. 42)
40
Filtro de evaluación
Filtro de evaluación
Puede utilizar el filtro de evaluación para centrarse en una evaluación activa específica.
De forma predeterminada, el panel muestra los datos agregados de todas las evaluaciones activas. Si
desea ver los datos de una evaluación específica, aplique un filtro de evaluación. Se trata de un filtro de
nivel de página que se aplica a todos los widgets del panel.
Para aplicar el filtro de evaluación, seleccione una evaluación de la lista desplegable situada en la parte
superior del panel. Esta lista muestra hasta 10 de sus evaluaciones activas. Las evaluaciones creadas
más recientemente aparecen primero. Si tiene muchas evaluaciones activas, puede empezar a escribir el
nombre de una evaluación para encontrarla rápidamente. Después de seleccionar una evaluación, el panel
muestra los datos de esa evaluación únicamente.
Instantánea diaria
Este widget muestra una instantánea del estado de cumplimiento actual de las evaluaciones activas.
La instantánea diaria refleja los datos más recientes que se recopilaron en la fecha en la parte superior del
panel. Es importante entender que estos números son recuentos diarios basados en esta marca de tiempo.
No son una suma total hasta la fecha.
De forma predeterminada, la instantánea diaria muestra los siguientes datos para todas las evaluaciones
activas:
1. Controles con pruebas no conformes- El número total de controles asociados a pruebas no conformes.
2. Pruebas no conforme- El importe total de las pruebas de verificación de cumplimiento con unno
conformeconclusión.
3. Evaluaciones activas- El número total de sus evaluaciones activas. Elija este número para ver los
vínculos a estas evaluaciones.
Los datos de instantáneas diarias cambian según elthe section called “Filtro de evaluación” (p. 41)que
aplicas. Cuando especifica una evaluación, los datos reflejan los recuentos diarios de esa evaluación
únicamente. En este caso, la instantánea diaria muestra el nombre de la evaluación especificada. Puede
elegir el nombre de la evaluación para abrirla.
41
Controles con pruebas no conformes
agrupadas por dominio de control
Controles con pruebas no conformes agrupadas por

dominio de control
Puede utilizar este widget para identificar qué controles tienen más pruebas inconformes.
De forma predeterminada, el widget muestra los siguientes datos para todas las evaluaciones activas:
1. Dominio de control— Una lista de loscontrol domains (p. 39)que están asociados a sus evaluaciones
activas.
2. Desglose de las pruebas— Un gráfico de barras que muestra un desglose del estado de cumplimiento
de pruebas.
Para expandir un dominio de control, elija la flecha situada junto a su nombre. Cuando se expande, la
consola muestra hasta 10 controles para cada dominio. Estos controles se clasifican según el recuento
total más alto de pruebas no conformes.
Los datos de este widget cambian según elthe section called “Filtro de evaluación” (p. 41)que aplicas.
Cuando especifica una evaluación, solo ve los datos de esa evaluación. Además, también puede
descargar un archivo.csv para cada dominio de control disponible en la evaluación.
El archivo.csv incluye la lista completa de controles del dominio asociados a pruebas no conformes. El
siguiente ejemplo muestra las columnas de datos.csv con valores ficcionados.
42
Por último, cuando aplica un filtro de evaluación, los nombres de control de cada dominio están
hipervinculados. Elija cualquier control para abrir la página de detalles de control en la evaluación
especificada.
Tip
Utilizando la página de detalles del control como punto de partida, puede pasar de un nivel de
detalle a otro.
1. Página de detalles de control- En esta página, elficha carpetas de pruebasenumera las

carpetas diarias de pruebas que Audit Manager recopiló para ese control. Para obtener más
detalles, elija una carpeta.
2. Carpeta de pruebas -A continuación, puedes revisar unresumen de carpetasy unlista de las
pruebasen esa carpeta. Para obtener más detalles, elija un elemento de prueba individual.
3. Evidencia individual- Por último, puedes explorardetalles de pruebas individuales. Esto incluye
todos los atributos y datos de recursos aplicables para la evidencia. Este es el nivel más
granular de datos de evidencia.

Estos son algunos de los siguientes pasos que puede seguir después de revisar el panel de control.
• Descargar un archivo.csv— Encuentre el dominio de evaluación y control en el que desea centrarse,

ydescargue la lista completa de controles relacionados con pruebas no conformes.
• Revisar un control— Después de identificar un control que necesita remediación, puedeRevise el control.
• Delegar un control para su revisión— Si necesita ayuda para revisar un control, puededelegar un
conjunto de controles para su revisión.
• Edite su evaluación— Si desea cambiar el alcance de una evaluación activa, puedeEdite la evaluación.
• Actualice el estado de su evaluación— Si quieres dejar de recopilar pruebas para una evaluación,
puedescambiar la evaluación a inactiva.
43
Solución de problemas
Utilice la información que se indica aquí para solucionar y solucionar los problemas que puedan surgir
cuando utilice el panel.
Temas
• No hay datos en mi panel (p. 44)
• La opción de descarga de .csv no está disponible (p. 44)
• No veo el archivo descargado al intentar descargar un archivo.csv (p. 44)
• Falta un dominio de control o control específico en el panel (p. 44)
• La instantánea diaria muestra diferentes cantidades de pruebas cada día. ¿Es normal? (p. 45)
No hay datos en mi panel

Si los números delwidget de instantánea diariamuestra un guión (-), indica que no hay datos disponibles.
Debe tener al menos una evaluación activa para ver los datos en el panel. Primeros pasos,Crear una
evaluación. Tras un período de 24 horas, los datos de evaluación comenzarán a aparecer en el panel de
control.
Note
Si los números delwidget de instantánea diariamuestra un cero (0), esto indica que las
evaluaciones activas (o la evaluación seleccionada) no tienen pruebas que no cumplan las
normas.
La opción de descarga de .csv no está disponible

Esta opción solo está disponible para evaluaciones individuales. Asegúrese de que ha aplicado unthe
section called “Filtro de evaluación” (p. 41)al panel y, a continuación, inténtelo de nuevo. Tenga en
cuenta que solo puede descargar un archivo.csv a la vez.
No veo el archivo descargado al intentar descargar un

archivo.csv
Si un dominio de control contiene un gran número de controles, podría producirse un breve
retraso mientras Audit Manager genera el archivo.csv. Una vez generado el archivo, se descarga
automáticamente.
Si sigues sin ver el archivo descargado, asegúrate de que la conexión a Internet funciona normalmente y
de que estás utilizando la versión más reciente de tu navegador web. Compruebe su carpeta de descargas
recientes. Los archivos se descargan en la ubicación predeterminada determinada por su navegador. Si
esto no resuelve el problema, prueba a descargar el archivo con otro navegador.
Falta un dominio de control o control específico en el

panel
Esto probablemente significa que las evaluaciones activas (o la evaluación especificada) no tienen datos
relevantes para ese dominio de control o control.
Un dominio de control se muestra en el panel solo si se cumplen los dos criterios siguientes:
44
La instantánea diaria muestra diferentes
cantidades de pruebas cada día. ¿Es normal?
• Sus evaluaciones activas (o evaluación especificada) contienen al menos un control relacionado con ese
dominio
• Al menos un control dentro de ese dominio recopiló pruebas en la fecha en la parte superior del panel
Un control se muestra dentro de un dominio solo si recopila pruebas en la fecha en la parte superior del
panel de control.
La instantánea diaria muestra diferentes cantidades

de pruebas cada día. ¿Es normal?
No todas las pruebas se recopilan diariamente. Los controles de las evaluaciones de Audit Manager se
asignan a distintas fuentes de datos y cada uno puede tener un programa de recopilación de pruebas
diferente. Como resultado, se espera que la instantánea diaria muestre una cantidad variable de pruebas
cada día. Para obtener más información, consulteCómoAWS Audit ManagerRecopila pruebas.
45
Evaluaciones enAWS Audit Manager

Una evaluación de Audit Manager se basa en un marco, que es una agrupación de controles. Utilizando
un marco como punto de partida, puede crear una evaluación que recopile pruebas de los controles de
ese marco. En la evaluación, también puede definir el alcance de la auditoría. Esto incluye especificar
elAWScuentas y servicios de los que desea recopilar pruebas.
Puede crear una evaluación desde cualquier marco. O bien puede utilizar unmarco estándarproporcionada
porAWS Audit Manager. O bien, puede crear una evaluación a partir de unmarco personalizadoque te
construyes tú mismo. Los marcos estándar contienen conjuntos de control predefinidos que admiten un
estándar o reglamento de conformidad específicos. Por el contrario, los marcos personalizados contienen
controles que puede personalizar y agrupar según los requisitos de auditoría interna. Para obtener
más información acerca de las diferencias entre marcos estándar y personalizados, consulteMarcosen
laConceptos y terminologíasección de esta guía.
Cuando crea una evaluación, se inicia la recopilación continua de pruebas. Cuando llegue el momento
de realizar una auditoría, usted o un delegado pueden revisar esta evidencia y añadirla a un informe de
evaluación.
Note

normas y regulaciones específicas de cumplimiento. Sin embargo, no evalúa el cumplimiento por
Temas
• Creación de una evaluación (p. 46)
• Acceso a sus evaluaciones enAWS Audit Manager (p. 50)
• Edición de una evaluación (p. 50)
• Revisión de una evaluación de (p. 52)
• Revisión de los controles de una evaluación (p. 56)
• Revisión de las pruebas en una evaluación (p. 59)
• Carga de pruebas manuales enAWS Audit Manager (p. 63)
• Generación de un informe de evaluación (p. 64)
• Cambio del estado de una evaluación a inactiva (p. 66)
• Eliminación de una evaluación (p. 66)

Este tema se basa en elIntroducción a: Creación de una evaluación"Hello, World!" Contiene instrucciones
detalladas sobre cómo crear una evaluación a partir de un marco de trabajo. Siga estos pasos para crear
una evaluación e iniciar la recopilación continua de pruebas.
Tareas
46
• Paso 1: Especifique los detalles de evaluación (p. 47)

• Paso 2: Especifique .AWSCuentas de dentro del ámbito (p. 47)
• Paso 3: Especifique .AWSservicios en el ámbito (p. 48)
• Paso 4: Especificar propietarios de auditoría (p. 49)
• Paso 5: Revisar y crear (p. 49)
• ¿Qué puedo hacer ahora? (p. 49)

Comience seleccionando un marco y proporcionando información básica para su evaluación.
Para especificar los detalles de la evaluación

2. En el panel de navegación, elijaEvaluacionesy luego seleccioneCreación de evaluación.
• O bien, en el panel de navegación, seleccioneIntroduccióny luego seleccioneCreación de
evaluación.
3. UNDERNombre de evaluación, escriba el nombre de la evaluación.
4. (Opcional) EnDescripción de evaluación, introduzca una descripción para la evaluación.
5. UNDERDestino de informes de evaluación, seleccione un bucket de Amazon S3 existente en el que
quiera guardar sus informes de evaluación de.
6. UNDERMarcos, seleccione el marco desde el que desea crear su evaluación. También puede utilizar
la barra de búsqueda para buscar un marco por nombre o por norma o reglamento de cumplimiento.
7. UNDEREtiquetas, eligeAñadir nueva etiquetapara asociar una etiqueta a la evaluación. Puede
utilizar como criterio de búsqueda cuando busca esta evaluación. Para obtener más información
sobre las etiquetas de AWS Audit Manager, consulte Etiquetado de recursos de AWS Audit
Manager (p. 259).
8. Elija Next (Siguiente).
Tip
• Para obtener más información sobre un marco de trabajo, elija el nombre del marco de. Se abre
la página de resumen del marco. En esta página, puede revisar el contenido de ese marco. Esto
incluye los controles y las fuentes de datos del marco.
• El destino del informe de evaluación predeterminado se basa en suAWS Audit
ManagerConfiguración del . Para obtener más información, consulteAWS Audit
Managerconfiguración, destino del informe de evaluación. Si lo prefiere, puede crear y utilizar
varios depósitos de S3 para ayudarlo a organizar los informes de evaluación.
Paso 2: Especifique .AWSCuentas de dentro del

ámbito
Puede especificar variosAWScuentas que se encuentren en el ámbito de una evaluación.AWS Audit
Manageradmite varias cuentas mediante la integración conAWS Organizations. Esto significa que las
evaluaciones de Audit Manager se pueden ejecutar en varias cuentas, con la evidencia recopilada
consolidada en una cuenta de administrador delegada. Para habilitar Organizations enAWS Audit
Manager, consultePaso 3: HabilitarAWS Organizations(opcional) (p. 22).
47
Paso 3: Especificar servicios en el ámbito
Note
Para especificarAWSCuentas de dentro del ámbito
1. UNDERAWScuentas, seleccione laAWScuentas que desee incluir en el ámbito de su evaluación.

• Si ha habilitado Organizations enAWS Audit Manager, se muestran varias cuentas. Puede elegir
una o varias cuentas de la lista. Como alternativa, también puedes buscar una cuenta por el
nombre de la cuenta, el ID o el correo electrónico.
• Si no habilitó Organizations en Audit Manager, solo su actualAWScuenta aparece en la lista.
Note
Cuando se elimina una cuenta dentro del ámbito de su organización,AWS Audit Managerya no
recopila pruebas de esa cuenta. Sin embargo, la cuenta sigue apareciendo en su evaluación en
laAWScuentasPestaña. Para eliminar la cuenta de la lista de cuentas en el ámbito, puedeedite la
evaluación. La cuenta eliminada ya no aparece en la lista durante la edición y puedes guardar los
cambios sin que esa cuenta esté en el ámbito.
Paso 3: Especifique .AWSservicios en el ámbito

El marco que ha seleccionado anteriormente define elAWSservicios que Audit Manager supervisa y
recopila pruebas. Si un listadoAWSel servicio no está seleccionado o está seleccionado pero no lo habilitó
en su entorno y, a continuación, Audit Manager no recopila pruebas de los recursos relacionados con ese
servicio.
Puede especificar elAWSservicios en el alcance de la siguiente manera.
Para evaluaciones creadas a partir de marcos estándar

Cuando utiliza la consola de Audit Manager para crear una evaluación a partir de un marco estándar, la
lista deAWSLos servicios del ámbito están seleccionados de manera predeterminada. Esta lista no se
puede editar. Esto se debe a que Audit Manager asigna y selecciona automáticamente los orígenes de
datos y los servicios por usted. Esta selección se realiza de acuerdo con los requisitos del marco estándar.
Si el marco estándar que ha seleccionado contiene solo controles manuales, noAWSlos servicios están en
el ámbito de su evaluación y no puede agregar ningún servicio a su evaluación.
Para continuar, revisa la lista y eligePróximo.

Tip
Si es necesario editar la lista de servicios en el ámbito de aplicación, puede hacerlo utilizando

laCrear evaluaciónAPI proporcionada por Audit Manager.
Si lo desea, también puedepersonalizar el marco estándary, a continuación, cree una evaluación a
partir del marco personalizado.
Para evaluaciones creadas a partir de marcos personalizados

Si ha seleccionado un marco personalizado enPaso 1, puede revisar y modificar la lista deAWSservicios
que están en el ámbito de su evaluación. Si el marco personalizado que ha seleccionado solo contiene
controles manuales, todosAWSse muestran los servicios pero no se ha seleccionado ninguno. Puede
seleccionar cero o más servicios para que se encuentren en el ámbito de su evaluación.
48
Para especificarAWSservicios en el ámbito (solo para evaluaciones creadas a partir de marcos

personalizados)
1. UNDERAWSServicios de, seleccione los servicios que desee incluir en su evaluación de. Puede
encontrar servicios adicionales utilizando la barra de búsqueda para buscar por servicio, categoría o
descripción. Para añadir un servicio, active la casilla situada junto al nombre del servicio. Para quitar
un servicio, desactive la casilla de verificación.
2. Cuando haya terminado de seleccionarAWSservicios, elijaPróximo.

En este paso, especificará los propietarios de auditoría para la evaluación. Los propietarios de auditorías
son las personas que se encuentran en su lugar de trabajo, generalmente de GRC, SecOps o DevOps
equipos, que son responsables de administrar la evaluación de Audit Manager. Recomendamos utilizar
elAWSAuditManagerAdministratorAccesspolítica.
Para especificar propietarios de auditorías
1. UNDERRegistros de auditoría, revise la lista actual de propietarios de auditorías. LaAuditar

propietariomuestra los ID de usuario y los roles de IAM. LaAWScuentamuestra la columna
asociadaAWScuenta de ese propietario de auditoría.
2. Los propietarios de auditorías que tienen una casilla de verificación seleccionada se incluyen en la
evaluación. Desactive la casilla de verificación de cualquier propietario de auditoría para eliminarlo de
la evaluación. Puede encontrar propietarios de auditorías adicionales utilizando la barra de búsqueda
para buscar por nombre oAWSaccount.
• Si es administrador y necesita crear una nueva identidad de IAM para un propietario de
auditoría, consulteSoy administrador y deseo permitir que otros obtengan acceso a AWS Audit
Manager (p. 250).
• Si quieres crear una nueva identidad de IAM para un propietario de auditoría y no tienes los
permisos para hacerlo, ponte en contacto con tuAWSAdministrador para obtener ayuda. Su
administrador es la persona que le facilitó su nombre de usuario y contraseña.
3. Cuando haya terminado, elijaPróximo.
Paso 5: Revisar y crear

Revisión de la información para su evaluación. Para cambiar la información de un paso, elijaEditar. Cuando
haya terminado, elijaCreación de evaluación.
Esta acción inicia la recopilación continua de pruebas para su evaluación. Después de crear una
evaluación, la recopilación de pruebas continúa hasta quecambiar el estado de la evaluaciónainactivo.
Alternativamente, puede detener la recopilación de pruebas para un control específico mediantecambiar el
estado del controlainactivo.
Note
La evidencia automatizada está disponible 24 horas después de que se haya creado la

evaluación.AWS Audit Managerrecopila automáticamente pruebas de varias fuentes de datos y
la frecuencia de esa recopilación de pruebas se basa en el tipo de evidencia. Para obtener más
información, consulteRecopilación de pruebas (p. 9)en esta guía.
¿Qué puedo hacer ahora?

Después de crear la evaluación, podrá obtener más información sobre lo siguiente:
49
Acceso a una evaluación de
• Acceso a una evaluación de

• Revisión de una evaluación de (p. 52)
• Edición de una evaluación (p. 50)
• Revisión de los controles de una evaluación (p. 56)
• Revisión de las pruebas en una evaluación (p. 59)
• Subir pruebas manuales a una evaluación
• Delegaciones deAWS Audit Manager (p. 68)
• Modificación del estado de una evaluación
• Eliminación de una evaluación (p. 66)
• Solución de problemas de evaluación y recopilación de pruebas (p. 190)
Acceso a sus evaluaciones enAWS Audit Manager

Puede encontrar una lista de todas sus evaluaciones activas y evaluaciones inactivas en
elEvaluacionespágina enAWS Audit Manager. Desde la página de evaluaciones, también puedesedite una
evaluación,Eliminación de una evaluación, o biencrear una evaluación.
Para acceder a sus evaluaciones

2. En el panel de navegación izquierdo, seleccioneEvaluacionespara ver una lista de las evaluaciones
activas y anteriores. También puede utilizar la barra de búsqueda para buscar una evaluación.
3. Elija cualquier nombre de evaluación para abrir una página de resumen, donde podrá ver los controles
asociados y otros detalles de esa evaluación.
Edición de una evaluación

Puede editar sus evaluaciones activas enAWS Audit Managerpara cambiar información como la
descripción, el alcance, los propietarios de la auditoría y el destino del informe de evaluación.
Tareas
• Paso 1: Modifique los detalles de (p. 50)
• Paso 2: EditarAWSCuentas de dentro del ámbito (p. 51)
• Paso 3: EditarAWSservicios en el ámbito (p. 51)
• Paso 4: Editar propietarios de auditoría (p. 52)
• Paso 5: Consulte y guarde (p. 52)
Paso 1: Modifique los detalles de

Siga estos pasos para editar los detalles de su evaluación.
Para editar una evaluación

2. En el panel de navegación, elijaEvaluacionespara ver la lista actual de evaluaciones.
50
Paso 2: Modificación de cuentas del ámbito
3. Seleccione una evaluación y elijaEditar.

• Alternativamente, puede abrir la evaluación y, a continuación, elegirEditarEn la parte superior
derecha de la página.
4. UNDERModifique los detalles de, edite el nombre de la evaluación, la descripción y el destino del
informe de evaluación.
Tip
Para editar las etiquetas de una evaluación, abra la evaluación y elija laPestaña
Etiquetas (p. 55). Allí podrá ver y editar las etiquetas asociadas con la evaluación.
Paso 2: EditarAWSCuentas de dentro del ámbito

En este paso, puede cambiar la lista de cuentas que se incluyen en el ámbito de la evaluación.
AWS Audit Manageradmite varias cuentas mediante la integración conAWS Organizations. Esto significa
que las evaluaciones de Audit Manager se pueden ejecutar en varias cuentas, con la evidencia recopilada
consolidada en una cuenta de administrador delegada. Para agregar o cambiar el administrador delegado
de Audit Manager, consulteAWS Audit Managersettings, Administrador delegado.
Note
Para editarAWSCuentas de dentro del ámbito
1. UNDEREditarAWSCuentas de dentro del ámbito, seleccione adicionalAWScuentas. También puede

quitar cuentas si las quita de la lista.
Paso 3: EditarAWSservicios en el ámbito

En este paso se especifica quéAWSservices Audit Manager supervisa y recopila pruebas de. Si un
listadoAWSel servicio no está seleccionado o está seleccionado pero no lo habilitó en su entorno, Audit
Manager no recopila pruebas de los recursos relacionados con ese servicio.
Puede revisar y editar laAWSservicios en el alcance de la siguiente manera.
Para evaluaciones creadas a partir de marcos estándar

Cuando utiliza la consola de Audit Manager para editar una evaluación creada a partir de un marco
estándar, puede revisar la lista deAWSservicios en el ámbito pero no se puede editar esta lista. Esto se
debe a que Audit Manager asigna y selecciona automáticamente las fuentes de datos y los servicios para
usted, de acuerdo con el diseño del marco estándar. Si la evaluación se creó utilizando un marco que
contiene solo controles manuales, noAWSlos servicios están en el ámbito de su evaluación y no puede
agregar ningún servicio.
Para continuar, revisa la lista y eligePróximo.

Tip
Si necesita editar la lista de servicios de alcance de una evaluación existente, puede hacerlo
utilizando laEvaluación de actualizacionesAPI proporcionada por Audit Manager.
51
Paso 4: Editar propietarios de auditoría
Para evaluaciones creadas a partir de marcos personalizados

Si ha creado la evaluación a partir de un marco personalizado, puede editar laAWSservicios que están en
el ámbito de su evaluación. Puede seleccionar cero o más servicios para que se encuentren en el ámbito
de su evaluación.
Para editarAWSservicios en el ámbito (solo para evaluaciones creadas a partir de marcos

personalizados)
1. UNDEREditarAWSservicios en el ámbito, seleccione adicionalAWSservicios según sea necesario.

También puede quitar servicios si los quita de la lista.
Paso 4: Editar propietarios de auditoría

También puedes cambiar los propietarios de auditoría para tu evaluación. Los propietarios de auditorías
son las personas que se encuentran en su lugar de trabajo, generalmente de GRC, SecOps o DevOps
equipos, que son responsables de administrar la evaluación de Audit Manager. Sus funciones incluyen
la delegación de conjuntos de control para su revisión y generación de informes de evaluación. Le
recomendamos que utilice elAWSAuditManagerAdministratorAccesspolítica.
Para editar propietarios de auditorías
1. Seleccione nuevos propietarios de auditoría para agregarlos a la evaluación. Para eliminar los
propietarios de auditorías, deslícelos de la lista.
Paso 5: Consulte y guarde

Revisión de la información para su evaluación. Para cambiar la información de un paso, elijaEditar. Cuando
haya terminado, elijaGuarde los cambiospara confirmar las ediciones.
Note
Después de completar las ediciones, los cambios en la evaluación entran en vigor a las 00:00
UTC del día siguiente.
Revisión de una evaluación de

Después de crear evaluaciones enAWS Audit Manager, puede abrir y revisar sus evaluaciones en
cualquier momento.
Para abrir y revisar una evaluación

2. En el panel de navegación izquierdo, seleccioneEvaluacionesPara ver una lista de sus evaluaciones.
3. Seleccione el nombre de la evaluación para abrirla.
Al abrir una evaluación, aparece una página de resumen que contiene varias secciones. Las secciones de
esta página y su contenido se describen de la siguiente manera.
Secciones de la página de evaluación

• Detalles de evaluación (p. 53)
52
Detalles de evaluación
• Ficha Controles (p. 53)

• Pestaña de selección de informes (p. 54)
• AWSpestaña cuentas (p. 55)
• AWSpestaña servicios (p. 55)
• Ficha Propietarios de auditoría (p. 55)
• Pestaña Etiquetas (p. 55)
• Tabulador Registro de cambios (p. 56)
Detalles de evaluación
LaDetalles de evaluaciónproporciona una visión general de la evaluación.
Contiene la información siguiente:
1. Nombre— El nombre que proporcionó para la evaluación.

2. Descripción— La descripción opcional que proporcionó para la evaluación.
3. Tipo de conformidad— El estándar o reglamento de cumplimiento que admite la evaluación.
4. Selección de un informe de evaluación— El número de elementos de prueba que elige incluir en el
5. Pruebas totales— El número total de elementos de prueba que se recopilan para esta evaluación.
6. Destino de informes de evaluación— El bucket de Amazon S3 queAWS Audit Managerguarda el informe
de evaluación en.
7. AWScuentas— El número deAWScuentas que están en el ámbito de esta evaluación.
8. AWSServicios de— El número deAWSservicios que están en el ámbito de esta evaluación.
9. Registros de auditoría— El número de propietarios de auditorías para esta evaluación.
10.Estado de evaluación: estado de la evaluación.
• Activo- Indica que la evaluación está recopilando pruebas actualmente. Las evaluaciones recién
creadas tienen este estado.
• Inactivo- Indica que la evaluación ya no recopila pruebas. Para obtener más información acerca de las
evaluaciones inactivas, consulte.Cambio del estado de una evaluación a inactiva (p. 66).
11.Date created (Fecha de creación): la fecha en que se creó la evaluación.
12.Última actualización— La fecha en que se editó por última vez esta evaluación.
Ficha Controles
LaControlesmuestra un resumen de los controles de la evaluación, junto con una lista completa de esos
controles. Cada evaluación puede contener varios conjuntos de controles y cada conjunto de controles
53
Pestaña de selección de informes
contiene varios controles. Los controles y los conjuntos de controles se organizan de modo que coincidan
con el diseño definido en la norma o regulación de conformidad asociada.
UNDERResumen del estado de control, puede revisar un resumen de los controles de esta evaluación. El
resumen contiene la información siguiente:
• Controles totales: el número total de controles de esta evaluación.

• Revisado— El número de controles revisados por un propietario o delegado de la auditoría.
• En proceso de revisión— El número de controles que se están revisando actualmente.
• Inactivo— El número de controles que ya no recopilan pruebas de forma activa.
En elConjuntos de control, se muestra una lista de controles y se agrupa por conjunto de controles. Puede
expandir o contraer los controles de cada conjunto de controles. También puede buscar por nombre de
control si desea buscar un control en particular. Las siguientes columnas de datos aparecen en elControles
agrupados por conjuntos de controlesTABLE:
• Controles agrupados por conjuntos de controles: nombre del conjunto de controles.

• Estado de control— El estado del control.
• En proceso de revisiónindica que este control aún no se ha revisado. Todavía se están recopilando
pruebas para este control y puede cargar pruebas manuales. Este es el estado predeterminado.
• Revisadoindica que se revisaron las pruebas de este control. Sin embargo, todavía se están
recopilando pruebas y puedes subir pruebas manuales.
• Inactivoindica que se ha detenido la recopilación automática de pruebas para este control. Ya no
puede cargar pruebas manuales.
• Delegado en— El revisor de este control, si se asignó a un delegado para su revisión.
• Añadido al informe de evaluación— El número de elementos de prueba asociados al control que se
incluyen en el informe de evaluación.
Pestaña de selección de informes
LaSelección de un informe de evaluaciónmuestra la lista de pruebas que se van a incluir en el informe

de evaluación, agrupada por carpetas de pruebas. Estas carpetas de pruebas se organizan y nombran
en función de la fecha en que se crearon. Puede explorar estas carpetas y seleccionar qué pruebas
quiera incluir en su informe de evaluación de. También puede utilizar la barra de búsqueda para buscar
por nombre de carpeta de pruebas o nombre de control. El número total de elementos de prueba que se
añaden al informe de evaluación se resume en elDetalles de evaluaciónEn la parte superior de la página.
En elSelección de un informe de evaluación, se muestra una lista de carpetas de pruebas con las
siguientes columnas de datos:
• Carpeta evidencia: nombre de la carpeta de pruebas. El nombre de la carpeta se basa en la fecha en

que se recopilaron las pruebas.
• Evidencias seleccionadas: el número de elementos de prueba de la carpeta que se incluyen en el
• Nombre de control— El nombre del control asociado a esta carpeta de pruebas.
Para obtener información acerca de cómo añadir pruebas a un informe de evaluación de,
consulteGeneración de un informe de evaluación (p. 64).
54
AWSpestaña cuentas
AWSpestaña cuentas
LaAWScuentasmuestra la lista deAWScuentas incluidas en el ámbito de la evaluación. El número total de

cuentas se resume en laDetalles de evaluaciónEn la parte superior de la página.
En elAWScuentas, se muestra una lista de cuentas con las siguientes columnas de datos:
• ID de cuenta— El ID de laAWSaccount.
• Nombre de cuenta— el nombre delAWSaccount.
• Correo: la dirección de correo electrónico asociada con elAWSaccount.
AWSpestaña servicios
LaAWSServicios demuestra la lista deAWSservicios incluidos en el ámbito de la evaluación. El número

total de servicios se resume en laDetalles de evaluaciónEn la parte superior de la página.
En elAWSServicios de, se muestra una lista de servicios con las siguientes columnas de datos:
• AWSServicio de— el nombre delAWSservice.

• Categoría— La categoría de servicio, comocomputarobase de datos.
Ficha Propietarios de auditoría
LaRegistros de auditoríamuestra los propietarios de auditoría de la evaluación. El número total de

propietarios de auditorías también se resume en elDetalles de evaluaciónEn la parte superior de la página.
En elRegistros de auditoría, se muestra una lista de cuentas con las siguientes columnas de datos:
• Propietario de auditoría: nombre del propietario de la auditoría.

• AWScuenta— La dirección de correo electrónico asociada con el propietario de la auditoría.
Pestaña Etiquetas
LaEtiquetasmuestra la lista de etiquetas heredadas del marco que se utilizan para crear esta evaluación. El
número total de etiquetas se resume enDetalle de evaluaciónen la parte superior de la página.
En elEtiquetas, se muestra una lista de etiquetas con las siguientes columnas de datos:
55
Tabulador Registro de cambios
• Clave- La clave de la etiqueta, como una norma de cumplimiento, un reglamento o una categoría.
• Valor- El valor de la etiqueta.
Para obtener más información acerca de las etiquetas en Audit Manager, consulteEtiquetado de recursos
de AWS Audit Manager (p. 259).
LaRegistro de cambiosmuestra una lista de la actividad de usuario relacionada con la evaluación.
En elRegistro de cambios, se muestra una lista de cuentas con las siguientes columnas de datos:
• Fecha— La fecha de la actividad.

• Usuario— El usuario que realizó la acción.
• Acción— La acción que se produjo, como la creación de una evaluación.
• Tipo: el tipo de objeto que ha cambiado, como una evaluación.
• Recurso— El recurso que se vio afectado por el cambio, como el marco desde el que se creó la
evaluación.
Revisión de los controles de una evaluación

Controles enAWS Audit Managerle ayudan a cumplir las normas y regulaciones de cumplimiento comunes
y exclusivas en sus auditorías. Puede abrir y revisar los controles de la evaluación de Audit Manager en
cualquier momento.
Para abrir una página de resumen de controles

2. En el panel de navegación, elijaEvaluacionesy elija el nombre de una evaluación para abrirla.
3. En la página de evaluación, elija laControles, desplácese hacia abajo hasta laConjuntos de controly, a
continuación, elija el nombre de un control para abrirlo.
Al abrir un control, aparece una página de resumen que contiene varias secciones. Las secciones de esta
página y su contenido se describen en las siguientes secciones.
Secciones de la página de control

• Detalles de control (p. 56)
• Estado del control de actualización (p. 57)
• Ficha Carpetas de pruebas (p. 57)
• Tabulador Origen de datos (p. 58)
• Pestaña Comentarios (p. 58)
• Tabulador Registro de cambios (p. 58)
Detalles de control
LaDetalles de controlproporciona una visión general del control.
56
Estado de control
1. Nombre de control— El nombre que se le da a este control.

2. Descripción del control— La descripción proporcionada para este control.
3. Información de pruebas— Los procedimientos de prueba recomendados para este control.
4. Plan de acción— Las acciones recomendadas a llevar a cabo si no se cumple el control.
Estado del control de actualización

En el navegadorEstado del control de actualizaciónde la página, puede revisar y actualizar el estado de los
controles de la evaluación.
Los siguientes estados están disponibles para un control:
• En proceso de revisión— Indica que este control aún no se ha revisado. Todavía se están recopilando
pruebas para este control y puede cargar pruebas manuales. Este es el estado predeterminado.
• Revisado— Indica que se revisan las pruebas de este control. Todavía se están recopilando pruebas y
puedes cargar pruebas manuales.
• Inactivo: indica que se ha detenido la recopilación automatizada de pruebas para este control. Ya no
puede cargar pruebas manuales.
Note
Cambiar el estado de un control arevisadoes definitivo. Después de configurar el estado de un
control enrevisado, ya no puede cambiar el estado de ese control ni volver a un estado anterior.
Ficha Carpetas de pruebas
Lacarpetas de evidenciasmuestra la evidencia que se recopila automáticamente para este control. Está
organizada en carpetas a diario. Desde aquí, también puede seleccionar una carpeta y elegirSubir pruebas
manualespara añadir más pruebas manualmente.
En elcarpetas de evidencias, se muestra una lista de carpetas con las siguientes columnas de datos:
• Carpeta evidencia: nombre de la carpeta de pruebas. El nombre se basa en la fecha en que se

recopilaron las pruebas.
• Comprobación de conformidad— El número de problemas que se encuentran en la carpeta de pruebas.
Este número representa el número total de problemas de seguridad que se han notificado directamente
desdeAWS Security Hub,AWS Config, o ambas. Puede encontrar más información sobre las pruebas
pertinentes y la naturaleza del problema abriendo la carpeta de pruebas.
No aplicableindica que no tienesAWS Security HuboAWS Confighabilitado o la evidencia procede de una

fuente de datos diferente.
• Pruebas totales— El número total de elementos de prueba dentro de la carpeta.
• Selección de un informe de evaluación: el número de elementos de prueba de la carpeta que se incluyen
en el informe de evaluación.
De lacarpetas de evidencias, elija unacarpeta de evidenciaspara abrirlo. En la página de resumen de la

carpeta de pruebas, puede elegir laevidencias individualesque desea revisar.
57
Tabulador Origen de datos
De lacarpetas de evidencias, también puede optar por agregar o eliminar pruebas a un informe de
evaluación. Para obtener más información, consulte Generación de un informe de evaluación (p. 64).
Tabulador Origen de datos
LaOrigen de datosmuestra los orígenes de datos del control.
En elOrigen de datos, se muestra una lista de fuentes de datos con las siguientes columnas de datos.
• Nombre: nombre del origen de datos queAWS Audit Managerrecoge pruebas de.
• Origen de datos— el nombre delAWSservicio que contiene estos datos.
• Atributo: El valor de atributo asociado para recuperar los datos del origen de datos. Por ejemplo, este
puede ser el atributo de parámetro utilizado al realizar una llamada a la API descrita a unAWSservice.
• Frecuencia— La frecuencia de recopilación de pruebas de esta fuente de datos. La frecuencia
varía en función de la fuente de datos. Para obtener más información, elija el valor en la columna o
consulteRecopilación de pruebas (p. 9).
Pestaña Comentarios
En el navegadorComentarios, puede agregar un comentario sobre el control y sus pruebas. También

muestra una lista de comentarios anteriores.
UNDEREnvíe comentarios, puede agregar comentarios para un control introduciendo texto y, a

continuación, eligiendoEnvíe comentarios.
UNDERComentarios anteriores, puede ver una lista de comentarios anteriores junto con la fecha en que se
realizó el comentario y el ID de usuario asociado.
LaRegistro de cambiosmuestra una lista de la actividad del usuario relacionada con el control. La misma
información está disponible que los registros de auditoría enAWS CloudTrail. Con la actividad del usuario
que se captura directamente enAWS Audit Manager, puede revisar fácilmente un registro de actividad de
auditoría para un determinado control.
UNDERRegistro de cambios, una tabla muestra las siguientes columnas de datos:
• Fecha: fecha y hora de la actividad.

• Usuario— El usuario o rol de IAM que realizó la actividad.
• Acción: descripción de la actividad.
58
Revisión de las pruebas
• Tipo: atributo asociado que describe más a fondo la actividad.

• Recurso— El recurso relacionado, si procede.
AWS Audit Managerrealiza un seguimiento de la siguiente actividad del usuario en los registros de
cambios:
• Creación de una evaluación

• Edición de una evaluación
• Finalización de una evaluación de
• Eliminación de una evaluación
• Delegación de un conjunto de controles para revisión
• Envío de un error de control revisado al propietario de la auditoría
• Carga de pruebas manuales
• Actualización del estado de un control
• Generación de informes de evaluación
Revisión de las pruebas en una evaluación

Una evaluación activa enAWS Audit Managerrecopila automáticamente pruebas de diversas fuentes de
datos. Para obtener más información, consulte CómoAWS Audit Managerrecoge pruebas (p. 8). Puede
abrir y revisar la evidencia de los controles de sus evaluaciones en cualquier momento.
Para abrir pruebas para un control

2. En el panel de navegación, elijaEvaluacionesy, a continuación, elija el nombre de una evaluación para
abrirla.
3. En la página de evaluación, elija laControles, desplácese hacia abajo hasta laControlesy, a
continuación, elija el nombre de un control para abrirlo.
4. En la página de control, elija lacarpetas de evidenciasPestaña. En elcarpetas de evidencias, se
muestra una lista de todas las carpetas de pruebas de ese control. Estas carpetas se organizan y
nombran en función de la fecha en que se recopiló la evidencia de la carpeta.
5. Elija el nombre de una carpeta de pruebas para abrirla.
Desde aquí, ahora puede revisar las carpetas de pruebas para ese control y profundizar más para revisar
las pruebas individuales según sea necesario.
Temas
• Revisión de carpetas de pruebas (p. 59)
• Revisión de las pruebas individuales (p. 61)
Revisión de carpetas de pruebas

Al abrir una carpeta de pruebas, aparece una página de resumen de la carpeta de pruebas que contiene
dos secciones: unResumensección y unEvidenciaTABLE. Estas secciones y su contenido se describen de
la siguiente manera.
• Resumen de la carpeta de pruebas (p. 60)

• Tabla de pruebas (p. 60)
59
Revisión de carpetas de pruebas
Resumen de la carpeta de pruebas

LaResumenLa sección de la página proporciona información general de alto nivel de las pruebas en la
carpeta de pruebas.
1. Fecha— La fecha y hora en que se creó la carpeta de pruebas.

2. Nombre de control— El nombre del control asociado a la carpeta de pruebas.
3. Añadido al informe de evaluación— El número de elementos de prueba que se seleccionaron
manualmente para incluirlos en el informe de evaluación.
4. Pruebas totales— El número total de elementos de prueba de la carpeta de pruebas.
5. Recursos— El número total deAWSrecursos que se evaluaron al generar la evidencia en esta carpeta.
6. Actividad de usuario— El número de elementos de prueba incluidos en elactividad de usuarioCategoría.
Esta evidencia se recoge deAWS CloudTrailregistros.
7. Datos de configuración— El número de elementos de prueba incluidos en eldatos de
configuraciónCategoría. Esta evidencia se recopila a partir de instantáneas de configuración de
otrosAWSServicios como Amazon EC2, Amazon S3 o IAM.
8. Manual— El número de elementos de prueba incluidos en elmanualCategoría. Esta evidencia se carga
manualmente.
9. Comprobación de conformidad— El número de elementos de prueba incluidos en elComprobación de
conformidadCategoría. Esta evidencia se recoge deAWS ConfigoAWS Security Hub.
10.Estado de la verificación de conformidad— El número total de cuestiones que se notificaron
directamente desdeAWS Security Hub,AWS Config, o ambas.
Tip
Para obtener más información sobre los distintos tipos de pruebas (actividad del usuario, datos de
configuración, comprobación de conformidad y manual), consulteEvidencia.
Tabla de pruebas
LaEvidenciaenumera las pruebas individuales que se encuentran en la carpeta de pruebas.
1. Tiempo— Especifica cuándo se recopiló la evidencia y también sirve como nombre de la prueba. Al
elegir una hora de esta columna, se abre unpágina de detalles de evidencia. Esta página se describe en
la siguiente sección.
2. Evidencia por tipo— La categoría de las pruebas.
• Comprobación de conformidadse recogen pruebas deAWS ConfigoAWS Security Hub.
• Actividad de usuariose recogen pruebas deAWS CloudTrailregistros.
• Datos de configuraciónSe recopilan pruebas de las instantáneas de otros servicios como Amazon
EC2, Amazon S3 o IAM.
60
Revisión de pruebas individuales
• Manuallas pruebas son pruebas de que subes manualmente.

3. Comprobación de conformidad— El estado de evaluación de las pruebas que se encuentran dentro
delComprobación de conformidadCategoría.
• Para obtener pruebas recogidas deAWS Security Hub, unPasaroFracasarel resultado se informa
directamente desdeAWS Security Hub.
• Para obtener pruebas recogidas deAWS Config, unSumisoono conformeel resultado se informa
directamente desdeAWS Config.
• SiNo aplicablese muestra, esto indica que no tienesAWS Security HuboAWS Confighabilitado o la
evidencia procede de una fuente de datos diferente.
4. Origen de datos— ElAWSservicio del que se recogen las pruebas.
5. Nombre del evento:— El nombre del evento incluido en la prueba.
6. Recursos— El número de recursos evaluados para generar la evidencia.
7. Selección de un informe de evaluación: indica si esa evidencia se ha seleccionado manualmente para
incluirla en el informe de evaluación.
• Para incluir pruebas, seleccione la evidencia y elijaAgregar al informe de evaluación.
• Para excluir pruebas, seleccione la evidencia y elijaQuitar del informe de evaluación.
Para cargar pruebas manuales en la carpeta de pruebas, elijaSubir pruebas manuales, introduzca el URI
de S3 de la evidencia y, a continuación, elijaCargar. Para obtener más información, consulteCarga de
pruebas manuales enAWS Audit Manager.
Para ver los detalles de cualquier pieza de prueba individual, elija el nombre de la evidencia hipervinculada
debajo de laTiempocolumn. Se abre una página de detalles de evidencia, que se describe en la sección
siguiente.
Revisión de las pruebas individuales

Al abrir una prueba individual, aparece una página de detalles de pruebas que contiene tres secciones:
laDetalle de la evidenciasección, laAtributosmesa, y laRecursos incluidosTABLE. Estas secciones y su
contenido se describen de la siguiente manera.
• Detalle de la evidencia (p. 61)

• Atributos (p. 62)
• Recursos incluidos (p. 62)
Detalle de la evidencia
LaDetalle de la evidenciaen la sección de la página se muestra información general de las pruebas.
61
Revisión de pruebas individuales
1. Fecha y hora: es la fecha y la hora en que se recopilaron las pruebas.

2. Nombre de carpeta de pruebas— El nombre de la carpeta de pruebas que contiene las pruebas.
3. Nombre de control— El nombre del control asociado a la evidencia.
4. Origen del evento: nombre del recurso que creó el evento de prueba.
5. Nombre del evento:: nombre del evento de prueba.
6. Origen de datos— ElAWSservicio del que se recogieron las pruebas.
7. Evidencia por tipo— El tipo de evidencia.
• Datos de configuraciónse recogen pruebas a partir de instantáneas de otrosAWSServicios como
Amazon EC2, Amazon S3 o IAM.
8. Comprobación de conformidad— El estado de evaluación de las pruebas que se encuentran dentro
delComprobación de conformidadCategoría.
• Para obtener pruebas recogidas deAWS Security Hub, unPasaroFracasarel resultado se informa
directamente desdeAWS Security Hub.
• Para obtener pruebas recogidas deAWS Config, unSumisoono conformeel resultado se informa
directamente desdeAWS Config.
• SiNo aplicablese muestra, esto indica que no tienesAWS Security HuboAWS Confighabilitado o la
evidencia procede de una fuente de datos diferente.
9. Recursos incluidos— El número de recursos que se evalúan para generar la evidencia.
10.Atributos— El número total de atributos que utiliza el evento en la evidencia.
11.AWScuenta— ElAWScuenta de la que se recogieron las pruebas.
12.IAM ID— El identificador de usuario o rol de IAM pertinente, si procede.
13.Añadido al informe de evaluación: indica si ha optado por incluir la evidencia en el informe de
evaluación.
Atributos
LaAtributosmuestra los nombres y valores que utiliza el evento en esta evidencia. Contiene la información
siguiente:
• Nombre de atributo— El requisito de las pruebas, tales comoPermitir a los usuarios cambiar la
contraseña.
• Valor: el valor del atributo, comotrueofalse.
Recursos incluidos
LaRecursos incluidosmuestra la lista de recursos evaluados para generar esta evidencia. Incluye uno o
varios de los siguientes campos:
• ARN: el nombre de recurso de Amazon (ARN) del recurso. Es posible que no haya un ARN disponible
para todos los tipos de pruebas.
• Valor— El valor de ese recurso, si procede.
• JSON— Enlace para ver el archivo JSON de ese recurso.
62
Carga de pruebas manuales
Carga de pruebas manuales enAWS Audit Manager

AunqueAWS Audit Managerpuede recopilar automáticamente pruebas de muchos de los controles de
un marco, algunos controles requieren que cargue pruebas manuales para demostrar el cumplimiento.
Por ejemplo, ciertos controles se refieren a la provisión de registros físicos (como firmas) o eventos que
no se generan en la nube (como observaciones y entrevistas). En estos casos, puede cargar archivos
manualmente como prueba. Por ejemplo, si un control de un marco es un control de procedimiento que
cubre la organización de su equipo, puede cargar una copia del organigrama de su empresa como prueba
para respaldar el control.
También puede utilizar la función de carga manual para administrar pruebas de varios entornos. Si su
empresa utiliza un modelo de nube híbrida o un modelo multinube, puede cargar pruebas de su entorno
local, de un entorno alojado en la nube o de sus aplicaciones SaaS. Esto le permite organizar la evidencia
(independientemente de dónde proceda) almacenándola dentro de la estructura de una evaluación de
Audit Manager, donde cada pieza de prueba se asigna a un control específico.
Puede cargar pruebas manuales de cualquier bucket de Amazon Simple Storage Service (Amazon S3)
especificando el URI de S3 de la evidencia. Las pruebas manuales deben cargarse en el depósito de S3
antes de poder cargarla en su evaluación. Para obtener más información, consulteCrear un bucketyCarga
de objetosen laAmazon Simple Storage Service.
Important
Para cargar pruebas manuales en un control

2. En el panel de navegación izquierdo, seleccioneEvaluacionesy, a continuación, elija el nombre de la
evaluación para abrirla.
3. Elija el iconoControlespestaña, desplázate hacia abajo hastaConjuntos de controly, a continuación,
elija el nombre de un control para abrirlo.
4. Elija el iconocarpetas de evidenciasy luego seleccioneSubir pruebas manuales. O bien, puede elegir
un nombre de carpeta de pruebas en elcarpetas de evidenciaspara revisar la página de resumen de la
carpeta de pruebas y, a continuación, elijaSubir pruebas manuales.
5. En la siguiente página, escriba el URI de S3 de la prueba. Puede encontrar el URI de S3 navegando
hasta el objeto en elConsola de Amazon S3y elegirCopiar URI S3.
6. ElegirCargarpara cargar las pruebas manuales.
Note
Cuando hay un controlinactivostatus, no puedes cargar pruebas manuales para ese

control. Para cargar pruebas manuales, primero debe cambiar el estado del control aen
proceso de revisiónorevisado. Para obtener más información, consulte Estado del control de
actualización (p. 57).
Para obtener más información acerca de los diferentes tipos de pruebas enAWS Audit Managery la
diferencia entre pruebas automatizadas y manuales, véaseEvidenciaen laConceptos y terminologíasección
de esta guía.
63
Generación de un informe de evaluación

Un informe de evaluación resume la evaluación y proporciona vínculos a un conjunto organizado de
carpetas que contienen pruebas relacionadas. Para obtener más información, consulte Informes de
Puede elegir qué pruebas quiera incluir en su informe de evaluación de antes de generar el informe de
evaluación de.
Tareas
• Adición de pruebas a un informe de evaluación (p. 64)
• Eliminación de un informe de evaluación (p. 65)
Adición de pruebas a un informe de evaluación

Antes de generar un informe de evaluación, revise la evidencia de cada control de la evaluación y
especifique si desea incluirlo en el informe de evaluación. Por defecto, las pruebas recién recopiladas se
excluyen del informe de evaluación.
Para revisar e incluir pruebas en un informe de evaluación

2. En el panel de navegación, elijaEvaluacionesy, a continuación, elija el nombre de la evaluación para
abrirla.
3. Desplácese hasta elControlesy elija el nombre del control para abrir la página de detalles del control.
4. Desplácese hasta elcarpetas de evidencias, seleccione la carpeta de pruebas que desea agregar
al informe de evaluación y, a continuación, elijaAgregar al informe de evaluación. En la ventana
emergente que aparece, seleccioneAgregar al informe de evaluaciónpara confirmar la adición.
• Si desea eliminar una carpeta de pruebas que se ha agregado anteriormente a un informe de

pruebas, seleccione la carpeta y elijaQuitar del informe de evaluación.
5. Para agregar un único elemento de prueba a un informe de evaluación, elija el nombre de la
carpeta de pruebas para abrir la página de resumen de la carpeta de pruebas. Seleccione la
evidencia y después elijaAgregar al informe de evaluación. En la ventana emergente que aparece,
seleccioneAgregar al informe de evaluaciónpara confirmar la adición.
• Si desea eliminar un único elemento de prueba que se ha agregado anteriormente a un informe

de evaluación, elija el nombre de la carpeta de pruebas para abrir la página de resumen de la
carpeta de pruebas. Seleccione la evidencia y después elijaEliminar del informe de evaluación.
6. Después de revisar la evidencia y agregarla a un informe de evaluación, aparece un banner de éxito
verde. ElegirVer selección de un informe de evaluaciónpara volver a la página de evaluación, donde
ahora puede generar un informe de evaluación.

Después de seleccionar la evidencia que desea incluir en el informe de evaluación, puede generar el
informe de evaluación final para compartirlo con los auditores.
Cuando genera un informe de evaluación, se coloca en el depósito de S3 que eligió como destino del
64
Eliminación de un informe de
Tip
Le recomendamos que verifique las siguientes configuraciones antes de generar el informe de

evaluación:
1. LaAWSLa región de la clave administrada por el cliente (si la proporcionó) debe coincidir con la
región de la evaluación.
2. Si el destino del informe de evaluación tiene una política de bucket que requiere cifrado del
servidor (SSE) medianteSSE-KMS, la clave KMS utilizada en esa política de bucket debe
coincidir con la clave KMS que configuró en suAWS Audit Managerconfiguración de cifrado de
datos. Si no ha configurado una clave KMS en la configuración de Audit Manager y la política
de bucket de destino del informe de evaluación requiere SSE, asegúrese de que la política de
bucket lo permitaSSE-S3.
Para obtener más información acerca de cómo configurar el destino del informe de evaluación
de y la clave KMS utilizada para el cifrado de datos, consulteConfiguración de AWS Audit
Manager (p. 181). Para obtener una lista de las regiones de Audit Manager, consulteAWS Audit
ManagerCuotas y puntos de enlace deen laReferencia general de Amazon Web Services.
Para generar un informe de evaluación

2. En el panel de navegación izquierdo, seleccioneEvaluaciones.
3. Elija el nombre de la evaluación para la que desea generar un informe de evaluación.
4. Elija el iconoSelección de un informe de evaluacióny luego seleccioneGenerar un informe de
evaluación.
5. En la ventana emergente, proporcione un nombre y la descripción del informe de evaluación y revise
lasDetalles de un informe de evaluaciónsección. Esto incluye el nombre de la evaluación, la evidencia
del informe de evaluación y el destino del informe de evaluación. El destino del informe de evaluación
es el bucket de S3 que especificó al crear la evaluación.
6. ElegirGenerar un informe de evaluación.
Ahora puede ir al bucket de S3 que utiliza como destino del informe de evaluación y descargar
el informe de evaluación. El informe de evaluación tiene una suma de comprobación de
archivos para garantizar la integridad del informe de evaluación. Puede validarlo con
elValidateAssessmentReportIntegrityOperación API proporcionada porAWS Audit Manager.
Eliminación de un informe de evaluación

Puede eliminar los informes de evaluación que ya no se desean ni necesitan.
Al eliminar un informe de evaluación, Audit Manager intenta eliminar los siguientes datos:
1. El informe de evaluación almacenado en su bucket de S3

2. Los metadatos asociados que se almacenan en Audit Manager
Si Audit Manager no puede acceder al informe de evaluación de su bucket de S3, el informe no se

elimina. En este caso, la operación de eliminación no falla. En su lugar, Audit Manager procede a eliminar
únicamente los metadatos asociados. A continuación, debe eliminar usted mismo el informe de evaluación
del bucket de S3.
Este escenario se produce cuando Audit Manager recibe un403 (Forbidden)o404 (Not Found)error
de Amazon S3. Para evitar esto, asegúrese de que el bucket de S3 está disponible y de haber configurado
los permisos correctos para Audit Manager para eliminar recursos del bucket de S3. Para ver un ejemplo
65
Cambio del estado de una evaluación
de política de permisos que puede utilizar, consultePermisos de destino de un informe. Para obtener
información sobre los problemas que podrían causar un403 (Forbidden)o404 (Not Found) de
Amazon S3, consulteLista de códigos de erroren laReferencia de la API de Amazon S3.
Para eliminar un informe de evaluación

2. En el panel de navegación izquierdo, seleccioneInformes de evaluación.
3. Seleccione el informe de evaluación que desee eliminar y elijaBorrar.
Cambio del estado de una evaluación a inactiva

Cuando ya no necesiteAWS Audit Managerpara recopilar pruebas, puede detener la recopilación continua
de pruebas para su evaluación. Puede hacerlo cambiando el estado de evaluación aInactivo.
Además de detener la recopilación de pruebas, Audit Manager realiza los siguientes cambios en los
controles incluidos en la evaluación inactiva:
• Todos los conjuntos de controles cambian aRevisadoestado.

• Todos los controles que sonEn proceso de revisióncambiar aRevisadoestado.
• Los delegados de la evaluación inactiva ya no pueden ver ni editar sus controles y conjuntos de
controles.
Warning
Le recomendamos que proceda con precaución y asegúrese de que desea marcar su evaluación
como inactiva. Cuando una evaluación está inactiva, tiene acceso de solo lectura a su contenido.
Aún puede ver las pruebas recopiladas anteriormente y generar informes de evaluación. Sin
embargo, no puedes hacer ningún cambio, añadir comentarios ni cargar pruebas manuales.
Para cambiar el estado de una evaluación a inactivo

2. En el panel de navegación, elijaEvaluaciones.
3. Seleccione el nombre de la evaluación para abrirla.
4. En la esquina superior derecha de la página, elijaActualización del estado de la evaluacióny luego
seleccioneInactivo.
5. ElegirEstado de la actualizaciónen la ventana emergente para confirmar que desea cambiar el estado
a inactivo.
Los cambios en la evaluación y sus controles entran en vigor después de aproximadamente un minuto.
Eliminación de una evaluación

Puede eliminar una evaluación que ya no quiera enAWS Audit Manager.
Para eliminar una evaluación

66
Eliminación de una evaluación
3. Seleccione la evaluación que desee eliminar y elijaBorrar.

• Alternativamente, puede abrir la evaluación y, a continuación, elegirBorrarEn la parte superior
derecha de la página.
67
Para propietarios de auditar
Delegaciones deAWS Audit Manager

Uso de los propietarios de auditoríaAWS Audit Managerpara crear evaluaciones y recopilar pruebas de
los controles enumerados en dicha evaluación. En ocasiones, los propietarios de auditorías pueden tener
preguntas o necesitar ayuda para validar las pruebas de un conjunto de controles. En esta situación, un
propietario de auditoría puede delegar un conjunto de controles en un experto en la materia para que lo
revise.
En un nivel alto, el proceso de delegación es el siguiente.
1. El propietario de la auditoría elige un conjunto de controles en su evaluación y lo delega para su

revisión.
2. El delegado revisa esos controles y sus pruebas, y envía el retroceso de control al propietario de la
auditoría cuando finalice.
3. Se notifica al propietario de la auditoría que la revisión se ha completado y comprueba los controles
revisados en busca de cualquier comentario del delegado.
Utilice las siguientes secciones de esta guía para obtener más información sobre cómo administrar las
tareas de delegación de enAWS Audit Manager.
Temas
• Tareas de delegación para los propietarios de auditoría (p. 68)
• Tareas de delegación para delegados (p. 71)
Note
Una cuenta puede ser un propietario de auditoría o un delegado en diferentesAWSRegiones.
Tareas de delegación para los propietarios de

auditoría
Como propietario de auditoría enAWS Audit Manager, es posible que necesites la ayuda de un experto en
la materia para ayudarte a revisar los controles y las pruebas. En esta situación, puede delegar un conjunto
de controles para su revisión.
Los siguientes temas describen cómo administrar las delegaciones de enAWS Audit Manager.
Tareas de delegación
• Delegación de un conjunto de controles para revisión (p. 68)
• Acceso a sus delegaciones activas y completadas (p. 70)
• Eliminación de las delegaciones activas y completadas (p. 71)
Delegación de un conjunto de controles para revisión

Cuando necesite ayuda de un experto en la materia, puede elegir laAWScuenta que desea ayudarle y, a
continuación, delegar un conjunto de controles en ellos para su revisión.
68
Delegación de un conjunto de controles
Puede utilizar uno de los siguientes procedimientos para delegar un conjunto de controles.
Delegación de un conjunto de controles desde una página de evaluación

Para delegar un conjunto de controles desde la página de evaluación

3. Seleccione el nombre de la evaluación que contiene el conjunto de controles que desea delegar.
4. En la página de evaluación, elija elControlespestaña. Muestra el resumen del estado del control y la
lista de controles de la evaluación.
5. Seleccione un conjunto de controles y elijaConjunto de controles delegados.
6. UNDERSelección de delegados, se muestra una lista de usuarios y roles. Elige un usuario o rol o usa
la barra de búsqueda para buscarlo.
• Si es administrador y necesita crear un usuario o rol nuevo, consulteSoy administrador y deseo
permitir que otros obtengan acceso a AWS Audit Manager (p. 250).
• Si desea crear un nuevo usuario o rol y no tiene los permisos para hacerlo, póngase en contacto
con el administrador para obtener ayuda. Su administrador es la persona que le facilitó su nombre
de usuario y contraseña.
7. UNDERDetalles de delegación, revise el nombre del conjunto de controles y el nombre de la
evaluación.
8. (Opcional) EnComentarios, agregue un comentario con instrucciones para ayudar al delegado a
cumplir su tarea de revisión. No incluyas información confidencial en tu comentario.
9. ElegirConjunto de controles delegados.
10. Un banner de éxito verde confirma la delegación exitosa del conjunto de controles. ElegirVisualización
depara ver la solicitud de delegación. También puede ver a sus delegaciones en cualquier momento
seleccionandoDelegationsen el panel de navegación izquierdo delAWS Audit Managerconsola de .
Delegación de un conjunto de controles desde la página Delegaciones

Para delegar un conjunto de controles desde la página Delegaciones

2. En el panel de navegación, elijaDelegations.
3. En la página de delegaciones, elijaCrear delegación.
4. UNDERElija un conjunto de evaluación y control, especifique la evaluación y el conjunto de controles
que desea delegar.
5. UNDERSelección de delegados, verá una lista de usuarios y roles. Elige un usuario o rol o usa la
barra de búsqueda para buscarlo.
• Si es administrador y necesita crear un usuario o rol nuevo, consulteSoy administrador y deseo
permitir que otros obtengan acceso a AWS Audit Manager (p. 250).
• Si desea crear un nuevo usuario o rol y no tiene los permisos para hacerlo, póngase en contacto
con el administrador para obtener ayuda. Su administrador es la persona que le facilitó su nombre
de usuario y contraseña.
6. (Opcional) EnComentarios, agregue un comentario con instrucciones para ayudar al delegado a
cumplir su tarea de revisión. No incluyas información confidencial en tu comentario.
7. ElegirCrear delegación.
8. Un banner de éxito verde confirma la delegación exitosa del conjunto de controles. ElegirVisualización
depara ver la solicitud de delegación. También puede ver a sus delegaciones en cualquier momento
seleccionandoDelegationsen el panel de navegación izquierdo delAWS Audit Managerconsola de .
69
Acceso a las delegaciones
Cuando delega un conjunto de controles para su revisión, el delegado recibe una notificación y, a
continuación, puede comenzar a revisar el conjunto de controles. Este proceso que siguen los delegados
se describe enTareas de delegación para delegados (p. 71).
Tip
Los delegados pueden suscribirse a un tema de SNS para recibir alertas por correo electrónico
cuando se les delega una tarea de revisión. Para obtener más información sobre cómo identificar
y suscribirse al tema de SNS asociado alAWS Audit Manager, consulteNotificaciones deAWS
Audit Manager.
Acceso a sus delegaciones activas y completadas

Puede acceder a una lista de sus delegaciones en cualquier momento seleccionandoDelegationsen el
panel de navegación izquierdo deAWS Audit Manager. La página Delegaciones contiene una lista de sus
delegaciones activas y completadas, con los siguientes detalles para cada delegación:
• Delegado en— La cuenta de AWS en la que ha delegado el conjunto de controles.

• Fecha— La fecha en que delegó el conjunto de controles.
• Estado— El estado actual de la delegación.
• Evaluación— El nombre de la evaluación con un enlace a la página de detalles de la evaluación.
• Conjunto de control— El nombre del conjunto de controles que se delegó para su revisión.
Cuando se complete una delegación, recibirá una notificación enAWS Audit Manager. También puede
recibir comentarios con observaciones del delegado. En el siguiente procedimiento se explica cómo
comprobar las notificaciones en Audit Manager una vez finalizada una delegación y cómo ver los
comentarios que el delegado podría haberle dejado.
Para ver una delegación completada y comprobar si hay comentarios

2. En el panel de navegación, elijaNotificaciones. O bien, eligeNotificacionesEn la barra de flash azul de
la parte superior de la pantalla para abrir la página de notificaciones.
3. Consulte laNotificaciones, que incluye una tabla con la siguiente información:
• Fecha— La fecha de la notificación.

• Evaluación— El nombre de la evaluación asociada al conjunto de controles.
• Conjunto de control— Es el nombre del conjunto de controles.
• Fuente— El usuario de IAM o la función del delegado que le envió el control completado.
• Descripción— Observaciones de alto nivel proporcionadas por el delegado.
4. Busque el conjunto de evaluación y control que el delegado le ha revisado y enviado, y elija el nombre
de la evaluación para abrirla.
5. En elControlesde la página de detalles de la evaluación, vaya a laConjuntos de controltable. En
elControles agrupados por conjunto de controles, expanda el nombre de un conjunto de controles
para mostrar sus controles. A continuación, seleccione el nombre de un control para abrir la página de
detalles del control.
6. Elija el iconoComentariospara ver cualquier comentario agregado por el delegado para ese control
concreto.
7. Cuando esté satisfecho de que la revisión se ha completado de un conjunto de controles, seleccione
el conjunto de controles y elijaRevisión completa del conjunto de controles.
70
Eliminación de delegaciones
Important
Audit Manager recopila pruebas de forma continua. Como resultado, podrían recopilarse nuevas
pruebas adicionalesdespuésel delegado completa su revisión de un control.
Si solo desea utilizar pruebas revisadas en sus informes de evaluación, puede consultar laControl
revisadomarca de tiempo para determinar cuándo se revisaron las pruebas. Esta marca de hora
se puede encontrar en elPestaña Registro de cambiosde la página de detalles de control. A
continuación, puede utilizar esta marca de hora para identificar qué pruebas agrega a los informes
de evaluación.
Eliminación de las delegaciones activas y

completadas
Es posible que haya circunstancias en las que cree una delegación, pero más adelante ya no necesita
ayuda para revisar ese conjunto de controles. Cuando esto ocurra, puede eliminar una delegación activa
enAWS Audit Manager. También puede eliminar las delegaciones completadas que ya no desea que
aparezcan en la página Delegaciones.
Para eliminar una delegación

2. En el panel de navegación, elijaDelegations.
3. En la páginaDelegations, seleccione la delegación que desea cancelar y seleccioneEliminación de
delegación.
4. En la ventana emergente que aparece, seleccioneBorrarpara confirmar su elección.
Tareas de delegación para delegados

Los delegados suelen tener experiencia técnica o comercial especializada en varias áreas diferentes.
Estos incluyen políticas de retención de datos, planes de formación, infraestructura de red y administración
de identidades. Pueden ayudar a los propietarios de auditorías a revisar las pruebas recopiladas de los
controles que entran dentro de su área de especialización.
Como delegado, es posible que reciba solicitudes de los propietarios de auditorías para revisar la
evidencia asociada a un conjunto de controles. Esta solicitud indica que el propietario de la auditoría
necesita su ayuda para validar esta evidencia. Puede ayudar a los propietarios de auditorías revisando los
conjuntos de controles y sus pruebas relacionadas, agregando comentarios, subiendo pruebas adicionales
y actualizando el estado de cada control que revise.
Los siguientes temas describen cómo administrar las delegaciones de enAWS Audit Manager.
Note
Los propietarios de auditorías delegan conjuntos de control específicos para su revisión, no

para evaluaciones completas. Como resultado, los delegados tienen acceso limitado a las
evaluaciones. Los delegados pueden revisar pruebas, añadir comentarios, cargar pruebas
manuales y actualizar el estado del control de cada uno de los controles del conjunto de controles.
Para obtener más información acerca de los roles y permisos de Audit Manager, consulte Políticas
recomendadas para personas de usuario enAWS Audit Manager (p. 222).
Tareas de delegación
• Visualización de las notificaciones de las solicitudes de delegación entrantes (p. 72)
• Revisión del conjunto de controles delegados y sus pruebas conexas (p. 72)
• Adición de un comentario a un control (p. 73)
71
Visualización de notificaciones
• Marcar un control como revisado (p. 74)

• Envío del contratista de control revisado al propietario de la auditoría (p. 74)
Visualización de las notificaciones de las solicitudes

de delegación entrantes
Cuando un propietario de auditoría solicita su ayuda para revisar un conjunto de controles, recibe una
notificación que le informa del conjunto de controles que le delegó.
Tip
También puede suscribirse a un tema de SNS para recibir alertas por correo electrónico cuando
se le delega un conjunto de controles para su revisión. Para obtener más información, consulte
Notificaciones de AWS Audit Manager.
Ver las notificaciones

2. ElegirNotificacionesen el panel de navegación izquierdo. O bien, en la barra de flash azul de la parte
superior de la pantalla, seleccioneVisualización de notificacionespara abrir la página de notificaciones.
3. En la páginaNotificaciones, revise la lista de conjuntos de controles que se le han delegado para su
revisión. La tabla incluye la siguiente información:
• Fecha— La fecha en la que se delegó el conjunto de controles.

• Evaluación— El nombre de la evaluación asociada al conjunto de controles.
• Conjunto de control— Es el nombre del conjunto de controles.
• Fuente— El usuario o rol de IAM que le delegó el conjunto de controles.
• Descripción— Instrucciones proporcionadas por el propietario de la auditoría.
Revisión del conjunto de controles delegados y sus

pruebas conexas
Puede ayudar a los propietarios de auditorías revisando los conjuntos de controles que le han delegado.
Puede examinar estos controles y sus pruebas relacionadas para determinar si se necesita alguna acción
adicional. Dichas medidas adicionales podrían incluir:cargar manualmente pruebas adicionalespara
demostrar el cumplimiento, odejar un comentarioque detalla los pasos de corrección que ha seguido.
Para revisar un conjunto de controles

2. En el panel de navegación, elijaNotificaciones. O bien, en la barra de flash azul, elijaVisualización de
notificacionespara abrir la página de notificaciones.
3. En la páginaNotificaciones, se muestra una lista de los conjuntos de controles que se le han delegado.
Identifique qué conjunto de controles desea revisar y elija el nombre de la evaluación relacionada para
abrir la página de detalles de la evaluación.
4. En elControlesde la página de detalles de la evaluación, vaya a laConjuntos de controltable.
para mostrar sus controles y elija el nombre de un control para abrir la página de detalles del control.
6. (Opcional) Elijaactualización del estado del controlpara cambiar el estado del control. Mientras la
revisión esté en curso, puede marcar el estado comoEn proceso de revisión.
72
Añadir comentarios
7. Revisar información sobre el control en elcarpetas de evidencias,Orígenes de datos,Comentarios,

yRegistro de cambiospestañas. Para obtener información sobre cada una de estas pestañas y cómo
interpretar esta información, consulteRevisión de los controles de una evaluación.
Para revisar la evidencia de un control
1. En la página de detalles del control, seleccione lacarpetas de evidenciaspestaña.

2. Vaya a la .carpetas de evidencias, se muestra una lista de carpetas que contienen pruebas de ese
control. Estas carpetas se organizan y nombran en función de la fecha en que se recopilaron las
pruebas.
3. Elija el nombre de una carpeta de pruebas para abrirla. A continuación, revise un resumen de
todas las pruebas recopiladas en esa fecha. Este resumen incluye el número total de problemas de
comprobación de conformidad que se han notificado directamente desdeAWS Security Hub,AWS
Config, o ambas. Para obtener instrucciones sobre cómo interpretar los datos de esta página,
consulteRevisión de carpetas de pruebas.
4. En la página de resumen de la carpeta de pruebas, navegue hasta laEvidenciatable. En
elTiempocolumna, elige una línea de pedido para abrirla. A continuación, revise los detalles sobre la
prueba que se recopiló en ese momento. Para obtener instrucciones sobre cómo interpretar los datos
de una página de detalles de pruebas, consulteRevisión de las pruebas individuales.
Tip
AunqueAWS Audit Managerrecopila automáticamente pruebas de muchos controles; en

algunos casos, es posible que tenga que proporcionar pruebas adicionales para demostrar el
cumplimiento. En estos casos, puede cargar pruebas manualmente. Para obtener instrucciones,
consulteCarga de pruebas manuales.
Adición de un comentario a un control

Puede añadir comentarios para cualquier control que revise. Estos comentarios están visibles para el
propietario de la auditoría.
Para añadir un comentario a un control

2. ElegirNotificacionesen el panel de navegación izquierdo. O bien, eligeVisualización de
notificacionesEn la barra de flash azul de la parte superior de la pantalla para abrir la página de
notificaciones.
3. En la páginaNotificaciones, revise la lista de conjuntos de controles que se le han delegado. Busque el
conjunto de controles que contiene el control para el que desea dejar un comentario y elija el nombre
de la evaluación relacionada.
4. Elija el iconoControles, desplácese hacia abajo hasta elConjuntos de controly, a continuación,
5. Elija el iconoComentariospestaña.
6. UNDEREnviar comentarios, introduzca su comentario en el cuadro de texto.
7. ElegirEnviar comentariopara añadir tu comentario. A continuación, su comentario aparece en la
secciónComentarios anterioresde la página, junto con cualquier otro comentario relacionado con este
control.
73
Marcar un control como revisado
Marcar un control como revisado

Puede indicar el progreso de la revisión actualizando el estado de los controles individuales dentro de
un conjunto de controles. Cambiar el estado del control es opcional. Sin embargo, le recomendamos
que cambie el estado de cada control aRevisadoa medida que completas tu reseña de ese control.
Independientemente del estado de cada control individual, puede volver a enviar los controles al
propietario de la auditoría.
Para marcar un control como revisado

2. ElegirNotificacionesen el panel de navegación izquierdo. O bien, eligeVisualización de
notificacionesEn la barra de flash azul de la parte superior de la pantalla para abrir la página de
notificaciones.
3. En la páginaNotificaciones, revise la lista de conjuntos de controles que se le han delegado. Encuentre
el conjunto de controles que desea marcar como revisado y elija el nombre de la evaluación
relacionada.
4. En elControlesde la página de detalles de la evaluación, vaya a laConjuntos de controltable.
para mostrar sus controles. Elija el nombre de un control para abrir la página de detalles del control.
6. Elegiractualización del estado del controly cambie el estado de aRevisado.
7. En la ventana emergente que aparece, seleccioneactualización del estado del controlpara confirmar
que ha terminado de revisar el control.
Envío del contratista de control revisado al propietario

de la auditoría
Cuando haya terminado de revisar los controles que se le han delegado, envíe el conjunto de controles al
propietario de la auditoría. Esto completa el proceso de delegación.
Para volver a enviar un control revisado al propietario de la auditoría

2. ElegirNotificacionesen el panel de navegación izquierdo.
3. Revise la lista de conjuntos de controles que se le han delegado. Encuentre el conjunto de controles
que desea volver a enviar al propietario de la auditoría y seleccione el nombre de la evaluación
relacionada.
4. Desplácese hasta elConjuntos de control, seleccione el conjunto de controles que desea enviar al
propietario de la auditoría y, a continuación, elijaEnviar para revisión.
5. En la ventana emergente que aparece, puede agregar comentarios antes de elegirEnviar para
revisión. Después de enviar el control al propietario de la auditoría, podrá ver cualquier comentario que
le haya dejado.
74
Cómo navegar por un informe
Informes de evaluación
UnAWS Audit Manager Informe de evaluaciónresume las pruebas seleccionadas que se recopilaron
para una evaluación. También contiene enlaces a archivos PDF de pruebas que contienen las pruebas
justificativas. Los contenidos específicos, la organización y las convenciones de nomenclatura de los
informes de evaluación dependen de los parámetros que elija al generar el informe.
Cuando genera un informe de evaluación a partir de un activoAWS Audit Managerevaluación, puede

seleccionar qué pruebas desea incluir en el informe. A continuación, el informe de evaluación se coloca en
el bucket de Amazon S3 especificado. Para obtener más información, consulte Generación de un informe
de evaluación (p. 64).
Los informes de evaluación están diseñados para ayudarlo a seleccionar y compilar las pruebas
pertinentes para su auditoría, pero no evalúan el cumplimiento de las pruebas en sí. En lugar de estoAWS
Audit Managersimplemente proporciona toda la evidencia seleccionada como resultado.
Cómo navegar por un informe de evaluación

Los informes de evaluación comienzan con información general de alto nivel. Esto incluye un resumen del
propio informe de evaluación, junto con un resumen de la evaluación a partir de la que se creó el informe.
Después de leer la descripción general, puede utilizar la tabla de contenido (TOC) para navegar por el
resto del informe. Elija cualquier conjunto de controles hipervinculados o control de la tabla de contenido
para saltar directamente a ese elemento y leer más detalles. Desde aquí, puede volver a la tabla de
contenido para elegir otro control o conjunto de controles, o seguir leyendo para ver el desglose detallado
de las pruebas de un control.
Cuando esté listo para revisar las pruebas de un control, puede hacerlo eligiendo el nombre de la
evidencia hipervinculada. Para pruebas automatizadas, al elegir el nombre de la evidencia hipervinculada,
se abre un nuevo archivo PDF con un resumen y más detalles sobre esa evidencia. Estos archivos PDF
de evidencia se incluyen como parte del paquete de informes de evaluación que descarga desdeAWS
Audit Manager. Para obtener pruebas manuales, el hipervínculo lo lleva al depósito de S3 que contiene la
evidencia manual.
Tip
La navegación por migas de pan en la parte superior de cada página muestra su ubicación actual
en el informe de evaluación mientras explora los conjuntos de controles y controles. Seleccione la
tabla de contenido hipervinculada para volver al TOC en cualquier momento.
Secciones de informes
En las siguientes secciones, se ofrece información acerca de cada sección del informe de evaluación. Elija
un tema para obtener más información sobre esa sección y hacer referencia a sus definiciones de datos.
Note
Cuando ve un guión (-) junto a cualquiera de los atributos de datos de las secciones siguientes,
indica que el valor de ese atributo es nulo o que no existe un valor.
• Portada (p. 76)

• Información general (p. 76)
• Índice (p. 77)
• Página de conjunto de control (p. 77)
75
Portada
• Página de control (p. 77)

• Página de resumen de pruebas (p. 78)
• Página de detalles de prueba (p. 79)
Portada
La portada incluye el nombre del informe de evaluación. También muestra la fecha y la hora en que se
generó el informe, junto con el ID de cuenta del usuario que generó el informe de evaluación.
La portada tiene el siguiente formato.AWS Audit Managerreemplaza elmarcadores de posicióncon la

información relevante para su informe.
Nombre de un informe de evaluación
Informe generado enMM/DD/YYYaHHHHHH:MM:SS AM/PMporAccountIDde la siguiente evaluación:

Nombre de evaluación
Información general
La descripción general contiene dos partes: un resumen del informe en sí y un resumen de la evaluación
de la que se generó el informe.
Resumen de un informe de evaluación

La siguiente información se incluye en el resumen del informe de evaluación.
• Nombre de un informe de evaluación— El nombre del informe.

• Descripción de un informe de evaluación: la descripción que introduce el propietario de la auditoría
cuando genera el informe.
• Fecha generada— La fecha en que se generó el informe. La hora se representa en la hora universal
coordinada (UTC).
• Conjuntos de control: el número de conjuntos de controles del informe.
• Controles— El número total de controles del informe.
• AWSÁmbito de— ElAWSRegión en la que se creó el informe.
• AWSCuentas de dentro del ámbito— Lista deAWSID de cuenta que se incluyen en el ámbito del informe.
• AWSservicios en el ámbito— Lista deAWSservicios que se incluyen en el ámbito del informe.
• Compliance— El número total de problemas de comprobación de cumplimiento que se encuentran en el
informe.
• Selección de un informe de evaluación— El número de elementos de prueba seleccionados para
incluirlos en el informe.
Resumen de evaluación
La siguiente información se incluye en el resumen de la evaluación.
• Nombre de evaluación— El nombre de la evaluación a partir de la que se generó el informe.

• Propietario de auditoría— ElAWS Identity and Access Management(IAM) usuario o rol para el propietario
de la auditoría.
• Date created (Fecha de creación)— La fecha en la que se creó la evaluación. La hora se representa en
horario UTC.
• Última actualización— La fecha en la que se actualizó por última vez la evaluación. La hora se
representa en horario UTC.
76
Índice
• Estado de evaluación— El estado de la evaluación en el momento en que se generó el informe de

evaluación.
• AWSÁmbito de— ElAWSRegión que está en el ámbito de la evaluación.
• AWSCuentas de dentro del ámbito— Lista deAWSID de cuenta que se encuentran en el ámbito de la
evaluación.
• AWSservicios en el ámbito— Lista deAWSservicios que se encuentran en el ámbito de la evaluación.
• Nombre del marco— El nombre del marco desde el que se creó la evaluación.
• Descripción del marco— La descripción opcional del marco desde el que se creó la evaluación.
• Tipo de marco: especifica si el marco es estándar o personalizado.
• Tipo de conformidad— El nombre de la norma o reglamento de cumplimiento que admite el marco.
Índice
La tabla de contenido muestra el contenido completo del informe de evaluación. Los contenidos se
agrupan y organizan en función de los conjuntos de controles incluidos en la evaluación. Los controles
siempre se anidan debajo de su conjunto de controles respectivo.
Elija cualquier elemento de la tabla de contenido para navegar directamente a esa sección del informe.
Puede elegir un conjunto de controles o ir directamente a un control.
Página de conjunto de control

Puede utilizar el resumen del conjunto de controles para familiarizarse con el conjunto de controles antes
de elegir un control concreto que desea revisar.
Resumen del conjunto de control

La siguiente información se incluye en el resumen del conjunto de controles.
• Nombre del conjunto de control— El nombre del conjunto de controles.

• Estado del conjunto de control— El estado de revisión del control establecido en el momento en que se
generó el informe.
• Controles totales— El número total de controles del conjunto de controles.
• Compliance— El número de problemas de comprobación de cumplimiento detectados para este
conjunto de controles, de todas las pruebas seleccionadas para su inclusión en el informe de evaluación
del conjunto de controles dado.
• Selección de un informe de evaluación— El número de elementos de prueba de este conjunto de
controles que se incluyeron en el informe.
• Controles: lista de controles que forman parte del conjunto de controles. Elija el control hipervinculado
para ir directamente a la página del informe que contiene más información sobre ese control.
Página de control
La página de control contiene dos partes: un resumen del control en sí y un resumen de la evidencia
relacionada de ese control que se incluyó en el informe.
Resumen de control
La siguiente información se incluye en el resumen de control.
• Nombre de control— El nombre del control.
77
Página de resumen de pruebas
• Conjunto de control— El nombre del conjunto de controles al que pertenece el control.

• Descripción del control— La descripción del control.
• Información de pruebas— Los procedimientos de prueba recomendados para este control.
• Plan de acción— Las acciones recomendadas que se deben realizar si no se cumple el control.
• Primera fecha de recogida de pruebas— La fecha y hora en que se recogió la primera prueba para este
control. La hora se representa en horario UTC.
• Fecha de recogida de la última prueba— La fecha y la hora en que se recopiló la última prueba para este
control. La hora se representa en horario UTC.
• Compliance— El número de problemas de comprobación de cumplimiento que se encontraron para las
pruebas de este control.
• Selección de un informe de evaluación— El número de elementos de prueba relacionados con este
control que se incluyeron en el informe de evaluación.
Selección de un informe de evaluación

En la tabla de selección de informes de evaluación, se muestra una lista de carpetas de pruebas con las
siguientes columnas de datos.
• Nombre de la prueba: muestra la evidencia agrupada por carpetas. A continuación, estas carpetas se
organizan y nombran según la fecha en que se recopilaron las pruebas. Tras el nombre de cada carpeta
en negrita hay una lista de nombres de evidencia hipervinculados.
• Los nombres de pruebas automatizadas comienzan con la fecha de la recopilación automatizada de
pruebas, seguidos de un identificador único y el_autosufijo (por ejemplo,[HH-MM-SSAM/PMUTC] _
[abcdefghij] _ [auto]). Para obtener pruebas automatizadas, el nombre hipervinculado abre un
nuevo archivo PDF con un resumen y más detalles sobre esa evidencia.
• Los nombres de pruebas manuales comienzan con la fecha de la carga manual, seguidos de un
identificador único, los 10 primeros caracteres del nombre de archivo y la extensión del archivo (por
ejemplo,[HH-MM-SSAM/PMUTC] _ [abcdefghij] _ [ManualEvid.csv]). Para obtener pruebas
manuales, el nombre hipervinculado le lleva al depósito de S3 que contiene el objeto de evidencia
manual.
• Compliance: junto al nombre de cada carpeta de pruebas se encuentra el número total de problemas
de comprobación de conformidad para esa carpeta. Para cada fila de pruebas debajo de esa carpeta,
elCompliancemuestra el resultado de la comprobación de conformidad correspondiente.
• Para obtener pruebas automatizadas recopiladas deAWS Security Hub, unPassed,Failed
(Error),Advertencia, o bienNo aplicableEl resultado se informa directamente desde Security Hub. Para
obtener más información acerca de estos estados, consulteDeterminación del estado general de un
control a partir de sus hallazgosen laGuía del usuario de Security Hub.
• Para obtener pruebas automatizadas recopiladas deAWS Config, unSumiso,No conforme, o bienNo
aplicableel resultado se informa directamente desdeAWS Config. Para obtener más información
acerca de estos estados, consulteCumplimientoen laAWS ConfigReferencia de la API.
• Para obtener pruebas automatizadas recopiladas deAWS CloudTraily llamadas API, y para todas las
pruebas manuales,No aplicableaparece.
Página de resumen de pruebas

La siguiente información se incluye en el resumen de pruebas.
• Nombre de la prueba— El nombre de las pruebas. El nombre se basa en la fecha en que se creó o cargó
la evidencia.
• Carpeta evidencia— Nombre de la carpeta en la que se encuentra la prueba. El nombre se basa en la
fecha en que se creó la evidencia, registrada en el[AAAA-MM-DD]formato.
78
Página de detalles de prueba
• Descripción de la evidencia— La descripción de las pruebas. Incluye los relacionadosAWSla cuenta y la

fuente de la que se recogieron las pruebas.
• Nombre de un informe de evaluación— El nombre del informe.
• Nombre de evaluación— El nombre de la evaluación a partir de la que se generó el informe.
• Nombre del marco— El nombre del marco desde el que se creó la evaluación.
• Descripción del marco— La descripción opcional del marco.
• Tipo de marco: especifica si el marco es estándar o personalizado.
• Tipo de conformidad— La norma o regulación de cumplimiento que admite el marco.
• Nombre de control— Es el nombre del control que sostiene la evidencia.
• Nombre del conjunto de control: nombre del conjunto de controles al que pertenece el control
relacionado.
• Descripción del control— La descripción del control que sustenta la evidencia.
• Información de pruebas— Los procedimientos de prueba recomendados para el control.
• Plan de acción— Las acciones recomendadas que se deben realizar si no se cumple el control.
• AWSRegión— El nombre de la región asociada a la evidencia.
• IAM ID— El ARN del usuario o rol de IAM asociado a la evidencia.
• AWScuenta— ElAWSID de cuenta que está asociado a la evidencia.
• AWSServicio de— Nombre del servicio de AWS asociado a la evidencia.
• Recursos incluidos— ElAWSrecursos que se evaluaron para generar la evidencia. Este atributo no se
aplica a las pruebas de comprobación de cumplimiento deAWS Config. Para este tipo de evidencia,
puede encontrar todos los recursos tabulados en elPágina de detalles de prueba (p. 79)del PDF de
pruebas.
• Nombre del evento:— El nombre del evento de prueba.
• Hora del evento— El momento en el que se produjo el evento de prueba.
• Origen de datos— el nombre delAWSservicio del que se recogieron las pruebas.
• Evidencia por tipo— La categoría de las pruebas.
• Datos de configuraciónse recogen pruebas a partir de instantáneas de otrosAWSServicios de .
• Compliance— El estado de evaluación de las pruebas incluidas en la categoría de comprobación de
cumplimiento.
• Para obtener pruebas automatizadas recopiladas deAWS Security Hub, unPassed,Failed
(Error),Advertencia, o bienNo aplicableEl resultado se informa directamente desde Security Hub. Para
obtener más información acerca de estos estados, consulteDeterminación del estado general de un
control a partir de sus hallazgosen laGuía del usuario de Security Hub.
• Para obtener pruebas automatizadas recopiladas deAWS Config, unSumiso,No conforme, o bienNo
aplicableel resultado se informa directamente desdeAWS Config. Para obtener más información
acerca de estos estados, consulteCumplimientoen laAWS ConfigReferencia de la API.
• Para obtener pruebas automatizadas recopiladas deAWS CloudTraily llamadas API, y para todas las
pruebas manuales,No aplicableaparece.
Página de detalles de prueba

La página de detalles de la evidencia muestra el nombre de la evidencia y una tabla de detalles de
pruebas. Esta tabla proporciona un desglose detallado de cada elemento de la evidencia para que pueda
comprender los datos y validar que son correctos.
79
Comprobación de integridad de un informe
Según la fuente de datos del control, el contenido de la página de detalles de la evidencia varía. Por
ejemplo, los detalles de evidencia de una llamada a API consisten en una lista de los parámetros de la API
en formato tabular y las respuestas correspondientes para cada elemento.
Tip
La navegación por migas de pan en la parte superior de cada página muestra su ubicación actual
mientras explora los detalles de la evidencia. Seleccione el nombre del resumen de pruebas
hipervinculadas para volver al resumen de pruebas en cualquier momento.
Comprobación de la integridad de un informe

Cuando genera informes de evaluación para la auditoría,AWS Audit Managerproduce una suma de
comprobación del archivo de informe para que pueda validar que el informe permanezca inalterado. Puede
descargar el informe para compartir pruebas con sus auditores.
Para validar la integridad de un informe, utilice laValidar la integridad del informe de evaluaciónAPI
proporcionada porAWS Audit Manager.
Utilice la información que se indica aquí para diagnosticar y solucionar los problemas que puedan surgir
cuando trabaje con informes de evaluación en Audit Manager.
Mi informe de evaluación no se ha podido generar

Es posible que el informe de evaluación no se haya generado por varios motivos. Puede empezar a
solucionar este problema comprobando las causas más frecuentes. Para empezar, utilice la siguiente lista
de verificación.
1. Comprueba si alguno de tusAWSLa información de la región no coincide:

a. ¿Tiene elAWSLa región de la clave administrada por el cliente coincide con laAWS¿Región de su
evaluación? Si proporcionaste una clave administrada por el cliente para el cifrado de datos, debe
estar en la mismaAWSRegión como evaluación. Para obtener instrucciones sobre cómo cambiar la
clave KMS, consulteAWS Audit Managerconfiguración, Cifrado de datos.
2. Compruebe los permisos del bucket de S3 que está utilizando como destino del informe de evaluación:
a. ¿La entidad de IAM que está generando el informe de evaluación tiene los permisos necesarios
para el bucket de S3? La entidad de IAM debe tener los permisos de bucket de S3 necesarios
para publicar informes en ese bucket. Proporcionamos unPolítica de ejemploque puede utilizar.
Para obtener instrucciones sobre cómo especificar un bucket de S3 diferente, consulteAWS Audit
Managerconfiguración, destino del informe de evaluación.
b. ¿Tiene el bucket de S3 una política de bucket que requiere cifrado del lado del servidor (SSE)
medianteSSE-KMS? En caso afirmativo, la clave KMS utilizada en esa política de bucket debe
coincidir con la clave KMS especificada en la configuración de cifrado de datos de Audit Manager.
Si no configuró una clave KMS en la configuración de Audit Manager y la política de bucket de S3
requiere SSE, asegúrese de que la política de bucket lo permitaSSE-S3. Para obtener instrucciones
sobre cómo configurar el destino del informe de evaluación y la clave KMS utilizada para el cifrado de
datos, consulteAWS Audit ManagerConfiguración de.
Si sigues sin poder generar correctamente un informe de evaluación, revisa los siguientes problemas en
esta página.
80
Error en la generación de informes
Seguí la lista de comprobación anterior y mi informe

de evaluación aún no ha podido generar
Audit Manager puede admitir hasta 7.000 elementos de prueba aproximadamente en un único informe de
evaluación. Si intenta generar un informe que contenga más pruebas que esto, la operación podría fallar.
Si tiene este problema, recomendamos que genere varios informes de evaluación como solución
alternativa. Esto le permitirá exportar pruebas de su evaluación a lotes de tamaño más manejable.
No puedo descomprimir el informe de evaluación

Si no puede descomprimir el informe de evaluación en Windows, es probable que Windows Explorer no
pueda extraerlo porque su ruta de archivo tiene varias carpetas anidadas o nombres largos. Esto se debe
a que, en el sistema de nombres de archivos de Windows, la ruta de carpeta, el nombre del archivo y la
extensión de archivo no pueden superar los 259 caracteres. De lo contrario, esto resulta enDestination
Path Too Long.
Para resolver este problema, intente mover el archivo zip a la carpeta principal de su ubicación actual.
A continuación, puede intentar descomprimirlo de nuevo desde allí. También puede intentar acortar el
nombre del archivo zip o extraerlo en otra ubicación que tenga una ruta de archivo más corta.
Recibo unAcceso denegadoerror cuando intento

generar un informe
Recibirás unaccess deniederror si la evaluación ha sido creada por una cuenta de administrador
delegada a la que no pertenece la clave KMS especificada en la configuración de Audit Manager. Para
evitar este error, al designar un administrador delegado para Audit Manager, asegúrese de que la cuenta
de administrador delegado tenga acceso a la clave KMS que proporcionó al configurar Audit Manager.
Es posible que también recibas unaccess deniederror si no tiene permisos de escritura para el bucket
de S3 que utilice como destino del informe de evaluación.
Si obtiene unaccess deniederror, asegúrese de que cumple los siguientes requisitos:
• SusAWS KMSen la configuración de Audit Manager otorga permisos al administrador delegado. Puede
configurarlo siguiendo las instrucciones dePermitir a los usuarios de otras cuentas utilizar una clave
KMSen laAWS Key Management ServiceGuía para desarrolladores. Para obtener instrucciones sobre
cómo revisar y cambiar la configuración de cifrado en Audit Manager, consulteCifrado de datos.
• Tiene una política de permisos que le otorga acceso de escritura para el bucket de S3 que está
utilizando como destino del informe de evaluación. Más concretamente, la política de permisos contiene
uns3:PutObject, especifica el ARN del bucket de S3 e incluye la clave utilizada para cifrar los
informes de evaluación. Para ver una política de ejemplo que puede utilizar, consulteEjemplos de
políticas basadas en identidades deAWS Audit Manager.
Note
Si cambia la configuración de cifrado de datos de Audit Manager, estos cambios se aplican a las
nuevas evaluaciones que crea en el futuro. Esto incluye los informes de evaluación que cree a
partir de sus nuevas evaluaciones.
Los cambios no se aplican a las evaluaciones existentes que creó antes de cambiar la
configuración de cifrado. Esto incluye los nuevos informes de evaluación que crea a partir de
evaluaciones existentes, además de los informes de evaluación existentes. Las evaluaciones
existentes, y todos sus informes de evaluación, siguen utilizando la antigua clave KMS. Si la
81
La generación de mi informe de evaluación
está atascadaEn cursoestado, y no estoy
seguro de cómo afecta esto a mi facturación
identidad de IAM que genera el informe de evaluación no tiene permisos para utilizar la antigua
clave de KMS, puede conceder permisos a nivel de política clave.
La generación de mi informe de evaluación está

atascadaEn cursoestado, y no estoy seguro de cómo
afecta esto a mi facturación
La generación de informes de evaluación no afecta a la facturación. Solo se le facturará basándose en
la evidencia que recogen sus evaluaciones. Para obtener más información sobre los precios, consulte
Precios de AWS Audit Manager.
Destinos de un informe
Cuando genere un informe de evaluación, Audit Manager publica el informe en el bucket de S3 de su
elección. Este bucket de S3 se conoce comodestino de un informe de evaluación. Puede especificar el
destino del informe de evaluación preferido cuando cree la evaluación por primera vez. Para obtener
instrucciones sobre cómo actualizar sus preferencias, consulteConfiguración, destino del informe de
evaluaciónen esta guía.
Sugerencias de configuración
Para garantizar la publicación correcta del informe de evaluación, le recomendamos que verifique las
siguientes configuraciones para el destino del informe de evaluación.
Región de AWS
LaAWSLa región de la clave administrada por el cliente (si la proporcionó) debe coincidir con la región
de la evaluación. Para obtener instrucciones sobre cómo configurar la clave KMS utilizada para el cifrado
de datos, consulteAWS Audit ManagerConfiguración de. Para obtener una lista de las regiones de Audit
Manager admitidas, consulteAWS Audit ManagerCuotas y puntos de enlace deen laReferencia general de
Amazon Web Services.
Cifrado del bucket S3
Si el destino del informe de evaluación tiene una política de bucket que requiere cifrado del lado del
servidor (SSE) medianteSSE-KMS, la clave KMS utilizada en esa política de bucket debe coincidir con la
clave KMS configurada en la configuración de cifrado de datos de Audit Manager. Si no ha configurado
una clave KMS en la configuración de Audit Manager y la política de bucket de destino del informe
de evaluación requiere SSE, asegúrese de que la política de bucket lo permitaSSE-S3. Para obtener
instrucciones sobre cómo configurar el destino del informe de evaluación y la clave KMS utilizada para el
cifrado de datos, consulteAWS Audit ManagerConfiguración de.
Note
existentes, y todos sus informes de evaluación, siguen utilizando la antigua clave KMS. Si
la identidad de IAM que genera el informe de evaluación no tiene permisos para utilizar la
antigua clave de KMS, puede conceder permisos a nivel de política clave. Para obtener
82
Asuntos que tener en cuenta
instrucciones, consultePermitir a los usuarios de otras cuentas utilizar una clave KMSen la AWS
Key Management ServiceGuía para desarrolladores de servicios.
Otros problemas que tener en cuenta

Cuentas cruzadas
Note
El uso de un bucket de S3 entre cuentas como destino del informe de evaluación no se admite
en la consola de Audit Manager. Es posible especificar un depósito multicuenta como destino
del informe de evaluación mediante elAWSCLI o uno de losAWSSDK, pero para simplificar,
recomendamos no hacerlo. Si elige utilizar un bucket de S3 multicuenta como destino del informe
de evaluación, tenga en cuenta los siguientes puntos.
• De forma predeterminada, los objetos S3, como los informes de evaluación, son propiedad de
laAWScuenta que carga el objeto. Puede utilizar elPropiedad de objetos de S3para cambiar este
comportamiento predeterminado de modo que cualquier nuevo objeto que las cuentas con labucket-
owner-full-controlLa lista de control de acceso (ACL) predefinida pasará automáticamente a ser
propiedad del propietario del bucket.
Aunque no es un requisito, te recomendamos que realices los siguientes cambios en la configuración de

tu bucket multicuenta. La realización de estos cambios garantiza que el propietario del bucket tenga el
control total de los informes de evaluación que publica en su bucket.
• Establecer la propiedad del objeto del bucket de S3aPropietario del bucket preferido, en lugar del valor
predeterminadoEscritor de objetos
• Agregar una política de bucketpara asegurarse de que los objetos cargados en ese depósito tengan
elbucket-owner-full-controlACL
• Para permitir que Audit Manager publique informes en un bucket de S3 entre cuentas, debe agregar
la siguiente política de bucket de S3 al destino del informe de evaluación. Reemplace elmarcadores
de posicióncon tu propia información. LaPrincipalelemento de esta política es el usuario o rol
que posee la evaluación y crea el informe de evaluación. LaResourceespecifica el bucket de S3 entre
cuentas en el que se publica el informe.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Allow cross account assessment report publishing",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AssessmentOwnerAccountId:user/AssessmentOwnerUserName"
},
"Action": [
"s3:ListBucket",
"s3:PutObject",
"s3:GetObject",
"s3:GetBucketLocation",
"s3:PutObjectAcl",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::cross-account-bucket",
"arn:aws:s3:::cross-account-bucket/*"
]
}
]
}
83
Biblioteca de marco
Puede obtener acceso a los marcos de trabajo y administrarlos desdemarcoenAWS Audit Manager.
Un marco determina qué controles se prueban en un entorno durante un período de tiempo. Define
los controles y sus asignaciones de fuentes de datos para un estándar o reglamento de cumplimiento
determinado. También se utiliza para estructurar y automatizarAWS Audit Managerevaluaciones. Puede
utilizar marcos de trabajo como punto de partida para auditar suAWSuso del servicio y comience a
automatizar la recopilación de pruebas.
La biblioteca de marcos contiene un catálogo de marcos estándar y personalizados.
• Marcos estándarson marcos precompilados queAWSproporciona. Estos marcos se basan

enAWSprácticas recomendadas para diferentes normas y regulaciones de cumplimiento. Entre estos se
incluyen el RGPD y HIPAA. Los marcos estándar incluyen controles organizados en conjuntos de control
basados en la norma o regulación de cumplimiento que admite el marco.
Puede ver el contenido de los marcos de trabajo estándar, pero no podrá editarlos ni eliminarlos. Sin
embargo, puede personalizar cualquier marco estándar para crear uno nuevo que cumpla con sus
requisitos específicos.
• Marcos de trabajo personalizadosson marcos personalizados de su propiedad. Puede crear un marco
personalizado desde cero o personalizar un marco existente. Puede utilizar marcos personalizados
para organizar los controles en conjuntos de controles de forma que se ajusten a sus requisitos
específicos. Para obtener más información acerca de cómo administrar los controles, consulteBiblioteca
de control (p. 155).
Puede crear una evaluación a partir de un marco estándar o un marco personalizado. Para obtener
información sobre cómo crear y administrar evaluaciones, consulteEvaluaciones enAWS Audit
Manager (p. 46).
Note

normas y regulaciones específicas de cumplimiento. Sin embargo, no evalúa su cumplimiento
por sí solo. Las pruebas que se recogen a través deAWS Audit Managerpor lo tanto, es posible
En esta sección se describe cómo crear y administrar marcos de trabajo personalizados enAWS Audit
Manager.
Temas
• Acceso a los marcos disponibles enAWS Audit Manager (p. 85)
• Visualización de los detalles de un marco (p. 85)
• Creación de un marco personalizado (p. 86)
• Edición de un marco de trabajo personalizado (p. 90)
• Eliminación de un marco personalizado (p. 91)
• Uso compartido de un marco personalizado (p. 92)
84
Acceso a un marco
• Marcos admitidos enAWS Audit Manager (p. 104)
Acceso a los marcos disponibles enAWS Audit

Manager
Puede encontrar una lista de todos los marcos de trabajo disponibles en laBiblioteca de marco(Se ha
incluidoAWS Audit Manager. Desde la página de la biblioteca de marcos, también puedecrear una
evaluación a partir de un marco,crear un marco personalizado, o bienpersonalizar un marco existente.
Para acceder a los marcos disponibles enAWS Audit Manager

2. En el panel de navegación izquierdo, seleccioneBiblioteca de marco.
3. Elija el iconoMarcos estándaro laMarcos de trabajo personalizadospara explorar los marcos estándar
y personalizados disponibles.
4. Elija cualquier nombre de marco para ver los detalles asociados a ese marco.
Visualización de los detalles de un marco

Puede abrir un marco de trabajo y ver sus detalles en cualquier momento.
Para ver los detalles de un marco

2. En el panel de navegación izquierdo, seleccioneBiblioteca de marcoPara ver una lista de los marcos
de trabajo disponibles.
3. Elija el iconoMarcos estándaro laMarcos de trabajo personalizadospara explorar los marcos estándar
y personalizados disponibles.
4. Elija el nombre del marco de trabajo para abrirlo.
Cuando abres un marco de trabajo, unDetalles del marcose abre la página. Las secciones de esta página y
su contenido se describen en las siguientes secciones.
Secciones de la página de detalles del marco

• Detalles del marco (p. 85)
• Juegos de control (p. 86)
• Pestaña Etiquetas (p. 86)
Detalles del marco

LaDetalles del marcoproporciona información general sobre el marco de trabajo y su configuración.
1. Nombre del marco— El nombre del marco.

2. Tipo de conformidad— La norma o regulación de cumplimiento que admite el marco.
3. Descripción— Una descripción del marco de trabajo, si se ha proporcionado uno.
85
Juegos de control
4. [X] controles automatizados— El número de controles automatizados del marco.

5. Tipo de marco: especifica si el marco es un marco estándar o un marco personalizado.
6. Juegos de control: el número de conjuntos de controles que están asociados con el marco de trabajo.
7. Controles— El número total de controles del marco.
8. Fuentes de control— El número de fuentes de datos de control dondeAWS Audit Managerrecoge
pruebas de.
9. Etiquetas— Las etiquetas que están asociadas al marco de trabajo.
Si está viendo un marco personalizado, también se muestran los siguientes detalles:
1. Creado por— La cuenta que creó el marco personalizado.

2. Date created (Fecha de creación)— La fecha en que se creó el marco personalizado.
3. Última actualización— La fecha en que se editó por última vez este marco.
Juegos de control
UNDERJuegos de control, la lista de controles del marco se muestra y agrupa por conjunto de controles.
• Controles agrupados por conjuntos de controles— Es el nombre del conjunto de controles. Seleccione el
nombre del conjunto de controles para ver la lista completa de controles del conjunto de controles.
• Tipo de control: especifica si el control es un control estándar o un control personalizado.
• Data source type— El recurso queAWS Audit Managerrecopila pruebas para respaldar los requisitos del
control.
Pestaña Etiquetas
LaEtiquetasproporciona una descripción general de las etiquetas que están asociadas al marco.
1. Clave— La clave de la etiqueta. Puede ser un estándar de cumplimiento, un reglamento o una

categoría.
2. Valor— El valor de la etiqueta.
Creación de un marco personalizado

Puede acceder y administrar marcos de trabajo desde la biblioteca de marcos enAWS Audit Manager.
Puede crear marcos personalizados para organizar los controles en conjuntos de controles de forma que
se ajusten a sus requisitos específicos.
Hay dos formas de crear un marco personalizado. Puede personalizar un marco existente o crear un marco
nuevo desde cero.
Temas
• Creación de un nuevo marco personalizado desde cero (p. 87)
• Personalización de un marco existente (p. 88)
86
Crear nuevos
Creación de un nuevo marco personalizado desde

cero
Puede utilizar marcos personalizados enAWS Audit Managerpara organizar los controles en conjuntos de
control de forma que cumpla con sus requisitos específicos. Puede crear un nuevo marco personalizado
desde cero en la biblioteca de marcos siguiendo estos pasos.
Temas
• Paso 1: Especificar detalles de la estructura (p. 87)
• Paso 2: Especificar los controles en los conjuntos de controles (p. 87)
• Paso 3: Revisar y crear el marco (p. 88)
Paso 1: Especificar detalles de la estructura

Comience especificando los controles que desea incluir en su marco personalizado.
Para especificar detalles del marco

2. En el panel de navegación izquierdo, seleccioneBiblioteca de marco, y elijaCreación de un framework
personalizado.
3. UNDERDetalle del marco, introduzca un nombre, una norma o reglamento de cumplimiento (opcional)
y una descripción para su marco (también opcional). Introduzca una palabra clave de norma o
regulación de conformidad, comoPCI_DSSoGDPRpara que puedas usar esta palabra clave para
buscar tu framework.
4. UNDEREtiquetas, eligeAñadir nueva etiquetapara asociar una etiqueta a su marco de trabajo. Puede
especificar una clave y un valor para cada etiqueta. La clave de la etiqueta es obligatoria Puede
utilizarlo como criterio de búsqueda al buscar este marco en la biblioteca Framework. Para obtener
más información sobre las etiquetas de AWS Audit Manager, consulte Etiquetado de recursos de AWS
Paso 2: Especificar los controles en los conjuntos de controles

A continuación, especifica qué controles desea agregar a su marco y cómo desea organizarlos. Comience
añadiendo conjuntos de controles al marco y, a continuación, agregue controles al conjunto de controles.
Note
Cuando utiliza elAWS Audit Managerconsola para crear un marco personalizado, puede agregar
hasta 10 conjuntos de controles para cada marco.
Cuando utiliza la API de Audit Manager para crear un marco personalizado, puede crear más de
10 conjuntos de controles. Para añadir más conjuntos de controles de los que permite la consola
actualmente, utilice laCrear marco de evaluaciónAPI que proporciona Audit Manager.
Para especificar los controles de los conjuntos de controles
1. UNDERNombre del conjunto de controles, escriba un nombre para el conjunto de controles.

2. UNDERAgregar un nuevo control al conjunto de controles, Seleccionar tipo de control, usa la
lista desplegable para seleccionar uno de los dos tipos de control: Controles estándaroControles
87
Personalizar los existentes
personalizados. Los controles estándar son proporcionados porAWS Audit Manager, y los controles
personalizados son los que crea.
3. En función de la opción que seleccionó en el paso anterior, se muestra una lista de controles estándar
o controles personalizados. Puede navegar por la lista o realizar búsquedas introduciendo el nombre
del control, el cumplimiento o la etiqueta. Seleccione uno o varios controles y elijaAñadir al conjunto de
controlesPara agregarlos al conjunto de controles.
4. En la ventana emergente que aparece, seleccioneAñadir al conjunto de controlespara confirmar su
adición.
5. UNDERRevisar los controles seleccionados en el conjunto de controles, revise los controles
que aparecen en elControles seleccionadoslista. Para añadir más controles a un conjunto de
controles, repita los pasos 2 a 4. Puede eliminar los controles no deseados del conjunto de controles
seleccionando uno o varios controles y eligiendoEliminar control.
6. Para añadir un nuevo conjunto de controles al marco de trabajo, seleccioneAñadir conjunto de
controlesen la parte inferior de la página. Puede eliminar conjuntos de controles no deseados
seleccionandoEliminar conjunto de controles.
7. Una vez que haya terminado de añadir conjuntos de controles y controles, seleccionePróximo.
Paso 3: Revisar y crear el marco

Revisión de la información de su marco de trabajo. Para cambiar la información de un paso, elijaEditar.
Cuando haya terminado, elijaCreación de un framework personalizado.

Después de crear el nuevo marco personalizado, puede crear una evaluación a partir de su marco. Para
obtener más información, consulte Creación de una evaluación (p. 46).
También puede crear un marco personalizado utilizando un marco existente. Para obtener más
información, consulte Personalización de un marco existente (p. 88).
Para obtener instrucciones sobre cómo editar el Marco de trabajo personalizado, consulteEdición de un
marco de trabajo personalizado (p. 90).
Personalización de un marco existente

Con marcos personalizados enAWS Audit Manager, puede organizar los controles en conjuntos de
controles de forma que se ajusten a sus requisitos específicos. En lugar de crear un marco personalizado
desde cero, puede utilizar un marco existente como punto de partida y personalizarlo. Al hacerlo, el
marco existente permanece en la biblioteca de marcos y se crea un nuevo marco personalizado con la
configuración personalizada.
Puede seleccionar cualquier marco existente para personalizar. Puede ser un marco estándar o un marco
personalizado.
En la biblioteca marco, desde laCreación de un framework personalizadolista desplegable,

eligePersonalizar el marco existente. Utilice los siguientes pasos para personalizar el Marco de trabajo.
Temas
• Paso 1: Especificar detalles de la estructura (p. 89)
• Paso 2: Especificar controles que se van a agregar a conjuntos de controles (p. 89)
• Paso 3: Revisar y crear el marco (p. 90)
88
Paso 1: Especificar detalles de la estructura

Todos los detalles del marco, excepto las etiquetas, se transfieren del marco original. Revise y modifique
estos detalles según sea necesario.
Para especificar detalles del marco

2. En el panel de navegación izquierdo, elijaBiblioteca de marco.
3. Elija el Marco de trabajo que desea personalizar y desde laCreación de un framework
personalizadolista desplegable, eligePersonalizar el marco existente.
4. UNDERDetalle del marco, revise el nombre, el tipo de cumplimiento y la descripción de su marco
de trabajo y modifíquelos según sea necesario. El tipo de cumplimiento debe indicar el estándar de
cumplimiento o el reglamento asociado a su marco. Puede utilizar esta palabra clave para buscar su
marco de trabajo.
5. UNDEREtiquetas, eligeAñadir nueva etiquetapara asociar una etiqueta a su marco de trabajo. Puede
utilizar como criterio de búsqueda cuando busca este marco en la biblioteca Framework. Para obtener
más información sobre las etiquetas de AWS Audit Manager, consulte Etiquetado de recursos de AWS
Paso 2: Especificar controles que se van a agregar a conjuntos

de controles
Los conjuntos de control se transfieren del marco original. Personalice la configuración actual añadiendo
más controles o eliminando los controles existentes según sea necesario.
Note
Cuando utiliza elAWS Audit Managerconsola para personalizar un marco, puede agregar hasta 10
conjuntos de controles para cada marco.
Cuando utiliza la API de Audit Manager para crear un marco personalizado, puede agregar más
de 10 conjuntos de controles. Para añadir más conjuntos de controles de los que permite la
consola actualmente, utilice laCrear marco de evaluaciónAPI que proporciona Audit Manager.
Para especificar controles en el conjunto de controles
1. UNDERNombre del conjunto de controles, personalice el nombre del conjunto de controles según sea
necesario.
2. UNDERAñadir un nuevo control al conjunto de controles, agregue un nuevo control mediante la
personalizados.
3. En función de la opción que seleccionó en el paso anterior, se muestra una lista de controles estándar
o controles personalizados. Puede navegar por esta lista o buscar introduciendo el nombre del control,
el cumplimiento o las etiquetas para localizar los controles que desea agregar. Seleccione uno o varios
controles y elijaAñadir al conjunto de controlespara añadir a este conjunto de controles.
adición.
5. UNDERRevisar los controles seleccionados en el conjunto de controles, revise los controles
que aparecen en elControles seleccionadoslista. Para añadir más controles a un conjunto de
controles, repita los pasos 2 a 4. Puede eliminar los controles no deseados del conjunto de controles
89
Edición de un marco de trabajo personalizado
6. Para añadir un nuevo conjunto de controles al marco de trabajo, seleccioneAñadir conjunto de

controlesen la parte inferior de la página. Puede eliminar conjuntos de controles no deseados
Paso 3: Revisar y crear el marco

Cuando haya terminado, elijaCreación de un framework personalizado.

Después de crear el nuevo marco personalizado, puede crear una evaluación a partir de su marco. Para
obtener más información, consulte Creación de una evaluación (p. 46).
Para obtener instrucciones sobre cómo editar el Marco de trabajo personalizado, consulteEdición de un
marco de trabajo personalizado (p. 90).
Edición de un marco de trabajo personalizado

Puede utilizar marcos personalizados enAWS Audit Managerpara organizar los controles en conjuntos de
control para satisfacer sus necesidades específicas. Puede utilizar la biblioteca de marcos para buscar y
editar un marco personalizado siguiendo estos pasos.
Temas
• Paso 1: Modificar los detalles del marco (p. 90)
• Paso 2: Edite los controles del conjunto de controles (p. 91)
• Paso 3. Revisar y actualizar el marco (p. 91)
Paso 1: Modificar los detalles del marco

Comience revisando y editando los detalles del marco existente.
Para editar los detalles de la estructura

3. En la biblioteca de marcos, elija laMarcos de trabajo personalizados, seleccione el Marco de trabajo
que desea editar y, a continuación, seleccioneEditar.
• Como opción, puede abrir un Marco de trabajo personalizado y elegirEditaren la parte superior
derecha de la página de resumen de evaluación.
4. UNDERDetalle del marco, revise el nombre, el tipo de conformidad y la descripción de su marco de
trabajo y haga los cambios necesarios.
Tip
Para editar las etiquetas de un marco de trabajo, abra el marco y elija laPestaña
Etiquetas (p. 86). Allí podrá ver y editar las etiquetas que están asociadas al marco.
90
Paso 2: Controles de edición
Paso 2: Edite los controles del conjunto de controles

A continuación, revise y edite los controles y conjuntos de controles del marco.
Note
Cuando utiliza elAWS Audit Managerconsola para editar un marco personalizado, puede agregar
hasta 10 conjuntos de controles para cada marco.
Cuando utiliza la API de Audit Manager para editar un marco personalizado, puede agregar
más de 10 conjuntos de controles. Para añadir más conjuntos de controles de los que permite la
consola actualmente, utilice laMarco de evaluación de actualizacionesAPI que proporciona Audit
Manager.
Para editar controles
1. UNDERNombre del conjunto de controles, revise y edite el nombre del conjunto de controles según
sea necesario.
2. UNDERAñadir un nuevo control al conjunto de controles, puedes añadir un control. Utilice la
personalizados.
3. En función de la opción seleccionada en el paso anterior, se muestra una lista de tablas de controles
estándar o controles personalizados. Puede buscar conjuntos de controles en la lista. O bien,
puede buscar introduciendo el nombre del control, el origen de datos o las etiquetas para localizar
los controles que desea agregar. Seleccione uno o varios controles y elijaAñadir al conjunto de
controlespara añadir a este conjunto de controles.
adición.
5. UNDERRevisar los controles seleccionados en el conjunto de controles, revise y edite los controles
que aparecen actualmente en elControles seleccionadoslista. Para añadir más controles a un conjunto
de controles, repita los pasos 2 a 4. Elimine los controles no deseados del conjunto de controles
6. Para añadir un nuevo conjunto de controles al marco de trabajo, seleccioneAñadir conjunto
de controlesen la parte inferior de la página. Elimine conjuntos de controles no deseados
Paso 3. Revisar y actualizar el marco

Cuando haya finalizado, Save changes (Guardar cambios).
Eliminación de un marco personalizado

Marcos personalizados deAWS Audit Managerle ayudan a organizar los controles en conjuntos de
controles para satisfacer sus requisitos específicos. Puede utilizar la biblioteca de marcos para buscar y
eliminar un marco personalizado no deseado.
Para eliminar un marco personalizado

91
Uso compartido de un marco personalizado
3. Elija el iconoMarcos de trabajo personalizados, seleccione el marco de trabajo que desea eliminar y, a
continuación, elijaBorrar.
• De forma alternativa, puede elegir el nombre del marco para abrir la página de detalles del marco
y, a continuación, elegirBorrarEn la parte superior derecha de la página.
4. En la ventana emergente, elijaBorrarpara confirmar la eliminación.
Note
Eliminar un marco personalizado no afecta a ningún existenteAWS Audit Managerevaluación que
se creó a partir de ese marco antes de su eliminación.
Uso compartido de un marco personalizado

Puede utilizar la función de uso compartido de marco deAWS Audit Managerpara replicar rápidamente los
marcos personalizados que crea. Puede compartir sus marcos personalizados con otroCuenta de AWSo
replicar los marcos en otroRegión de AWSbajo su propia cuenta. El destinatario puede acceder a su marco
personalizado y utilizarlo para crear evaluaciones. Pueden hacerlo sin tener que repetir ninguno de sus
esfuerzos de configuración para ese marco.
Para compartir un marco personalizado, crea unsolicitud de recurso compartido. El destinatario de la

solicitud de acciones tiene 120 días para aceptar o rechazar la solicitud. Cuando aceptan la solicitud
de recurso compartido, Audit Manager replica el marco personalizado compartido en su biblioteca de
marcos. Además de replicar el marco personalizado, Audit Manager también replica los conjuntos de
controles personalizados y los controles personalizados que forman parte de ese marco. Estos controles
personalizados se añaden a la biblioteca de control del destinatario. Audit Manager no replica marcos ni
controles estándar. De forma predeterminada, están disponibles en todasCuentas de AWSy Regiones en
las que Audit Manager está habilitado.
La función de intercambio de marcos solo está disponible en el nivel de pago. Sin embargo, no hay cargos
adicionales por compartir un marco personalizado o aceptar una solicitud de recurso compartido. Para
obtener más información sobre precios paraAWS Audit Manager, consulte laAWS Audit Managerpágina de
precios.
Important
No puede compartir un marco personalizado derivado de un marco estándar si el marco estándar
está designado como no apto para su uso compartido porAWS, a menos que haya obtenido
permiso para hacerlo del propietario del marco estándar. Para ver qué marcos estándar no son
aptos para compartir y obtener más información, consulteElegibilidad para el uso compartido de
marcos.
En las siguientes secciones de esta guía se describen las cosas importantes que debe saber sobre
el uso compartido de marcos. También proporcionan instrucciones sobre cómo compartir sus marcos
personalizados y responder a las solicitudes de uso compartido.
Temas
• Conceptos y terminología de uso compartido de marcos (p. 93)
• Envío de una solicitud de uso compartido para un marco personalizado (p. 96)
• Respuesta a solicitudes de recursos compartidos (p. 101)
• Eliminación de solicitudes de uso compartido (p. 104)
Tip
Si no está familiarizado con los marcos personalizados de Audit Manager y cómo crearlos, puede
obtener más información enCreación de un marco personalizadopágina de esta guía.
92
Intercambio de conceptos y terminología
Conceptos y terminología de uso compartido de

marcos
Si aprende acerca de los siguientes conceptos clave, podrá sacar el máximo partido deAWS Audit
Managerfunción de uso compartido de marcos personalizados.
Sender
Este es el creador de una solicitud de recurso compartido y elCuenta de AWSdonde existe el marco
personalizado. Los remitentes pueden compartir marcos personalizados con cualquierCuenta de AWS.
O bien, replican un marco personalizado en cualquier soporteRegión de AWSbajo su propia cuenta.
Recipient
Este es el consumidor del marco compartido. Los destinatarios pueden aceptar o rechazar una
solicitud de acciones de un remitente.
Note
Un destinatario puede ser una cuenta de administrador delegado. Sin embargo, no puede
compartir marcos personalizados con unAWS Organizationscuenta de administración.
Conformidad con marco
Solo puede compartir marcos de trabajo personalizados. De forma predeterminada, los marcos
estándar ya están presentes en todosCuentas de AWSyRegiones de AWSwhereAWS Audit
Managerestá habilitado. Además, los marcos personalizados que comparte no deben contener datos
confidenciales. Esto incluye los datos encontrados en el propio marco, sus conjuntos de controles y
cualquiera de los controles personalizados que forman parte del marco personalizado.
Important
Algunos de los marcos estándar que ofrecenAWS Audit Managercontienen material protegido
por derechos de autor sujeto a acuerdos de licencia. Los marcos personalizados pueden
contener contenido derivado de estos marcos. No puede compartir un marco personalizado
derivado de un marco estándar si el marco estándar está designado como no apto para su
uso compartido porAWS, a menos que haya obtenido permiso para hacerlo del propietario del
marco estándar.
Para obtener información sobre qué marcos estándar son aptos para el uso compartido,
consulte la siguiente tabla.
Nombre del framework estándar Versiones personalizadas aptas para

compartir
AWS Audit ManagerMarco de ejemplo Sí
AWS Control TowerMedidas de seguridad Sí
AWS License Manager Sí
Prácticas recomendadas de seguridad básica de AWS Sí
AWSPrácticas recomendadas de funcionamiento Sí
AWSMarco de Well-Architected Sí
Centro Canadiense para la Ciberseguridad - Mediano No
93
Nombre del framework estándar Versiones personalizadas aptas para

compartir
CIS Benchmark para CIS Amazon Web Services No

Foundations Benchmark v1.2.0, nivel 1

Foundations Benchmark v1.2.0, nivel 1 y 2




Controles CIS v7.1 IG1 Sí
Controles CIS v8 IG1 No
Base de referencia moderada de FedRAMP Sí
GDPR Sí
Ley Gramm-Leach-Bliley (GLBA) Sí
GxP 21 CFR Parte 11 Sí
GxP UE Anexo 11 Sí
HIPAA Sí
ISO/IEC 27001:2013 Anexo A No
NIST 800-53 (Rev. 5) Bajo-moderado-alto Sí
NIST Cybersecurity Framework versión 1.1 Sí
NIST SP 800-171 Rev. 2 Sí
PCI DSS No
SOC 2 No
Solicitud de compartir
Para compartir un marco personalizado, crea unsolicitud de recurso compartido. La solicitud de

recurso compartido especifica un destinatario y le notifica que hay disponible un marco personalizado.
Los destinatarios tienen 120 días para responder a una solicitud de acciones aceptando o rechazando.
Si no se realiza ninguna acción en 120 días, la solicitud de recurso compartido caduca y el destinatario
pierde la capacidad de agregar el marco personalizado a su biblioteca de marcos. Los remitentes y
94
destinatarios pueden ver y tomar medidas en relación con las solicitudes de recursos compartidos
desde la página de solicitudes de recursos compartidos de la biblioteca de marcos.
Estado de las solicitudes compartidas
Las solicitudes de recurso compartido pueden tener cualquiera de los siguientes estados.
• Activo: indica una solicitud de recurso compartido que se ha enviado correctamente al destinatario y
está esperando su respuesta.
• Expiring— Indica una solicitud de recurso compartido que caduca en los próximos 30 días.
• Compartido— Indica una solicitud de recurso compartido que el destinatario ha aceptado.
• Inactivo: indica una solicitud de recurso compartido que se ha revocado, rechazado o caducado
antes de que el destinatario actuara.
• Replicación: indica una solicitud de recurso compartido aceptada que se está replicando en la
biblioteca de marcos del destinatario.
• Failed (Error): indica una solicitud de recurso compartido que no se ha enviado correctamente al
destinatario.
Notificaciones de solicitud compartida
Audit Manager notifica a los destinatarios cuando reciben una solicitud de recurso compartido.
Tanto los destinatarios como los remitentes reciben una notificación cuando una solicitud de recurso
compartido caduca en algún momento de los próximos 30 días.
• Para los destinatarios, aparece un punto de notificación azul junto a las solicitudes recibidas con
unActivooExpiringestado. El destinatario puede resolver la notificación aceptando o rechazando la
solicitud de recurso compartido.
• Para los remitentes, aparece un punto de notificación azul junto a las solicitudes enviadas con
unExpiringestado. La notificación se resuelve cuando el destinatario acepta o rechaza la solicitud.
De lo contrario, se resuelve cuando caduca la solicitud. Además, el remitente puede resolver la
notificación revocando la solicitud de recurso compartido.
Propiedad del remitente
Los remitentes mantienen el acceso total a través de los marcos personalizados que comparten.
Pueden cancelar las solicitudes de recurso compartido activas en cualquier momentorevocación de
la solicitud de recurso compartidoantes de que caduque. Sin embargo, una vez que un destinatario
acepta una solicitud de recurso compartido, el remitente ya no puede revocar el acceso del
destinatario a ese marco personalizado. Esto se debe a que cuando el destinatario acepta la solicitud,
Audit Manager crea una copia independiente del marco personalizado en la biblioteca de marcos del
destinatario.
Además de replicar el marco personalizado del remitente, Audit Manager también replica los conjuntos
de controles personalizados y los controles personalizados que forman parte de ese marco. Sin
embargo, Audit Manager no replica ninguna etiqueta adjunta al marco personalizado.
Propiedad del destinatario
Los destinatarios tienen acceso total a través de los marcos personalizados que aceptan. Cuando el
destinatario acepta la solicitud, Audit Manager replica el marco personalizado en la pestaña marcos
personalizados de su biblioteca de marcos. A continuación, los destinatarios pueden administrar
el marco personalizado compartido de la misma manera que cualquier otro marco personalizado.
Los destinatarios pueden compartir los marcos personalizados que reciben de otros remitentes. Los
destinatarios no pueden impedir que los remitentes envíen solicitudes de recursos compartidos.
Caducidad del marco compartido
Cuando un remitente crea una solicitud de recurso compartido, Audit Manager establece que la
solicitud caduque transcurridos 120 días. Los destinatarios pueden aceptar y obtener acceso al marco
compartido antes de que caduque la solicitud. Si un destinatario no acepta durante este tiempo,
la solicitud de recurso compartido caduca. Después de este punto, permanece un registro de la
95
Envío de una solicitud de recurso compartido
solicitud de acciones caducada en su historial. Las instantáneas de marcos compartidos caducados se

archivan en un bucket de S3 con un TTL de un año para fines de auditoría.
Los remitentes pueden elegirRevocar una solicitud de participaciónen cualquier momento antes de
que caduque.
Backup y almacenamiento de datos de marco compartido
Al crear una solicitud de uso compartido, Audit Manager almacena una instantánea de su marco
personalizado en EE. UU. Este (Norte de Virginia)Región de AWS. Audit Manager también almacena
una copia de seguridad de la misma instantánea en EE.UU. Oeste (Oregón)Región de AWS.
Audit Manager elimina la instantánea y la instantánea de copia de seguridad cuando se produce uno
de los siguientes eventos:
• El remitente revoca la solicitud de recurso compartido.
• El destinatario rechaza la solicitud de recurso compartido.
• El destinatario encuentra un error y no acepta correctamente la solicitud de recurso compartido.
• La solicitud de recurso compartido caduca antes de que el destinatario responda a la solicitud.
Cuando un remitentereenvía una solicitud de recurso compartido, la instantánea se sustituye por una
versión actualizada que corresponde a la última versión del marco personalizado.
Cuando un destinatario acepta una solicitud de recurso compartido, la instantánea se replica en

suCuenta de AWSbajo elRegión de AWSque se ha especificado en la solicitud de uso compartido.
Versiones de marcos compartidos
Cuando comparte un marco personalizado, Audit Manager crea una copia independiente de ese
marco en el especificadoCuenta de AWSy Región. Esto significa que debe tener en cuenta los
siguientes puntos:
• El marco compartido que acepta un destinatario es una instantánea del marco en el momento de la
creación de la solicitud de recurso compartido. Si actualiza el marco personalizado original después
de enviar una solicitud de recurso compartido, la solicitud no se actualiza automáticamente. Para
compartir la última versión del marco de trabajo actualizado, puedereenviar la solicitud de recurso
compartido. La fecha de caducidad de esta nueva instantánea es de 120 días a partir de la fecha de
recompartir.
• Cuando comparte un marco personalizado con otroCuenta de AWSy, a continuación, eliminarlo de
la biblioteca de marcos, el marco personalizado compartido permanece en la biblioteca de marcos
del destinatario.
• Cuando comparte un marco personalizado con otroRegión de AWSen su cuenta y, a continuación,
elimine ese marco personalizado en la primeraRegión de AWS, el marco personalizado permanece
en la segunda región.
• Cuando elimina un marco personalizado compartido después de aceptarlo, los controles
personalizados que se han replicado como parte del marco personalizado permanecen en la
biblioteca de control.
Envío de una solicitud de uso compartido para un

marco personalizado
En este tutorial se describe cómo compartir los marcos de trabajo personalizados enCuentas de
AWSyRegiones de AWS.
Cuando comparte un marco personalizado, Audit Manager crea una instantánea de su marco y envía
una solicitud de recurso compartido al destinatario. El destinatario tiene 120 días para aceptar el marco
96
compartido. Cuando aceptan, Audit Manager replica el marco personalizado compartido en su biblioteca de
marcos en la especificadaRegión de AWS. Si desea replicar un marco personalizado en otra región con su
propia cuenta, utilice el siguiente tutorial e introduzca el suyo propioCuenta de AWSID como ID de cuenta
de destinatario.
En este tutorial se describen los siguientes pasos:
1. Seleccione un marco para compartir: navegue por la biblioteca de marcos para encontrar el marco
personalizado que desea compartir.
2. Enviar una solicitud de uso compartido: especifique un destinatario y envíele una solicitud de recurso
compartido para el marco personalizado.
3. Visualización de solicitudes enviadas— Consulta tu historial de solicitudes de acciones y comprueba el
estado de las solicitudes enviadas.
4. (Opcional) Revocar la solicitud de recurso compartido— Revocar la solicitud de recurso compartido
antes de que caduque.
Requisitos previos
• Está familiarizado con Audit ManagerConceptos y terminología de uso compartido de marcos.

• El marco personalizado que desea compartir esPuede optar a compartiry existe en la biblioteca marco
de suAWS Audit Managerentorno de.
• El destinatario ya está habilitadoAWS Audit Manageren laRegión de AWSdonde desea compartir el
marco personalizado.
• El destinatario no es unAWS Organizationscuenta de administración.
Tip
Antes de comenzar, anote elCuenta de AWSID con el que desea compartir su Marco de trabajo
personalizado. Puede ser su propio ID de cuenta, si su objetivo es replicar el marco en otroRegión
de AWSen tu cuenta. Necesitará esta información para el paso 2 del tutorial.
Important
No comparta marcos personalizados que contengan datos confidenciales. Esto incluye los
datos encontrados en el propio marco, sus conjuntos de controles y cualquiera de los controles
personalizados que componen el marco personalizado. Para obtener más información,
consulteConformidad con marco.
Paso 1: Identifique el Marco de trabajo personalizado que desea

compartir
Comience identificando el marco personalizado que desea compartir. Puede encontrar una lista de todos
los marcos de trabajo personalizados disponibles en laBiblioteca de marcopágina en Audit Manager.
Para ver los marcos personalizados disponibles

2. En el panel de navegación, seleccioneBiblioteca de marco.
3. Elija el iconoMarcos de trabajo personalizadosTabulador. muestra una lista de los marcos de trabajo
personalizados disponibles. Puede elegir cualquier nombre de marco para ver los detalles de ese
marco personalizado.
97
Paso 2: Enviar una solicitud de uso compartido

A continuación, especifique un destinatario y envíele una solicitud de recurso compartido para el marco
personalizado. El destinatario tiene 120 días para responder a la solicitud de acciones antes de que
caduque.
Para enviar una solicitud de recurso compartido
1. Desde elMarcos de trabajo personalizadosde la biblioteca de marcos, elija el nombre de un marco

para abrir la página de detalles. Desde aquí, eligeActionsy luegoCompartir marco personalizado.
• Como alternativa, seleccione un marco personalizado de la lista de la biblioteca de marcos
y elijaActionsy luego seleccioneCompartir marco personalizado. Según el tamaño del marco
personalizado, este método puede tardar unos segundos mientras Audit Manager prepara la
2. Revise el aviso que se muestra en el cuadro de diálogo.
• Si no estás seguro de si puedes compartir tu marco personalizado, revisaConformidad con

marcopara obtener más información.
• Si su marco tiene controles que utilizan personalizadosAWS Configreglas como fuente de
datos, te recomendamos que te pongas en contacto con el destinatario para informarle. El
destinatario puede crear y habilitar lo mismoAWS Configreglas en su caso deAWS Config.
Para obtener más información, consulte Mi marco compartido tiene controles que utilizan
personalizadosAWS Configreglas como fuente de datos. ¿Puede el destinatario recopilar pruebas
de estos controles? (p. 209).
3. Entraragreey luegoConcordarpara continuar.
4. En la siguiente pantalla, siga estos pasos:
• UNDERCuenta de AWS, introduzca el ID de cuenta del destinatario. Puede ser su propio ID de

cuenta.
• UNDERRegión de AWS, seleccione la región del destinatario en la lista desplegable.
• (Opcional) EnMensaje al destinatario, introduzca un comentario opcional sobre el marco
personalizado que está compartiendo.
• UNDERDetalles del framework personalizado, revise los detalles para confirmar que desea
compartir este marco de trabajo.
5. Elija Share.
Note
Tenga en cuenta los siguientes puntos:
• Cuando comparte un marco personalizado con otroCuenta de AWS, el marco se replica

únicamente en el especificadoRegión de AWS. Después de aceptar la solicitud de recurso
compartido, el destinatario puede replicar el marco en todas las regiones según sea necesario.
• Al compartir marcos personalizados a través deRegiones de AWS, puede tardar hasta 10
minutos en procesar las acciones de solicitud de recurso compartido. Después de enviar una
solicitud de recurso compartido entre regiones, le recomendamos que vuelva a comprobarlo
más tarde para confirmar que la solicitud de recurso compartido se ha enviado correctamente.
• Cuando envía una solicitud de recurso compartido, Audit Manager toma una instantánea del
marco personalizado en el momento de crear la solicitud de recurso compartido. Si actualiza
el marco personalizado después de enviar una solicitud de recurso compartido, la solicitud
no se actualiza automáticamente. Para compartir la última versión de un marco actualizado,
puedesreenviar la solicitud de recurso compartido. La fecha de caducidad de esta nueva
instantánea es de 120 días a partir de la fecha de recompartir.
98
Paso 3: Ver las solicitudes enviadas

Puede seleccionar elSolicitudes enviadaspara ver una lista de todas las solicitudes de recurso compartido
que ha enviado. Puede filtrar esta lista según sea necesario. Por ejemplo, puede aplicar filtros para mostrar
solo las solicitudes que caducan en los próximos 30 días.
Para ver y filtrar las solicitudes enviadas
1. En el panel de navegación, seleccioneSolicitudes de compartir.

2. Elija el iconoSolicitudes enviadasTabulador.
3. (Opcional) Aplique filtros para ajustar qué solicitudes enviadas están visibles. Puede hacerlo
encontrando laTodos los estadoslista desplegable y cambiar el filtro a uno de los siguientes.
• Activo: este filtro muestra las solicitudes de recurso compartido que esperan una respuesta del
destinatario.
• Compartido: este filtro muestra las solicitudes de recurso compartido aceptadas por el destinatario.
El marco personalizado compartido existe ahora en la biblioteca de marcos del destinatario.
• Inactivo: este filtro muestra las solicitudes de recurso compartido que se han rechazado, revocado o
caducado antes de que el destinatario actuara. Elija la palabraInactivopara ver más información.
• Expiring: este filtro muestra las solicitudes de recurso compartido que caducan en los próximos 30
días.
• Failed (Error): este filtro muestra las solicitudes de recurso compartido que no se han enviado
correctamente al destinatario. Elija la palabraFailed (Error)para ver más información.
Note
La tramitación de una solicitud de recurso compartido puede tardar hasta 15 minutos. Como
resultado, si se produce un error al enviar la solicitud de recurso compartido al destinatario,
elFailed (Error)puede que el estado no se muestre inmediatamente. Te recomendamos que
vuelvas a comprobarlo más tarde para confirmar que tu solicitud de recurso compartido se ha
enviado correctamente.
Para obtener información acerca de cómo proceder si se produce un error, consulteSolución de
problemas de solicitudes de recursos compartidos.
Paso 4 (opcional): Revocación de la solicitud de participación

Si necesitas cancelar una solicitud de recurso compartido activa antes de que caduque, puedes revocarla
en cualquier momento. Este paso es opcional. Si no realizas ninguna acción, el destinatario pierde la
capacidad de aceptar la solicitud de recurso compartido después de la fecha de caducidad.
Para revocar una solicitud de uso compartido
1. En el panel de navegación, seleccioneCompartir solicitudes.

2. Elija el iconoSolicitudes enviadasTabulador.
3. Seleccione el Marco de trabajo que desea revocar y elijaRevocar solicitud.
4. En la ventana emergente que aparece, seleccioneRevoker.
Note
Solo puede revocar el acceso a las solicitudes de uso compartido que tengan un estado
deActivooExpiring. Una vez que un destinatario acepta una solicitud de recurso compartido, ya no
99
podrá revocar su acceso a ese marco personalizado. Esto se debe a que ahora existe una copia
del marco personalizado en la biblioteca de marcos del destinatario.
Al compartir marcos de trabajo enRegiones de AWS, puede tardar hasta 10 minutos en procesar
las acciones de solicitud de recurso compartido. Tras revocar una solicitud de recurso compartido
entre regiones, le recomendamos que vuelva a comprobarlo más tarde para confirmar que la
solicitud de recurso compartido se ha revocado correctamente.
Volver a enviar una solicitud de recurso compartido para un

marco actualizado
Puede enviar una solicitud de uso compartido para un marco personalizado y, a continuación, actualizar
el mismo marco. Si lo hace, la solicitud de recurso compartido no se actualiza automáticamente para
reflejar la última versión del marco. Sin embargo, si su estado esactivo,Compartido, o biencaducidad,
puede actualizar una solicitud de uso compartido existente. Para ello, vuelve a enviar una nueva solicitud
de recurso compartido con el mismo conjunto de detalles que la solicitud existente. En la nueva solicitud
de recurso compartido, incluya el mismo ID de marco personalizado, ID de cuenta de destinatario y
destinatarioRegión de AWS. También puedes proporcionar un comentario nuevo con la nueva solicitud de
recurso compartido.
Tenga en cuenta lo siguiente cuando vuelva a enviar una solicitud de recurso compartido:
• Para que la actualización se realice correctamente, la nueva solicitud debe ser para el mismo ID de
marco personalizado. También debe especificar el mismo ID de cuenta de destinatario y región que la
solicitud existente.
• Si el nombre del marco personalizado ha cambiado, la solicitud de recurso compartido actualizada
muestra el último nombre.
• Si proporciona un comentario nuevo, la solicitud de recurso compartido actualizada muestra el último
comentario.
• Cuando vuelve a enviar una solicitud de recurso compartido, la fecha de caducidad se amplía seis
meses.
Para volver a enviar una solicitud de recurso compartido de un marco actualizado
1. Desde elMarcos de trabajo personalizadosde la biblioteca de marcos, elija el nombre del marco que
desea compartir. A continuación se abre la página de detalles del marco. Desde aquí, eligeActionsy
luegoCompartir marco personalizado.
• Como alternativa, seleccione el marco personalizado de la lista de la biblioteca de marcos y

elijaActionsy luego seleccioneCompartir marco personalizado. Según el tamaño del marco
personalizado, este método puede tardar unos segundos para que Audit Manager prepare la
2. Revise la notificación que se muestra en el cuadro de diálogo, escribaagreey luego
seleccioneConcordarpara continuar.
3. En la siguiente pantalla, siga estos pasos:
• UNDERCuenta de AWS, introduzca el mismo ID de cuenta que especificó en la solicitud de recurso

compartido existente.
• UNDERRegión de AWS, seleccione la misma región que especificó en la solicitud de recurso
compartido existente.
• (Opcional) EnMensaje al destinatario, introduzca un comentario opcional sobre la estructura
personalizada actualizada.
• UNDERDetalles del marco de trabajo personalizado, consulte los detalles para confirmar que desea
reenviar la solicitud de recurso compartido.
4. ElegirSharepara volver a enviar y actualizar la solicitud de recurso compartido.
100
Respuesta a una solicitud de recurso compartido
Solución de problemas de solicitudes de recursos compartidos

Para encontrar soluciones a los problemas que se pueden encontrar al compartir un marco personalizado,
consulteSolución de problemas de uso compartido de marcos (p. 207)en laSolución de problemasde esta
guía.
Respuesta a solicitudes de recursos compartidos

En este tutorial se describen las acciones que se deben realizar al recibir una solicitud de uso compartido
para un marco personalizado. Audit Manager le notifica cuando recibe una solicitud de recurso compartido.
También recibirá una notificación para recordarle cuándo caducará una solicitud de recurso compartido en
los próximos 30 días.
En este tutorial se describen los siguientes pasos:
1. Consultar las notificaciones de solicitud de recurso compartido— Revise una lista de solicitudes de
recursos compartidos que están activas y que caducan pronto.
2. Actuar en relación con la solicitud de recurso compartido— Aceptar o rechazar la solicitud de recurso
compartido del marco personalizado.
3. Ver las solicitudes de recursos compartidos que has recibido de otros— Ver el historial de solicitudes de
acciones.
Requisitos previos
Antes de comenzar, le recomendamos que en primer lugar obtenga más información acerca de Audit
ManagerConceptos y terminología de uso compartido de marcos.
Paso 1: Comprueba las notificaciones de solicitud recibidas

Comience revisando las notificaciones de solicitud de recursos compartidos. LaSolicitudes
recibidasmuestra una lista de las solicitudes de recurso compartido que has recibido de otrosCuentas de
AWS. Las solicitudes que esperan su respuesta aparecen con un punto azul. También puede filtrar esta
vista para mostrar solo las solicitudes que caducan en algún momento en los próximos 30 días..
Para ver las solicitudes recibidas

2. Si tiene una notificación de solicitud de recurso compartido, Audit Manager muestra un punto rojo junto
al icono del menú de navegación.
3. Expanda el panel de navegación y busque junto aCompartir solicitudes. Un distintivo de notificación

indica el número de solicitudes de recurso compartido que requieren su atención.
101
4. ElegirCompartir solicitudes. De forma predeterminada, esta página se abre en elSolicitudes

recibidasTabulador.
5. Identifique las solicitudes de recurso compartido que necesitan su acción buscando elementos con un
punto azul.
6. (Opcional) Para ver solo las solicitudes que caducan en los próximos 30 días, busque laTodos los
estadoslista desplegable y seleccioneExpiring.
Paso 2: Actuar sobre la solicitud

Para eliminar el punto de notificación azul, debes actuar aceptando o rechazando la solicitud de recurso
compartido.
Note
El proceso de las acciones de solicitud de uso compartido puede tardar hasta 10 minutos cuando
se comparte un marcoRegiones de AWS. Después de tomar medidas en una solicitud de recurso
compartido entre regiones, le recomendamos que vuelva a comprobarlo más tarde para confirmar
que la solicitud de recurso compartido se ha aceptado o rechazado correctamente.
Aceptar un marco compartido
Cuando acepta una solicitud de recurso compartido, Audit Manager replica una instantánea del marco
original en la pestaña marcos personalizados de la biblioteca de marcos de trabajo. Audit Manager replica
y cifra el nuevo marco personalizado mediante la clave KMS especificada en elConfiguración de Audit
Manager.
Para aceptar una solicitud de uso compartido
1. Abra el iconoCompartir solicitudesy asegúrate de que estás viendo laSolicitudes recibidasTabulador.

2. (Opcional) SeleccioneActivooExpiringde la lista desplegable de filtros.
102
3. (Opcional) Elija un nombre de marco para ver los detalles de la solicitud de recurso compartido. Esto
incluye información como la descripción del marco, el número de controles que hay en el marco y el
mensaje del remitente.
4. Selecciona la solicitud de recurso compartido que quieres aceptar, eligeActionsy luego
seleccioneAceptar.
Después de aceptar una solicitud de recurso compartido, el estado cambia areplicaciónmientras que
el marco personalizado compartido se agrega a la biblioteca de marcos. Si el marco contiene controles
personalizados, estos controles se añaden a la biblioteca de controles en este momento.
Cuando la replicación del marco de trabajo finaliza, el estado cambia aCompartido. Un banner de éxito le
notifica que el marco personalizado está listo para usar.
Tip
Cuando aceptas un marco personalizado, se replica solo en tuRegión de AWS. Puede que desee
que el nuevo marco compartido esté disponible en todas las regiones de suCuenta de AWS. Si
es así, después de aceptar la solicitud de recurso compartido, puedecomparte el marcoa otras
regiones de tu cuenta según sea necesario.
Rechazar un marco compartido
Cuando rechaza una solicitud de recurso compartido, Audit Manager no agrega ese marco personalizado
a la biblioteca de marcos. Sin embargo, se mantiene un registro de la solicitud de acciones rechazada en
elSolicitudes recibidaspestaña, con un estado deInactivo.
Para rechazar una solicitud de recurso compartido
1. Abra el iconoCompartir solicitudesy asegúrate de que estás viendo laSolicitudes recibidasTabulador.

2. (Opcional) SeleccioneActivooExpiringde la lista desplegable de filtros.
3. (Opcional) Elija un nombre de marco para ver los detalles de la solicitud de recurso compartido. Esto
incluye información como la descripción del marco, el número de controles que hay en el marco y el
mensaje del remitente.
4. Selecciona la solicitud de recurso compartido que quieres rechazar, eligeActionsy luego
seleccioneDeclive.
5. En el cuadro de diálogo que aparece, elijaDeclivePara confirmar su elección.
Tip
Si cambias de opinión y quieres tener acceso a un marco compartido después de rechazar, pide
al remitente que te envíe una nueva solicitud de recurso compartido.
Paso 3: Ver el historial de las solicitudes recibidas

Después de aceptar o rechazar un marco de trabajo compartido, puede volver aCompartir solicitudesPara
ver el historial de solicitudes de recurso compartido. Puede filtrar esta lista según sea necesario. Por
ejemplo, puede aplicar filtros para mostrar solo las solicitudes que haya aceptado.
Para ver el historial de las solicitudes de recursos compartidos

2. En el panel de navegación izquierdo, seleccioneCompartir solicitudes.
3. Elija el iconoSolicitudes recibidasTabulador.
4. Busque elTodos los estadoslista desplegable y seleccione uno de los siguientes filtros.
103
Eliminación de una solicitud de uso compartido
• Activo— Este filtro muestra las solicitudes de recurso compartido que aún no has aceptado o
rechazado.
• Expiring: este filtro muestra las solicitudes de recurso compartido que caducan en los próximos 30
días.
• Compartido: este filtro muestra las solicitudes de recurso compartido que ha aceptado. El marco
compartido ya está disponible en la biblioteca de marcos.
• Inactivo: este filtro muestra las solicitudes de recurso compartido que se han rechazado o caducado.
• Failed (Error): este filtro muestra las solicitudes de recurso compartido que no se han enviado
correctamente. Elija la palabraFailed (Error)para ver más información.

Después de aceptar un marco personalizado compartido, puede encontrarlo en la pestaña marcos
personalizados de la biblioteca de marcos. Ahora puede utilizar ese marco de trabajo para crear
una evaluación. Para obtener más información, consulteCreación de una evaluación. Para obtener
instrucciones sobre cómo editar su nuevo marco de trabajo personalizado, consulteEdición de un marco de
trabajo personalizado.
Eliminación de solicitudes de uso compartido

Puede eliminar las solicitudes de recurso compartido que ya no son deseadas o necesarias.
Note
No se pueden eliminar las solicitudes de recurso compartido que tengan el estado

deactivooreplicación.
Al eliminar una solicitud de recurso compartido, solo se elimina la solicitud en sí misma. El marco
compartido en sí permanece en la biblioteca de marcos.
Para eliminar una solicitud de uso compartido
1. En el panel de navegación, seleccioneCompartir solicitudes.

2. Elija elSolicitudes enviadaso elSolicitudes recibidasTabulador.
3. Selecciona el marco que ya no quieres y eligeBorrar.
4. En la ventana emergente que aparece, seleccioneBorrar.
Marcos admitidos enAWS Audit Manager

AWS Audit Managerproporciona los siguientes marcos estándar. Estos marcos precompilados se basan
enAWSprácticas recomendadas para diversas normas y reglamentos de cumplimiento. Puede utilizar estos
marcos para ayudarle en la preparación de la auditoría.
Temas
• AWS Audit ManagerMarco de ejemplo (p. 105)
• AWS Control TowerMedidas de seguridad (p. 106)
• AWS License Manager (p. 107)
• Prácticas recomendadas de seguridad básica de AWS (p. 109)
• AWSPrácticas recomendadas de funcionamiento (p. 110)
• AWSWell-Architected (p. 111)
104
AWS Audit ManagerMarco de ejemplo
• Perfil de control de nube medio del Centro Canadiense para la Ciberseguridad (p. 112)
• CIS Benchmark para CIS Amazon Web Services Foundations Benchmark v1.2.0 (p. 114)
• Benchmark de CIS para CIS Amazon Web Services Foundations Benchmark v1.3.0 (p. 116)
• Benchmark de CIS para CIS Amazon Web Services Foundations Benchmark v1.4.0 (p. 118)
• CIS Controls v7.1 Grupo de implementación 1 (p. 120)
• Grupo de implementación 1 de CIS Controls v8 (p. 122)
• Base de referencia moderada de FedRAMP (p. 123)
• Reglamento General de Protección de Datos (RGPD) (p. 125)
• Ley Gramm-Leach-Bliley (p. 140)
• GxP 21 CFR parte 11 (p. 141)
• GxP UE Anexo 11 (p. 143)
• Ley de Portabilidad y Responsabilidad de Seguros Médicos de EE. UU (Health Insurance Portability
and Accountability Act, HIPAA). (p. 144)
• ISO/IEC 27001:2013 Anexo A (p. 145)
• NIST 800-53 (Rev. 5) Bajo-moderado-alto (p. 147)
• NIST Cybersecurity Framework versión 1.1 (p. 148)
• NIST SP 800-171 (Rev. 2) (p. 150)
• PCI DSS V3.2.1 (p. 151)
• SOC 2 (p. 153)
AWS Audit ManagerMarco de ejemplo

AWS Audit Managerproporciona un marco de ejemplo para ayudarle a comenzar a preparar la auditoría.
Temas
• ¿Qué es ?AWS Audit Manager¿Marco de ejemplo? (p. 105)
• Uso de este marco para respaldar la preparación de auditorías (p. 105)
¿Qué es ?AWS Audit Manager¿Marco de ejemplo?

LaAWS Audit ManagerMarco de ejemploes un marco de trabajo sencillo que puede utilizar para comenzar
a utilizar en Audit Manager. Algunos de los otros marcos precompilados que proporciona Audit Manager,
en comparación, son mucho más grandes y contienen numerosos controles. Al utilizar el marco de ejemplo
en lugar de estos marcos de mayor tamaño, puede revisar y explorar más fácilmente un ejemplo de marco
de trabajo. Los controles de este marco se basan en una serie deAWS ConfigyAWSLlamadas a la API.
Uso de este marco para respaldar la preparación de auditorías

Puede utilizar este Marco de trabajo para ayudarle a comenzar a utilizarAWS Audit Manager. También
puede personalizar este marco y sus controles para admitir auditorías internas con requisitos específicos.
Uso deAWS Audit ManagerMarco de ejemplocomo punto de partida, puede crear una evaluación de Audit
Manager y comenzar a recopilar pruebas relevantes para su auditoría. Después de crear una evaluación,
Audit Manager comienza a evaluar suAWSde AWS. Lo hace basándose en los controles definidos en el
marco. A continuación, recopila las pruebas pertinentes y, a continuación, la adjunta a los controles de su
evaluación.
LaAWS Audit ManagerLos detalles de Sample Framework son los siguientes:
105
AWS Control TowerMedidas de seguridad
Nombre del marco enAWS Audit Número de Número de Número de conjuntos de control
Manager controles controles
automatizados manuales
AWS Audit ManagerMarco de ejemplo 4 1 3
Puede encontrar este marco en elMarcos estándarde laBiblioteca de marco (p. 84)en Audit Manager.
Para obtener instrucciones sobre cómo crear una evaluación de utilizando este marco de trabajo,
consulteCreación de una evaluación (p. 46).
Para obtener instrucciones sobre cómo personalizar este marco de trabajo para que se adapte a los
requisitos específicos, consultePersonalización de un marco existenteyPersonalización de un control
existente.
AWS Control TowerMedidas de seguridad

AWS Audit Managerproporciona unAWS Control TowerMarco de barandillas para ayudarlo con la
preparación de su auditoría.
Temas
• ¿Qué es AWS Control Tower? (p. 106)
• MásAWS Control Towerrecursos (p. 107)
¿Qué es AWS Control Tower?

AWS Control Toweres un servicio de administración y gobierno que puede utilizar para navegar
por el proceso de configuración y los requisitos de gobierno que implican la creación de una cuenta
múltipleAWSentorno de.
conAWS Control Tower, puede aprovisionar nuevosCuentas de AWSque se ajustan a las políticas de su
empresa u organización en unos pocos clics.AWS Control Towercrea unorquestacióncapa en su nombre
que combina e integra las capacidades de varios otrosAWSServicios de. Estos servicios incluyenAWS
Organizations,AWS IAM Identity Center (successor to AWS Single Sign-On), yAWSService Catalog. Esto
ayuda a agilizar el proceso de configuración y administración de una cuenta múltiple.AWSentorno seguro y
conforme a las normas.
LaAWS Control TowerEl marco de barandillas contiene todos losAWS Config Rulesque se basan en
barandillas deAWS Control Tower.

Puede utilizar elAWS Control TowerMedidas de seguridadmarco para ayudarle a prepararse para
las auditorías. Este marco incluye una colección de controles precompilada con descripciones y
procedimientos de prueba. Estos controles se agrupan según elAWS Config Rulesque se basan en
barandillas deAWS Control Tower. También puede personalizar este marco y sus controles para admitir
auditorías internas con requisitos específicos.
Utilizando el marco como punto de partida, puede crear una evaluación de Audit Manager y comenzar
a recopilar pruebas relevantes para unAWS Control Towerauditorías. Después de crear una evaluación,
Audit Manager comienza a evaluar suAWSde AWS. Lo hace basándose en los controles definidos
en elAWS Control TowerMarco de medidas de seguridad. Cuando llegue el momento de realizar una
106
AWS License Manager
auditoría, usted, o un delegado de su elección, puede revisar la evidencia recopilada y añadirla a un

informe de evaluación. Puede utilizar este informe de evaluación para mostrar que los controles funcionan
según lo previsto.
LaAWS Control TowerLos detalles del marco de barandillas son los siguientes:
AWS Control TowerMedidas de 14 0 5

seguridad
Los controles de esteAWS Audit Managerframework no pretende verificar si sus sistemas cumplenAWS
Control Towermedidas de seguridad. Además, no pueden garantizarle que vaya a aprobar una auditoría.
Puede encontrar elAWS Control TowerMarco de barandillas bajo elMarcos estándarde laBiblioteca de
marco (p. 84)en Audit Manager.
existente.
MásAWS Control Towerrecursos

• AWS Control Towerpágina de servicio
• AWS Control TowerGuía del usuario de
AWS License Manager

AWS Audit Managerproporciona unAWS License Managermarco para ayudarlo con la preparación de su
auditoría.
Temas
• ¿Qué es AWS License Manager? (p. 107)
• MásAWS License Managerrecursos (p. 108)
¿Qué es AWS License Manager?

conAWS License Manager, puede administrar sus licencias de software de varios proveedores de software
(como Microsoft, SAP, Oracle o IBM) de forma centralizada enAWSy entornos locales. Tener todas sus
licencias de software en una sola ubicación permite un mejor control y visibilidad y, potencialmente, le
ayuda a limitar los excedentes de licencias y reducir el riesgo de problemas de incumplimiento y faltas de
informes.
LaAWS License Managerframework se integra con License Manager para agregar información de uso de
licencias basada en reglas de licencias definidas por el cliente.
107
AWS License Manager

Puede utilizar elAWS License Managermarco para ayudarle a prepararse para las auditorías. Este marco
incluye una colección de controles precompilada con descripciones y procedimientos de prueba. Estos
controles se agrupan según las reglas de licencia definidas por el cliente. También puede personalizar este
marco y sus controles para admitir auditorías internas con requisitos específicos.
a recopilar pruebas relevantes para su auditoría. Después de crear una evaluación, Audit Manager
comienza a evaluar suAWSde AWS. Lo hace basándose en los controles definidos en elAWS License
Managermarco. Cuando llegue el momento de realizar una auditoría, usted, o un delegado de su elección,
puede revisar la evidencia recopilada y añadirla a un informe de evaluación. Puede utilizar este informe de
evaluación para mostrar que los controles funcionan según lo previsto.
LaAWS License ManagerLos detalles del marco son los siguientes:
Nombre del marco enAWS Número de controles Número de controles Número de conjuntos de
Audit Manager automatizados manuales control
AWS License Manager 27 0 6
Los controles de esteAWS Audit Managerframework no pretende verificar si sus sistemas cumplen con las
reglas de licencia. Además, no pueden garantizarle que vaya a aprobar una auditoría de uso de licencias.
existente.
MásAWS License Managerrecursos

Enlaces de License Manager
• AWS License Managerpágina de servicio

• AWS License ManagerGuía del usuario de
API License Manager
Para este marco, Audit Manager utiliza una actividad personalizada

denominadaGetLicenseManagerSummarypara recopilar pruebas.
LaGetLicenseManagerSummaryactividad llama a las tres API de License Manager siguientes:
1. Listar configuraciones de licencias

2. Listar asociaciones para la configuración de licencias
3. Uso de lista para la configuración de licencias
Los datos que se devuelven se convierten en pruebas y se adjuntan a los controles pertinentes de la
evaluación.
108
Prácticas recomendadas de seguridad básica de AWS
Por ejemplo: Supongamos que utiliza dos productos con licencia (SQL Service 2017yOracle Database
Enterprise Edition). En primer lugar, elGetLicenseManagerSummaryla actividad llama alListar
configuraciones de licenciasAPI, que proporciona detalles de las configuraciones de licencias de su
cuenta. A continuación, añade datos contextuales adicionales para cada configuración de licencia
llamandoUso de lista para la configuración de licenciasyListar asociaciones para la configuración de
licencias. Por último, convierte los datos de configuración de la licencia en pruebas y los adjunta a los
controles respectivos del marco (4.5 - Licencia administrada por el cliente para SQL Server 2017y3.0.4
- Licencia administrada por el cliente para Oracle Database Enterprise Edition). Si utiliza un producto
con licencia que no está cubierto por ninguno de los controles del marco, los datos de configuración de
licencias se adjuntan como prueba al siguiente control: 5.0 - Licencia administrada por el cliente para otras
licencias.
Prácticas recomendadas de seguridad básica de AWS

AWS Audit Managerproporciona un marco estándar precompilado que admite elAWSPrácticas
recomendadas de seguridad básica recomendadas.
Temas
• ¿Qué es ?AWSEstándar de prácticas de seguridad básicas recomendadas de (p. 109)
• MásAWSRecursos de prácticas de seguridad básicas recomendadas de (p. 110)
¿Qué es ?AWSEstándar de prácticas de seguridad básicas

recomendadas de
El estándar de prácticas de seguridad básicas recomendadas de AWS es un conjunto de controles que
detectan cuándo las cuentas y los recursos implementados se desvían de las prácticas de seguridad
recomendadas.
Puede utilizar este estándar para evaluar continuamente todos susCuentas de AWSy cargas de
trabajo e identificar rápidamente las áreas de desviación de las prácticas recomendadas. El estándar
proporciona orientación práctica y normativa sobre cómo mejorar y mantener la política de seguridad de su
organización.
Los controles incluyen las prácticas recomendadas en varios servicios de AWS. A cada control se le
asigna una categoría que refleja la función de seguridad a la que se aplica. Para obtener más información,
consulteCategorías de controlen laAWS Security HubGuía del usuario de.

Puede utilizar elAWSPrácticas recomendadas de seguridad básica demarco para ayudarle a prepararse
para las auditorías. Este marco incluye una colección de controles precompilada con descripciones y
procedimientos de prueba. Estos controles se agrupan en conjuntos de controles segúnAWSRequisitos de
prácticas de seguridad básicas recomendadas de También puede personalizar este marco y sus controles
para admitir auditorías internas con requisitos específicos.
comienza a evaluar los recursos de suCuentas de AWSy servicios de. Lo hace basándose en los controles
definidos en elAWSMarco de prácticas de seguridad básicas recomendadas de Cuando llegue el momento
de realizar una auditoría, usted, o un delegado de su elección, puede revisar la evidencia recopilada
y añadirla a un informe de evaluación. Puede utilizar este informe de evaluación para mostrar que los
controles funcionan según lo previsto.
LaAWSLos detalles del marco de prácticas recomendadas de seguridad fundacional son los siguientes:
109
AWSPrácticas recomendadas de funcionamiento
Prácticas recomendadas de seguridad 154 0 29

básica de AWS
Los controles de esteAWS Audit Managerframework no pretende verificar si sus sistemas

cumplenAWSPrácticas recomendadas de seguridad básica recomendadas. Además, no pueden
garantizarle que vaya a pasar unAWSAuditoría de prácticas de seguridad básicas recomendadas de
existente.
MásAWSRecursos de prácticas de seguridad básicas

recomendadas de
• AWSEstándar de prácticas de seguridad básicas recomendadas deen laAWS Security HubGuía del
usuario de
• Categorías de controlen laAWS Security HubGuía del usuario de
AWSPrácticas recomendadas de funcionamiento

AWS Audit Managerproporciona un precompiladoAWSMarco de prácticas recomendadas operativas
(OBP) para ayudarlo con la preparación de su auditoría. Este marco ofrece un subconjunto de controles
delAWSEstándar de prácticas de seguridad básicas recomendadas de Estos controles sirven de
comprobaciones de línea de base para detectar cuándo las cuentas y los recursos implementados se
desvían de las prácticas de seguridad recomendadas.
Temas
• ¿Qué es ?AWSEstándar de prácticas de seguridad básicas recomendadas de (p. 110)
• MásAWSRecursos OBP (p. 111)
¿Qué es ?AWSEstándar de prácticas de seguridad básicas

recomendadas de
Puede utilizar elAWSPrácticas recomendadas de seguridad básica deestándar para evaluar sus cuentas
y cargas de trabajo e identificar rápidamente las áreas de desviación de las prácticas recomendadas.
El estándar proporciona orientación práctica y normativa sobre cómo mejorar y mantener la política de
seguridad de su organización.
Los controles incluyen las prácticas recomendadas en varios servicios de AWS. A cada control se le
asigna una categoría que refleja la función de seguridad a la que se aplica. Para obtener más información,
consulteCategorías de controlen laAWS Security HubGuía del usuario de.
110
AWSWell-Architected

Puede utilizar elAWSPrácticas recomendadas de funcionamientomarco para ayudarle a prepararse
procedimientos de prueba. Estos controles se agrupan en conjuntos de controles segúnAWSRequisitos de
prácticas operativas recomendadas También puede personalizar este marco y sus controles para admitir
Utilizando el marco como punto de partida, puede crear una evaluación de Audit Manager y comenzar a
recopilar pruebas relevantes para su auditoría. Después de crear una evaluación, Audit Manager comienza
a evaluar los recursos de suCuentas de AWSy servicios de. Lo hace basándose en los controles definidos
en elAWSMarco de Prácticas Operativas recomendadas. Cuando llegue el momento de realizar una
auditoría, usted, o un delegado de su elección, puede revisar la evidencia recopilada y añadirla a un
informe de evaluación. Puede utilizar este informe de evaluación para mostrar que los controles funcionan
según lo previsto.
LaAWSLos detalles del marco de prácticas recomendadas operativas son los siguientes:
Nombre del marco Número de Número de Número de conjuntos de control

enAWS Audit controles controles
Manager automatizados manuales
AWSPrácticas 52 0 20
recomendadas de
funcionamiento
Los controles de este marco no pretenden verificar si sus sistemas cumplenAWSPrácticas operativas
recomendadas. Además, no pueden garantizarle que vaya a pasar unAWSAudit Manager Manager.
existente.
MásAWSRecursos OBP
• AWSEstándar de prácticas de seguridad básicas recomendadas deen laAWS Security HubGuía del
usuario de
• Categorías de controlen laAWS Security HubGuía del usuario de
AWSWell-Architected
AWS Audit Managerproporciona un marco prediseñado que estructura y automatiza las evaluaciones para
elAWSMarco de Well-Architected, basado enAWSprácticas recomendadas.
Temas
• ¿Qué es ?AWS¿Well-Architected? (p. 112)
• MásAWSRecursos de Well-Architected (p. 110)
111
Perfil de control de nube media CCCS
¿Qué es ?AWS¿Well-Architected?
AWSWell-Architectedes un marco que puede ayudarlo a crear una infraestructura segura, de alto
rendimiento, resiliente y eficiente para sus aplicaciones y cargas de trabajo. Basada en cinco pilares:
excelencia operativa, seguridad, fiabilidad, eficiencia del rendimiento y optimización de costos,AWSWell-
Architected proporciona un enfoque coherente para que usted y sus socios evalúen arquitecturas e
implementen diseños que pueden escalarse a lo largo del tiempo.

Puede utilizar elAWSMarco de Well-Architectedpara ayudarle a prepararse para las auditorías. Este marco
describe los conceptos clave, los principios de diseño y las mejores prácticas arquitectónicas para diseñar
y ejecutar cargas de trabajo en la nube. De los cinco pilares en los que se basa AWS Well-Architected,
los pilares de seguridad y fiabilidad son los pilares para los que AWS Audit Manager ofrece un marco y
controles prediseñados. También puede personalizar este marco y sus controles para admitir auditorías
internas con requisitos específicos.
a evaluar suAWSde AWS. Lo hace basándose en los controles definidos en elAWSMarco de Well-
Architected. Cuando llegue el momento de realizar una auditoría, usted, o un delegado de su elección,
LaAWSLos detalles del Marco de Well-Architected son los siguientes:
Nombre del marco enAWS Audit Número de Número de Número de conjuntos de

Manager controles controles control
AWSMarco de Well-Architected 16 0 2
Los controles de este marco no pretenden verificar si sus sistemas cumplen las normas. Además, no
pueden garantizarle que vaya a aprobar una auditoría asociada a laAWSMarco de Well-Architected.
existente.
MásAWSRecursos de Well-Architected
• AWSWell-Architected
• AWSDocumentación de Marco Well-Architected
Perfil de control de nube medio del Centro Canadiense

para la Ciberseguridad
AWS Audit Managerproporciona un marco estándar preconstruido que estructura y automatiza las
evaluaciones para el Centro Canadiense de Seguridad Cibernética.
112
Perfil de control de nube media CCCS
Temas
• ¿Qué es el Centro Canadiense para la Ciberseguridad? (p. 113)
¿Qué es el Centro Canadiense para la Ciberseguridad?

El Centro Canadiense para la Seguridad Cibernética (CCCS) es la fuente autorizada de asesoramiento,
servicios y apoyo de expertos en ciberseguridad de Canadá. CCCS proporciona esta experiencia a
los gobiernos canadienses, la industria y el público en general. Las organizaciones del sector público
canadiense de todo el país confían en sus rigurosas evaluaciones de los proveedores de servicios en la
nube para tomar decisiones informadas sobre adquisiciones en la nube.
El perfil de control de nube media CCCS sustituyó al perfil de PROTEGIDO B/Medium Integrity/Medium
Availability (PBMM) del gobierno de Canadá en mayo de 2020. El perfil de control de seguridad de
nube media CCCS es adecuado si su organización utiliza servicios de nube pública para respaldar las
actividades empresariales con requisitos de confidencialidad, integridad y disponibilidad (AIC) medianos.
Las cargas de trabajo con requisitos de AIC medianos significan que la divulgación, modificación o pérdida
de acceso no autorizadas a la información o los servicios que utiliza la actividad empresarial puede
causar razonablemente lesiones graves a una persona u organización o lesiones limitadas a un grupo de
personas. Entre los ejemplos de estos niveles de lesión, se incluyen los siguientes:
• Efecto significativo sobre los beneficios anuales

• Pérdida de cuentas principales
• Pérdida de fondo de comercio
• Violación de conformidad clara
• Violación de la privacidad para cientos o miles de personas
• Afecta al rendimiento de
• Causas de trastorno mental o enfermedad
• Sabotaje
• Daños a la reputación
• Dificultades financieras individuales

Puede utilizar elAWS Audit Managermarco para el perfil de control de nube media para ayudarlo
a prepararse para las auditorías. Este marco incluye una colección de controles precompilada con
descripciones y procedimientos de prueba. Estos controles se agrupan en conjuntos de controles de
acuerdo con los requisitos de CCCS. También puede personalizar este marco y sus controles para admitir
a recopilar pruebas relevantes para una auditoría de perfil de control de nube media CCCS. En la
evaluación, puede especificar laAWScuentas y servicios que desea incluir en el ámbito de la auditoría.
Después de crear una evaluación, Audit Manager comienza a evaluar suAWSde AWS. Esto se basa en
los controles definidos en el marco de perfil de control de nube media CCCS. Cuando llegue el momento
de realizar una auditoría, usted, o un delegado de su elección, puede revisar la evidencia recopilada
y añadirla a un informe de evaluación. Puede utilizar este informe de evaluación para mostrar que los
controles funcionan según lo previsto.
Los detalles del marco son los siguientes:
113
CISAWSFundations Benchmark v.1.2
Centro Canadiense para la 206 396 165

Ciberseguridad - Mediano
Los controles de esteAWS Audit Managerframework no pretende verificar si sus sistemas cumplen con el
estándar CCCS Medium Cloud Control Profile. Además, no pueden garantizarle que vaya a aprobar una
auditoría de CCCS.AWS Audit ManagerNo comprueba automáticamente los controles de procedimiento
que requieren una recopilación manual de pruebas.
consulteCreación de una evaluación (p. 46). Para obtener instrucciones sobre cómo personalizar este
marco de trabajo para que se adapte a los requisitos específicos, consultePersonalización de un marco
existenteyPersonalización de un control existente.
CIS Benchmark para CIS Amazon Web Services

Foundations Benchmark v1.2.0
AWS Audit Managerproporciona dos marcos predefinidos que admiten el CISAWSFundations Benchmark
v1.2.0:
• CIS Benchmark para CIS Amazon Web Services Foundations Benchmark v1.2.0, nivel 1
• CIS Benchmark para CIS Amazon Web Services Foundations Benchmark v1.2.0, nivel 1 y 2
Note
• Para obtener información sobre los marcos de Audit Manager compatibles con la versión
1.3.0, consulteBenchmark de CIS para CIS Amazon Web Services Foundations Benchmark
v1.3.0 (p. 116).
v1.4.0 (p. 118).
Temas
• ¿Qué es CIS? (p. 114)
• Uso de estos marcos para respaldar la preparación de auditorías (p. 115)
• Más recursos del CIS (p. 116)
¿Qué es CIS?
LaCentro para la seguridad de Internet (CIS)es una organización sin fines de lucro que desarrolló
elCISAWSBase de referencia. Este punto de referencia sirve como conjunto de prácticas recomendadas
de configuración de seguridad paraAWS. Estas prácticas recomendadas aceptadas por el sector van
más allá de las directrices de seguridad de alto nivel ya disponibles en el sentido de que le proporcionan
información clara, step-by-step procedimientos de aplicación y evaluación.
Para obtener más información, consulte laCISAWSEntradas de blog de Foundations Benchmarken

elAWSBlog de seguridad.
114
Diferencia entre los puntos de referencia de CIS y los controles CIS
Referencias del CISson directrices de prácticas recomendadas de seguridad específicas de los productos
de los proveedores. Desde sistemas operativos hasta servicios en la nube y dispositivos de red, la
configuración que se aplica desde un punto de referencia protege los sistemas específicos que utiliza su
organización. Controles CISson pautas básicas de prácticas recomendadas que los sistemas a nivel de
organización deben seguir para ayudar a protegerse contra los vectores conocidos de ciberataques.
Ejemplos
• Los puntos de referencia de CIS son prescriptivos. Normalmente hacen referencia a una configuración
específica que se puede revisar y configurar en el producto del proveedor.
Ejemplo: CIS Amazon Web Services Foundations Benchmark v1.2.0 - 1.13 Asegurar que la MFA está
activada para la cuenta de «usuario raíz»
Esta recomendación proporciona orientación prescriptiva sobre cómo verificarlo y cómo configurarlo en
la cuenta raíz delAWSentorno de.
• Los controles CIS son para su organización en su conjunto. No son específicos de un solo producto de
proveedor.
Ejemplo: CIS Controls v7.1 - Subcontrol 4.5 Utilizar la autenticación multifactor para todo el acceso
administrativo
Este control describe lo que se espera que se aplique dentro de su organización. No describe cómo
debe aplicarlo a los sistemas y cargas de trabajo que está ejecutando (independientemente de dónde se
encuentren).
Uso de estos marcos para respaldar la preparación de auditorías

Puede utilizar el CISAWSMarcos de Benchmark v1.2 de Foundations enAWS Audit Managerpara ayudarle
a prepararse para las auditorías de CIS. También puede personalizar estos marcos y sus controles para
admitir auditorías internas con requisitos específicos.
Utilizando los marcos como punto de partida, puede crear una evaluación de Audit Manager y comenzar a
recopilar pruebas relevantes para la auditoría. Después de crear una evaluación, Audit Manager comienza
a evaluar suAWSde AWS. Lo hace basándose en los controles definidos en el marco CIS. Cuando llegue
el momento de realizar una auditoría, usted, o un delegado de su elección, puede revisar la evidencia
recopilada y añadirla a un informe de evaluación. Puede utilizar este informe de evaluación para mostrar
que los controles funcionan según lo previsto.
Nombre del marco enAWS Audit Número de Número de Número de conjuntos de

Manager controles controles control
CIS Benchmark para CIS Amazon 33 3 4

Web Services Foundations Benchmark
v1.2.0, nivel 1

v1.2.0, nivel 1 y 2
Los controles de estos marcos no pretenden verificar si sus sistemas cumplen con el estándar CIS.
Además, no pueden garantizarle que vaya a aprobar una auditoría de CIS.AWS Audit ManagerNo
115
comprueba automáticamente los controles de procedimiento que requieren una recopilación manual de
pruebas.
Puede encontrar estos marcos en elMarcos estándarde laBiblioteca de marco (p. 84)en Audit Manager.
Para obtener instrucciones acerca de cómo crear una evaluación utilizando estos marcos de trabajo,
Para obtener instrucciones sobre cómo personalizar estos marcos de trabajo para que sean compatibles
con los requisitos específicos, consultePersonalización de un marco existenteyPersonalización de un
control existente.
Más recursos del CIS

• El CISAWSFundations Benchmark v1.2.0
• CISAWSEntradas de blog de Foundations Benchmarken elAWSBlog de seguridad
Benchmark de CIS para CIS Amazon Web Services

AWS Audit Managerproporciona dos marcos predefinidos que admiten el CISAWSFundations Benchmark
v1.3:
Note
Para obtener información sobre el CISAWSFoundations Benchmark v1.2.0 yAWS Audit

Managermarcos que admiten esta versión del punto de referencia, consulteCIS Benchmark para
CIS Amazon Web Services Foundations Benchmark v1.2.0 (p. 114).
¿Qué es CIS?
LaCentro para la seguridad de Internet (CIS)desarrolló elCISAWSBase de referenciav1.3.0, un conjunto
de prácticas recomendadas de configuración de seguridad paraAWS. Estas prácticas recomendadas
aceptadas por el sector van más allá de las directrices de seguridad de alto nivel que ya están disponibles,
ya que proporcionanAWSusuarios con claros, step-by-step procedimientos de aplicación y evaluación.
Para obtener más información, consulte laCISAWSEntradas de blog de Foundations Benchmarken

elAWSBlog de seguridad.
CISAWSFoundations Benchmark v1.3.0 proporciona orientación para configurar las opciones de seguridad
para un subconjunto deAWSservicios con énfasis en configuraciones fundacionales, probables e
independientes de la arquitectura. Algunos de los Amazon Web Services específicos del ámbito de este
documento incluyen los siguientes:

• AWS Config
• AWS CloudTrail
• Amazon Simple Notification Service (Amazon SNS)
• Amazon Simple Storage Service (Amazon S3)
116
• Amazon Virtual Private Cloud (predeterminado)
LaReferencias del CISson directrices de prácticas recomendadas de seguridad específicas de los

productos de los proveedores. Desde sistemas operativos hasta servicios en la nube y dispositivos
de red, la configuración que se aplica desde un punto de referencia protege los sistemas que utiliza
su organización. LaControles CISson pautas básicas de prácticas recomendadas que debe seguir su
organización para ayudar a protegerse de los vectores conocidos de ciberataques.
Ejemplos
Ejemplo: CIS Amazon Web Services Foundations Benchmark v1.3.0 - 1.5 Asegúrese de que MFA esté
habilitado para la cuenta de «usuario raíz»
• Los controles CIS son para su organización en su conjunto y no son específicos de un solo producto de
proveedor.
administrativo
Este control describe lo que se espera que se aplique dentro de su organización, pero no cómo debe
aplicarlo a los sistemas y cargas de trabajo que está ejecutando (independientemente de dónde se
encuentren).
Uso de estos marcos para respaldar la preparación de auditorías

Puede utilizar el CISAWSMarcos de Benchmark v1.3 de Foundations enAWS Audit Managerpara ayudarle
a prepararse para las auditorías de CIS. También puede personalizar estos marcos y sus controles para

v1.3.0, nivel 1

v1.3.0, nivel 1 y 2
117
Los controles de estos marcos no pretenden verificar si sus sistemas cumplen con el estándar CIS.
Además, no pueden garantizarle que vaya a aprobar una auditoría de CIS.AWS Audit ManagerNo
pruebas.
control existente.

Benchmark de CIS para CIS Amazon Web Services

AWS Audit Managerproporciona dos marcos estándar prediseñados que admiten el CISAWSFundations
Benchmark v1.4.0:
Note
1.2.0, consulteCIS Benchmark para CIS Amazon Web Services Foundations Benchmark
v1.2.0 (p. 114).
v1.3.0 (p. 116).
Temas
• ¿Qué es el punto de referencia de CIS para CIS Amazon Web Services Foundations Benchmark
v1.4.0? (p. 118)
¿Qué es el punto de referencia de CIS para CIS Amazon Web

Services Foundations Benchmark v1.4.0?
El Benchmark de CIS para CIS Amazon Web Services Foundations Benchmark, v1.4.0, Level 1 y 2
proporciona orientación prescriptiva para configurar opciones de seguridad para un subconjunto de
Amazon Web Services. Hace hincapié en entornos básicos, probables e independientes de la arquitectura.
Algunos de los Amazon Web Services específicos del ámbito de este documento incluyen los siguientes:
118

• IAM Access Analyzer
• AWS Config
• AWS CloudTrail
• Amazon Simple Notification Service (Amazon SNS)
• Amazon Simple Storage Service (Amazon S3)
• Amazon Elastic Compute Cloud (Amazon EC2)
• Amazon Relational Database Service (Amazon RDS)
• Amazon Virtual Private Cloud
LaReferencias del CISson directrices de prácticas recomendadas de seguridad específicas de los

productos de los proveedores. Desde sistemas operativos hasta servicios en la nube y dispositivos de red,
la configuración que se aplica desde un punto de referencia protege los sistemas que se están utilizando.
LaControles CISson pautas básicas de prácticas recomendadas que debe seguir su organización para
ayudar a protegerse de los vectores conocidos de ciberataques.
Ejemplos
Ejemplo: CIS Amazon Web Services Foundations Benchmark v1.4.0 - 1.5 Asegúrese de que MFA esté
habilitado para la cuenta de «usuario raíz»
• Los controles CIS son para su organización en su conjunto y no son específicos de un solo producto de
proveedor.
administrativo
Este control describe lo que se espera que se aplique dentro de su organización. Sin embargo, no
describe cómo aplicarlo a los sistemas y cargas de trabajo que está ejecutando, independientemente de
dónde se encuentren.

Puede utilizar el CISAWSMarcos de Benchmark v1.4.0 de Foundations enAWS Audit Managerpara
ayudarle a prepararse para las auditorías de CIS. También puede personalizar estos marcos y sus
controles para admitir auditorías internas con requisitos específicos.
119
Controles CIS v7.1 IG1

v1.4.0, nivel 1

v1.4.0, nivel 1 y 2
Los controles de estos marcos no pretenden verificar si sus sistemas cumplen con el estándar CIS
Benchmark para CIS Amazon Web Services Foundations Benchmark v1.4.0. Además, no pueden
garantizarle que vaya a aprobar una auditoría de CIS.AWS Audit Managerno comprueba automáticamente
los controles de procedimiento que requieren una recopilación manual de pruebas.
control existente.

• Referencias del CISdesde lasCentro de seguridad de Internet
CIS Controls v7.1 Grupo de implementación 1

AWS Audit Managerproporciona un marco prediseñado que admite Controles de Center for Internet
Security (CIS) v7.1 Implementation Group 1.
Note
Para obtener información sobre CIS Controls v8 IG1 y elAWS Audit Managermarco que admite
este estándar, consulteGrupo de implementación 1 de CIS Controls v8 (p. 122).
AWS Audit Managerproporciona un marco precompilado que admite elCentro para la seguridad de Internet
(CIS)para ayudarle en la preparación de su auditoría.
Temas
• ¿Qué son los controles CIS? (p. 120)
¿Qué son los controles CIS?

Los controles CIS son un conjunto de acciones prioritarias que forman colectivamente un defense-in-depth
conjunto de prácticas recomendadas. Estas prácticas recomendadas mitigan los ataques más comunes
120
Controles CIS v7.1 IG1
contra sistemas y redes. Grupo de implementación 1se define generalmente para una organización con
recursos limitados y experiencia en ciberseguridad que están disponibles para implementar subcontroles.
Diferencia entre los controles CIS y los puntos de referencia de CIS
Los controles CIS son pautas básicas de prácticas recomendadas que una organización puede seguir
para protegerse contra vectores conocidos de ciberataque. Los puntos de referencia de CIS son directrices
de mejores prácticas de seguridad específicas para los productos de los proveedores. Desde sistemas
operativos hasta servicios en la nube y dispositivos de red, la configuración que se aplica desde un
Benchmark protege los sistemas que se están utilizando.
Ejemplos
• Referencias del CISson prescriptivos. Normalmente hacen referencia a una configuración específica que
se puede revisar y configurar en el producto del proveedor.
• Ejemplo: CIS Amazon Web Services Foundations Benchmark v1.2.0 - 1.13 Asegurar que la MFA está
activada para la cuenta de «usuario raíz».
• Esta recomendación proporciona orientación prescriptiva sobre cómo verificarlo y cómo configurarlo
en la cuenta raíz delAWSentorno de.
• Controles CISson para su organización en su conjunto y no son específicos de un solo producto de
proveedor.
• Ejemplo: CIS Controls v7.1 - Subcontrol 4.5 Utilizar la autenticación multifactor para todo el acceso
administrativo
• Este control describe lo que se espera que se aplique dentro de su organización. Sin embargo,
no indica cómo debe aplicarlo a los sistemas y cargas de trabajo que está ejecutando
(independientemente de dónde se encuentren).

Puede utilizar elControles CIS v7.1 IG1marco para ayudarle a prepararse para las auditorías. Este marco
controles se agrupan en conjuntos de controles de acuerdo con los requisitos CIS. También puede
personalizar este marco y sus controles para admitir auditorías internas con requisitos específicos.
a evaluar suAWSde AWS. Esto se basa en los controles definidos en el marco CIS Controls v7.1 IG1.
Cuando llegue el momento de realizar una auditoría, usted, o un delegado de su elección, puede revisar la
evidencia recopilada y añadirla a un informe de evaluación. Puede utilizar este informe de evaluación para
mostrar que los controles funcionan según lo previsto.
Los detalles del marco CIS Controls v7.1 IG1 son los siguientes:
Controles CIS v7.1 IG1 21 22 16
Los controles de este marco no están diseñados para verificar si sus sistemas cumplen con los controles
CIS. Además, no pueden garantizarle que vaya a aprobar una auditoría de CIS.AWS Audit Managerno
pruebas.
121
Controles CIS v8 IG1
existente.

• Controles CIS v7.1 IG1
Grupo de implementación 1 de CIS Controls v8

AWS Audit Managerproporciona un marco estándar prediseñado que admite el grupo de implementación 1
de los controles de Center for Internet Security (CIS) v8.
Note
Para obtener información sobre CIS Controls v7.1 IG1 y elAWS Audit Managermarco que admite
este estándar, consulteCIS Controls v7.1 Grupo de implementación 1 (p. 120).
Temas
• ¿Qué son los controles CIS? (p. 122)
¿Qué son los controles CIS?

Los controles de seguridad crítica de CIS (CIS Controls) son un conjunto prioritario de salvaguardias
para mitigar los ciberataques más prevalentes contra sistemas y redes. Se asignan y hacen referencia
a ellos varios marcos legales, normativos y políticos. CIS Controls v8 se ha mejorado para mantenerse
al día con los sistemas y el software modernos. El movimiento hacia la informática basada en la nube, la
virtualización, la movilidad, la externalización, el trabajo desde casa y las cambiantes tácticas de atacantes
impulsaron la actualización. Esta actualización respalda la seguridad de las empresas a medida que se
mueven a entornos híbridos y totalmente cloud.
Diferencia entre los controles CIS y los puntos de referencia de CIS
Los controles CIS son pautas básicas de prácticas recomendadas que una organización puede seguir
para protegerse contra vectores conocidos de ciberataque. Los puntos de referencia de CIS son directrices
de mejores prácticas de seguridad específicas para los productos de los proveedores. Desde sistemas
operativos hasta servicios en la nube y dispositivos de red, la configuración que se aplica desde un
Benchmark protege los sistemas que se están utilizando.
Ejemplos
• Referencias del CISson prescriptivos. Normalmente hacen referencia a una configuración específica que
se puede revisar y configurar en el producto del proveedor.
• Ejemplo: CIS Amazon Web Services Foundations Benchmark v1.2.0 - 1.13 Asegurar que la MFA está
activada para la cuenta de «usuario raíz».
• Esta recomendación proporciona orientación prescriptiva sobre cómo verificarlo y cómo configurarlo
en la cuenta raíz delAWSentorno de.
122
Base de referencia moderada de FedRAMP
• Controles CISson para su organización en su conjunto y no son específicos de un solo producto de

proveedor.
• Ejemplo: CIS Controls v7.1 - Subcontrol 4.5 Utilizar la autenticación multifactor para todo el acceso
administrativo
• Este control describe lo que se espera que se aplique dentro de su organización. Sin embargo,
no indica cómo debe aplicarlo a los sistemas y cargas de trabajo que está ejecutando
(independientemente de dónde se encuentren).

Puede utilizar elControles CIS v8 IG1marco para ayudarle a prepararse para las auditorías. Este marco
controles se agrupan en conjuntos de controles de acuerdo con los requisitos CIS. También puede
comienza a evaluar suAWSde AWS. Esto se basa en los controles definidos en el marco CIS Controls v8.
Los detalles del marco CIS Controls v8 son los siguientes:
Controles CIS v8 IG1 25 31 15
Los controles de este marco no están diseñados para verificar si sus sistemas cumplen con los controles
CIS. Además, no pueden garantizarle que vaya a aprobar una auditoría de CIS.AWS Audit Managerno
pruebas.
Para obtener instrucciones acerca de cómo crear una evaluación utilizando este marco, consulteCreación
de una evaluación (p. 46).
existente.

• Controles CIS v8

AWS Audit Managerproporciona unBase de referencia moderada de FedRAMPmarco para ayudarlo con la
preparación de su auditoría.
123
Note
Este marco se llamaba anteriormenteLínea base moderada de FedRAMP por Allgress.
Temas
• ¿Qué es FedRAMP? (p. 124)
• Más recursos del FedRAMP (p. 125)
¿Qué es FedRAMP?
El Programa Federal Risk and Authorization Management Program (FedRAMP) se estableció en 2011.
Proporciona un enfoque rentable y basado en el riesgo para la adopción y uso de servicios en la nube por
parte del gobierno federal de EE. UU. FedRAMP permite a las agencias federales utilizar tecnologías de
nube modernas, con énfasis en la seguridad y protección de la información federal.
Para obtener más información acerca de los controles de línea base moderada de FedRAMP, consulte
laPlantilla de procedimientos de casos de prueba de seguridad moderada de FedRAMP.

Puede utilizar elBase de referencia moderada de FedRAMPmarco para ayudarle a prepararse para
procedimientos de prueba. Estos controles se agrupan en conjuntos de controles de acuerdo con los
requisitos de FedRAMP. También puede personalizar este marco y sus controles para admitir auditorías
a evaluar suAWSde AWS. Lo hace basándose en los controles definidos en el marco. Cuando llegue
Los detalles del marco de referencia moderada de FedRAMP son los siguientes:
Base de referencia moderada de 303 908 325

FedRAMP
Los controles de este marco no pretenden verificar si sus sistemas cumplen con FedRAMP. Además, no
pueden garantizarle que vaya a aprobar una auditoría de FedRAMP.AWS Audit Managerno comprueba
automáticamente los controles de procedimiento que requieren una recopilación manual de pruebas.
existente.
124
Reglamento General de Protección de Datos (RGPD)
Más recursos del FedRAMP

• AWSPágina de cumplimiento de FedRAMP
• AWSPublicaciones del blog de FedRAMP

AWS Audit Managerproporciona un marco estándar preconstruido que apoya el Reglamento General de
Protección de Datos (RGPD, por sus siglas en inglés). De forma predeterminada, este marco contiene
solo controles manuales. Estos controles manuales no recopilan pruebas automáticamente. Sin embargo,
si desea automatizar la recopilación de pruebas para algunos controles según el RGPD, puede utilizar la
función de control personalizado enAWS Audit Manager. Para obtener más información, consulte Uso de
este marco para respaldar la preparación de auditorías (p. 125).
Temas
• ¿Qué es el Reglamento General de Protección de Datos (RGPD)? (p. 125)
• Más recursos del RGPD (p. 140)
¿Qué es el Reglamento General de Protección de Datos

(RGPD)?
LaReglamento General de Protección de Datos (RGPD)es una nueva ley europea de privacidad que entró
en vigor el 25 de mayo de 2018. El RGPD sustituye a la Directiva de protección de datos de la UE, también
conocida comoDirectiva 95/46/CE. Su objetivo es armonizar las leyes de protección de datos en toda la
Unión Europea (UE). Para ello, aplica una única ley de protección de datos vinculante en cada estado
miembro de la UE.
El RGPD se aplica a todas las organizaciones establecidas en la UE y a las organizaciones (sin importar
si se establecieron en la UE) que procesan los datos personales de los interesados de la UE en relación
con la oferta de bienes o servicios a los interesados de la UE o el seguimiento del comportamiento que se
lleva a cabo dentro de la UE. Los datos personales son cualquier información relacionada con una persona
física identificada o identificable.
Puede encontrar el marco del RGPD en la página de biblioteca de marcos deAWS Audit Manager. Para
obtener más información, consulte laCentro de Reglamento General de Protección de Datos (RGPD).

Puede utilizar elGDPRframework enAWS Audit Managerpara ayudarle a prepararse para las auditorías.
GDPR 0 371 10
Para automatizar la recopilación de pruebas para los controles conforme al RGPD, puede utilizarAWS
Audit Managerpara crear controles personalizados para el RGPD. Para ello, consulte la configuración de
125
origen de datos recomendada en la siguiente tabla. Para obtener instrucciones sobre cómo crear un control
personalizado, consulteCrear un control personalizado (p. 157).
Nombre de Conjunto Asignación de fuentes de datos de control recomendada

control de control
Artículo 25 Capítulo PuedeCreación de un control personalizadoenAWS Audit Managerque

Protección 4: respalda este control del RGPD.
de datos Controlador
por diseño y Cuandoespecificar los detalles del control, introduzca lo siguiente
y por procesador enInformación de pruebas:
defecto. 1
• Mostrar todos los eventos de cuentas raíz a lo largo del plazo
• AWS CloudTrailcubo no público
• Mostrar todas las políticas con unAllow:*:*y enumerar todos los
directores y servicios utilizando esas políticas
Cuandoconfigurar el origen de datospara el control personalizado,

elijaEvidencia automatizada,Comprobación de conformidad deAWS
Configcomo tipo de prueba y, a continuación, seleccione lo siguienteAWS
Config Rules:
• IAM_ROOT_ACCESS_KEY_CHECK
• ROOT_ACCOUNT_MFA_ENABLED
• ROOT_ACCOUNT_HARDWARE_MFA_ENABLED
• VPC_FLOW_LOGS_ENABLED
• ACCESS_KEYS_ROTATED
• IAM_PASSWORD_POLICY

elijaEvidencia automatizada,Comprobación de conformidad deAWS Security
Hubcomo tipo de prueba y, a continuación, seleccione las siguientes
comprobaciones de seguridad de Security Hub:
• 1.1 - 3,14
• Config.1

defecto. 2

Config Rules:
126

control de control

• 1.1 - 3,14
• Config.1

defecto. 3

Config Rules:

• 1.1 - 3,14
• Config.1
127

control de control

Registros 4: respalda este control del RGPD.
de las Controlador
actividades y Cuandoespecificar los detalles del control, introduzca lo siguiente
de procesador enInformación de pruebas:
procesamiento.1

Config Rules:
• CLOUD_TRAIL_ENCRYPTION_ENABLED
• CLOUD_TRAIL_LOG_FILE_VALIDATION_ENABLED
• CMK_BACKING_KEY_ROTATION_ENABLED
• CLOUD_TRAIL_ENABLED
• ELB_LOGGING_ENABLED
• CLOUDTRAIL_SECURITY_TRAIL_ENABLED
• REDSHIFT_CLUSTER_CONFIGURATION_CHECK
• CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED

Hubcomo tipo de evidencia y, a continuación, seleccione la siguiente
comprobación de seguridad de Security Hub:
• Config.1
128

control de control

de las Controlador
procesamiento.2

Config Rules:

• Config.1
129

control de control

de las Controlador
procesamiento.3

Config Rules:

• Config.1
130

control de control

de las Controlador
procesamiento.4

Config Rules:

• Config.1
131

control de control

de las Controlador
procesamiento.5

Config Rules:

• Config.1
132

control de control

Seguridad 4: respalda este control del RGPD.
del Controlador
procesamiento.1
y Cuandoespecificar los detalles del control, introduzca lo siguiente
procesador enInformación de pruebas:
• Mostrar cifrado de datos en reposo para todos los servicios

• Mostrar cifrado de datos en tránsito para todos los servicios
• Eliminación de MFA habilitada para Amazon S3
• Todos los análisis de Amazon Inspector
• Mostrar todas las instancias que no están activadas Amazon Inspector
• Mostrar todos los balanceadores de carga que escuchan en HTTPS (SSL)
• AWS CloudTrailcifrado en reposo
• Amazon CloudWatch alertas paraAWS Configmostrar todos los cambios y
todos los ajustes comentados
• Toda la actividad raíz

Config Rules:
• S3_BUCKET_SSL_REQUESTS_ONLY
• CLOUDWATCH_LOG_GROUP_ENCRYPTED
• EFS_ENCRYPTED_CHECK
• ELASTICSEARCH_ENCRYPTED_AT_REST
• ENCRYPTED_VOLUMES
• RDS_STORAGE_ENCRIPTADO
• S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED
• SAGEMAKER_ENDPOINT_CONFIGURATION_KMS_KEY_CONFIGURATION
• SAGEMAKER_NOTEBOOK_INSTANCE_KMS_KEY_CONFIGURE
• SNS_ENCRYPTED_KMS
• EC2_EBS_ENCRYPTION_BY_DEFAULT
• DYNAMODB_TABLE_ENCRYPTED_KMS
• DYNAMODB_TABLE_ENCRYPTION_ENABLED
• RDS_SNAPSHOT_ENCRIPTADO
• S3_DEFAULT_ENCRYPTION_KMS
• DAX_ENCRYPTION_ENABLED
• EKS_SECRETS_ENCRIPTADO
• RDS_LOGGING_ENABLED
• REDSHIFT_BACKUP_ENABLED
• RDS_IN_BACKUP_PLAN
• WAF_CLASSIC_LOGGING_ENABLED
133

control de control
• WAFV2_LOGGING_ENABLED
• ALB_HTTP_TO_HTTP_HTTP_REDIRECTION_CHECK
• ELB_ACM_CERTIFICATE_REQUIRED
• ELB_CUSTOM_SECURITY_POLICY_SSL_CHECK
• REDSHIFT_REQUIRE_TLS_SSL
• CLOUDFRONT_VIEWER_POLICY_HTTPS
• ALB_HTTP_DROP_INVALID_HEADER_ENABLED
• ELASTICSEARCH_NODE_TO_NODE_ENCRYPTION_CHECK
• ELB_TLS_HTTP_LISTENERS_ONLY
• ACM_CERTIFICATE_EXPIRATION_CHECK
• API_GW_CACHE_ENABLED_Y_ENCRIPTADO
134

control de control

del Controlador
procesamiento.2


Config Rules:
135

control de control
136

control de control

del Controlador
procesamiento.3


Config Rules:
137

control de control
138

control de control

del Controlador
procesamiento.4

• Todos los escaneos de Amazon Inspector

Config Rules:
139
Ley Gramm-Leach-Bliley

control de control
Después de crear los nuevos controles personalizados para el RGPD, puede añadirlos a un
marco de RGPD personalizado. Para obtener más información, consulte Creación de un marco
personalizado (p. 86) y Edición de un marco de trabajo personalizado (p. 90). A continuación, puede
crear una evaluación a partir del marco del RGPD personalizado. De esta forma,AWS Audit Managerpuede
recopilar pruebas automáticamente de los controles personalizados que ha agregado. Para obtener
instrucciones sobre cómo crear una evaluación a partir de un marco de trabajo, consulteCreación de una
Puede encontrar el marco del RGPD en laMarcos estándarde laBiblioteca de marco (p. 84)en Audit
Manager.
Más recursos del RGPD

• Centro de Reglamento General de Protección de Datos (RGPD)
• AWSPublicaciones de blog del RGPD
Ley Gramm-Leach-Bliley
AWS Audit Managerproporciona un marco prediseñado que apoya la Ley Gramm-Leach-Bliley (GLBA).
Temas
• ¿Qué es la Ley Gramm-Leach-Bliley (GLBA)? (p. 140)
¿Qué es la Ley Gramm-Leach-Bliley (GLBA)?

La Ley Gramm-Leach-Bliley (GLB Act o GLBA), también conocida como Ley de Modernización de
Servicios Financieros de 1999, es una ley federal promulgada en los Estados Unidos para controlar la
forma en que las instituciones financieras tratan la información privada de los individuos. La ley consta de
tres secciones. El primero es la Regla de Privacidad Financiera, que regula la recopilación y divulgación de
información financiera privada. El segundo es la Regla de Salvaguardias, que estipula que las instituciones
financieras deben implementar programas de seguridad para proteger dicha información. El tercero son las
disposiciones de pretexto, que prohíben la práctica del pretexto (acceder a información privada mediante
falsas pretensiones). La ley también exige que las instituciones financieras proporcionen a los clientes
avisos de privacidad por escrito que expliquen sus prácticas de intercambio de información.
140
GxP 21 CFR parte 11

Puede utilizar elLey Gramm-Leach-Bliley (GLBA)marco para ayudarle a prepararse para las auditorías.
Este marco incluye una colección de controles precompilada con descripciones y procedimientos de
prueba. Estos controles se agrupan en conjuntos de controles de acuerdo con los requisitos de GLBA.
También puede personalizar este marco y sus controles para admitir auditorías internas con requisitos
específicos.
Utilizando el marco GLBA como punto de partida, puede crear una evaluación de Audit Manager y
comenzar a recopilar pruebas relevantes para una auditoría de GLBA. En la evaluación, puede especificar
laCuentas de AWSy servicios que desea incluir en el ámbito de la auditoría. Después de crear una
evaluación, Audit Manager comienza a evaluar suAWSde AWS. Lo hace basándose en los controles
definidos en el marco GLBA. Cuando llegue el momento de realizar una auditoría, usted, o un delegado
de su elección, puede revisar la evidencia recopilada y añadirla a un informe de evaluación. Puede utilizar
este informe de evaluación para mostrar que los controles funcionan según lo previsto.
Los detalles del Marco GLBA son los siguientes:
Ley Gramm-Leach-Bliley (GLBA) 4 110 16
Los controles de esteAWS Audit Managerframework no está diseñado para verificar si sus sistemas son
conformes con el estándar GLBA. Además, no pueden garantizarle que vaya a aprobar una auditoría de
GLBA.AWS Audit Managerno comprueba automáticamente los controles de procedimiento que requieren
una recopilación manual de pruebas.
Puede encontrar el marco de GLBA en elMarcos estándarde laBiblioteca de marco (p. 84)en Audit
Manager.
existente.
GxP 21 CFR parte 11

AWS Audit Managerproporciona un marco prediseñado que admite las regulaciones de GxP CFR parte 11
basadas enAWSprácticas recomendadas.
Note
Para obtener información sobreGxP UE Anexo 11y el marco de Audit Manager que lo admite,
consulteGxP UE Anexo 11 (p. 143).
Temas
• ¿Qué es GxP CFR parte 11? (p. 142)
• Más recursos de GxP (p. 143)
141
GxP 21 CFR parte 11
¿Qué es GxP CFR parte 11?

GxPse refiere a los reglamentos y directrices aplicables a las organizaciones de ciencias biológicas que
fabrican alimentos y productos médicos. Los productos médicos incluidos en esto incluyen medicamentos,
dispositivos médicos y aplicaciones de software médico. La intención general de los requisitos de GxP es
garantizar que los alimentos y los productos médicos sean seguros para los consumidores. También es
para garantizar la integridad de los datos que se utilizan para tomar decisiones de seguridad relacionadas
con los productos.
El término GxP abarca una amplia gama de actividades relacionadas con el cumplimiento. Estos incluyen
buenas prácticas de laboratorio (GLP), buenas prácticas clínicas (GCP) y buenas prácticas de fabricación
(GMP). Cada uno de estos diferentes tipos de actividades implica requisitos específicos de productos que
las organizaciones de ciencias biológicas deben implementar. Esto se basa en el tipo de productos que
fabrican las organizaciones y en el país donde se venden sus productos. Cuando las organizaciones de
ciencias biológicas utilizan sistemas informatizados para realizar determinadas actividades de GxP, deben
asegurarse de que el sistema GxP computarizado se desarrolle, valide y funcione adecuadamente para el
uso previsto del sistema.
Para un enfoque integral de la utilización de laAWSCloud para sistemas GxP, consulta laConsideraciones
sobre el uso deAWSProductos en sistemas GxPdocumento técnico.

Puede utilizar elGxP 21 CFR Parte 11marco para ayudarle a prepararse para las auditorías. Este marco
controles se agrupan en conjuntos de controles de acuerdo con los requisitos de GxP. También puede
a evaluar suAWSde AWS. Lo hace basándose en los controles definidos en el marco GxP 21 CFR Parte
11. Cuando llegue el momento de realizar una auditoría, usted, o un delegado de su elección, puede
revisar la evidencia recopilada y añadirla a un informe de evaluación. Puede utilizar este informe de
Los detalles del marco de GxP CFR Parte 11 son los siguientes:
GxP 21 CFR Parte 11 13 14 7
Los controles de esteAWS Audit Managerframework no pretende verificar si sus sistemas cumplen con
la normativa GxP. Además, no pueden garantizarle que vaya a pasar una auditoría de GxP.AWS Audit
Managerno comprueba automáticamente los controles de procedimiento que requieren una recopilación
manual de pruebas.
existente.
142
GxP UE Anexo 11
Más recursos de GxP

• AWSPágina de cumplimiento de GxP
• Consideraciones sobre el uso deAWSProductos en sistemas GxP
GxP UE Anexo 11
AWS Audit Managerproporciona un marco prediseñado que admite la normativa GxP EU Anexo 11 basada
enAWSprácticas recomendadas.
Note
Para obtener información sobreGxP 21 CFR Parte 11y el marco de Audit Manager que lo admite,
consulteGxP 21 CFR parte 11 (p. 141).
Temas
• ¿Qué es el anexo 11 de la UE de GxP? (p. 143)
¿Qué es el anexo 11 de la UE de GxP?

El marco del anexo 11 de la UE de GxP es el equivalente europeo al marco de la FDA 21 CFR parte
11 en los Estados Unidos. Este anexo se aplica a todas las formas de sistemas informatizados que se
utilizan como parte de las actividades reguladas por Buenas Prácticas de Fabricación (GMP). Un sistema
computarizado es un conjunto de componentes de software y hardware que, en conjunto, cumplen ciertas
funcionalidades. La aplicación debe validarse y la infraestructura de TI debe estar calificada. Cuando un
sistema informatizado sustituye a una operación manual, no debe haber una disminución resultante de
la calidad del producto, el control de procesos o la garantía de calidad. No debería haber aumento en el
riesgo general del proceso.
El anexo 11 forma parte de las directrices europeas del GMP y define los términos de referencia de los
sistemas informatizados que utilizan las organizaciones de la industria farmacéutica. El anexo 11 funciona
como lista de comprobación que permite a las agencias reguladoras europeas establecer los requisitos
para los sistemas informatizados relacionados con productos farmacéuticos y dispositivos médicos. Las
directrices establecidas por la Comisión de los Comités Europeos no están muy distantes de la FDA (21
CFR parte 11). En el anexo 11 se definen los criterios de cómo se consideran gestionados los registros
electrónicos y las firmas electrónicas.

Puede utilizar elGxP UE Anexo 11marco para ayudarle a prepararse para las auditorías. Este marco
controles se agrupan en conjuntos de controles de acuerdo con los requisitos de GxP. También puede
a evaluar suAWSde AWS. Lo hace basándose en los controles definidos en el marco del anexo 11 de la
UE de GxP. Cuando llegue el momento de realizar una auditoría, usted, o un delegado de su elección,
Los detalles del marco GxP UE Anexo 11 son los siguientes:
143
HIPAA
GxP UE Anexo 11 19 13 3
Los controles de este marco no pretenden verificar si sus sistemas cumplen los requisitos del anexo 11
de la UE de GxP. Además, no pueden garantizarle que vaya a pasar una auditoría de GxP.AWS Audit
Managerno comprueba automáticamente los controles de procedimiento que requieren una recopilación
manual de pruebas.
existente.
Ley de Portabilidad y Responsabilidad de Seguros

Médicos de EE. UU (Health Insurance Portability and
Accountability Act, HIPAA).
AWS Audit Managerproporciona un marco prediseñado que admite las reglas HIPAA para ayudarle en la
preparación de la auditoría.
Temas
• ¿Qué es HIPAA? (p. 144)
• Más recursos de HIPAA (p. 145)
¿Qué es HIPAA?
LaLey de Portabilidad y Responsabilidad de Seguros Médicos de EE. UU de 1996 (Health Insurance
Portability and Accountability Act of 1996, HIPAA).es una legislación que ayuda a los trabajadores
estadounidenses a conservar la cobertura del seguro médico cuando cambian o pierden puestos de
trabajo. La legislación también busca fomentar los registros médicos electrónicos para mejorar la eficiencia
y la calidad del sistema sanitario estadounidense mediante un mejor intercambio de información.
Además de aumentar el uso de registros médicos electrónicos, HIPAA incluye disposiciones para proteger
la seguridad y la privacidad de la información médica protegida (PHI). La PHI incluye un conjunto muy
amplio de datos relacionados con la salud y la salud identificables personalmente. Esto incluye información
de seguro y facturación, datos de diagnóstico, datos de atención clínica y resultados de laboratorio, como
imágenes y resultados de pruebas.
Las normas HIPAA se aplican a las entidades cubiertas. Estos incluyen hospitales, proveedores de
servicios médicos, planes de salud patrocinados por el empleador, centros de investigación y compañías
de seguros que se ocupan directamente de los pacientes y los datos de los pacientes. El requisito de
HIPAA para proteger la PHI también se extiende a los asociados comerciales.
Para obtener más información acerca de cómo HIPAA y HITECH protegen la información médica, consulte
laPrivacidad de información de Healthpágina web del Departamento de Health y Servicios Humanos de
EE. UU.
144
ISO/IEC 27001:2013
Un número creciente de proveedores de atención médica, pagadores y profesionales de TI

utilizanAWSservicios en la nube basados en utilidades para procesar, almacenar y transmitir información
sanitaria protegida (PHI, por sus siglas en inglés).AWSpermite a las entidades cubiertas y a sus asociados
comerciales sujetos a HIPAA utilizar elAWSentorno para procesar, mantener y almacenar información
médica protegida.
Para obtener instrucciones sobre cómo utilizarAWSpara el procesamiento y el almacenamiento de

información médica, consulte laArchitecting for HIPAA Security and Compliance on Amazon Web
Servicesdocumento técnico.

Puede utilizar elHIPAAmarco para ayudarle a prepararse para las auditorías. Este marco incluye una
colección de controles precompilada con descripciones y procedimientos de prueba. Estos controles se
agrupan en conjuntos de controles de acuerdo con los requisitos de la HIPAA. También puede personalizar
este marco y sus controles para admitir auditorías internas con requisitos específicos.
comienza a evaluar suAWSde AWS. Lo hace basándose en los controles definidos en el marco HIPAA.
Los detalles del marco HIPAA son los siguientes:
HIPAA 35 53 6
conformes con el estándar HIPAA. Además, no pueden garantizarle que vaya a aprobar una auditoría de la
HIPAA.AWS Audit Managerno comprueba automáticamente los controles de procedimiento que requieren
existente.
Más recursos de HIPAA

• Privacidad de información de Healthdel Departamento de Health y Servicio Humano de los EE. UU.
• Arquitectura de seguridad de HIPAA y cumplimiento de servicios Amazon Web
• AWSPágina de cumplimiento para HIPAA
ISO/IEC 27001:2013 Anexo A

AWS Audit Managerproporciona un marco estándar preconstruido que estructura y automatiza las
evaluaciones para ISO/IEC 27001:2013 Anexo A.
145
ISO/IEC 27001:2013
Temas
• ¿Qué es el Anexo A ISO/IEC 27001:2013? (p. 146)
• Más recursos de ISO/IEC 27001:2013 Anexo A (p. 147)
¿Qué es el Anexo A ISO/IEC 27001:2013?

La Comisión Electrotécnica Internacional (IEC) y la Organización Internacional de Normalización (ISO)
son organizaciones independientes, no gubernamentales y sin fines de lucro que desarrollan y publican
estándares internacionales totalmente basados en el consenso.
ISO/IEC 27001:2013 El anexo A es un estándar de gestión de la seguridad que especifica las mejores
prácticas de gestión de la seguridad y controles de seguridad exhaustivos que siguen la guía de mejores
prácticas ISO/IEC 27002. Este estándar internacional especifica los requisitos sobre cómo establecer,
implementar, mantener y mejorar continuamente un sistema de administración de seguridad de la
información en su organización. Entre estos estándares se incluyen los requisitos de evaluación y
tratamiento de los riesgos de seguridad de la información que se adaptan a las necesidades de su
organización. Los requisitos de esta norma internacional son genéricos y están destinados a ser aplicables
a todas las organizaciones, independientemente de su tipo, tamaño o naturaleza.

Puede utilizar elAWS Audit Managermarco para ISO/IEC 27001:2013 Anexo A para ayudarle a prepararse
requisitos ISO/IEC 27001:2013 del anexo A. También puede personalizar este marco y sus controles para
a recopilar pruebas relevantes para una auditoría ISO/IEC 27001:2013 del anexo A. En la evaluación,
puede especificar laAWScuentas y servicios que desea incluir en el ámbito de la auditoría. Después de
crear una evaluación, Audit Manager comienza a evaluar suAWSde AWS. Lo hace basándose en los
controles definidos en el marco ISO/IEC 27001:2013 del anexo A. Cuando llegue el momento de realizar
una auditoría, usted, o un delegado de su elección, puede revisar la evidencia recopilada y añadirla a un
informe de evaluación. Puede utilizar esta evaluación para mostrar que los controles funcionan según lo
previsto.
ISO-IEC 27001:2013 Anexo A 50 64 35
este estándar internacional. Además, no pueden garantizarle que vaya a aprobar una auditoría ISO/
IEC.AWS Audit Managerno comprueba automáticamente los controles de procedimiento que requieren una
recopilación manual de pruebas.
Puede encontrar el marco ISO/IEC 27001:2013 Anexo A en laMarcos estándarde laBiblioteca de

marco (p. 84)en Audit Manager.
de una evaluación (p. 46). Para obtener instrucciones sobre cómo personalizar este marco de trabajo para
146
NIST 800-53 (Rev. 5)
que se adapte a los requisitos específicos, consultePersonalización de un marco existenteyPersonalización

de un control existente.
Más recursos de ISO/IEC 27001:2013 Anexo A

• Para obtener más información acerca de este estándar internacional, consulteISO/IEC 27001:2013en la
tienda web de ANSI.
NIST 800-53 (Rev. 5) Bajo-moderado-alto

AWS Audit Managerproporciona un marco prediseñado que estructura y automatiza las evaluaciones del
estándar de cumplimiento NIST 800-53, basado enAWSprácticas recomendadas.
Note
• Para obtener información sobre el marco de Audit Manager que admiteNISTA 800-171,
consulteNIST SP 800-171 (Rev. 2) (p. 150).
• Para obtener información sobre el marco de Audit Manager que admite elMarco de
ciberseguridad de NIST, consulteNIST Cybersecurity Framework versión 1.1 (p. 148).
Temas
• ¿Qué es NIST 800-53? (p. 147)
• Más recursos del NIST (p. 148)
¿Qué es NIST 800-53?

LaInstituto Nacional de Estándares y Tecnología (NIST)se fundó en 1901 y ahora forma parte del
Departamento de Comercio de los Estados Unidos. El NIST es uno de los laboratorios de ciencias
físicas más antiguos de los Estados Unidos. El Congreso de los Estados Unidos estableció la agencia
para mejorar lo que en ese momento era una infraestructura de medición de segunda categoría. La
infraestructura representaba un gran desafío para la competitividad industrial estadounidense, ya que se
ha quedado a la zaga de otras potencias económicas como el Reino Unido y Alemania.
Los controles de seguridad NIST 800-53 se aplican generalmente a los sistemas de información federales
de EE. UU. Normalmente se trata de sistemas que deben pasar por un proceso formal de evaluación
y autorización. Este proceso garantiza una protección suficiente de la confidencialidad, integridad y
disponibilidad de los sistemas de información e información. Esto se basa en la categoría de seguridad
y el nivel de impacto del sistema (bajo, moderado o alto), así como en la determinación del riesgo. Los
controles de seguridad se seleccionan del catálogo de controles de seguridad de NIST SP 800-53 y el
sistema se evalúa con respecto a los requisitos de estos controles de seguridad.
El marco NIST 800-53 (Rev. 5) de bajo moderado-alto representa los controles de seguridad y los
procedimientos de evaluación asociados definidos en los controles de seguridad recomendados de NIST
SP 800-53 Revisión 5 para sistemas y Organizations federales de información. Para cualquier discrepancia
que se anote en el contenido entre este marco NIST SP 800-53 y la última publicación especial del NIST
SP 800-53, revisión 5, consulte los documentos publicados oficiales que están disponibles en elCentro de
recursos de seguridad informática de NIST.

Puede utilizar elNIST 800-53 (Rev. 5) Bajo-moderado-altomarco para ayudarle a prepararse para
147
NIST CSF v1.1
requisitos del NIST. También puede personalizar este marco y sus controles para admitir auditorías
a evaluar suAWSde AWS. Lo hace basándose en los controles definidos en el marco NIST 800-53 (Rev.
5) de bajo moderado-alto. Cuando llegue el momento de realizar una auditoría, usted, o un delegado de su
elección, puede revisar la evidencia recopilada y añadirla a un informe de evaluación. Puede utilizar este
informe de evaluación para mostrar que los controles funcionan según lo previsto.
Los detalles del marco NIST 800-53 (Rev. 5) de bajo moderado-alto son los siguientes:
NIST 800-53 (Rev. 5) Bajo-moderado- 225 782 280

alto
conformes con el estándar NIST. Además, no pueden garantizarle que vaya a aprobar una auditoría de
NIST.AWS Audit ManagerNo comprueba automáticamente los controles de procedimiento que requieren
existente.
Más recursos del NIST

• Instituto Nacional de Estándares y Tecnología (NIST)
• Centro de recursos de seguridad informática de NIST
• AWSPágina de cumplimiento para NIST
NIST Cybersecurity Framework versión 1.1

AWS Audit Managerproporciona un marco prediseñado que estructura y automatiza las evaluaciones para
el marco de ciberseguridad del NIST, basado enAWSprácticas recomendadas.
Note
• Para obtener información sobre el marco de Audit Manager que admiteNIST 800-53 (Rev. 5)
Bajo-moderado-alto, consulteNIST 800-53 (Rev. 5) Bajo-moderado-alto (p. 147).
• Para obtener información sobre el marco de Audit Manager que admiteNIST SP 800-171 (Rev.
2), consulteNIST SP 800-171 (Rev. 2) (p. 150).
Temas
• ¿Qué es el marco de ciberseguridad del NIST? (p. 149)
148
NIST CSF v1.1
¿Qué es el marco de ciberseguridad del NIST?

LaInstituto Nacional de Estándares y Tecnología (NIST)se fundó en 1901 y ahora forma parte del
Departamento de Comercio de los Estados Unidos. El NIST es uno de los laboratorios de ciencias
físicas más antiguos de los Estados Unidos. El Congreso de los Estados Unidos estableció la agencia
para mejorar lo que en ese momento era una infraestructura de medición de segunda categoría. La
infraestructura representaba un gran desafío para la competitividad industrial estadounidense, ya que se
ha quedado a la zaga de otras potencias económicas como el Reino Unido y Alemania.
Estados Unidos depende del funcionamiento fiable de la infraestructura crítica. Las amenazas de
ciberseguridad aprovechan la mayor complejidad e interconexión de los sistemas de infraestructura crítica.
Ponen en riesgo la seguridad, la economía y la seguridad pública y la salud de los Estados Unidos. Al
igual que los riesgos financieros y de reputación, el riesgo de ciberseguridad afecta a los resultados finales
de una empresa. Puede aumentar los costos y afectar los ingresos. Puede perjudicar la capacidad de
una organización para innovar y ganar y mantener clientes. En última instancia, la ciberseguridad puede
amplificar la gestión general de riesgos de una organización.
El Marco de Ciberseguridad (CSF) del NIST está respaldado por gobiernos e industrias de todo el mundo
como base recomendada para su uso por cualquier organización, independientemente de su sector o
tamaño. El marco de ciberseguridad del NIST consta de tres componentes principales: el núcleo del
marco, los perfiles y los niveles de implementación. El núcleo del marco contiene actividades y resultados
de ciberseguridad deseados organizados en 23 categorías que cubren la amplitud de los objetivos de
ciberseguridad para una organización. Los perfiles contienen la alineación única de una organización de
sus requisitos y objetivos organizativos, apetito por riesgos y recursos utilizando los resultados deseados
del núcleo del marco. Los niveles de implementación describen el grado en que las prácticas de gestión
de riesgos de ciberseguridad de una organización muestran las características definidas en el núcleo del
marco.

Puede utilizar elNIST Cybersecurity Framework versión 1.1para ayudarle a prepararse para las auditorías.
Este marco incluye una colección de controles precompilada con descripciones y procedimientos de
prueba. Estos controles se agrupan en conjuntos de controles de acuerdo con los requisitos del CSF
del NIST. Audit Manager admite actualmente el componente principal del marco de trabajo al ofrecer 56
controles automatizados y 52 controles manuales. Estos controles se corresponden con 23 categorías de
ciberseguridad definidas en el núcleo del marco. Audit Manager no admite el perfil y los componentes de
implementación de este marco.
También puede personalizar este marco y sus controles para admitir auditorías internas con requisitos
específicos.
a evaluar suAWSde AWS. Lo hace basándose en los controles definidos en el NIST Cybersecurity
Framework versión 1.1. Cuando llegue el momento de realizar una auditoría, usted, o un delegado de su
elección, puede revisar la evidencia recopilada y añadirla a un informe de evaluación. Puede utilizar este
informe de evaluación para mostrar que los controles funcionan según lo previsto.
Los detalles de NIST Cybersecurity Framework versión 1.1 son los siguientes:
NIST Cybersecurity Framework 56 52 23

versión 1.1
149
NIST SP 800-171 (Rev. 2)
Los controles que ofrece Audit Manager no pretenden verificar si sus sistemas cumplen con el marco
de ciberseguridad del NIST. Además, no pueden garantizarle que vaya a aprobar una auditoría
de ciberseguridad del NIST.AWS Audit ManagerNo comprueba automáticamente los controles de
procedimiento que requieren una recopilación manual de pruebas.
existente.

• Marco de ciberseguridad del NIST: alineación con el CSF del NIST en elAWSNube
NIST SP 800-171 (Rev. 2)

AWS Audit Managerproporciona un marco prediseñado que estructura y automatiza las evaluaciones del
estándar de cumplimiento NIST SP 800-171 basado enAWSprácticas recomendadas.
Note
• Para obtener información sobre el marco de Audit Manager que admiteNIST 800-53 (Rev. 5)
Bajo-moderado-alto, consulteNIST 800-53 (Rev. 5) Bajo-moderado-alto (p. 147).
• Para obtener información sobre el marco de Audit Manager que admiteNIST Cybersecurity
Framework versión 1.1, consulteNIST Cybersecurity Framework versión 1.1 (p. 148).
Temas
• ¿Qué es NIST SP 800-171? (p. 150)
¿Qué es NIST SP 800-171?

NIST SP 800-171se centra en proteger la confidencialidad de la información controlada no clasificada
(IUP) en sistemas y organizaciones no federales. Recomienda requisitos de seguridad específicos para
lograr ese objetivo. NIST 800-171 es una publicación que describe los estándares y prácticas de seguridad
requeridos para las organizaciones no federales que manejan IUP en sus redes. Fue publicado por primera
vez en junio de 2015 por elInstituto Nacional de Estándares y Tecnología (NIST). NIST es una agencia
gubernamental estadounidense que publicó varios estándares y publicaciones para fortalecer la resiliencia
de la ciberseguridad en los sectores público y privado. El NIST 800-171 ha recibido actualizaciones
periódicas en línea con las amenazas cibernéticas emergentes y las tecnologías cambiantes. La última
versión (revisión 2) se publicó en febrero de 2020.
Los controles de ciberseguridad dentro del NIST 800-171 protegen la IUP en las redes de TI de
contratistas y subcontratistas gubernamentales. Define las prácticas y procedimientos que los contratistas
150
PCI DSS v3.2.1
gubernamentales deben cumplir cuando sus redes procesan o almacenan IUP. El NIST 800-171 solo se
aplica a aquellas partes de la red de un contratista en las que la IUP está presente.

Puede utilizar elNIST SP 800-171 Rev. 2marco para ayudarle a prepararse para las auditorías. Este marco
controles se agrupan en conjuntos de controles de acuerdo con los requisitos del NIST. También puede
a evaluar suAWSde AWS. Esto se basa en los controles definidos en el marco NIST SP 800-171 Rev. 2.
Los detalles del marco NIST SP 800-171 Rev. 2 son los siguientes:
NIST SP 800-171 Rev. 2 66 58 16
NIST 800-171. Además, no pueden garantizarle que vaya a aprobar una auditoría de NIST.AWS Audit
ManagerNo comprueba automáticamente los controles de procedimiento que requieren una recopilación
manual de pruebas.
Para obtener información acerca de cómo crear una evaluación utilizando este marco, consulteCreación de
una evaluación (p. 46).
existente.

PCI DSS V3.2.1

AWS Audit Managerproporciona una estructura de trabajo precompilada que admite PCI DSS v3.2.1.
Temas
• ¿Qué es PCI DSS? (p. 152)
• Más recursos de PCI DSS (p. 153)
151
PCI DSS v3.2.1
¿Qué es PCI DSS?

LaEstándar de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS, Payment Card Industry
Data Security Standard) versión 3.2es un estándar de seguridad de la información patentado. Es
administrado por elPCI Security Standards Manager, que fundaron American Express, Discover Financial
Services, JCB International, MasterCard PCI DSS de Visa Inc., se aplica a entidades que almacenan,
procesan o transmiten datos de titulares de tarjetas (CHD) o datos de autenticación confidenciales (SAD).
Esto incluye, pero no se limita a, comerciantes, procesadores, adquirentes, emisores y proveedores de
servicios. Las marcas de tarjetas obligan a utilizar el PCI DSS, que está administrado por el Consejo de
Estándares de Seguridad de la Industria de las Tarjetas de Pago.
AWSestá certificado como proveedor de servicios PCI DSS de nivel 1, que es el nivel más alto de
evaluación disponible. La evaluación del cumplimiento fue realizada por Coalfire Systems Inc., un
evaluador de seguridad cualificado (QSA) independiente. La certificación de conformidad (AOC, por sus
siglas en inglés) PCI DSS están disponibles para usted a través deAWS Artifact. Este es un portal de
autoservicio para acceder a demanda aAWSinformes de cumplimiento. Inicie sesión enAWS Artifacten
laAWSConsola de administración de, o obtén más información enIntroducción aAWS Artifact.
Puede descargar el estándar PCI DSS desde elBiblioteca de documentos del Consejo de Normas de
Seguridad.

Puede utilizar elPCI DSS V3.2.1marco para ayudarle a prepararse para las auditorías. Este marco incluye
una colección de controles precompilada con descripciones y procedimientos de prueba. Estos controles
se agrupan en conjuntos de control de acuerdo con los requisitos PCI DSS. También puede personalizar
este marco y sus controles para admitir auditorías internas con requisitos específicos.
a evaluar suAWSde AWS. Lo hace basándose en los controles definidos en el marco PCI DSS V3.2.1.
Los detalles del marco PCI DSS V3.2.1 son los siguientes:
PCI DSS V3.2.1 152 510 12
conformes con el estándar PCI DSS. Además, no pueden garantizarle que vaya a pasar una auditoría PCI
DSS.AWS Audit ManagerNo comprueba automáticamente los controles de procedimiento que requieren
Para obtener información acerca de cómo crear una evaluación utilizando este marco, consulteCreación de
una evaluación (p. 46).
existente.
152
SOC 2
Más recursos de PCI DSS

• PCI Security Standards Manager
• Biblioteca de documentos del Consejo de Normas de Seguridad.
• AWSPágina de conformidad para PCI DSS
SOC 2
SOC 2 es un procedimiento de auditoría que garantiza que los datos de una empresa se gestionen de
forma segura.AWS Audit Managerproporciona un marco precompilado que admite SOC 2.
Temas
• ¿Qué es SOC 2? (p. 153)
• Más recursos de SOC 2 (p. 154)
¿Qué es SOC 2?
Controles del Sistema y Organizaciones (System and Organization Controls, SOC), definida por elInstituto
Americano de Contadores Públicos Certificados(AICPA), es el nombre de un conjunto de informes
que se produce durante una auditoría. Está destinado a ser utilizado por organizaciones de servicios
(organizaciones que proporcionan sistemas de información como servicio a otras organizaciones) para
emitir informes validados decontroles internossobre esos sistemas de información a los usuarios de
esos servicios. Los informes se centran en los controles agrupados en cinco categorías conocidas
comoPrincipios del servicio de confianza.
AWSLos informes SOC son informes de análisis independientes de terceros que muestran cómoAWSlogra
controles y objetivos clave de cumplimiento. La finalidad de estos informes es ayudarle a usted y a sus
auditores a entender laAWScontroles establecidos para dar soporte a las operaciones y el cumplimiento.
Hay cincoAWSInformes del SOC:
• AWSInforme SOC 1, disponible paraAWSclientes deAWS Artifact.

• AWSInforme de seguridad, disponibilidad y confidencialidad de SOC 2, disponible paraAWSclientes
deAWS Artifact.
• AWSInforme de seguridad, disponibilidad y confidencialidad de SOC 2 disponible paraAWSclientes
deAWS Artifact(el alcance incluye solo Amazon DocumentDB).
• AWSInforme de privacidad de SOC 2 tipo I, disponible paraAWSclientes deAWS Artifact.
• AWSInforme de seguridad, disponibilidad y confidencialidad de SOC 3disponible públicamente como
documento técnico.

Puede utilizar este marco para ayudarle a prepararse para las auditorías. Este marco incluye una colección
de controles precompilada con descripciones y procedimientos de prueba. Estos controles se agrupan en
conjuntos de controles de acuerdo con los requisitos de SOC 2. También puede personalizar este marco y
sus controles para admitir auditorías internas con requisitos específicos.
a evaluar suAWSde AWS. Lo hace basándose en los controles definidos en el marco. Cuando llegue
153
SOC 2
SOC 2 21 40 20
Los controles de esteAWS Audit Managerframework no pretende verificar si sus sistemas cumplen las
normas. Además, no pueden garantizarle que vaya a aprobar una auditoría.AWS Audit ManagerNo
pruebas.
existente.
Más recursos de SOC 2

• AWSPágina de cumplimiento para SOC
154
Acceso a un control
Biblioteca de control
Puede obtener acceso a los controles y administrarlos enbiblioteca de controlenAWS Audit Manager.
Puede ir a la biblioteca de control en cualquier momento seleccionandoBiblioteca de controlen el panel de
navegación de la consola de Audit Manager.
La biblioteca de controles contiene un catálogo de controles estándar y controles personalizados.
• Controles estándarson controles predefinidos proporcionados porAWS. Puede ver los detalles de
configuración de los controles estándar, pero no puede editarlos o eliminarlos. Sin embargo, puede
personalizar cualquier control estándar para crear uno nuevo que cumpla con sus requisitos específicos.
• Controles personalizadosson controles personalizados que posee y define. Con un control
personalizado, puede especificar de qué fuentes de datos desea recopilar pruebas. A continuación,
puede agregar controles personalizados a un marco personalizado.
Para obtener más información sobre cómo agregar un control personalizado a un marco personalizado,
consulteBiblioteca de marco (p. 84). Para obtener más información sobre cómo crear una evaluación a
partir de un marco de Audit Manager, consulteEvaluaciones enAWS Audit Manager (p. 46).
En esta sección se describe cómo crear y administrar controles personalizados enAWS Audit Manager.
Temas
• Acceso a los controles disponibles enAWS Audit Manager (p. 155)
• Ver los detalles de un control (p. 156)
• Crear un control personalizado (p. 157)
• Edición de un control personalizado (p. 164)
• Eliminar un control personalizado (p. 167)
• Cambio de la frecuencia de recopilación de pruebas para un control (p. 167)
• Fuentes de datos de control compatibles para pruebas automatizadas (p. 169)
Acceso a los controles disponibles enAWS Audit

Manager
Puede encontrar una lista de todos los controles disponibles en elBiblioteca de control(en)AWS
Audit Manager. Desde la página de la biblioteca de control, también puedescrear un control
personalizadoopersonalizar un control existente.
Para acceder a los controles disponibles enAWS Audit Manager

2. En el panel de navegación, elijaBiblioteca de control.
3. Elija el iconoControles estándaro laControles personalizadospara explorar los controles disponibles.
4. Elija cualquier nombre de control para ver los detalles de ese control.
155
Visualización de detalles de control
Ver los detalles de un control

Puede abrir un control y ver sus detalles en cualquier momento.
Para ver los detalles de un control

2. En el panel de navegación, elijaBiblioteca de controlPara ver una lista de los controles disponibles.
3. Elija el iconoControles estándaro laControles personalizadospara explorar los controles disponibles.
4. Elija cualquier nombre de control para ver los detalles de ese control.
Cuando abres un control, ves una página de resumen. Las secciones de esta página y su contenido se
describen a continuación.
Secciones de la página de detalles de control

• Resumen (p. 156)
• Pestaña Detalles (p. 156)
• Ficha Orígenes de datos (p. 157)
• Tabulador Etiquetas (p. 157)
Resumen
LaResumenproporciona información general sobre el control. Contiene la información siguiente:
• Nombre de control— El nombre del control.

• Tipo de control: especifica si el control es un control estándar o un control personalizado.
• Etiquetas— El número de etiquetas que están asociadas a este control.
• Tipos de orígenes de datos— El número detipos de orígenes de datosque se utilizan para este control.
• Mapeos— El número demappingatributos que se utilizan para recuperar datos de un origen de datos.
Si estás viendo un control personalizado, también se muestran los siguientes detalles:
• Creado por— La cuenta que creó el control personalizado.

• Fecha de creación: La fecha en la que se creó el control personalizado.
• Última actualización— La fecha en que se editó por última vez el control personalizado.
Pestaña Detalles
LaDetalles deproporciona información general básica sobre el control.
• LaDescripción del controlproporciona una descripción del control.

• LaInformación de pruebasproporciona una descripción de los procedimientos de prueba recomendados
para el control.
• LaPlan de accióndescribe las acciones recomendadas que se deben llevar a cabo si es necesario
corregir el control.
156
Ficha Origen de datos
Ficha Orígenes de datos

LaOrígenes de datosmuestra información sobre los orígenes de datos del control.
• Nombre de origen de datos— Esto se aplica únicamente a los controles personalizados. Hace referencia
al nombre descriptivo que ha proporcionado a cada fuente de datos. Puede utilizar este nombre para
distinguir entre varios orígenes de datos que pertenecen al mismo tipo de fuente de datos.
• Data source type— Especifica de dónde proceden los datos de pruebas. Si Audit Manager recopila la
evidencia, la fuente de datos puede ser de cuatro tipos:AWS Security Hub,AWS Config,AWS CloudTrail,
o bienAWSLlamadas a la API. Si subes tus propias pruebas, el tipo de fuente de datos esManual.
• Mapping— Este es el atributo de asignación que se utiliza para identificar y recuperar datos del origen de
datos.
• Si el origen de datos esAWS Config, la asignación es el nombre de un determinadoAWS Configregla
(por ejemplo,EC2_INSTANCE_MANAGED_BY_SSM). Audit Manager utiliza esta asignación para
informar del resultado de esa comprobación de reglas directamente desdeAWS Config.
• Si el origen de datos esAWS Security Hub, la asignación es el nombre de un control de Security Hub
específico (por ejemplo,1.1 – Avoid the use of the "root" account). Audit Manager utiliza
esta asignación para informar del resultado de esa comprobación de seguridad directamente desde
Security Hub.
• Si el origen de datos esAWSLlamadas a API, la asignación es el nombre de una llamada API
específica (por ejemplo,ec2_DescribeSecurityGroups). Audit Manager utiliza esta asignación
para recopilar la respuesta de la API.
• Si el origen de datos esAWS CloudTrail, la asignación es el nombre de un determinado CloudTrail
evento (por ejemplo,CreateAccessKey). Audit Manager utiliza esta asignación para recopilar la
actividad de usuario relacionada de su CloudTrail registros.
• Frecuencia: especifica con qué frecuencia Audit Manager recopila pruebas del origen de datos. La
frecuencia varía en función del origen de datos. Para obtener más información, elija el valor en la
columna o consulteRecopilación de pruebas (p. 9).
Tabulador Etiquetas
LaEtiquetasLa pestaña proporciona información general de las etiquetas que están asociadas al control.
1. Clave— La clave de la etiqueta, como una norma de cumplimiento, un reglamento o una categoría.
2. Valor— El valor de la etiqueta.
Crear un control personalizado

Puede definir controles personalizados para recopilar pruebas de orígenes de datos específicos y
demostrar que cumple los requisitos de auditoría interna y cumplimiento. Cada prueba se convierte en
un registro que contiene la información que necesita para demostrar el cumplimiento de los requisitos
especificados por un control.
Existen dos formas de crear un control personalizado. Puede personalizar un control existente o crear un
nuevo control desde cero.
Temas
157
Crear nuevo
• Creación de un nuevo control personalizado desde cero (p. 158)

• Personalización de un control existente (p. 161)
Creación de un nuevo control personalizado desde

cero
Puede crear un nuevo control personalizado desde cero siguiendo estos pasos.
Important
Le recomendamos encarecidamente que nunca introduzca información de identificación

confidencial en los campos de formato libre, comoDetalles de control,Información de pruebas, o
bienPlan de acción. Si crea controles personalizados que contienen información confidencial, no
podrá compartir ninguno de los marcos personalizados que contengan estos controles.
Temas
• Paso 1: Especificar detalles de control (p. 158)
• Paso 2: Configuración de orígenes de datos (p. 158)
• Paso 3 (opcional): Definir un plan de acción (p. 160)
• Paso 4: Revisar y crear el control (p. 161)
Paso 1: Especificar detalles de control

Comience por especificar los detalles del control personalizado.
Para especificar detalles de control

2. En el panel de navegación, elijaBiblioteca de control, y elijaCrear control personalizado.
3. UNDERDetalles de control, escriba un nombre y la descripción del control.
4. UNDERInformación de pruebas, introduzca la información de pruebas recomendada. Esto debería
incluir los pasos que seguirías para determinar si el control se ha cumplido.
5. UNDEREtiquetas, eligeAñadir nueva etiquetapara asociar una etiqueta al control. Puede especificar
una clave para cada etiqueta que describa mejor el marco de cumplimiento que admite este control.
La clave de etiqueta es obligatoria y se puede utilizar como criterio de búsqueda cuando busca este
control en la biblioteca de controles.
Paso 2: Configuración de orígenes de datos

A continuación, especifique un origen de datos para determinar de dónde desea recopilar pruebas para
este control. Puede definir hasta 10 fuentes de datos para cada control personalizado.
Para configurar orígenes de datos
1. UNDERNombre de origen de datos, escriba un nombre descriptivo para la configuración del origen de
datos.
158
Crear nuevo
2. UNDERMétodo de recopilación de pruebas, elija cómo desea recopilar pruebas para este control.
• Si desea que Audit Manager recopile pruebas, elijaAutomatizado. Después, continúe con el
siguiente paso para especificar el tipo de fuente de datos.
• Si quieres subir tus propias pruebas, eligeManual. Después, continúe con el siguiente paso para
proporcionar detalles adicionales.
Tip
Es posible que deba validar la configuración de la fuente de datos con un experto en

dominios. Si lo hace, recomendamos que elijaManualpor ahora. De esta forma, puede crear
el control y agregarlo a un marco ahora, y luegoeditar el controla sus requisitos específicos
más adelante.
3. UNDERData source type, especifique de dónde recopila pruebas automatizadas Audit Manager.
• ParaAWS CloudTrail, elija una palabra clave de nombre de evento en la lista desplegable.
• ParaAWS Config, seleccione un tipo de regla y, a continuación, elija un nombre de regla en la lista
desplegable.
• ParaAWS Security Hub, elija un control de Security Hub en la lista desplegable.
• ParaAWSLlamadas a la API, elige una llamada a la API y, a continuación, selecciona una frecuencia
de recopilación de pruebas.
Note
LaAutomated data sources table (p. 159)Al final de este procedimiento se proporciona una
descripción detallada de cada una de estas opciones. Para obtener sugerencias acerca de la
solución de problemas, consulteSolución de problemas de controles y conjuntos de controles.
4. (Opcional) EnDetalles adicionales, introduzca la siguiente información.
• Descripción de origen de datos

• Descripción de solución de problemas con las acciones sugeridas a tomar si no se recopilan
pruebas del origen de datos
5. (Opcional) Para agregar otro origen de datos, elijaAdd sourcey repita los pasos 1 a 4.
6. (Opcional) Para quitar un origen de datos no deseado, elijaRemoveEn la parte superior del cuadro de
configuración del origen de datos.
7. Cuando haya terminado, elijaPróximo.
Origenes de datos automatizados
La tabla siguiente contiene información general acerca de cada fuente de datos automatizada.
Origen Descripción Recopilación Para utilizar este origen de Cuando este control está
de de evidencia datos... activo en una evaluación...
datos
AWS Realiza un Continuous. Elige en la lista desplegable de Audit Manager filtra su

CloudTrail seguimiento palabras clave de nombres de CloudTrail registros
de una eventos. basados en la palabra
actividad clave que elijas. Los
de usuario registros procesados se
específica importan comoActividad de
que se usuariopruebas.
159
Crear nuevo
datos
necesita en
la auditoría.
AWS Captura una En función Seleccione un tipo de regla y, Audit Manager recupera
Config instantánea de los a continuación, elija un nombre los resultados de esta
de la disparadores de regla. regla directamente
postura de definidos desdeAWS Config. El
seguridad en elAWS Si eligeRegla administrada, resultado se importa
de los Configregla. puede elegir en la lista comoComprobación de
recursos desplegable deadmitidasAWS conformidadpruebas.
mediante ConfigReglas de.
informes
de los Si eligeRegla personalizada,
hallazgos puedes elegir de una lista
deAWS delas reglas personalizadas
Config. disponibles.
AWS Captura una Según el Elija en la lista desplegable Audit Manager recupera
Security instantánea cronograma decontroles de Security Hub el resultado de la
Hub de la de la compatibles. comprobación de
postura de comprobación seguridad directamente
seguridad de Security desde Security Hub. El
de los Hub. resultado se importa
recursos comoComprobación de
informando conformidadpruebas.
del
resultado
de una
comprobación
de
seguridad
de Security
Hub.
AWSLlamadas
Toma una Diario, semanal Elija en la lista desplegable Audit Manager realiza
a la API instantánea o mensual. deLlamadas a la API la llamada a la API en
de la compatiblesy seleccione su función de la frecuencia que
configuración frecuencia preferida. especifique. La respuesta
de recursos se importa comoDatos de
directamente configuraciónpruebas.
a través de
una llamada
a la API al
especificadoAWSservice.
Paso 3 (opcional): Definir un plan de acción

A continuación, especifique las acciones que se deben llevar a cabo si es necesario corregir este control.
Para definir un plan de acción
1. UNDERTitle (Título), introduzca un título descriptivo para el plan de acción.

2. UNDERInstrucciones del plan de acción, introduzca instrucciones detalladas para el plan de acción.
160
Paso 4: Revisar y crear el control

Revisión de la información del control. Para cambiar la información de un paso, elijaEditar.
Cuando haya terminado, elijaCrear control personalizado.

Después de crear un nuevo control personalizado, puede agregarlo a un marco personalizado. Para
obtener más información, consulteCreación de un marco personalizado (p. 86)oEdición de un marco de
trabajo personalizado (p. 90).
Después de agregar el control personalizado a un marco personalizado, puede crear una evaluación a
partir de ese marco personalizado y comenzar a recopilar pruebas. Para obtener más información, consulte
Creación de una evaluación (p. 46).
Para obtener sugerencias acerca de la solución de problemas, consulte Solución de problemas de control
y conjuntos de control (p. 196).
Personalización de un control existente

En lugar de crear un control personalizado desde cero, puede utilizar un control existente como punto de
partida y personalizarlo según sus necesidades. Al hacerlo, el control existente permanece en la biblioteca
de controles y se crea un nuevo control personalizado con la configuración personalizada.
Puede seleccionar cualquier control existente para personalizar. Puede ser un control estándar o un control
personalizado.
Important
Le recomendamos encarecidamente que nunca introduzca información de identificación

confidencial en los campos de formato libre, comoDetalles de control,Información de pruebas, o
bienPlan de acción. Si crea controles personalizados que contienen información confidencial, no
podrá compartir ninguno de los marcos personalizados que contengan estos controles.
Temas
• Paso 1: Especificar detalles de control (p. 161)
• Paso 2: Configurar fuentes de datos para este control (p. 162)
• Paso 3: (Opcional): Definir un plan de acción (p. 164)
• Paso 4: Revisar y crear el control (p. 164)
Paso 1: Especificar detalles de control

Los detalles del control se heredan del control original. Revise y modifique estos detalles según sea
necesario.
Para especificar detalles de control
161
2. En el panel de navegación, seleccioneBiblioteca de control.

3. Seleccione el control que desee personalizar y, a continuación, elijaPersonalizar el control existente.
4. Especifique el nuevo nombre del control y elijaPersonalizar.
5. UNDERDetalles de control, revisa el nombre y la descripción de tu control y modifícalos según sea
necesario.
6. UNDERInformación de pruebas, revise la información de pruebas recomendada y modifíquela si es
necesario.
7. UNDEREtiquetas, revise y modifique las etiquetas según sea necesario.
Paso 2: Configurar fuentes de datos para este control

Las fuentes de datos se heredan del control original. Puede cambiar, agregar o quitar orígenes de datos si
es necesario.
Para configurar orígenes de datos para este control
1. UNDERNombre de origen de datos, revise el nombre de la configuración del origen de datos y

modifíquela si es necesario.
2. UNDERMétodo de recopilación de pruebas, revise la selección y modifíquela si es necesario.
proporcionar detalles adicionales.
Tip
Es posible que deba validar la configuración de la fuente de datos con un experto en

dominios. Si lo hace, recomendamos que elijaManualpor ahora. De esta forma, puede crear
el control y agregarlo a un marco ahora, y luegoeditar el controla sus requisitos específicos
más adelante.
3. UNDERData source type, revise dónde Audit Manager recopila pruebas automatizadas y modifique
según sea necesario.
desplegable.
Note
LaAutomated data sources table (p. 163)Al final de este procedimiento se proporciona una
descripción detallada de cada una de estas opciones. Para obtener sugerencias acerca de la
solución de problemas, consulteSolución de problemas de controles y conjuntos de controles.
4. (Opcional) EnDetalles adicionales, realice los cambios necesarios en la descripción del origen de
datos o en la descripción de solución de problemas.
5. (Opcional) Para agregar otro origen de datos, elijaAdd source.
6. (Opcional) Para quitar un origen de datos no deseado, elijaRemove.
162
Origen Descripción Recopilación Para utilizar este origen de datos... Cuando este control está
de de activo en una evaluación...
datos evidencia
AWS Realiza un Continuous. Elige en la lista desplegable de Audit Manager filtra su

CloudTrailseguimiento palabras clave de nombres de CloudTrail registros
de una eventos. basados en la palabra
actividad clave que elijas. Los
de usuario registros procesados se
específica importan comoActividad de
que se usuariopruebas.
necesita en
la auditoría.
AWS Captura una En función Seleccione un tipo de regla y, a Audit Manager recupera
Config instantánea de los continuación, elija un nombre de los resultados de esta
de la postura disparadores regla. regla directamente
de seguridad definidos desdeAWS Config. El
de los en elAWS Si eligeRegla administrada, puede resultado se importa
recursos Configregla. elegir en la lista desplegable comoComprobación de
mediante deadmitidasAWS ConfigReglas de. conformidadpruebas.
informes de
los hallazgos Si eligeRegla personalizada, puedes
deAWS elegir de una lista delas reglas
Config. personalizadas disponibles.
AWS Captura una Según el Elija en la lista desplegable Audit Manager recupera
Security instantánea cronograma decontroles de Security Hub el resultado de la
Hub de la postura de la compatibles. comprobación de
de seguridad comprobación seguridad directamente
de los de desde Security Hub. El
recursos Security resultado se importa
informando Hub. comoComprobación de
del resultado conformidadpruebas.
de una
comprobación
de seguridad
de Security
Hub.
AWSLlamadas
Toma una Diario, Elija en la lista desplegable Audit Manager realiza la
a la instantánea semanal o deLlamadas a la API compatiblesy llamada a la API en función
API de la mensual. seleccione su frecuencia preferida. de la frecuencia que
configuración especifique. La respuesta
de recursos se importa comoDatos de
directamente configuraciónpruebas.
a través de
una llamada
a la API al
especificadoAWSservice.
163
Edición de un control personalizado
Paso 3: (Opcional): Definir un plan de acción

El plan de acción se hereda del control original. Puede editar este plan de acción según sea necesario.
Para definir un plan de acción
1. UNDERTitle (Título), revise el título del plan de acción y personalícelo según sea necesario.
2. UNDERInstrucciones del plan de acción, revise y personalice las instrucciones según sea necesario.
Paso 4: Revisar y crear el control

Revisión de la información del control. Para cambiar la información de un paso, elijaEditar. Cuando haya
terminado, elijaCrear control personalizado.

Después de crear un nuevo control personalizado, puede agregarlo a un marco personalizado. Para
obtener más información, consulteCreación de un marco personalizado (p. 86)oEdición de un marco de
trabajo personalizado (p. 90).
Después de agregar un control personalizado a un marco personalizado, puede crear una evaluación a
partir de ese marco personalizado y comenzar a recopilar pruebas. Para obtener más información, consulte
Creación de una evaluación (p. 46).
Si necesita editar un control personalizado, consulteEdición de un control personalizado (p. 164).
Para obtener sugerencias acerca de la solución de problemas, consulte Solución de problemas de control
y conjuntos de control (p. 196).
Edición de un control personalizado

Puede editar un control personalizado enAWS Audit Managersiguiendo estos pasos.
Temas
• Paso 1: Edición de detalles de control (p. 164)
• Paso 2: Edición de fuentes de datos para este control (p. 165)
• Paso 3: (Opcional) Edite un plan de acción (p. 166)
• Paso 4: Revisar y actualizar el control (p. 167)
Paso 1: Edición de detalles de control

Comience revisando y editando los detalles del control según sea necesario.
Para editar los detalles de control

2. En el panel de navegación, seleccioneBiblioteca de controly, a continuación, seleccione laControles
personalizadostabulador.
3. Seleccione el control que desee editar y, a continuación, elijaEditar.
4. UNDERDetalles de control, edite el nombre y la descripción del control según sea necesario.
5. UNDERInformación de pruebas, edite la información de pruebas recomendada según sea necesario.
164
Paso 2: Edición de orígenes de datos
Tip
Para editar las etiquetas de un control, abra el control y elija laTabulador Etiquetas (p. 157). Allí
puede ver y editar las etiquetas asociadas al control.
Paso 2: Edición de fuentes de datos para este control

Después, puede editar, quitar o agregar orígenes de datos para el control.
Para editar orígenes de datos para este control
1. UNDERNombre de origen de datos, revise el nombre del origen de datos y modifíquela si es

necesario.
2. UNDERMétodo de recopilación de pruebas, revise la selección y edite según sea necesario.
especificar detalles adicionales.
3. UNDERData source type, revise dónde Audit Manager recopila pruebas automatizadas y edite según
sea necesario.
desplegable.
Note
La tabla Orígenes de datos automatizados que se encuentra al final de este procedimiento

proporciona una descripción detallada de cada una de estas opciones. Para obtener
sugerencias acerca de la solución de problemas, consulteSolución de problemas de controles
y conjuntos de controles.
4. (Opcional) EnDetalles adicionales, realice los cambios necesarios en la descripción del origen de
datos o en la descripción de solución de problemas.
5. (Opcional) Para agregar otro origen de datos, elijaAdd source.
6. (Opcional) Para quitar un origen de datos no deseado, elijaRemove.
datos
AWS Realiza un Continuous. Elige en la lista Audit Manager filtra su

CloudTrail seguimiento de desplegable de palabras CloudTrail registros
165
Paso 3: Edición de un plan de acción
datos
una actividad de clave de nombres de basados en la palabra
usuario específica eventos. clave que elijas. Los
que se necesita registros procesados se
en la auditoría. importan comoActividad
de usuariopruebas.
AWS Captura una En función Seleccione un tipo de Audit Manager recupera

Config instantánea de de los regla y, a continuación, los resultados de esta
la postura de disparadores elija un nombre de regla. regla directamente
seguridad de los definidos desdeAWS Config. El
recursos mediante en elAWS Si eligeRegla resultado se importa
informes de los Configregla. administrada, puede elegir comoComprobación de
hallazgos deAWS en la lista desplegable conformidadpruebas.
Config. deadmitidasAWS
ConfigReglas de.
Si eligeRegla
personalizada, puedes
elegir de una lista delas
reglas personalizadas
disponibles.
AWS Captura una Según el Elija en la lista Audit Manager recupera

Security instantánea de cronograma desplegable decontroles el resultado de la
Hub la postura de de la de Security Hub comprobación de
seguridad de comprobación compatibles. seguridad directamente
los recursos de Security desde Security Hub. El
informando del Hub. resultado se importa
resultado de una comoComprobación de
comprobación conformidadpruebas.
de seguridad de
Security Hub.
AWSLlamadas
Toma una Diario, semanal Elija en la lista Audit Manager realiza
a la API instantánea de o mensual. desplegable deLlamadas la llamada a la API en
la configuración a la API compatiblesy función de la frecuencia
de recursos seleccione su frecuencia que especifique.
directamente preferida. La respuesta se
a través de importa comoDatos de
una llamada configuraciónpruebas.
a la API al
especificadoAWSservicioservicio
Paso 3: (Opcional) Edite un plan de acción

A continuación, revise y edite el plan de acción opcional.
Para editar un plan de acción
1. UNDERTitle (Título), edita el título según sea necesario.

2. UNDERInstrucciones del plan de acción, edite las instrucciones según sea necesario.
166
Paso 4: Realice la revisión y actualización
Paso 4: Revisar y actualizar el control

Revisión de la información del control. Para cambiar la información de un paso, elijaEditar.
Cuando haya finalizado, Save changes (Guardar cambios).

Note
Después de editar un control, los cambios surten efecto de la siguiente manera en todas las
evaluaciones activas que incluyen el control:
• Para controles conAWSLlamadas a la APIcomo fuente de datos, los cambios entran en vigor a
las 00:00 UTC del día siguiente.
• En el resto de controles, los cambios surtirán efecto inmediatamente.
Eliminar un control personalizado

Puede utilizar la biblioteca de controles para eliminar un control personalizado no deseado. Una vez
eliminado un control, deja de aparecer en la biblioteca de controles. El control también se elimina de
cualquier marco o evaluación asociados.
Para eliminar un control personalizado

2. En el panel de navegación, elijaBiblioteca de controly, a continuación, seleccione laControles
3. Seleccione el control que desea eliminar y, a continuación, elijaBorrar.
4. En la ventana emergente que aparece, elijaBorrarpara confirmar la eliminación.
Cambio de la frecuencia de recopilación de pruebas

para un control
AWS Audit Managerrecopila pruebas de varias fuentes de datos a diferentes frecuencias. La frecuencia de
recopilación de pruebas admitida depende del tipo de evidencia recopilada para el control.
• ParaAWSLlamadas a la API, Audit Manager recopila pruebas mediante una llamada de API descrita a
otroAWSservicioservicio Puede especificar la frecuencia de recopilación de pruebas directamente en
Audit Manager (solo para controles personalizados).
• ParaAWS Config, Audit Manager informa del resultado de una comprobación de conformidad
directamente desdeAWS Config. La frecuencia sigue a los disparadores definidos en elAWS Configregla.
• ParaAWS Security Hub, Audit Manager informa del resultado de una comprobación de conformidad
directamente desde Security Hub. La frecuencia sigue la programación de la comprobación de Security
Hub.
• ParaAWS CloudTrail, Audit Manager recopila pruebas continuamente de CloudTrail. No se puede
cambiar la frecuencia de este tipo de evidencia.
En las siguientes secciones se proporciona más información sobre la frecuencia de recopilación de

pruebas para cada fuente de datos de control y cómo cambiarla (si procede).
Temas
• Instantáneas de configuración deAWSLlamadas a la API (p. 168)
167
Instantáneas de configuración de llamadas a API
• Comprobaciones de conformidad deAWS Config (p. 168)

• Comprobaciones de cumplimiento de Security Hub (p. 169)
• Registros de actividad de usuario desdeAWS CloudTrail (p. 169)
Instantáneas de configuración deAWSLlamadas a la

API
Note
Lo siguiente se aplica únicamente a los controles personalizados. No se puede cambiar la
frecuencia de recopilación de pruebas de un control estándar que utiliza llamadas a la API como
fuente de datos.
Si un control personalizado utilizaAWSLlamadas a la API como fuente de datos, puede cambiar la

frecuencia de recopilación de pruebas enAWS Audit Managersiguiendo estos pasos.
Para cambiar la frecuencia de recopilación de pruebas de un control personalizado con un origen

de datos de llamadas a API

2. En el panel de navegación, elijaBiblioteca de controly, a continuación, seleccione laControles
3. Elija el control personalizado que desee editar y, a continuación, elijaEditar.
4. En la páginaEdición de detalles de control, elijaPróximo.
5. Busque el cuadro de origen de datos que desea editar y compruebe que la siguiente información es
correcta:
• El método de recopilación de pruebas esAutomatizado.

• El tipo de fuente de datos esAWSLlamadas a la API.
• La llamada a API seleccionada es la que desea cambiar la frecuencia.
6. UNDERFrecuencia, elija la frecuencia con la que desea recopilar pruebas para el control
personalizado.
7. Repita los pasos 5 a 6 según sea necesario para cualquier fuente de datos de llamada a la API
adicional que desee editar.
9. En la páginaEdición de un plan de acción, elijaPróximo.
10. En la páginaRevisar y actualizar el control, revise la información del control personalizado. Para
cambiar la información de un paso, elijaEditar.
11. Cuando haya finalizado, Save changes (Guardar cambios).
Después de editar un control conAWSLlamadas a la APIcomo fuente de datos, los cambios entran en vigor
a las 00:00 UTC del día siguiente en todas las evaluaciones activas que incluyen el control.
Comprobaciones de conformidad deAWS Config

Note
Lo siguiente se aplica tanto a los controles estándar como a los controles personalizados que
utilizanAWS Config Rulescomo origen de datos.
Si un control usaAWS ConfigComo fuente de datos, no se puede cambiar la frecuencia de recopilación de

evidencias directamente enAWS Audit Manager. Esto se debe a que la frecuencia sigue a los disparadores
definidos en elAWS Configregla.
168
Comprobaciones de cumplimiento de Security Hub
Existen dos tipos de disparadores paraAWS Config Rules:
1. Cambios de configuración-AWS Configejecuta evaluaciones de la regla cuando se crean, cambian o se

eliminan determinados tipos de recursos.
2. Periódico-AWS Configejecuta evaluaciones para la regla con una frecuencia que elija (por ejemplo, cada
24 horas).
Para obtener más información sobre los disparadores deAWS Config Rules, consulteTipos de
disparadoresen laAWS ConfigGuía para desarrolladores.
Para obtener instrucciones sobre cómo administrarAWS Config Rules, consulteAdministrar losAWS
ConfigReglas de.
Comprobaciones de cumplimiento de Security Hub

Note
utilizan las comprobaciones de Security Hub como origen de datos.
Si un control utiliza Security Hub como fuente de datos, no se puede cambiar la frecuencia de recopilación
de pruebas directamente enAWS Audit Manager. Esto se debe a que la frecuencia sigue la programación
de las comprobaciones de Security Hub.
• Comprobaciones periódicasse ejecutan automáticamente en las 12 horas posteriores a la última

ejecución. No puede cambiar la periodicidad.
• Comprobaciones activadas por cambiosejecute cuando el recurso asociado cambia de estado. Incluso
si el recurso no cambia de estado, la actualización a tiempo para las comprobaciones activadas por
cambios se actualiza cada 18 horas. Esto ayuda a indicar que el control sigue habilitado. En general,
Security Hub utiliza reglas activadas por cambios siempre que sea posible.
Para obtener más información, consulteProgramación para ejecutar comprobaciones de seguridaden

laAWS Security HubGuía del usuario de.
Registros de actividad de usuario desdeAWS

CloudTrail
Note
utilizanAWS CloudTrailregistros de actividad de usuario como un origen de datos.
No se puede cambiar la frecuencia de recopilación de evidencias para los controles que utilizan registros
de actividad de CloudTrail como origen de datos.AWS Audit Managerrecoge este tipo de evidencia de
CloudTrail de forma continua. La frecuencia es continua porque la actividad del usuario puede ocurrir en
cualquier momento del día.
Fuentes de datos de control compatibles para

pruebas automatizadas
Al configurar un control personalizado enAWS Audit Manager, puede elegir recopilar pruebas
automatizadas para ese control. Para obtener pruebas automatizadas, puede seleccionar uno de los cuatro
tipos de fuentes de datos siguientes:
169
AWS Config
• AWS CloudTrail
• AWS Config
• AWSLlamadas a la API
En los siguientes temas se enumeran losAWS Security Hubcontroles,AWS Configreglas, yAWSLlamadas a

API compatibles conAWS Audit Manager.
Temas
• AWS Config Rulesapoyado porAWS Audit Manager (p. 170)
• AWS Security Hubcontroles compatibles conAWS Audit Manager (p. 177)
• Llamadas a la API compatibles conAWS Audit Manager (p. 179)
• AWS CloudTrailnombres de eventos admitidos porAWS Audit Manager (p. 180)
AWS Config Rulesapoyado porAWS Audit Manager

Puede usarAWS Audit Managerpara capturarAWS Configevaluaciones como prueba para las auditorías.
Al crear o editar un control personalizado, puede especificar uno o variosAWS Configreglas como fuente
de datos para la recopilación de pruebas.AWS Configrealiza comprobaciones de cumplimiento basadas en
estas reglas y Audit Manager informa de los resultados como prueba de comprobación de conformidad.
Además de las reglas administradas, también puede asignar las reglas personalizadas a un origen de
datos de control.
Temas
• Uso deAWS Configreglas administradas conAWS Audit Manager (p. 170)
• Uso deAWS Configreglas personalizadas conAWS Audit Manager (p. 176)
• Solución de problemasAWS ConfigIntegración de conAWS Audit Manager (p. 177)
Uso deAWS Configreglas administradas conAWS Audit Manager

263AWS Configlas reglas gestionadas son compatibles actualmente con Audit Manager. Puede utilizar
cualquiera de las siguientes palabras clave de reglas administradas al configurar un origen de datos
para un control personalizado. Para obtener más información acerca de las reglas administradas que se
enumeran a continuación, elija un elemento de la lista o consulteAWS ConfigReglas administradas poren
laAWS ConfigGuía del usuario de.
soportadasAWS ConfigPalabras clave de regla administradas
• ACCOUNT_PART_OF_ORGANIZATIONS
• ALB_DESYNC_MODE_CHECK
• ALB_WAF_ENABLED
• API_GW_ASSOCIATED_WITH_WAF
• API_GW_ENDPOINT_TYPE_CHECK
170
AWS Config

• API_GW_EXECUTION_LOGGING_ENABLED
• API_GW_SSL_ENABLED
• API_GW_XRAY_ENABLED
• APPROVED_AMIS_BY_ID
• APPROVED_AMIS_BY_TAG
• AURORA_MYSQL_BACKTRACKING_ENABLED
• AURORA_RESOURCES_PROTECTED_BY_BACKUP_PLAN
• AUTOSCALING_CAPACITY_REBALANCING
• AUTOSCALING_GROUP_ELB_HEALTHCHECK_REQUIRED
• AUTOSCALING_LAUNCH_CONFIG_PUBLIC_IP_DISABLED
• AUTOSCALING_LAUNCHCONFIG_REQUIRES_IMDSV2
• AUTOSCALING_MULTIPLE_AZ
• AUTOSCALING_MULTIPLE_INSTANCE_TYPES
• BACKUP_PLAN_MIN_FREQUENCY_Y_MIN_RETENTION_CHECK
• BACKUP_RECOVERY_POINT_ENCRYPTED
• BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED
• BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK
• BEANSTALK_ENHANCED_HEALTH_REPORTING_ENABLED
• CLB_DESYNC_MODE_CHECK
• CLB_MULTIPLE_AZ
• CLOUDFORMATION_STACK_DRIFT_DETECTION_CHECK
• CLOUDFORMATION_STACK_NOTIFICATION_CHECK
• CLOUDFRONT_ACCESSLOGS_ENABLED
• CLOUDFRONT_ASSOCIATED_WITH_WAF
• CLOUDFRONT_CUSTOM_SSL_CERTIFICATE
• CLOUDFRONT_DEFAULT_ROOT_OBJECT_CONFIGURATION
• CLOUDFRONT_NO_DEPRECATED_SSL_PROTOCOLS
• CLOUDFRONT_ORIGIN_ACCESS_IDENTITY_ENABLED
• CLOUDFRONT_ORIGIN_FAILOVER_ENABLED
• CLOUDFRONT_SNI_ENABLED
• CLOUDFRONT_TRAFFIC_TO_ORIGIN_ENCRYPTED
• CLOUDTRAIL_S3_DATAEVENTS_ENABLED
• CLOUDWATCH_ALARM_ACTION_ENABLED_CHECK
• CLOUDTRAIL_SECURITY_TRAIL_ENABLED
• CLOUDWATCH_ALARM_ACTION_CHECK
• CLOUDWATCH_ALARM_RESOURCE_CHECK
• CLOUDWATCH_ALARM_SETTINGS_CHECK
171
AWS Config

• CODEBUILD_PROJECT_ARTIFACT_ENCRYPTION
• CODEBUILD_PROJECT_ENVIRONMENT_PRIVILEGED_CHECK
• CODEBUILD_PROJECT_ENVVAR_AWSCRED_CHECK
• CODEBUILD_PROJECT_LOGGING_ENABLED
• CODEBUILD_PROJECT_S3_LOGS_ENCRYPTED
• CODEBUILD_PROJECT_SOURCE_REPO_URL_CHECK
• CODEDEPLOY_AUTO_ROLLBACK_MONITOR_ENABLED
• CODEDEPLOY_EC2_MINIMUM_HEALTHY_HOSTS_CONFIGURATION
• CODEDEPLOY_LAMBDA_ALLATONCE_TRAFFIC_SHIFT_DISABLED
• CODEPIPELINE_DEPLOYMENT_COUNT_CHECK
• CODEPIPELINE_REGION_FANOUT_CHECK
• CW_LOGGROUP_RETENTION_PERIOD_CHECK
• DB_INSTANCE_BACKUP_ENABLED
• DESIRED_INSTANCE_TENANCY
• DESIRED_INSTANCE_TYPE
• DMS_REPLICATION_NOT_PUBLIC
• DYNAMODB_AUTOSCALING_ENABLED
• DYNAMODB_IN_BACKUP_PLAN
• DYNAMODB_PITR_ENABLED
• DYNAMODB_RESOURCES_PROTECTED_BY_BACKUP_PLAN
• DYNAMODB_THROUGHPUT_LIMIT_CHECK
• EBS_IN_BACKUP_PLAN
• EBS_OPTIMIZED_INSTANCE
• EBS_RESOURCES_PROTECTED_BY_BACKUP_PLAN
• EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK
• EC2_IMDSV2_CHECK
• EC2_INSTANCE_DETAILED_MONITORING_ENABLED
• EC2_INSTANCE_MANAGED_BY_SSM
• EC2_INSTANCE_MULTIPLE_ENI_CHECK
• EC2_INSTANCE_NO_PUBLIC_IP
• EC2_INSTANCE_PROFILE_ADJUNTO
• EC2_INSTANCES_IN_VPC
• EC2_MANAGEDINSTANCE_APPLICATIONS_BLACK LIST
• EC2_MANAGEDINSTANCE_APPLICATIONS_REQUIRED
• EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK
• EC2_MANAGEDINSTANCE_INVENTORY_BLACK LISTADO
• EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK
• EC2_MANAGEDINSTANCE_PLATFORM_CHECK
• EC2_NO_AMAZON_KEY_PAIR
• EC2_PARAVIRTUAL_INSTANCE_CHECK
172
AWS Config

• EC2_RESOURCES_PROTECTED_BY_BACKUP_PLAN
• EC2_SECURITY_GROUP_ATTACHED_TO_ENI
• EC2_SECURITY_GROUP_ATTACHED_TO_ENI_PERIODIC
• EC2_STOPPED_INSTANCE
• EC2_TOKEN_HOP_LIMIT_CHECK
• EC2_TRANSIT_GATEWAY_AUTO_VPC_ATTACH_DISABLED
• EC2_VOLUME_INUSE_CHECK
• ECR_PRIVATE_LIFECYCLE_POLICY_CONFIGURATION
• ECS_CONTAINER_INSIGHTS_ENABLED
• ECS_CONTAINERS_NONPRIVILEGED
• ECS_CONTAINERS_READONLY_ACCESS
• ECS_FARGATE_LATEST_PLATFORM_VERSION
• ECS_NO_ENVIRONMENT_SECRETS
• ECS_TASK_DEFINITION_MEMORY_HARD_LIMIT
• ECS_TASK_DEFINITION_NONROOT_USER
• ECS_TASK_DEFINITION_PID_MODE_CHECK
• ECS_TASK_DEFINITION_USER_FOR_HOST_MODE_CHECK
• EFS_ACCESS_POINT_ENFORCE_ROOT_DIRECTORY
• EFS_ACCESS_POINT_ENFORCE_USER_IDENTITY
• EFS_IN_BACKUP_PLAN
• EFS_RESOURCES_PROTECTED_BY_BACKUP_PLAN
• EIP_ADJUNTO
• EKS_CLUSTER_OLDEST_SUPPORTED_VERSION
• EKS_CLUSTER_SUPPORTED_VERSION
• EKS_ENDPOINT_NO_PUBLIC_ACCESS
• ELASTIC_BEANSTALK_MANAGED_UPDATES_ENABLED
• ELASTICACHE_REDIS_CLUSTER_AUTOMATIC_BACKUP_CHECK
• ELASTICSEARCH_IN_VPC_ONLY
• ELASTICSEARCH_LOGS_TO_CLOUD WATCH
• ELB_CROSS_ZONE_LOAD_BALANCING_ENABLED
• ELB_DELETION_PROTECTION_ENABLED
• ELB_PREDEFINED_SECURITY_POLICY_SSL_CHECK
• ELBV2_ACM_CERTIFICATE_REQUIRED
• ELBV2_MULTIPLE_AZ
• EMR_KERBEROS_ENABLED
• EMR_MASTER_NO_PUBLIC_IP
173
AWS Config

• FMS_SHIELD_RESOURCE_POLICY_CHECK
• FMS_WEBACL_RESOURCE_POLICY_CHECK
• FMS_WEBACL_RULEGROUP_ASSOCIATION_CHECK
• FSX_RESOURCES_PROTECTED_BY_BACKUP_PLAN
• GUARDDUTY_ENABLED_CENTRALIZADO
• GUARDDUTY_NON_ARCHIVED_FINDINGS
• IAM_CUSTOMER_POLICY_BLOCKED_KMS_ACTIONS
• IAM_GROUP_HAS_USERS_CHECK
• IAM_INLINE_POLICY_BLOCKED_KMS_ACTIONS
• IAM_NO_INLINE_POLICY_CHECK
• IAM_POLICY_BLACKLISTED_CHECK
• IAM_POLICY_IN_USE
• IAM_POLICY_NO_STATEMENTS_WITH_ADMIN_ACCESS
• IAM_POLICY_NO_STATEMENTS_WITH_FULL_ACCESS
• IAM_ROLE_MANAGED_POLICY_CHECK
• IAM_USER_GROUP_MEMBERSHIP_CHECK
• IAM_USER_MFA_ENABLED
• IAM_USER_NO_POLICIES_CHECK
• IAM_USER_UNUSED_CREDENTIALS_CHECK
• INCOMING_SSH_DISABLED
• KINESIS_STREAM_ENCRIPTADO
• INTERNET_GATEWAY_AUTHORIZED_VPC_ONLY
• KMS_CMK_NOT_SCHEDULED_FOR_DELETION
• LAMBDA_CONCURRENCY_CHECK
• LAMBDA_DLQ_CHECK
• LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED
• LAMBDA_FUNCTION_SETTINGS_CHECK
• LAMBDA_INSIDE_VPC
• LAMBDA_VPC_MULTI_AZ_CHECK
• MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS
• MULTI_REGION_CLOUD_TRAIL_ENABLED
• NACL_NO_UNRESTRICTED_SSH_RDP
• NETFW_POLICY_DEFAULT_ACTION_FRAGMENT_PACKERS
• NETFW_POLICY_DEFAULT_ACTION_FULL_PACKETS
• NETFW_POLICY_RULE_GROUP_ASSOCIATED
• NETFW_STATELESS_RULE_GROUP_NOT_EMPTY
• NO_UNRESTRICTED_ROUTE_TO_IGW
• OPENSEARCH_ACCESS_CONTROL_ENABLED
• OPENSEARCH_AUDIT_LOGGING_ENABLED
• OPENSEARCH_DATA_NODE_FAULT_TOLERANCE
• OPENSEARCH_ENCRYPTED_AT_REST
174
AWS Config

• OPENSEARCH_HTTPS://_REQUIRED
• OPENSEARCH_IN_VPC_ONLY
• OPENSEARCH_LOGS_TO_CLOUDWATCH
• OPENSEARCH_NODE_TO_NODE_ENCRYPTION_CHECK
• RDS_AUTOMATIC_MINOR_VERSION_UPGRADE_ENABLED
• RDS_CLUSTER_DEFAULT_ADMIN_CHECK
• RDS_CLUSTER_DELETION_PROTECTION_ENABLED
• RDS_CLUSTER_IAM_AUTHENTICATION_ENABLED
• RDS_CLUSTER_MULTI_AZ_ENABLED
• RDS_DB_SECURITY_GROUP_NOT_ALLOWED
• RDS_ENHANCED_MONITORING_ENABLED
• RDS_INSTANCE_DEFAULT_ADMIN_CHECK
• RDS_INSTANCE_DELETION_PROTECTION_ENABLED
• RDS_INSTANCE_IAM_AUTHENTICATION_ENABLED
• RDS_INSTANCE_PUBLIC_ACCESS_CHECK
• RDS_MULTI_AZ_SUPPORT
• RDS_RESOURCES_PROTECTED_BY_BACKUP_PLAN
• RDS_SNAPSHOTS_PUBLIC_PROHIBITED
• REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK
• REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK
• REDSHIFT_AUDIT_LOGGING_ENABLED
• REDSHIFT_CLUSTER_KMS_ENABLED
• REDSHIFT_DEFAULT_ADMIN_CHECK
• REDSHIFT_DEFAULT_DB_NAME_CHECK
• REDSHIFT_ENHANCED_VPC_ROUTING_ENABLED
• REQUIRED_TAGS
• RESTRICTED_INCOMING_TRAFFIC
• S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC
• S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS
• S3_BUCKET_ACL_PROHIBITED
• S3_BUCKET_BLACKLISTED_ACTIONS_PROHIBITED
• S3_BUCKET_DEFAULT_LOCK_ENABLED
• S3_BUCKET_LEVEL_PUBLIC_ACCESS_PROHIBITED
• S3_BUCKET_LOGGING_ENABLED
• S3_BUCKET_POLICY_GRANTEE_CHECK
175
AWS Config

• S3_BUCKET_POLICY_NOT_MORE_PERMISIVO
• S3_BUCKET_PUBLIC_READ_PROHIBITED
• S3_BUCKET_PUBLIC_WRITE_PROHIBITED
• S3_BUCKET_REPLICATION_ENABLED
• S3_BUCKET_VERSIONING_ENABLED
• S3_EVENT_NOTIFICATIONS_ENABLED
• S3_LIFECYCLE_POLICY_CHECK
• S3_RESOURCES_PROTECTED_BY_BACKUP_PLAN
• S3_VERSION_LIFECYCLE_POLICY_CHECK
• SAGEMAKER_NOTEBOOK_INSTANCE_KMS_KEY_CONFIGURATION
• SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS
• SECRETSMANAGER_ROTATION_ENABLED_CHECK
• SECRETSMANAGER_SCHEDULED_ROTATION_SUCCES_CHECK
• SECRETSMANAGER_SECRET_PERIODIC_ROTATION
• SECRETSMANAGER_SECRET_UNUSED
• SECRETSMANAGER_USING_CMK
• SECURITYHUB_ENABLED
• SERVICE_VPC_ENDPOINT_ENABLED
• SHIELD_ADVANCED_ENABLED_AUTORRENOVAR
• SHIELD_DRT_ACCESS
• SSM_DOCUMENT_NOT_PUBLIC
• VPC_DEFAULT_SECURITY_GROUP_CLOSED
• VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS
• VPC_VPN_2_TUNNELS_UP
• WAF_REGIONAL_WEBACL_NOT_EMPTY
Uso deAWS Configreglas personalizadas conAWS Audit

Manager
Puede utilizar ahoraAWS Configreglas personalizadas como fuente de datos para los informes de
auditoría. Cuando un control tiene un origen de datos asignado a unAWS Config, Audit Manager añade la
evaluación creada por elAWS Configregla.
Las reglas personalizadas que puedes usar dependen de laAWScuenta con la que inicia sesión en Audit
Manager. Si puede acceder a una regla personalizada enAWS Config, puede utilizarlo como fuente de
datos en Audit Manager.
176
AWS Security Hub
• Para individualesAWScuentas— Puede utilizar cualquiera de las reglas personalizadas que ha creado
con su cuenta.
• Para cuentas que forman parte de una organización— De cualquier forma, puedes usar cualquiera
de tus reglas personalizadas de nivel de miembro. O bien, puede utilizar cualquiera de las reglas
personalizadas a nivel de organización que tiene a su disposición enAWS Config.
Para obtener instrucciones sobre cómo crear un control que utilice reglas personalizadas como fuente de
datos, consulteCreación de un nuevo control desde ceroyPersonalización de un control existente.
Después de asignar las reglas personalizadas como fuente de datos para un control, puede asociar ese
control a un marco personalizado en Audit Manager. Para obtener instrucciones sobre cómo crear un
marco personalizado que utilice su control personalizado, consulteCreación de un nuevo marco desde
ceroyPersonalización de un marco existente. Para obtener instrucciones sobre cómo agregar el control a
un marco personalizado existente, consulteEdición de un marco existente.
Para obtener información sobre la creación de una regla personalizada enAWS Config, consulteDesarrollar
una regla personalizada paraAWS Configen laAWS ConfigGuía para desarrolladores.
Solución de problemasAWS ConfigIntegración de conAWS Audit

Manager
Para encontrar respuestas a preguntas y problemas comunes, consulteAWS Configintegraciónen
laSolución de problemassección de esta guía.
AWS Security Hubcontroles compatibles conAWS

Audit Manager
Audit Manager le permite informar de los resultados de las comprobaciones de cumplimiento directamente
desde Security Hub. Para ello, especifique uno o varios controles de Security Hub como origen de datos al
configurar un control personalizado en Audit Manager.
Audit Manager admite los siguientes controles de Security Hub.
Para obtener más información sobre cualquiera de los siguientes controles de Security Hub, elija un
elemento de la tabla o consulteEstándares y controles de seguridad enAWS Security Huben laAWS
Security HubGuía del usuario de.
Referencia de CIS PCI DSS Prácticas recomendadas de seguridad básica de

Foundation AWS
• 1.1 • PCI.escalado • ACM.1

• 1.2 automático.1 • AutoScaling.1
• 1.3 • PCI.CloudTrail.1 • CloudTrail.1
• 1.4 • PCI.CloudTrail.2 • CloudTrail 2
• 1.5 • PCI.CloudTrail.3 • Creación de códego.1
• 1.6 • PCI.CloudTrail.4 • Creación de códegode.2
• 1.7 • PCI.codeBuild.1 • Config.1
• 1.8 • PCI.CodeBuild.2 • DMS.1
• 1.9 • PCI.config.1 • EC2.1
• 1.10 • PCI.CW.1 • EC2.2
• 1.11 • PCI.DMS.1 • EC2.3
• 1.12 • PCI.EC2.1 • EC2.4
177
AWS Security Hub
Referencia de CIS PCI DSS Prácticas recomendadas de seguridad básica de

Foundation AWS
• 1.13 • PCI.EC2.2 • EC2.6
• 1.14 • PCI.EC2.3 • EC2.7
• 1.16 • PCI.EC2.4 • EC2.8
• 1.20 • PCI.EC2.5 • EFS.1
• 1.22 • PCI.EC2.6 • ELB v2.1
• 2.1 • PCI.ELBV2.1 • EMR.1
• 2.2 • PCI.ES.1 • ES.1
• 2.3 • PCI.ES.2 • GuardDuty (1)
• 2.4 • Servicio de guardia • IAM.1
• 2,5 PCI. 1 • IAM.2
• 2.6 • PCI.IAM.1 • IAM.3
• 2.7 • PCI.IAM.2 • IAM.4
• 2.8 • PCI.IAM.3 • IAM.5
• 2.9 • PCI.IAM.4 • IAM.6
• 3.1 • PCI.IAM.5 • IAM.7
• 3.2 • PCI.IAM.6 • IAM.8
• 3.3 • PCI.IAM.7 • KMS.1
• 3.4 • PCI.IAM.8 • KMS.2
• 3.5 • PCI.KMS.1 • Lambda.1
• 3.6 • PCI.Lambda.1 • Lambda.2
• 3.7 • PCI.Lambda.2 • RDS.1
• 3.8 • PCI.RDS.1 • RDS.2
• 3.9 • PCI.RDS.2 • RDS.3
• 3.10 • PCI.rojo Shift.1 • RDS.4
• 3.11 • PCI.S3.1 • RDS.5
• 3.12 • PCI.S3.2 • RDS.6
• 3.13 • PCI.S3.3 • RDS.7
• 3.14 • PCI.S3.4 • RDS.8
• 4.1 • PCI.S3.5 • S3.1
• 4.2 • PCI.S3.6 • S3.2
• 4.3 • PCI.Sage Maker.1 • S3.3
• PCI.SSM.1 • S3.4
• PCI.SSM.2 • S3.5
• PCI.SSM.3 • S3.6
• SageMaker (1)
• secretsManager (1)
• secretsManager 2
• SSM.1
• SSM.2
• SSM.3
178
AWSLlamadas a la API
Llamadas a la API compatibles conAWS Audit

Manager
AWS Audit Managerrealiza llamadas a la API aAWSservicios para recopilar una instantánea de los detalles
de configuración de suAWSde AWS. Puede especificar estas llamadas a la API como origen de datos
cuando configura un control en Audit Manager.
Para cada recurso que se encuentra en el ámbito de una llamada a la API,AWS Audit Managercaptura una
instantánea de configuración y la convierte en evidencia. Esto da como resultado una prueba por recurso,
en lugar de una prueba por llamada a la API.
Por ejemplo, si ejecuta unec2_DescribeRouteTablesLlamada a la API que captura instantáneas de

configuración de cinco tablas de rutas y, a continuación, obtendrá cinco pruebas en total para la llamada a
la API. Cada evidencia es una instantánea de la configuración de una tabla de rutas individual.
Audit Manager admite la siguiente lista de llamadas a API.
Llamadas a la API compatibles aAWSServicios de
• Informe de credenciales de IAM_Generate

• Resumen de IAM_getAccount
• IAM_list políticas
• Política de contraseñas de IAM_getAccount
• IAM_list Usuarios
• IAM_listroles
• Grupos IAM_list
• EC2_Describe instancias
• EC2_Describe los registros de flujo
• EC2_Describe VPC
• EC2_Describe grupos de seguridad
• EC2_Describe ACL de red
• EC2_Describir tablas de rutas
• EC2_Describe los puntos finales de VPC
• CloudTrail_Describe senderos
• Config_Describe los canales de entrega
• Reglas de config_describeConfigRules
• KMS_ListKeys
• Alarmas CloudWatch_Describe
• Elastic Filesystem_Describe Filesystems
Las API de AWS License Manager
En el navegadorAWS License Managermarco estándar, Audit Manager utiliza una actividad personalizada
denominadaGetLicenseManagerSummarypara recopilar pruebas. Esta actividad llama a las tres API de
License Manager siguientes:
• Listar configuraciones de licencias

• Listar asociaciones para la configuración de licencias
• Uso de lista para la configuración de licencias
179
AWS CloudTrail
Los datos que se devuelven se convierten en pruebas y se adjuntan a los controles pertinentes de la
evaluación.
Por ejemplo: Supongamos que utiliza dos productos con licencia (SQL Service 2017yOracle Database
Enterprise Edition). En primer lugar, elGetLicenseManagerSummaryla actividad llama a laListar
configuraciones de licenciasAPI, que proporciona detalles de las configuraciones de licencias de su
cuenta. A continuación, añade datos contextuales adicionales para cada configuración de licencia
llamandoUso de lista para la configuración de licenciasyListar asociaciones para la configuración de
licencias. Por último, convierte los datos de configuración de la licencia en pruebas y los adjunta a los
controles respectivos del marco (4.5 - Licencia administrada por el cliente para SQL Server 2017y3.0.4 -
Licencia administrada por el cliente para Oracle Database Enterprise Edition).
Si utiliza un producto con licencia que no está cubierto por ninguno de los controles del marco, los datos de
configuración de licencias se adjuntan como prueba al siguiente control: 5.0 - Licencia administrada por el
cliente para otras licencias.
AWS CloudTrailnombres de eventos admitidos

porAWS Audit Manager
Puedes capturarAWS CloudTraileventos como prueba enAWS Audit Managerespecificando un CloudTrail
nombre de evento como origen de datos de control.
Los siguientes ejemplos de CloudTrail los eventos no son compatibles conAWS Audit Manager:
• Clave de datos generada por KMS_

• KMS descifrar
• STS_Assumerole
Para obtener más información acerca de CloudTrail eventos, consulteVer eventos con el historial de
eventos de CloudTrailen laAWS CloudTrailGuía del usuario de.
180
Permisos
Configuración de AWS Audit

Manager
Puede revisar y configurar suAWS Audit Managerconfiguración en cualquier momento.
Para acceder a la configuración

2. En el panel de navegación izquierdo, elija Configuración.
3. Revise y actualice la configuración según sea necesario y, a continuación, elijaGuardar.
La siguiente configuración de está disponible:

• Permisos (p. 181)
• Cifrado de datos (p. 181)
• Propietarios de auditoría predeterminados (opcional) (p. 182)
• Destino del informe de evaluación (opcional) (p. 182)
• Notificaciones (opcional) (p. 183)
• Administrador delegado (opcional) (p. 183)
• AWS Config (opcional) (p. 186)
• Security Hub (opcional) (p. 186)
• Desactivar AWS Audit Manager (p. 186)
Permisos
AWS Audit Managerutiliza un rol vinculado a servicios para conectarse a fuentes de datos en su
nombre. Para obtener más información, consulte Uso de roles vinculados a servicios de AWS Audit
Manager (p. 250).
Para revisar los detalles de la función vinculada a servicios que utiliza Audit Manager, elijaVer permisos de
roles vinculados a servicios de IAM.
Para obtener más información acerca los roles vinculados a servicios, consulte Uso de roles vinculados a
servicios en la Guía del usuario de IAM.
Cifrado de datos
AWS Audit Managercrea automáticamente un únicoClave administrada por AWSpara el almacenamiento
seguro de sus datos. De forma predeterminada, los datos de Audit Manager se cifran con esta clave KMS.
Como alternativa, si desea personalizar la configuración de cifrado de datos, puede especificar su propia
clave administrada por el cliente de cifrado simétrico. Usar su propia Clave de KMS le da más flexibilidad,
incluida la capacidad de crear, rotar y desactivar Claves.
Puede revisar y cambiar la configuración de cifrado de la siguiente manera.
181
Propietarios de auditoría predeterminados (opcional)
• Para utilizar la clave KMS predeterminada proporcionada por Audit Manager, desactivePersonalizar la
configuración de cifrado (avanzada).
• Para utilizar una clave administrada por el cliente, seleccionePersonalizar la configuración de cifrado
(avanzada). A continuación, puede elegir una clave de KMS existente o crear una.
Important
Para generar informes de evaluación correctamente, la clave administrada por el cliente (si
proporciona uno) debe estar en la mismaRegión de AWScomo evaluación suya. Para obtener una
lista de las regiones de Audit Manager, consulteAWS Audit ManagerCuotas y puntos de enlace
deen laReferencia general de Amazon Web Services.
Note
Cuando cambia la configuración de cifrado de datos de Audit Manager, estos cambios se aplican
a las nuevas evaluaciones que crea en el futuro. Esto incluye los informes de evaluación que cree
a partir de sus nuevas evaluaciones.
existentes, y todos sus informes de evaluación, siguen utilizando la antigua clave KMS.
Si la identidad de IAM que genera el informe de evaluación no tiene permisos para utilizar
la antigua clave de KMS, puede conceder permisos a nivel de política clave. Para obtener
instrucciones, consultePermitir a los usuarios de otras cuentas utilizar una clave KMSen la AWS
Key Management ServiceGuía para desarrolladores.
Para obtener instrucciones sobre cómo crear claves, consulteCrear clavesen laAWS Key Management
ServiceGuía del usuario de.
Propietarios de auditoría predeterminados

(opcional)
Puede especificar los propietarios de auditoría predeterminados que tienen acceso principal a sus
evaluaciones en Audit Manager. Puede elegir entreCuentas de AWSque aparece en la tabla o utilice la
barra de búsqueda para buscar otrosCuentas de AWS.
Puede revisar y cambiar los propietarios de auditorías predeterminadas de la siguiente manera.
• Para agregar un propietario de auditorías predeterminado, active la casilla de verificación situada junto al
nombre de la cuenta enAudit Manager.
• Para eliminar un propietario de auditorías predeterminado, elimine la selección de la casilla de
verificación situada junto al nombre de la cuenta enAudit Manager.
Para obtener más información acerca de auditorías, consulteAudit Manageren laConceptos y

terminologíasección de esta guía.
Destino del informe de evaluación (opcional)

Puede elegir el bucket de Amazon S3 queAWS Audit Manageralmacena los informes de evaluación en.
Como práctica recomendada, le recomendamos que use un bucket de S3 que esté en el mismoRegión de
AWScomo evaluación suya.
182
Notificaciones (opcional)
Puede revisar y cambiar dónde Audit Manager almacena los informes de evaluación de la siguiente
manera.
• Para utilizar un bucket de S3 existente, elija un nombre de bucket de la lista desplegable.

• Para crear un nuevo bucket de S3, elijaCrear un bucket nuevo.
Para obtener instrucciones sobre cómo crear un bucket de S3, consulteCrear un bucketen laGuía del
usuario de Amazon S3.
Notificaciones (opcional)
AWS Audit Managerpuede enviar notificaciones al tema SNS que especifique en esta configuración. Si
estás suscrito a ese tema de SNS, recibirás notificaciones cuando inicies sesión en Audit Manager.
Puede revisar y cambiar dónde Audit Manager envía las notificaciones de la siguiente manera.
• Para utilizar un tema de Amazon SNS existente, seleccione el nombre del tema en el menú desplegable.
• Para crear un nuevo tema de Amazon SNS, elijaCrear tema de nuevo.
Notas
• Puede utilizar un tema de SNS estándar o un tema de SNS FIFO (primero en entrar, primero en
salir). Aunque Audit Manager admite el envío de notificaciones a temas de FIFO, el orden en
que se envían los mensajes no está garantizado.
• Si desea utilizar un tema de Amazon SNS que no sea de su propiedad, debe configurar suAWS
Identity and Access Management(IAM) para esto. En concreto, debe configurarlo para permitir
la publicación desde el nombre de recurso de Amazon (ARN) del tema de. Para obtener más
información acerca de IAM, consulteIdentity and Access Management paraAWS Audit Manager.
Para obtener más información sobre la lista de acciones que invocan notificaciones en Audit Manager,
consulteNotificaciones de AWS Audit Manager (p. 188).
Para obtener instrucciones sobre cómo crear un tema de Amazon SNS, consulteCreación de un tema de
Amazon SNSen laGuía del usuario de Amazon SNS.
Administrador delegado (opcional)

Si usaAWS Organizationsy desea habilitar el soporte para varias cuentas paraAWS Audit Manager, puede
designar una cuenta de miembro de su organización como administrador delegado de Audit Manager.
Requisitos previos
• Tu cuenta debe formar parte de una organización. Para obtener más información, consulteCreación y
administración de una organizaciónen laAWS OrganizationsGuía del usuario de.
• Antes de designar un administrador delegado, debehabilitar todas las características de su organización.
También debesConfigure las características de su organizaciónAWS Security HubConfiguración
de (p. 24)para que Audit Manager pueda recopilar pruebas de Security Hub de sus cuentas de miembro.
• Cuando designe un administrador delegado, asegúrese de que la cuenta de administrador delegado
tenga acceso a la clave KMS que proporcionó al configurar Audit Manager. Para revisar y cambiar la
configuración de cifrado, consulteCifrado de datos (p. 181).
183
Cuestiones que deben considerarse
• No puede usar suAWS Organizationscuenta de administración como administrador delegado en Audit

Manager.
• Si desea habilitar Audit Manager en más de unoRegión de AWS, debe designar una cuenta de
administrador delegado por separado en cada región. En la configuración de Audit Manager, debe
utilizar la misma cuenta de administrador delegado en todas las regiones.
• Para obtener soluciones a problemas comunes de Organizations y administradores delegados
en Audit Manager, consulteSolución de problemas de administrador delegado yAWS
OrganizationsProblemas (p. 202).
Puede revisar y cambiar la configuración de la cuenta de administrador delegado de la siguiente manera.
Agregar un administrador delegado

Warning
Después de designar un administrador delegado en la configuración de Audit Manager, la cuenta

de administración ya no puede crear evaluaciones adicionales en Audit Manager y la recopilación
de pruebas se detiene para cualquier evaluación existente creada por la cuenta de administración.
En cambio, Audit Manager recopila y adjunta pruebas a la cuenta de administrador delegado, que
es la cuenta principal para administrar las evaluaciones de su organización.
Para agregar un administrador delegado
1. De laAdministrador delegadode la página de configuración de Audit Manager, elijaAgregar

administrador delegado.
2. UNDERID de cuenta de administrador delegado, introduzca el ID de la cuenta de administrador
delegado.
3. Elija Delegate (Delegar).
Cambiar un administrador delegado

Warning
Cuando cambia el administrador delegado, sigue teniendo acceso a las pruebas que recopiló
anteriormente en esa cuenta. Sin embargo, Audit Manager deja de recopilar y adjuntar pruebas a
esa cuenta de administrador delegada en el futuro.
Note
Al quitar una cuenta de administrador delegado de Audit Manager, los datos de esa cuenta no se
eliminan. Si desea eliminar los datos de recursos de una cuenta de administrador delegado, debe
realizar esa tarea por separado antes de quitar la cuenta. Puede hacerlo en la consola de Audit
Manager. O bien, puede utilizar una de las operaciones de eliminación de API proporcionadas
por Audit Manager. En este momento, Audit Manager no ofrece la opción de eliminar pruebas. A
continuación se enumeran todas las operaciones de eliminación disponibles.
Para eliminar datos antes de cambiar un administrador delegado (opcional)
Para eliminar los datos de recursos de Audit Manager, consulte las siguientes instrucciones:
• Eliminación de una evaluación(véase también:Eliminar evaluaciónen laAWS Audit ManagerReferencia

de la API)
• Eliminación de un marco personalizado(véase también:Eliminar marco de evaluaciónen laAWS Audit
ManagerReferencia de la API)
184
• Eliminación de una solicitud de recurso compartido(véase también:Eliminar recurso compartido del

marco de evaluaciónen laAWS Audit ManagerReferencia de la API)
• Eliminación de un informe de evaluación(véase también:Eliminar informe de evaluaciónen laAWS Audit
• Eliminación de un control personalizado(véase también:Eliminar controlen laAWS Audit
ManagerReferencia de de)
Para cambiar el administrador delegado actual
1. De laAdministrador delegadode la página de configuración de Audit Manager, elijaEditar.

2. ElegirRemovepara eliminar la cuenta de administrador delegado actual.
3. En la ventana emergente que aparece, elijaRemovepara confirmar.
4. UNDERID de cuenta de administrador delegado, introduzca el ID de la nueva cuenta de administrador
delegado.
5. Elija Delegate (Delegar).
Eliminación de un administrador delegado

Warning
Al quitar un administrador delegado de la configuración de Audit Manager o al anular el registro

de un administrador delegado deAWS Organizations, sigue teniendo acceso a las pruebas
recopiladas anteriormente en virtud de esa cuenta. Sin embargo, Audit Manager deja de recopilar
y adjuntar pruebas a esa cuenta de administrador delegada en el futuro.
Note
Al quitar una cuenta de administrador delegado de Audit Manager, los datos de esa cuenta no se
eliminan. Si desea eliminar los datos de recursos de una cuenta de administrador delegado, debe
realizar esa tarea por separado antes de quitar la cuenta. Puede hacerlo en la consola de Audit
Manager. O bien, puede utilizar una de las operaciones de eliminación de API proporcionadas
por Audit Manager. En este momento, Audit Manager no ofrece la opción de eliminar pruebas. A
continuación se enumeran todas las operaciones de eliminación disponibles.
Para eliminar datos antes de eliminar un administrador delegado (opcional)

de la API)
Para quitar el administrador delegado actual
1. De laAdministrador delegadode la página de configuración de Audit Manager, elijaEditar.

2. ElegirRemovepara eliminar la cuenta de administrador delegado actual.
185
AWS Config (opcional)
3. En la ventana emergente que aparece, elijaRemovepara confirmar.
AWS Config (opcional)

Puedes permitirAWS Audit Managerpara recopilar las conclusiones deAWS Config. CuandoAWS
Configestá habilitado, Audit Manager puede capturar instantáneas de la postura de seguridad de los
recursos informando de los resultados de las comprobaciones de reglas directamente desdeAWS Config.
Le recomendamos que habiliteAWS Configpara obtener una experiencia óptima en Audit Manager.
Para habilitarAWS Config, eligeHabilitar enAWS Configpara ir a la página de ese servicio. Para obtener
información sobre cómo habilitarAWS ConfigconsulteConfiguración deAWS Configen laAWS ConfigGuía
para desarrolladores.
Security Hub (opcional)

Puedes permitirAWS Audit Managerpara importarAWS Security Hubconclusiones de las normas
de cumplimiento compatibles. Cuando Security Hub está habilitado, Audit Manager puede capturar
instantáneas de la postura de seguridad de los recursos mediante los resultados de las comprobaciones
de seguridad directamente desde Security Hub. Le recomendamos que active Security Hub para obtener
una experiencia óptima en Audit Manager.
Para habilitar Security Hub, elijahabilitar Security Hubpara ir a la página de ese servicio. Para obtener
información acerca de cómo habilitar Security Hub, consulteConfiguración deAWS Security Huben laGuía
del usuario de Security Hub.
Desactivar AWS Audit Manager

Puedes deshabilitarAWS Audit Managersi ya no desea utilizar el servicio.
Warning
Cuando deshabilita Audit Manager, su acceso se revoca y el servicio dejará de recopilar pruebas
de ninguna evaluación existente. No podrá acceder a nada del servicio a menos que vuelva a
habilitar Audit Manager.
Note
Cuando deshabilitas Audit Manager, los datos no se eliminan. Si desea eliminar los datos de
recursos, debe realizar esa tarea por separado antes de deshabilitar Audit Manager. Puede
hacerlo en la consola de Audit Manager. O bien, puede utilizar una de las operaciones de
eliminación de API proporcionadas por Audit Manager. En este momento, Audit Manager no
ofrece la opción de eliminar pruebas. A continuación se enumeran todas las operaciones de
eliminación disponibles.
Para eliminar datos antes de deshabilitar Audit Manager (opcional)

de la API)
186
Desactivar AWS Audit Manager

Para deshabilitar Audit Manager
Elija DisableAWS Audit Manager.
Para volver a habilitar Audit Manager después de deshabilitarlo
Vaya a la página de inicio del servicio de Audit Manager y siga los pasos para configurar Audit
Manager como nuevo usuario. Para obtener más información, consulte Configuración de AWS Audit
Manager (p. 21).
187
Requisitos previos
Notificaciones de AWS Audit

Manager
AWS Audit Managerpuede notificarle sobre las acciones de los usuarios a través deAmazon Simple
Notification Service (Amazon SNS).
Audit Manager envía notificaciones cuando se produce uno de los siguientes eventos:
• El propietario de una auditoría delega un conjunto de controles para su revisión.

• Un delegado envía un retroceso de control revisado al propietario de la auditoría.
• El propietario de una auditoría completa la revisión de un conjunto de controles.
Requisitos previos
Antes de configurar notificaciones de Amazon SNS enAWS Audit Manager, asegúrese de completar los
pasos siguientes.
1. Cree un tema de Amazon SNS si aún no dispone de uno. Para obtener instrucciones, consulte el tema
Creación de un Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.
2. Suscriba al menos un punto de enlace al tema. Por ejemplo, si desea recibir notificaciones por mensaje
de texto, suscriba un punto de enlace de SMS al tema. Un endpoint SMS es un número de teléfono
móvil. Para recibir notificaciones por correo electrónico, suscriba un punto de enlace de correo
electrónico al tema. Un punto de enlace de correo electrónico es una dirección de correo electrónico.
Para obtener más información, consulte Introducción en la Guía para desarrolladores de Amazon Simple
Notification Service.
3. (Opcional) Si el tema usaAWS Key Management Service(AWS KMS) para el cifrado del lado del
servidor (SSE), debe agregar permisos aAWS KMS keypolítica. Para ver un ejemplo de política que
puede utilizar, consultePermisos para una clave KMS asociada a un tema SNS.
Configuración de notificaciones enAWS Audit

Manager
Siga estos pasos para configurar notificaciones enAWS Audit Manager.
Para configurar notificaciones enAWS Audit Manager

2. En el panel de navegación izquierdo, elija Configuración.
3. UnderNotificaciones -opcional, especifique el tema de SNS que desea utilizar para recibir
notificaciones.
• Para utilizar un tema de existente, seleccione el nombre del tema del menú desplegable.
• Para crear un tema de nuevo, elijaCrear tema de nuevo. Esto le lleva a la consola de Amazon SNS
donde puede crear un tema.
188
4. Cuando haya terminado, elija Save (Guardar).
Notas
• Puede utilizar un tema de SNS estándar o un tema de SNS FIFO (primero en entrar, primero en
salir). Audit Manager admite el envío de notificaciones a temas de FIFO. Sin embargo, el orden
en el que se envían los mensajes no está garantizado.
• Si desea utilizar un tema de Amazon SNS que no sea de su propiedad, debe configurar suAWS
Identity and Access ManagementPolítica de (IAM). Más específicamente, debe configurar su
política para permitir la publicación desde el nombre de recurso de Amazon (ARN) del tema
de. Para obtener más información, consulteIdentity and Access Management paraAWS Audit
Manager.
He especificado un tema de Amazon SNS en Audit
Manager, pero no recibo ninguna notificación
Si el tema de Amazon SNS utilizaAWS KMSPara el cifrado del lado del servidor (SSE), es posible que le
falten los permisos necesarios paraAWS KMSPolítica de claves. Es posible que no recibas notificaciones si
no suscribiste un endpoint a tu tema.
Si no recibe notificaciones, asegúrese de hacer lo siguiente:
• Ha adjuntado la política de permisos requerida a suAWS KMSKey. Hay disponible una política de
ejemplo en elRequisitos previos (p. 188)sección de esta página.
• Ha suscrito un punto de enlace al tema a través del que se envían notificaciones. Cuando suscriba
un punto de enlace de correo electrónico a un tema, recibirá un correo electrónico que le pedirá que
confirme su suscripción. Debe confirmar su suscripción antes de empezar a recibir notificaciones por
correo electrónico. Para obtener más información, consulteIntroducciónen laGuía para desarrolladores
de Amazon SNS.
He especificado un tema FIFO, pero no recibo

notificaciones en el pedido esperado
Audit Manager admite el envío de notificaciones a los temas de FIFO SNS. Sin embargo, el orden en que
Audit Manager envía notificaciones a los temas de FIFO no está garantizado.
189
Evaluaciones y recopilación de pruebas
Solución de problemas enAWS Audit

Manager
Puede utilizar la siguiente información para solucionar los problemas que surgen cuando trabaja conAWS
Audit Manager.
Temas
• Solución de problemas de evaluación y recopilación de pruebas (p. 190)
• Solución de problemas de permisos y accesos (p. 194)
• Solución de problemas de control y conjuntos de control (p. 196)
• Solución de problemas con los informes de evaluación (p. 200)
• Solución de problemas de administrador delegado yAWS OrganizationsProblemas (p. 202)
• Solución de problemas con las notificaciones (p. 204)
• Solución de problemas con el panel (p. 205)
• Solución de problemas de uso compartido de marcos (p. 207)
Solución de problemas de evaluación y recopilación

de pruebas
Puede utilizar la información de esta página para resolver problemas comunes de evaluación y
recopilación de pruebas en Audit Manager.
Temas
• He creado una evaluación pero aún no veo ninguna prueba (p. 190)
• Mi evaluación no recopila ninguna prueba de comprobación de cumplimiento deAWS Security
Hub (p. 191)
• Mi evaluación no está recopilando pruebas de otroAWSServicio de (p. 192)
• Mis pruebas se generan a intervalos diferentes y no entiendo con qué frecuencia se recogen (p. 192)
• ¿Qué ocurre si elimino una cuenta dentro del ámbito de mi organización? (p. 193)
• No puedo editar los servicios en el ámbito de mi evaluación (p. 194)
• Ha ocurrido un error al crear (p. 194)
He creado una evaluación pero aún no veo ninguna

prueba
Si no ves ninguna prueba, es probable que no hayas esperado al menos 24 horas después de crear la
evaluación o que haya un error de configuración.
190
Mi evaluación no recopila ninguna prueba de
comprobación de cumplimiento deAWS Security Hub
Le recomendamos que consulte lo siguiente:
1. Asegúrese de que hayan transcurrido más de 24 horas desde que creó la evaluación. La evidencia
automatizada está disponible 24 horas después de crear la evaluación.
2. Asegúrese de utilizar Audit Manager en el mismoAWSRegión comoAWSservicio del que esperas ver
pruebas.
3. Si espera ver pruebas de comprobación de cumplimiento deAWS ConfigyAWS Security Hub,
asegúrese de que tanto elAWS Configy las consolas de Security Hub muestran los resultados de
estas comprobaciones. LaAWS Configy los resultados de Security Hub deben mostrarse en el
mismoAWSRegión en la que utiliza Audit Manager.
Si aún no ve ninguna evidencia en su evaluación y no se debe a uno de estos problemas, considere la

posibilidad de comprobar los otros problemas que se describen en esta página.
Mi evaluación no recopila ninguna prueba de

comprobación de cumplimiento deAWS Security Hub
Este problema puede deberse si ha perdido algunos pasos de configuración en suAWS Security
HubConfiguración del .
Si utiliza un soloAWScuenta, debe habilitarAWS Configy el estándar de seguridad PCI DSS para su
cuenta.
Si está utilizando Organizations, debe hacer lo siguiente:
• HabilitarAWS Configy el estándar de seguridad PCI DSS para cada cuenta de miembro.
• Designe la misma cuenta de administrador en Security Hub y en Audit Manager.
Asegúrese de haber configurado la configuración de Security Hub de la siguiente manera.
Configuración de los ajustes de Security Hub para un soloAWScuenta

Antes de habilitar cualquier estándar de seguridad en Security Hub, asegúrese de haber habilitadoAWS
Configy grabación de recursos configurada. Para obtener más información, consulteHabilitación
y configuraciónAWS Configen laAWS Security HubGuía del usuario de. A continuación, siga este
procedimiento para configurar los ajustes de Security Hub para Audit Manager.
Para configurar los ajustes de Security Hub para una sola cuenta
1. Inicie sesión enAWS Management Consoley abra el símboloAWS Security HubConsola enhttps://
2. En el panel de navegación izquierdo, elijaEstándares de seguridad.
3. UNDERPCI DSS v3.2.1, eligeHabilitarpara habilitar el estándar de seguridad PCI DSS para su cuenta.
Por defecto,AWSIndicador de referencia CIS Foundationsstandard yAWSPrácticas recomendadas
destandard ya está habilitado. Para obtener más información, consulteHabilitar un estándar de
seguridaden laAWS Security HubGuía del usuario de.
Configuración de los ajustes de Security Hub para una organización

Antes de habilitar cualquier estándar de seguridad en Security Hub, asegúrese de haber habilitadoAWS
Configy la grabación de recursos configurada para su organización. Para obtener más información,
consulteHabilitación y configuraciónAWS Configen laAWS Security HubGuía del usuario de. A
continuación, siga este procedimiento para configurar los ajustes de Security Hub para Audit Manager.
191
Mi evaluación no está recopilando
pruebas de otroAWSServicio de
Para configurar los ajustes de Security Hub para una organización
1. Inicie sesión enAWS Management Consoley abra el símboloAWS Security HubConsola enhttps://
2. Uso de lasAWS Organizationscuenta de administración, designe una cuenta como administrador
delegado para Security Hub. Asegúrese de que la cuenta de administrador delegado que ha
designado en Security Hub es la misma que designó en Audit Manager. Para obtener más
información, consulteDesignación de una cuenta de administrador de Security Huben laAWS Security
HubGuía del usuario de.
3. Con la cuenta de administrador delegado de la Organizations, vaya aConfiguración, cuentasy
habilite las cuentas de la organización como cuentas de miembros de Security Hub. Para obtener
instrucciones adicionales, consulteHabilitación de cuentas de miembro de su organizaciónen laAWS
Security HubGuía del usuario de.
4. Habilitación dePCI DSSestándar de seguridad para cada cuenta miembro de la organización. Por
defecto,AWSIndicador de referencia CIS Foundationsstandard yAWSPrácticas recomendadas
destandard ya está habilitado. Para obtener más información, consulteHabilitar un estándar de
seguridaden laAWS Security HubGuía del usuario de.
Mi evaluación no está recopilando pruebas de

otroAWSServicio de
Si unAWSel servicio no está seleccionado como el ámbito de la evaluación, Audit Manager no recopila
pruebas de los recursos relacionados con ese servicio. Este es el caso también si unAWSel servicio está
seleccionado pero no lo ha habilitado en su entorno.
Si ha creado la evaluación a partir de un marco personalizado, puedeeditar los servicios en el ámbito de

su evaluación. A continuación, puede especificar másAWSservicios de los que desea recopilar pruebas.
Después de agregar estos servicios, las pruebas estarán disponibles después de 24 horas.
Note
Si ha creado la evaluación a partir de un marco estándar, la lista deAWSLos servicios del ámbito
están preseleccionados y no se pueden editar. Esto se debe a que cuando crea una evaluación a
partir de un marco estándar, Audit Manager asigna y selecciona automáticamente las fuentes de
datos y los servicios pertinentes para usted. La selección se realiza sobre la base de los requisitos
del marco estándar. Tenga en cuenta que, para marcos estándar que contienen solo controles
manuales, noAWSlos servicios están en el ámbito de aplicación.
La solución alternativa para editar elAWSservicios de alcance mientras se sigue creando una
evaluación basada en un marco estándar espersonalizar el marco estándar. Con esta solución
alternativa, puede utilizar el marco de trabajo que ha personalizadocrear una nueva evaluación.
En esta evaluación, puede especificar quéAWSlos servicios están en el ámbito de aplicación.
Mis pruebas se generan a intervalos diferentes y no

entiendo con qué frecuencia se recogen
Los controles de las evaluaciones de Audit Manager se asignan a una combinación de fuentes de datos.
Cada fuente de datos tiene una frecuencia de recopilación de pruebas diferente. Como resultado, no hay
one-size-fits-all respuesta sobre la frecuencia con que se recopilan pruebas. Algunas fuentes de datos
evalúan el cumplimiento, mientras que otras solo capturan el estado de los recursos y cambian los datos
sin determinar el cumplimiento.
El siguiente es un resumen de las diferentes fuentes de datos y la frecuencia de recopilación de

evidencias.
192
¿Qué ocurre si elimino una cuenta
dentro del ámbito de mi organización?
Origen de Descripción Frecuencia Cuando este control está activo en una

datos de la evaluación
recopilación
AWS Realiza un Continual Audit Manager filtra su CloudTrail registros

CloudTrail seguimiento de basados en la palabra clave que elijas. Los
una actividad de registros procesados se importan comoActividad
usuario concreta que de usuariopruebas.
se necesita en la
auditoría.
AWS Captura una Según el Audit Manager recupera el resultado de la

Security instantánea de la cronograma comprobación de seguridad directamente
Hub postura de seguridad de la desde Security Hub. El resultado se importa
de los recursos comprobación comoComprobación de conformidadpruebas.
informando del de Security
resultado de una Hub
comprobación de (normalmente
seguridad de Security cada 12
Hub. horas
aproximadamente)
AWS Captura una En función Audit Manager recupera los resultados de

Config instantánea de la de la esta regla directamente desdeAWS Config. El
postura de seguridad configuración resultado se importa comoComprobación de
de los recursos definida conformidadpruebas.
mediante informes de en elAWS
los hallazgos deAWS ConfigRegla
Config. de
AWSLlamadasToma una Diario, Audit Manager realiza la llamada a la API

a la API instantánea de la semanal o en función de la frecuencia que especifique.
configuración de mensual La respuesta se importa comoDatos de
recursos directamente configuraciónpruebas.
a través de una
llamada a la API al
especificadoAWSservicio.
Independientemente de la frecuencia de recopilación de pruebas, las nuevas pruebas se recopilan

automáticamente mientras la evaluación esté activa. Para obtener más información, consulteFrecuencia de
la recopilación.
Para obtener más información sobre las fuentes de datos de control, consulteFuentes de datos de control
compatibles para pruebas automatizadasyCambio de la frecuencia de recopilación de pruebas para un
control.
¿Qué ocurre si elimino una cuenta dentro del ámbito

de mi organización?
Cuando se elimina una cuenta dentro del ámbito de su organización,AWS Audit Managerya no
recopila pruebas de esa cuenta. Sin embargo, la cuenta sigue apareciendo en la evaluación
deAWScuentasPestaña. Para eliminar la cuenta de la lista de cuentas en el ámbito, puedeeditar la
evaluación. La cuenta eliminada ya no aparece en la lista durante la edición y puedes guardar los cambios
sin esa cuenta en el ámbito.
193
No puedo editar los servicios en el ámbito de mi evaluación
No puedo editar los servicios en el ámbito de mi

evaluación
Cuando utiliza la consola de Audit Manager para crear una evaluación a partir de un marco estándar, la
lista deAWSLos servicios del ámbito están seleccionados de manera predeterminada. Esta lista no se
puede editar. Esto se debe a que Audit Manager asigna y selecciona automáticamente los orígenes de
datos y los servicios por usted. Esta selección se realiza de acuerdo con los requisitos del marco estándar.
Si el marco estándar que ha seleccionado contiene solo controles manuales, noAWSlos servicios están en
el ámbito de su evaluación y no puede agregar ningún servicio a su evaluación.
Si es necesario editar la lista de servicios incluidos en el ámbito de, puede hacerlo medianteCrear
evaluaciónOperación de API proporcionada por Audit Manager. También puedepersonalizar el marco
estándary, a continuación, cree una evaluación a partir del marco personalizado.
Ha ocurrido un error al crear

Si la creación de la evaluación falla, podría deberse a que ha seleccionado demasiados servicios en el
ámbito de la evaluación. Si utilizaAWS Organizations, Audit Manager puede admitir hasta 150 cuentas de
miembros aproximadamente en el ámbito de una única evaluación. Si supera este número, es posible que
la creación de la evaluación no funcione. Como solución alternativa, puede ejecutar varias evaluaciones
con cuentas diferentes en el ámbito de cada evaluación.
Solución de problemas de permisos y accesos

Puede utilizar la información de esta página para resolver problemas de permisos comunes en Audit
Manager.
Temas
• Seguí el procedimiento de configuración de Audit Manager, pero no tengo suficientes privilegios de
IAM (p. 194)
• He especificado a alguien como propietario de la auditoría, pero aún no tiene acceso completo a la
evaluación. ¿Por qué es esto? (p. 195)
• No puedo realizar ninguna acción en Audit Manager (p. 195)
• Soy administrador y deseo permitir que otros obtengan acceso a Audit Manager (p. 195)
• Quiero permitir que la gente se encuentre fuera de miAWScuenta para acceder a los recursos de Audit
Manager (p. 196)
Seguí el procedimiento de configuración de Audit

Manager, pero no tengo suficientes privilegios de IAM
La identidad de IAM (usuario, rol o grupo) que va a usar para acceder a Audit Manager debe tener los
permisos necesarios. Además, tu política basada en la identidad no debería ser demasiado restrictiva.
De lo contrario, la consola no funcionará según lo previsto para sus identidades de IAM. LaConfiguración
dede esta guía proporciona una política que otorga los permisos mínimos necesarios para configurar
Audit Manager. Dependiendo de su caso de uso, es posible que necesite permisos más amplios y menos
restrictivos. Por ejemplo, le recomendamos que los propietarios de audit tenganacceso de administrador.
Esto es para que puedan modificar la configuración de Audit Manager y administrar recursos tales como
evaluaciones, marcos, controles e informes de evaluación. Es posible que otros usuarios, como los
delegados, solo necesitenacceso de administraciónoread-onlyacceso a.
194
He especificado a alguien como propietario
de la auditoría, pero aún no tiene acceso
completo a la evaluación. ¿Por qué es esto?
Asegúrese de asociar los permisos adecuados a la identidad de IAM. Para los propietarios de auditorías,
la política recomendada esAWSAuditManagerAdministratorAccess. Para los delegados, puede utilizareste
ejemploque se proporciona en elEjemplos de políticas de IAM(Se ha creado el certificado). Puede utilizar
estas políticas de ejemplo como punto de partida y realizar los cambios necesarios para ajustarse a sus
requisitos.
Le recomendamos que tome tiempo para personalizar los permisos para satisfacer sus requisitos
específicos. Si necesita ayuda con los permisos de IAM, póngase en contacto con su administrador
oAWSSoporte. Para obtener instrucciones sobre cómo adjuntar una política a una identidad de IAM,
consulteAdición de permisos a un usuarioyAdición y eliminación de permisos de identidad de IAMen laIAM
User Guide.
He especificado a alguien como propietario de la

auditoría, pero aún no tiene acceso completo a la
evaluación. ¿Por qué es esto?
Especificar a alguien como propietario de auditoría por sí solo no le proporciona acceso completo a una
evaluación. Los propietarios de auditorías también deben tener los permisos de IAM necesarios para
acceder y administrar los recursos de Audit Manager. En otras palabras, además deespecificación de un
usuario como propietario de auditoría, también debe adjuntar lo necesarioPolíticas de IAMa ese usuario.
La idea detrás de esto es que, al requerir ambos, Audit Manager se asegura de tener pleno control sobre
todos los detalles de cada evaluación.
Note
Para los propietarios de audit, le recomendamos que utilice

laAWSAuditManagerAdministratorAccesspolítica. Para obtener más información, consultePolíticas
recomendadas para personas de usuario en Audit Manager.
No puedo realizar ninguna acción en Audit Manager

Si no tiene los permisos necesarios para utilizarAWS Audit Manageroperaciones de la API de la consola o
Audit Manager, es probable que encuentres unAccessDeniedException.
Para resolver este problema, debe ponerse en contacto con su administrador para recibir ayuda. Su
administrador es la persona que le facilitó su nombre de usuario y contraseña.
Soy administrador y deseo permitir que otros obtengan

acceso a Audit Manager
Para permitir que otros accedan a Audit Manager, debe crear una entidad de IAM (usuario o rol) para
la persona o aplicación que necesita acceso. Esta persona utilizará las credenciales de la entidad para
acceder a AWS. A continuación, debe asociar una política a la entidad que le conceda los permisos
correctos en Audit Manager.
Para comenzar de inmediato, consulte Creación del primer grupo y usuario delegado de IAM en la Guía del
usuario de IAM.
195
Quiero permitir que la gente se encuentre
fuera de miAWScuenta para acceder
a los recursos de Audit Manager
Quiero permitir que la gente se encuentre fuera de

miAWScuenta para acceder a los recursos de Audit
Manager
Conceder a personas que están fuera de tuAWSacceso a la cuenta a los recursos de Audit Manager, cree
un rol de IAM para ellos. Puede hacerlo tanto para usuarios que se encuentran en otras cuentas como para
personas ajenas a su organización. Con este rol, pueden acceder a sus recursos. Al crear el rol, asegúrese
de especificar en quién se puede confiar en que asuma el rol.
Para obtener más información, consulte los siguientes temas en laIAM User Guide:
• Para obtener instrucciones sobre cómo proporcionar acceso a sus recursos en toda laAWScuentas que
posees, miraProporcionar acceso a un usuario de IAM en otroAWScuenta que poseeen laIAM User
Guide.
• Para obtener instrucciones sobre cómo proporcionar a tercerosAWScuentas con acceso a sus recursos,
consulteProporcionar acceso aAWScuentas de propiedad de tercerosen laIAM User Guide.
• Para obtener instrucciones sobre cómo proporcionar acceso a través de la federación de identidades,
consulteProporcionar acceso a usuarios autenticados externamente (identidad federada)en laIAM User
Guide.
Solución de problemas de control y conjuntos de

control
Puede utilizar la información de esta página para resolver problemas comunes con los controles de Audit
Manager.
Problemas generales
• No veo ningún control ni conjunto de controles en mi evaluación (p. 197)

• No puedo cargar pruebas manuales a un control (p. 197)
AWS Configproblemas de integración
• Necesito usar variosAWS Configreglas como fuente de datos para un único control (p. 197)
• La opción de regla personalizada no está disponible cuando configuro un origen de datos de
control (p. 197)
• La opción de regla personalizada está disponible, pero no aparece ninguna regla en la lista
desplegable (p. 198)
• Algunas reglas personalizadas están disponibles, pero no veo la regla que quiero usar (p. 198)
• Quiero compartir un marco personalizado, pero tiene controles que utilizan personalizadosAWS
Configreglas como fuente de datos. ¿Puede el destinatario recopilar pruebas de estos
controles? (p. 198)
• Qué ocurre cuando se actualiza una regla personalizada enAWS Config? ¿Tengo que realizar alguna
acción en Audit Manager? (p. 199)
196
No veo ningún control ni conjunto
de controles en mi evaluación
No veo ningún control ni conjunto de controles en mi

evaluación
En resumen, para ver los controles de una evaluación, debe especificarse como propietario de auditoría
para dicha evaluación. Además, necesita los permisos de IAM necesarios para ver y administrar los
recursos de Audit Manager relacionados.
Si necesita acceso a los controles de una evaluación, solicite a uno de los propietarios de la auditoría que
la especifique como propietario de auditoría. Puedes especificar los propietarios de auditorías cuando
estéscreatingomontajeuna evaluación.
Asegúrese también de contar con los permisos necesarios para administrar la evaluación de.
Recomendamos que los propietarios de auditorías utilicenAWSAuditManagerAdministratorAccesspolítica.
Si necesita ayuda con los permisos de IAM, póngase en contacto con su administrador oAWSSoporte.
Para obtener más información acerca de cómo adjuntar una política a una identidad de IAM,
consulteAdición de permisos a un usuarioyAdición y eliminación de permisos de identidad de IAMen laIAM
User Guide.
No puedo cargar pruebas manuales a un control

Si no puedes subir pruebas manualmente a un control, es probable que se deba a que el control esté
eninactivoestado.
Para cargar pruebas manuales en un control, primero debe cambiar el estado del control a cualquiera de
las dosEn proceso de revisiónoRevisado. Para obtener más información, consulteEstado del control de
actualización.
Important
Necesito usar variosAWS Configreglas como fuente

de datos para un único control
Puede utilizar una combinación de reglas administradas y reglas personalizadas para un solo control. Para
ello, configure varios orígenes de datos para el control y seleccione el tipo de regla que prefiera para cada
uno. Puede definir hasta 10 fuentes de datos para un solo control personalizado.
La opción de regla personalizada no está disponible

cuando configuro un origen de datos de control
Esto significa que no tiene permisos para ver las reglas personalizadas deAWScuenta u organización. Más
concretamente, no tiene permisos para realizarDescribeConfigRulesen la consola Audit Manager.
Para solucionar este problema, póngase en contacto conAWSadministrador para obtener ayuda. Si es un
usuarioAWSadministrador, puede proporcionar permisos a sus usuarios o grupos medianteadministración
de políticas de IAM.
197
La lista desplegable de reglas personalizadas está vacía
La opción de regla personalizada está disponible, pero

no aparece ninguna regla en la lista desplegable
Esto significa que no hay reglas personalizadas habilitadas ni disponibles para su uso en suAWScuenta u
organización.
Si todavía no tiene ninguna regla personalizada enAWS Config, puede crear uno. Para obtener
instrucciones, consulteAWS Configreglas personalizadasen laAWS ConfigGuía para desarrolladores.
Si esperas ver una regla personalizada, comprueba el siguiente elemento de solución de problemas.
Algunas reglas personalizadas están disponibles, pero

no veo la regla que quiero usar
Si no ves la regla personalizada que esperas encontrar, esto podría deberse a uno de los siguientes
problemas.
Su cuenta está excluida de la regla
Es posible que la cuenta de administrador delegado que está utilizando esté excluida de la regla.
La cuenta de administración de su organización (o una de lasAWS Configcuentas de administrador

delegadas) puede crear reglas de organización personalizadas mediante elAWS Command Line
Interface(AWS CLI). Cuando lo hacen, pueden especificar unlista de cuentas que deben excluirsede la
regla. Si tu cuenta está en esta lista, la regla no está disponible en Audit Manager.
Para solucionar este problema, póngase en contacto conAWS Configadministrador para obtener
ayuda. Si es un usuarioAWS Configadministrador, puede actualizar la lista de cuentas excluidas
ejecutando laput-organization-config-rulecomando.
La regla no se ha creado y habilitado correctamente enAWS Config
También es posible que la regla personalizada no se haya creado y habilitado correctamente. Si

unerror al crear la regla, o la regla no esenabled, no aparece en la lista de reglas disponibles en Audit
Manager.
Para obtener ayuda con este problema, le recomendamos que se ponga en contacto con suAWS
Configadministrador.
Quiero compartir un marco personalizado, pero

tiene controles que utilizan personalizadosAWS
Configreglas como fuente de datos. ¿Puede el
destinatario recopilar pruebas de estos controles?
Sí, el destinatario puede recopilar pruebas de estos controles, pero se necesitan algunos pasos para
lograrlo.
Para que Audit Manager recopile pruebas mediante unAWS Configcomo origen de datos, lo siguiente debe
cumplirse. Esto se aplica tanto a las reglas gestionadas como a las reglas personalizadas.
1. La regla debe existir en el destinatarioAWSentorno

2. La regla debe estar habilitada en el destinatarioAWSentorno
198
Qué ocurre cuando se actualiza una
regla personalizada enAWS Config?
Recuerda que la costumbreAWS Configes probable que las reglas de tu cuenta no existan ya en
elAWSEntorno. Además, cuando el destinatario acepta la solicitud de recurso compartido, Audit Manager
no vuelve a crear ninguna de sus reglas personalizadas en su cuenta. Para que el destinatario recopile
pruebas utilizando sus reglas personalizadas como fuente de datos, debe crear las mismas reglas
personalizadas en su instancia deAWS Config. Después del destinatariocreay luegohabilitalas reglas, Audit
Manager puede recopilar pruebas de esa fuente de datos.
Le recomendamos que se comunique con el destinatario para informarle si es necesario crear alguna regla
personalizada en su instancia deAWS Config.
Qué ocurre cuando se actualiza una regla

personalizada enAWS Config? ¿Tengo que realizar
alguna acción en Audit Manager?
Para actualizaciones de reglas dentro de tuAWSentorno
Si actualizas una regla personalizada dentro de tuAWSentorno, no se necesita ninguna acción en Audit
Manager. Audit Manager detecta y gestiona las actualizaciones de reglas como se describe en la tabla
siguiente. Audit Manager no le notifica cuando se detecta una actualización de reglas.
Escenario Qué hace Audit Manager Qué necesita
Una regla personalizada Audit Manager sigue informando No es necesario ninguna acción.
esupdateden su caso deAWS de los hallazgos de esa regla
Config. mediante la definición de regla
actualizada.
Una regla personalizada Audit Manager deja de informar No es necesario ninguna acción.
eseliminadoen su caso deAWS de los hallazgos de la regla
Config. eliminada. Si lo desea, puedeeditar los
controles personalizadosque
utiliza la regla eliminada como
origen de datos. Esto ayuda a
limpiar la configuración de la
fuente de datos eliminando la
regla eliminada. De lo contrario,
el nombre de la regla eliminada
permanece como fuente de datos
no utilizada.
Para actualizaciones de reglas fuera de tuAWSentorno
Si se actualiza una regla personalizada fuera de tuAWSentorno, Audit Manager no detecta la actualización
de reglas. Esto es algo que debe tener en cuenta si utiliza marcos de trabajo personalizados compartidos.
Esto se debe a que, en este escenario, el remitente y el destinatario trabajan por separado.AWSEntornos.
En la tabla siguiente se proporcionan acciones recomendadas para este escenario.
Su Escenario Acción recomendada

función
Sender • Ha compartido un marco que utiliza reglas Informe al destinatario sobre la

personalizadas como origen de datos. actualización. De esta forma, pueden
aplicar la misma actualización y
199

función
• Después de compartir el marco de trabajo, mantenerse sincronizados con la última
actualizó o eliminó una de esas reglas enAWS definición de regla.
Config.
Recipient• Ha aceptado un marco compartido que utiliza Actualice la regla correspondiente en su

reglas personalizadas como origen de datos. propia instancia deAWS Config.
• Después de volver a crear las reglas
personalizadas en la instancia deAWS Config,
el remitente actualizó o eliminó una de esas
reglas.
Solución de problemas con los informes de

evaluación
Puede utilizar la información de esta página para resolver problemas comunes de informes de evaluación
en Audit Manager.
Temas
• Mi informe de evaluación no se ha podido generar (p. 200)
• Seguí la lista de comprobación anterior y mi informe de evaluación aún no ha podido generar (p. 201)
• No puedo descomprimir el informe de evaluación (p. 201)
• Recibo unAcceso denegadoerror cuando intento generar un informe (p. 201)
• La generación de mi informe de evaluación está atascadaEn cursoestado, y no estoy seguro de cómo
afecta esto a mi facturación (p. 202)
Mi informe de evaluación no se ha podido generar

Es posible que el informe de evaluación no se haya generado por varios motivos. Puede empezar
a solucionar este problema comprobando las causas más frecuentes. Utilice la siguiente lista de
comprobación para comenzar.
1. Comprueba si alguno de tusAWSLa información de la región no coincide:

a. La función deAWSLa región de la clave administrada por el cliente coincide con laAWS¿Región de
su evaluación? Si proporcionaste una clave administrada por el cliente para el cifrado de datos, debe
estar en la mismaAWSRegión como evaluación. Para obtener instrucciones sobre cómo cambiar la
clave KMS, consulteAWS Audit Managerconfiguración, Cifrado de datos.
2. Compruebe los permisos del bucket de S3 que está utilizando como destino del informe de evaluación:
a. ¿La entidad de IAM que está generando el informe de evaluación tiene los permisos necesarios
para el bucket de S3? La entidad de IAM debe tener los permisos de bucket de S3 necesarios
para publicar informes en ese bucket. Proporcionamos unPolítica de ejemploque puede utilizar.
Para obtener instrucciones sobre cómo especificar un bucket de S3 diferente, consulteAWS Audit
Managerconfiguración, destino del informe de evaluación.
b. ¿El bucket de S3 tiene una política de bucket que requiere cifrado del lado del servidor (SSE)
medianteSE-KMS? En caso afirmativo, la clave KMS utilizada en esa política de bucket debe coincidir
con la clave KMS especificada en la configuración de cifrado de datos de Audit Manager. Si no
ha configurado una clave KMS en la configuración de Audit Manager y la política de bucket de S3
200
Seguí la lista de comprobación anterior y mi
informe de evaluación aún no ha podido generar
requiere SSE, asegúrese de que la política de bucket permitaSSE-S3. Para obtener instrucciones
sobre cómo configurar el destino del informe de evaluación y la clave KMS utilizada para el cifrado de
datos, consulteAWS Audit ManagerConfiguración de.
Si sigues sin poder generar correctamente un informe de evaluación, revisa los siguientes problemas en
esta página.
Seguí la lista de comprobación anterior y mi informe

de evaluación aún no ha podido generar
Audit Manager puede admitir hasta 7.000 elementos de prueba aproximadamente en un único informe de
evaluación. Si intenta generar un informe que contenga más pruebas que esto, la operación podría fallar.
Como solución alternativa, puede generar varios informes de evaluación en lugar de un informe de
evaluación más grande. De este modo, puede exportar pruebas de su evaluación a lotes de tamaño más
manejable.
No puedo descomprimir el informe de evaluación

Si no puede descomprimir el informe de evaluación en Windows, es probable que Windows Explorer no
pueda extraerlo porque su ruta de archivo tiene varias carpetas anidadas o nombres largos. Esto se debe
a que, en el sistema de nombres de archivos de Windows, la ruta de carpeta, el nombre del archivo y
la extensión de archivo no pueden superar los 259 caracteres. De lo contrario, esto da como resultado
unDestination Path Too Long.
Para resolver este problema, intente mover el archivo zip a la carpeta principal de su ubicación actual.
A continuación, puede intentar descomprimirlo de nuevo desde allí. También puede intentar acortar el
nombre del archivo zip o extraerlo en otra ubicación que tenga una ruta de archivo más corta.

generar un informe
de S3 que está utilizando como destino del informe de evaluación de destino.
Si obtiene un entornoaccess deniederror, asegúrese de que cumple los siguientes requisitos:
• La clave KMS de la configuración de Audit Manager otorga permisos al administrador delegado.

Puede configurarlo siguiendo las instrucciones indicadas enPermitir a los usuarios de otras cuentas
utilizar una clave KMSen laAWS Key Management ServiceGuía para desarrolladores de . Para
obtener instrucciones sobre cómo revisar y cambiar la configuración de cifrado en Audit Manager,
consulteCifrado de datos.
• Tiene una política de permisos que le otorga acceso de escritura para el bucket de S3 que está
utilizando como destino del informe de evaluación. Más concretamente, la política de permisos contiene
uns3:PutObject, especifica el ARN del bucket de S3 e incluye la clave KMS que se utiliza para cifrar
los informes de evaluación. Para ver una política de ejemplo que puede utilizar, consulteEjemplos de
políticas basadas en identidades deAWS Audit Manager.
201
La generación de mi informe de evaluación
está atascadaEn cursoestado, y no estoy
seguro de cómo afecta esto a mi facturación
Note
La generación de mi informe de evaluación está

atascadaEn cursoestado, y no estoy seguro de cómo
afecta esto a mi facturación
La generación de informes de evaluación no afecta a la facturación. Solo se le facturará basándose en
la evidencia que recogen sus evaluaciones. Para obtener más información sobre los precios, consulte
Precios de AWS Audit Manager.
Solución de problemas de administrador delegado

yAWS OrganizationsProblemas
Puede utilizar la información de esta página para resolver problemas comunes de administradores
delegados en Audit Manager.
Temas
• No puedo configurar Audit Manager con mi cuenta de administrador delegado (p. 202)
• Cuando creo una evaluación, no veo las cuentas de mi organización enCuentas de dentro del
ámbito (p. 203)
• Recibo unAcceso denegadoerror cuando intento generar un informe de evaluación utilizando mi cuenta
de administrador delegado (p. 203)
• ¿Qué ocurre en Audit Manager si desvinculo una cuenta de miembro de mi organización? (p. 204)
• ¿Qué ocurre si vuelvo a vincular una cuenta de miembro a mi organización? (p. 204)
• ¿Qué ocurre si migro una cuenta de miembro de una organización a otra? (p. 204)
No puedo configurar Audit Manager con mi cuenta de

administrador delegado
Aunque se admiten varios administradores delegados enAWS Organizations, Audit Manager solo permite
un administrador delegado. Si intenta designar varios administradores delegados en Audit Manager,
recibirá el siguiente mensaje de error:
• Consola de:You have exceeded the allowed number of delegated administrators for
the delegated service
• CLI: An error occurred (ValidationException) when calling the RegisterAccount
operation: Cannot change delegated Admin for an active account 11111111111
from 2222222222222 to 333333333333
202
Cuando creo una evaluación, no veo las cuentas
de mi organización enCuentas de dentro del ámbito
Elija la única cuenta individual que desea utilizar como administrador delegado en Audit Manager.
Asegúrese de registrar primero la cuenta de administrador delegado en Organizations y, a
continuación,agregar la misma cuenta que un administrador delegadoen Audit Manager.
Cuando creo una evaluación, no veo las cuentas de

mi organización enCuentas de dentro del ámbito
Si desea que la evaluación de Audit Manager incluya varias cuentas de su organización, debe especificar
un administrador delegado.
Asegúrese de configurar una cuenta de administrador delegado para Audit Manager. Para obtener
instrucciones, consulteConfiguración, Administrador delegado.
Algunos problemas a tener en cuenta:
• No puede usar suAWS Organizationscuenta de administración como administrador delegado en Audit

Manager.
• Si desea habilitar Audit Manager en más de unoAWSRegión, debe designar una cuenta de administrador
delegado por separado en cada región. En la configuración de Audit Manager, designe la misma cuenta
de administrador delegado en todas las regiones.
• Al designar un administrador delegado, asegúrese de que la cuenta de administrador delegado tenga
acceso a la clave KMS que proporciona al configurar Audit Manager. Para obtener información sobre
cómo revisar y cambiar la configuración de cifrado, consulteCifrado de datos.

generar un informe de evaluación utilizando mi cuenta
de administrador delegado
de S3 que está utilizando como destino del informe de evaluación de destino.
Si obtiene un entornoaccess deniederror, asegúrese de que cumple los siguientes requisitos:
• La clave KMS de la configuración de Audit Manager otorga permisos al administrador delegado.

Puede configurarlo siguiendo las instrucciones indicadas enPermitir a los usuarios de otras cuentas
utilizar una clave KMSen laAWS Key Management ServiceGuía para desarrolladores de . Para
obtener instrucciones sobre cómo revisar y cambiar la configuración de cifrado en Audit Manager,
consulteCifrado de datos.
• Tiene una política de permisos que le otorga acceso de escritura para el destino del informe de
evaluación. Más concretamente, la política de permisos contiene uns3:PutObject, especifica el ARN
del bucket de S3 e incluye la clave KMS que se utiliza para cifrar los informes de evaluación. Para
ver una política de ejemplo que puede utilizar, consulteEjemplos de políticas basadas en identidades
deAWS Audit Manager.
203
¿Qué ocurre en Audit Manager si desvinculo
una cuenta de miembro de mi organización?
Note
¿Qué ocurre en Audit Manager si desvinculo una

cuenta de miembro de mi organización?
Al desvincular una cuenta de miembro de una organización, Audit Manager recibe una notificación sobre
este evento. A continuación, Audit Manager lo elimina automáticamente.AWScuenta de laCuentas de
dentro del ámbitolistas de sus evaluaciones existentes. Cuando especifica el alcance de las nuevas
evaluaciones en el futuro, la cuenta no vinculada ya no aparece en la lista de elegiblesAWScuentas.
Cuando Audit Manager elimina una cuenta de miembro no vinculada delCuentas de dentro del ámbitolistas
de sus evaluaciones, no se le notifica este cambio. Además, a la cuenta de miembro no vinculada no se le
notifica que Audit Manager ya no está habilitado en su cuenta.
¿Qué ocurre si vuelvo a vincular una cuenta de

miembro a mi organización?
Cuando vuelve a vincular una cuenta de miembro a su organización, esa cuenta no se agrega
automáticamente al ámbito de las evaluaciones de Audit Manager existentes. Sin embargo, la cuenta de
miembro revinculada aparece ahora como elegibleAWScuenta cuando especifique laCuentas de dentro del
ámbitode sus evaluaciones.
• Para las evaluaciones existentes, puede editar manualmente el ámbito de evaluación para agregar la
cuenta de miembro revinculada. Para obtener instrucciones, consulteEditarAWSCuentas de dentro del
ámbito.
• Para las evaluaciones nuevas, puede agregar la cuenta revinculada durante la configuración de la
evaluación. Para obtener instrucciones, consulteEspecifique .AWSCuentas de dentro del ámbito.
¿Qué ocurre si migro una cuenta de miembro de una

organización a otra?
Si una cuenta de miembro tiene habilitado Audit Manager en la organización 1 y, a continuación, migra a la
organización 2, Audit Manager no está habilitado para la organización 2.
Solución de problemas con las notificaciones

Puede utilizar la información de esta página para resolver problemas de notificación comunes en Audit
Manager.
204
He especificado un tema de Amazon SNS en
Audit Manager, pero no recibo ninguna notificación
Temas
• He especificado un tema de Amazon SNS en Audit Manager, pero no recibo ninguna
notificación (p. 205)
• He especificado un tema FIFO, pero no recibo notificaciones en el pedido esperado (p. 205)
He especificado un tema de Amazon SNS en Audit

Manager, pero no recibo ninguna notificación
Si el tema de Amazon SNS utilizaAWS KMSPara el cifrado del lado del servidor (SSE), es posible
que le falten los permisos necesarios para suAWS KMSPolítica de claves. Es posible que no recibas
notificaciones si no suscribiste un endpoint a tu tema.
Si no recibe notificaciones, asegúrese de hacer lo siguiente:
• Ha adjuntado la política de permisos requerida a la clave KMS. Hay disponible una política de ejemplo
en elNotificacionespágina de esta guía.
• Se ha suscrito un punto de enlace al tema a través del que se envían notificaciones. Cuando suscriba
un punto de enlace de correo electrónico a un tema, recibirá un correo electrónico que le pedirá que
confirme su suscripción. Debe confirmar la suscripción para comenzar a recibir notificaciones de correo
electrónico. Para obtener más información, consulteIntroducciónen la guía para desarrolladores de
Amazon SNS.
He especificado un tema FIFO, pero no recibo

notificaciones en el pedido esperado
Audit Manager admite el envío de notificaciones a los temas de FIFO SNS. Sin embargo, el orden en que
Audit Manager envía notificaciones a los temas de FIFO no está garantizado.
Solución de problemas con el panel

Puede utilizar la información de esta página para resolver problemas comunes del panel de control en
Audit Manager.
Temas
• No hay datos en mi panel (p. 205)
• La opción de descarga de .csv no está disponible (p. 206)
• No veo el archivo descargado al intentar descargar un archivo.csv (p. 206)
• Falta un dominio de control o control específico en el panel (p. 206)
• La instantánea diaria muestra diferentes cantidades de pruebas cada día. ¿Es normal? (p. 206)
No hay datos en mi panel

Si los números de lawidget de instantáneas diariasmuestra un guión (-), indica que no hay datos
disponibles. Debe tener al menos una evaluación activa para ver los datos en el panel de control de.
Primeros pasos,crear una evaluación. Tras un período de 24 horas, los datos de evaluación comenzarán a
aparecer en el panel de control.
205
Note
Si los números de lawidget de instantáneas diariasmuestra un cero (0), indica que las
evaluaciones activas (o la evaluación seleccionada) no tienen pruebas que no cumplan las
normas.

Esta opción solo está disponible para evaluaciones individuales. Asegúrese de aplicar unthe section called
“Filtro de evaluación” (p. 41)al panel de control y vuelva a intentarlo. Tenga en cuenta que solo puede
descargar un archivo.csv a la vez.
No veo el archivo descargado al intentar descargar un

archivo.csv
Si un dominio de control contiene un gran número de controles, podría producirse un breve
retraso mientras Audit Manager genera el archivo.csv. Una vez generado el archivo, se descarga
automáticamente.
Si sigues sin ver el archivo descargado, asegúrate de que la conexión a Internet funciona normalmente
y de que estás utilizando la versión más reciente de tu navegador web. Compruebe también su carpeta
de descargas recientes. Los archivos se descargan en la ubicación predeterminada determinada por su
navegador. Si esto no resuelve el problema, prueba a descargar el archivo con otro navegador.
Falta un dominio de control o control específico en el

panel
Esto probablemente significa que las evaluaciones activas (o la evaluación especificada) no tienen datos
relevantes para ese dominio de control o control.
Un dominio de control se muestra en el panel solo si se cumplen los dos criterios siguientes:
• Sus evaluaciones activas (o evaluación especificada) contienen al menos un control relacionado con ese
dominio
• Al menos un control dentro de ese dominio recopiló pruebas en la fecha en la parte superior del panel
Un control se muestra dentro de un dominio solo si recopila pruebas en la fecha en la parte superior del
panel de control.
La instantánea diaria muestra diferentes cantidades

de pruebas cada día. ¿Es normal?
No todas las pruebas se recopilan diariamente. Los controles de las evaluaciones de Audit Manager se
asignan a distintas fuentes de datos y cada uno puede tener un programa de recopilación de pruebas
diferente. Como resultado, se espera que la instantánea diaria muestre una cantidad variable de
pruebas cada día. Para obtener más información acerca de la frecuencia de recopilación de evidencias,
consulteCómoAWS Audit Managerrecoge pruebas.
206
Uso compartido de marcos
Solución de problemas de uso compartido de

marcos
Puede utilizar la información de esta página para resolver problemas comunes de uso compartido de
marcos en Audit Manager.
Temas
• El estado de mi solicitud de recurso compartido enviada aparece comoFailed (Error) (p. 207)
• Mi solicitud de compartir tiene un punto azul junto a ella. ¿Qué significa esto? (p. 207)
• Mi marco compartido tiene controles que utilizan personalizadosAWS Configreglas como fuente de
datos. ¿Puede el destinatario recopilar pruebas de estos controles? (p. 209)
• He actualizado una regla personalizada que se utiliza en un marco compartido. ¿Tengo que realizar
alguna medida? (p. 210)
El estado de mi solicitud de recurso compartido

enviada aparece comoFailed (Error)
Si intenta compartir un marco personalizado y la operación falla, le recomendamos que compruebe lo
siguiente:
1. Asegúrese de que Audit Manager esté habilitado en el destinatarioAWScuenta y en la

región especificada. Para obtener una lista de los admitidosAWS Audit ManagerRegiones,
consulteAWSRegiones y puntos de enlace deen laReferencia general de Amazon Web Services.
2. Asegúrese de que ha introducido el correctoAWSID de cuenta cuando especificó la cuenta de
destinatario.
3. Asegúrese de que no ha especificado unAWS Organizationscuenta de administración como destinatario.
Puede compartir un marco personalizado con un administrador delegado, pero si intenta compartir un
marco personalizado con una cuenta de administración, la operación falla.
Mi solicitud de compartir tiene un punto azul junto a

ella. ¿Qué significa esto?
Una notificación de punto azul indica que una solicitud de recurso compartido necesita su atención.
Notificaciones de punto azul para remitentes

Aparece un punto de notificación azul junto a las solicitudes de recurso compartido enviadas con el estado
deExpires. Audit Manager muestra la notificación de punto azul para que pueda recordar al destinatario
que tome medidas sobre la solicitud de recurso compartido antes de que caduque.
Para que el punto de notificación azul desaparezca, el destinatario debe aceptar o rechazar la solicitud. El
punto azul también desaparece si revocas la solicitud de recurso compartido.
Puede utilizar el siguiente procedimiento para comprobar si hay solicitudes de recurso compartido que
caducan y enviar un recordatorio opcional al destinatario para que tome medidas.
Para ver las notificaciones de las solicitudes enviadas
207
Mi solicitud de compartir tiene un punto
azul junto a ella. ¿Qué significa esto?
3. Expanda el panel de navegación y busque junto aSolicitudes de compartir. Un distintivo de notificación

indica el número de solicitudes de recurso compartido que necesitan atención.
4. ElegirSolicitudes de compartiry, a continuación,Solicitudes enviadasPestaña.

5. Busca el punto azul para identificar las solicitudes de uso compartido que caducan en los
próximos 30 días. También puede ver las solicitudes de recursos compartidos que caducan
seleccionandoExpiresdesde lasTodos los estadosmenú desplegable de.
6. (Opcional) Recuerde al destinatario que debe tomar medidas sobre la solicitud de recurso compartido
antes de que caduque. Este paso es opcional, ya que Audit Manager envía una notificación en la
consola para informar al destinatario cuando una solicitud de recurso compartido está activa o caduca.
Sin embargo, también puedes enviar tu propio recordatorio al destinatario utilizando tu canal de
comunicación preferido.
Notificaciones de punto azul para destinatarios

Aparece un punto de notificación azul junto a las solicitudes de recurso compartido recibidas con el estado
deActivooExpires. Audit Manager muestra la notificación de punto azul para recordarle que debe tomar
medidas sobre la solicitud de recurso compartido antes de que caduque. Para que el punto de notificación
azul desaparezca, debesaceptar o rechazarla solicitud. El punto azul también desaparece si el remitente
revoca la solicitud de recurso compartido.
Puede utilizar el procedimiento siguiente para comprobar si hay solicitudes de recursos compartidos
activas y que caducan.
Para ver las notificaciones de solicitudes recibidas
208
Mi marco compartido tiene controles que utilizan
personalizadosAWS Configreglas como fuente de datos.
¿Puede el destinatario recopilar pruebas de estos controles?
3. Expanda el panel de navegación y busque junto aSolicitudes de compartir. Un distintivo de notificación

indica el número de solicitudes de recurso compartido que requieren su atención.
4. ElegirSolicitudes de compartir. De forma predeterminada, esta página se abre en elSolicitudes

recibidasPestaña.
5. Identifique las solicitudes de recurso compartido que necesitan su acción buscando elementos con un
punto azul.
6. (Opcional) Para ver solo las solicitudes que caducan en los próximos 30 días, busque laTodos los
estadoslista desplegable y seleccioneExpires.
Mi marco compartido tiene controles que utilizan

personalizadosAWS Configreglas como fuente de
datos. ¿Puede el destinatario recopilar pruebas de
estos controles?
Sí, el destinatario puede recopilar pruebas de estos controles, pero se necesitan algunos pasos para
lograrlo.
Para que Audit Manager recopile pruebas mediante unAWS Configcomo origen de datos, lo siguiente debe
cumplirse. Estos criterios se aplican tanto a las reglas gestionadas como a las reglas personalizadas.
• La regla debe existir en el destinatarioAWSEntorno.

• La regla debe estar habilitada en el destinatarioAWSEntorno.
209
He actualizado una regla personalizada que se utiliza en
un marco compartido. ¿Tengo que realizar alguna medida?
Recuerde que elAWS Configes probable que las reglas de tu cuenta no existan ya en elAWSEntorno.
Además, cuando el destinatario acepta la solicitud de recurso compartido, Audit Manager no vuelve a crear
ninguna de sus reglas personalizadas en su cuenta. Para que el destinatario recopile pruebas utilizando
sus reglas personalizadas como fuente de datos, debe crear las mismas reglas personalizadas en su
instancia deAWS Config. Después del destinatariocreay luegohabilitalas reglas deAWS Config, Audit
Manager puede recopilar pruebas de esa fuente de datos.
Le recomendamos que se comunique con el destinatario para informarle si hay alguna personalizadaAWS
Configlas reglas deben crearse en su instancia deAWS Config.
He actualizado una regla personalizada que se utiliza

en un marco compartido. ¿Tengo que realizar alguna
medida?
Para actualizaciones de reglas dentro de tuAWSentorno
Cuando actualiza una regla personalizada dentro de tuAWSentorno, no se necesita ninguna acción en
Audit Manager. Audit Manager detecta y gestiona las actualizaciones de reglas de la forma descrita en la
siguiente tabla. Audit Manager no le notifica cuando se detecta una actualización de reglas.
Escenario Qué hace Audit Manager Qué necesita
Una regla personalizada Audit Manager sigue informando No es necesario ninguna acción.
esupdateden su caso deAWS de los hallazgos de esa regla
Config. mediante la definición de regla
actualizada.
Una regla personalizada Audit Manager deja de informar No es necesario ninguna acción.
eseliminadoen su caso deAWS de los hallazgos de la regla
Config. eliminada. Si lo desea, puedeeditar los
controles personalizadosque
utiliza la regla eliminada como
origen de datos. A continuación,
puede quitar la regla eliminada
para limpiar la configuración de
la fuente de datos de su control.
De lo contrario, el nombre de la
regla eliminada permanece como
fuente de datos no utilizada.
Para actualizaciones de reglas fuera de tuAWSentorno
En el destinatarioAWSentorno, Audit Manager no detecta la actualización de reglas. Esto se debe a que los
remitentes y destinatarios trabajan de forma separada.AWSEntornos. En la tabla siguiente se proporcionan
acciones recomendadas para este escenario.

función
Sender • Ha compartido un marco que utiliza reglas Póngase en contacto con el destinatario
personalizadas como origen de datos. para informarle sobre la actualización.
• Después de compartir el marco de trabajo, De esta forma, pueden realizar la misma
actualizó o eliminó una de esas reglas enAWS actualización y mantenerse sincronizados
Config. con la última definición de regla.
210
He actualizado una regla personalizada que se utiliza en
un marco compartido. ¿Tengo que realizar alguna medida?

función
Recipient• Ha aceptado un marco compartido que utiliza Actualice la regla correspondiente en su

reglas personalizadas como origen de datos. propia instancia deAWS Config.
• Después de volver a crear las reglas
personalizadas en la instancia deAWS Config,
el remitente actualizó o eliminó una de esas
reglas.
211
Cuotas predeterminadas de Audit Manager
Cuotas y limitaciones paraAWS Audit

Manager
SusAWScuenta tiene cuotas predeterminadas, estas cuotas se denominaban anteriormentelímites, para
cadaAWSservicioservicio A menos que se indique otra cosa, cada cuota es específica de la región. Puede
solicitar el aumento de algunas cuotas, pero otras no se pueden aumentar.
La mayoría de las cuotas de Audit Manager, pero no todas, se enumeran en laAWS Audit Managerespacio
de nombres en la consola de Service Quotas. Para obtener información sobre cómo solicitar un aumento
de cuota, consulteAdministración de las cuotas de Audit Manager (p. 213).
Cuotas predeterminadas de Audit Manager

Las cuotas de AWS Audit Manager que se incluyen a continuación se aplican a cada cuenta de AWS y a
cada región.
Evaluaciones
• Número de evaluaciones activas por cuenta: 100
Controles
• Número de controles personalizados por cuenta: 500

• Número de cargas manuales de pruebas diarias por control: 100
Tip
Si necesitas cargar una gran cantidad de pruebas manuales en un solo control, te

recomendamos que subas las pruebas por lotes a lo largo de varios días.
Marcos
• Número de marcos personalizados por cuenta: 100

Note
Las cuotas de marco se aplican a todos los marcos personalizados compartidos de la biblioteca
de marcos, independientemente de quién haya creado el marco.
Destinatarios de marcos personalizados compartidos
• Número de cuentas de destinatario activas: 100
Acceso a API
• Número de transacciones por segundo (TPS) en todas las API: 20 TPS
212
Administración de las cuotas
Administración de las cuotas de Audit Manager

AWS Audit Managerestá integrado con Service Quotas, unAWSque le permite ver y administrar sus cuotas
desde una ubicación central. Para obtener más información, consulte ¿Qué son las cuotas de servicio?
en la Guía del usuario de Service Quotas. Service Quotas facilita la consulta del valor de las cuotas de
servicio de Audit Manager.
Ver las cuotas de servicio de Audit Manager mediante la consola
1. Abra la consola de Service Quotas en https://console.aws.amazon.com/servicequotas/.

2. En el panel de navegación, elija AWS services (Servicios de AWS).
3. En la lista AWS services (Servicios de AWS), busque y seleccione AWS Audit Manager.
4. En el navegadorCuotas de servicio, puede ver el nombre de cuota de servicio, el valor de cuota
aplicado (si está disponible),AWSvalor de cuota predeterminado y si la cuota es ajustable.
5. Para ver información adicional sobre una cuota de servicio, como, por ejemplo, la descripción, elija el
nombre de cuota.
6. (Opcional) Para solicitar un aumento de cuota, seleccione la cuota que desea aumentar, seleccione
Request quota increase (Solicitar aumento de cuota), escriba o seleccione la información necesaria y
seleccione Request (Solicitar).
Para obtener más información, consulte Solicitud de un aumento de cuota en la Guía del usuario de
Service Quotas.
213
Protección de los datos
Seguridad en AWS Audit Manager

La seguridad en la nube de AWS es la mayor prioridad. Como cliente de AWS, se beneficiará de una
arquitectura de red y de centros de datos diseñados para satisfacer los requisitos de seguridad de las
organizaciones más exigentes.
La seguridad es una responsabilidad compartida entre AWS y usted. El modelo de responsabilidad

compartida la describe como seguridad de la nube y seguridad en la nube:
• Seguridad de la nube: AWS es responsable de proteger la infraestructura que ejecuta los servicios de
AWS en la nube de AWS. AWS también proporciona servicios que puede utilizar de forma segura. Los
auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de
los AWSProgramas de conformidad de . Para obtener información sobre los programas de conformidad
que se aplican a AWS Audit Manager, consulte Servicios de AWS en el ámbito del programa de
conformidad.
• Seguridad en la nube: su responsabilidad viene determinada por el servicio de AWS que utilice. También
es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y
la legislación y los reglamentos aplicables.
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando
se utiliza AWS Audit Manager. En los siguientes temas, se le mostrará cómo configurar Audit Manager
para satisfacer sus objetivos de seguridad y conformidad. También aprende a utilizar otrosAWSservicios
de que ayudan a monitorizar y proteger los recursos de Audit Manager.
Temas
• Protección de los datos en AWS Audit Manager (p. 214)
• Identity and Access Management en AWS Audit Manager (p. 216)
• Validación de la conformidad en AWS Audit Manager (p. 253)
• Resiliencia en AWS Audit Manager (p. 253)
• Seguridad de la infraestructura en AWS Audit Manager (p. 254)
• AWS Audit Manager y puntos de enlace de la VPC de interfaz (AWS PrivateLink) (p. 254)
• Registro y monitoreo en AWS Audit Manager (p. 256)
• Configuración y análisis de vulnerabilidades en AWS Audit Manager (p. 258)
Protección de los datos en AWS Audit Manager

El modelo de responsabilidad compartida de AWS se aplica a la protección de datos de AWS Audit
Manager. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global
que ejecuta toda la Nube de AWS. Usted es responsable de mantener el control sobre el contenido
alojado en esta infraestructura. Este contenido incluye la configuración de seguridad y las tareas de
administración para el que utiliza Servicios de AWS. Para obtener más información sobre la privacidad de
los datos, consulte las Preguntas frecuentes sobre la privacidad de datos. Para obtener información sobre
la protección de datos en Europa, consulte la publicación de blog AWSShared Responsability Model and
GDPR en el Blog de seguridad de AWS.
Con fines de protección de datos, recomendamos proteger las credenciales de Cuenta de AWS y
configurar cuentas de usuario individuales con AWS Identity and Access Management (IAM). De esta
manera, solo se otorgan a cada usuario los permisos necesarios para cumplir con sus obligaciones
laborales. También recomendamos proteger sus datos de las siguientes formas:
214
Cifrado en reposo
• Utilice Multi-Factor Authentication (MFA) con cada cuenta.

• Utilice SSL/TLS para comunicarse con los recursos de AWS. Recomendamos TLS 1.2 o una versión
posterior.
• Configure la API y el registro de actividad del usuario con AWS CloudTrail.
• Utilice las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados
dentro de los servicios de AWS.
• Utilice avanzados servicios de seguridad administrados, como Amazon Macie, que lo ayuden a detectar
y proteger los datos personales almacenados en Amazon S3.
• Si necesita módulos criptográficos validados FIPS 140-2 al acceder a AWS a través de una interfaz de
línea de comandos o una API, utilice un punto de enlace de FIPS. Para obtener más información sobre
los puntos de enlace de FIPS disponibles, consulte Estándar de procesamiento de la información federal
(FIPS) 140-2.
Recomendamos encarecidamente que nunca introduzca información de identificación confidencial, como,

por ejemplo, direcciones de email de sus clientes, en etiquetas o en los campos de formato libre, como el
campo Name (Nombre). Esto incluye cuando trabaje con Audit Manager u otroAWSservicios que utilizan
la consola, API,AWS CLI, o bienAWSSDK de. Los datos que ingresa en etiquetas o campos de formato
libre utilizados para los nombres se pueden utilizar para los registros de facturación o diagnóstico. Si
proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información
de credenciales en la URL a fin de validar la solicitud para ese servidor.
Además de la recomendación anterior, recomendamos específicamente queAWS Audit Managerlos

clientes no incluyen información de identificación confidencial en campos de formato libre al crear
evaluaciones, controles personalizados, marcos personalizados y comentarios de delegación.
AWS Audit Managerconserva los datos de los clientes en un almacenamiento rápido hasta un año. De
forma predeterminada, tus datos se eliminarán transcurrido un año.
Cifrado en reposo
Para cifrar los datos en reposo,AWS Audit Managerutiliza el cifrado del lado del servidor conClaves
administradas por AWSpara todos sus data stores y registros.
Sus datos se cifran con una clave administrada por el cliente o unClave propiedad de AWS, en función
de la configuración seleccionada. Si no proporcionas una clave administrada por el cliente,AWS Audit
ManagerUsa unClave propiedad de AWSpara cifrar el contenido. Todos los metadatos de servicio de
DynamoDB y Amazon S3 en Audit Manager se cifran mediante unClave propiedad de AWS.
AWS Audit Managercifra los datos de la siguiente manera:
• Los metadatos de servicio almacenados en Amazon S3 están cifrados en unaClave propiedad de

AWSutilizando SSE-KMS.
• Los metadatos de servicio almacenados en DynamoDB están cifrados en el lado del servidor mediante
KMS y unClave propiedad de AWS.
• El contenido almacenado en DynamoDB está cifrado por el lado del cliente mediante una clave
administrada por el cliente o unClave propiedad de AWS. La clave KMS se basa en la configuración
elegida.
• Su contenido almacenado en Amazon S3 enAWS Audit Managerse cifra mediante SSE-KMS. La clave
KMS se basa en su selección y podría ser una clave administrada por el cliente o unaClave propiedad de
AWS.
• Los informes de evaluación publicados en Amazon S3 se cifran de la siguiente manera:
• Si proporcionaste una clave administrada por el cliente, tus datos se cifran mediante SSE-KMS.
• Si utilizó elClave propiedad de AWS, sus datos se cifran mediante SSE-S3.
215
Cifrado en tránsito
Cifrado en tránsito
AWS Audit Manager proporciona puntos de enlace seguros y privados para cifrar datos en tránsito. Los
endpoints seguros y privados permitenAWSpara proteger la integridad de las solicitudes de API a Audit
Manager.
Tránsito entre servicios
De forma predeterminada, todas las comunicaciones entre servicios están protegidas mediante el cifrado
TLS (Transport Layer Security).
Administración de claves
AWS Audit Managersoporta ambosClaves propiedad de AWSy claves administradas por el cliente para
cifrar todos los recursos de Audit Manager (evaluaciones, controles, marcos, pruebas e informes de
evaluación guardados en depósitos de Amazon S3 de sus cuentas).
Le recomendamos que utilice una clave administrada por el cliente. Al hacerlo, puede ver y administrar
las claves de cifrado que protegen sus datos, incluida la visualización de registros de su uso enAWS
CloudTrail. Cuando elige una clave administrada por el cliente,AWS Audit Managercrea una concesión en
la clave KMS para que pueda utilizarse para cifrar el contenido.
Warning
Después de eliminar o deshabilitar una clave KMS que se utiliza para cifrarAWS Audit
Managerrecursos, ya no pueden descifrar el recurso que se había cifrado con esa clave KMS, lo
que significa que no se pueden recuperar.
Eliminación de una clave KMS enAWS Key Management Service(AWS KMS) es destructivo y
potencialmente peligroso. Para obtener más información acerca de cómo eliminar claves KMS,
consulteEliminación deAWS KMS keysen laAWS Key Management ServiceGuía del usuario de.
Puede especificar la configuración de cifrado al habilitarAWS Audit ManagerUsando elAWS Management

Console, API oAWS Command Line Interface(AWS CLI). Para obtener más información, consulte Paso 4:
Habilitar AWS Audit Manager (p. 24).
Puede revisar y cambiar esta configuración en cualquier momento seleccionandoConfiguraciónen el panel

de navegación izquierdo deAWS Audit Manager.
• Para utilizar elClave propiedad de AWSproporcionada porAWS Audit Manager, clearPersonalizar la

configuración de cifrado (avanzada).
• Para utilizar su propia clave administrada por el cliente, seleccionePersonalizar la configuración de
cifrado (avanzada). A continuación, puede elegir una clave KMS existente o crear una nueva.
Para obtener más información acerca de cómo cambiar esta configuración, consulteCifrado de
datos (p. 181).
Para obtener más información acerca de cómo modificar configurar claves administradas por clientes,
consulteCrear clavesen laAWS Key Management ServiceGuía del usuario de.
Identity and Access Management en AWS Audit

Manager
AWS Identity and Access Management (IAM) es un Servicio de AWS que ayuda a los administradores a
controlar de forma segura el acceso a los recursos de AWS. Los administradores de IAM controlan quién
216
Público
puede serautenticado(iniciado sesión) yautorizado(tienen permisos) para utilizar los recursos de Audit
Manager. IAM es un Servicio de AWS que se puede utilizar sin cargo adicional.
Temas
• Público (p. 217)
• Autenticación con identidades (p. 217)
• Administración de acceso mediante políticas (p. 219)
• Cómo AWS Audit Manager funciona con IAM (p. 221)
• Ejemplos de políticas basadas en identidades de AWS Audit Manager (p. 228)
• Prevención del suplente confuso entre servicios (p. 238)
• Políticas administradas de AWS para AWS Audit Manager (p. 239)
• Solución de problemas de identidades y accesos en AWS Audit Manager (p. 248)
• Uso de roles vinculados a servicios de AWS Audit Manager (p. 250)
Público
Cómo utilizaAWS Identity and Access Management(IAM) difiere en función del trabajo que realice en Audit
Manager.
Usuario de servicio: si utiliza el servicio Audit Manager para realizar su trabajo, su administrador le
proporciona las credenciales y los permisos que necesita. A medida que utilice más características de
Audit Manager para realizar su trabajo, es posible que necesite permisos adicionales. Entender cómo se
administra el acceso puede ayudarle a solicitar los permisos correctos a su administrador. Si no puede
acceder a una característica en Audit Manager, consulteSolución de problemas de identidades y accesos
en AWS Audit Manager (p. 248).
Administrador de servicios— Si está a cargo de los recursos de Audit Manager de en su empresa,

probablemente tenga acceso completo a Audit Manager. Su trabajo consiste en determinar qué a
características y recursos de Audit Manager deben acceder sus empleados. A continuación, debe enviar
solicitudes a su administrador de IAM para cambiar los permisos de los usuarios de su servicio. Revise
la información de esta página para conocer los conceptos básicos de IAM. Para obtener más información
sobre cómo puede utilizar su empresa IAM con Audit Manager, consulteCómo AWS Audit Manager
funciona con IAM (p. 221).
Administrador de IAM— Si es un administrador de IAM, es posible que quiera conocer información sobre
cómo escribir políticas para administrar el acceso a Audit Manager. Para ver ejemplos de políticas basadas
en identidades de Audit Manager que puede utilizar en IAM, consulteEjemplos de políticas basadas en
identidades de AWS Audit Manager (p. 228).
Autenticación con identidades

La autenticación es la manera de iniciar sesión en AWS mediante credenciales de identidad. Para obtener
más información acerca de cómo iniciar sesión con la AWS Management Console, consulte Inicio de
sesión en la AWS Management Console como usuario de IAM o usuario raíz en la Guía del usuario de
IAM.
Debe estar autenticado (haber iniciado sesión en AWS) como el usuario raíz de la Cuenta de AWS, como
un usuario de IAM o asumiendo un rol de IAM. También puede utilizar la autenticación de inicio de sesión
único de la empresa o incluso iniciar sesión con Google o Facebook. En estos casos, su administrador
habrá configurado previamente la federación de identidad mediante roles de IAM. Cuando obtiene acceso
a AWS mediante credenciales de otra empresa, asume un rol indirectamente.
Para iniciar sesión directamente en la AWS Management Console, utilice la contraseña con su dirección de
email de usuario raíz o con su nombre de usuario de IAM. Puede acceder a AWS mediante programación
217
Autenticación con identidades
utilizando sus claves de acceso de usuario raíz o usuario de IAM. AWS proporciona SDK y herramientas
de línea de comandos para firmar criptográficamente su solicitud con sus credenciales. Si no utiliza las
herramientas de AWS, debe firmar usted mismo la solicitud. Para ello, utilice Signature Version 4, un
protocolo para autenticar solicitudes de API de entrada. Para obtener más información acerca de cómo
autenticar solicitudes, consulte Proceso de firma de Signature Version 4 en la Referencia general de AWS.
Independientemente del método de autenticación que utilice, es posible que también deba proporcionar
información de seguridad adicional. Por ejemplo, AWS le recomienda el uso de la autenticación multifactor
(MFA) para aumentar la seguridad de su cuenta. Para obtener más información, consulte Uso de la
autenticación multifactor (MFA) en AWS en la Guía del usuario de IAM.
Cuenta de AWS usuario raíz

Cuando se crea una Cuenta de AWS por primera vez, se comienza con una única identidad de inicio de
sesión que tiene acceso completo a todos los recursos y Servicios de AWS de la cuenta. Esta identidad
recibe el nombre de usuario raíz de la Cuenta de AWS y se accede a ella iniciando sesión con el email y
la contraseña que utilizó para crear la cuenta. Recomendamos encarecidamente que no utilice el usuario
raíz en sus tareas cotidianas, ni siquiera en las tareas administrativas. En lugar de ello, es mejor ceñirse a
la práctica recomendada de utilizar el usuario final exclusivamente para crear al primer usuario de IAM. A
continuación, guarde las credenciales del usuario raíz en un lugar seguro y utilícelas tan solo para algunas
tareas de administración de cuentas y servicios.
Usuarios y grupos de IAM

Un usuario de IAM es una identidad de la Cuenta de AWS que dispone de permisos específicos para una
sola persona o aplicación. Un usuario de IAM puede tener credenciales a largo plazo, como un nombre
de usuario y una contraseña o un conjunto de claves de acceso. Para obtener información sobre cómo
generar claves de acceso, consulte Administración de claves de acceso de los usuarios de IAM en la Guía
del usuario de IAM. Al generar claves de acceso para un usuario de IAM, asegúrese de ver y guardar de
forma segura el par de claves. No puede recuperar la clave de acceso secreta en el futuro. En su lugar,
debe generar un nuevo par de claves de acceso.
Un grupo de IAM es una identidad que especifica un conjunto de usuarios de IAM. No puede iniciar sesión
como grupo. Puede usar los grupos para especificar permisos para varios usuarios a la vez. Los grupos
facilitan la administración de los permisos de grandes conjuntos de usuarios. Por ejemplo, podría tener un
grupo cuyo nombre fuese IAMAdmins y conceder permisos a dicho grupo para administrar los recursos de
IAM.
Los usuarios son diferentes de los roles. Un usuario se asocia exclusivamente a una persona o aplicación,
pero la intención es que cualquier usuario pueda asumir un rol que necesite. Los usuarios tienen
credenciales permanentes a largo plazo y los roles proporcionan credenciales temporales. Para obtener
más información, consulte Cuándo crear un usuario de IAM (en lugar de un rol) en la Guía del usuario de
IAM.
IAM roles
Un rol de IAM es una identidad de la Cuenta de AWS que dispone de permisos específicos. Es similar a un
usuario de IAM, pero no está asociado a una determinada persona. Puede asumir temporalmente un rol de
IAM en la AWS Management Consolecambiando de roles. Puede asumir un rol llamando a una operación
de la AWS CLI o de la API de AWS, o utilizando una URL personalizada. Para obtener más información
acerca de los métodos para el uso de roles, consulte Uso de roles de IAM en la Guía del usuario de IAM.
Los roles de IAM con credenciales temporales son útiles en las siguientes situaciones:
• Permisos de usuario de IAM temporales: un usuario de IAM puede asumir un rol de IAM para recibir
temporalmente permisos distintos que le permitan realizar una tarea concreta.
• Acceso de usuarios federados: en lugar de crear un usuario de IAM, puede utilizar identidades
existentes de AWS Directory Service, del directorio de usuarios de su empresa o de un proveedor
218
Administración de acceso mediante políticas
de identidades web. A estas identidades se les llama usuarios federados. AWS asigna una función a
un usuario federado cuando se solicita acceso a través de un proveedor de identidad. Para obtener
más información acerca de los usuarios federados, consulte Usuarios federados y roles en la Guía del
usuario de IAM.
• Acceso entre cuentas: puede utilizar un rol de IAM para permitir que alguien (una entidad principal
de confianza) de otra cuenta acceda a los recursos de la cuenta. Los roles son la forma principal
de conceder acceso entre cuentas. No obstante, con algunos Servicios de AWS se puede adjuntar
una política directamente a un recurso (en lugar de utilizar un rol como representante). Para obtener
información acerca de la diferencia entre los roles y las políticas basadas en recursos para el acceso
entre cuentas, consulte Cómo los roles de IAM difieren de las políticas basadas en recursos en la Guía
del usuario de IAM.
• Acceso entre servicios: algunos Servicios de AWS utilizan características de otros Servicios de AWS.
Por ejemplo, cuando realiza una llamada en un servicio, es común que ese servicio ejecute aplicaciones
en Amazon EC2 o almacene objetos en Amazon S3. Es posible que un servicio haga esto usando los
permisos de la entidad principal, usando un rol de servicio o usando un rol vinculado a servicios.
• Permisos principales: cuando utiliza un usuario o un rol de IAM para llevar a cabo acciones en AWS,
se lo considera una entidad principal. Las políticas conceden permisos a una entidad principal.
Cuando utiliza algunos servicios, es posible que realice una acción que desencadene otra acción en
un servicio diferente. En este caso, debe tener permisos para realizar ambas acciones. Para ver si
una acción requiere acciones dependientes adicionales en una política, consulte Acciones, recursos y
claves de condición de AWS Audit Manager en la Referencia de autorizaciones de servicio.
• Rol de servicio: un rol de servicio es un rol de IAM que adopta un servicio para realizar acciones en su
nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para
obtener más información, consulte Creación de un rol para delegar permisos a un Servicio de AWS en
la Guía del usuario de IAM.
• Rol vinculado a servicio: un rol vinculado a servicio es un tipo de rol de servicio que está vinculado a
un Servicio de AWS. El servicio puede asumir el rol para realizar una acción en su nombre. Los roles
vinculados a servicios aparecen en la cuenta de IAM y son propiedad del servicio. Un administrador de
IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
• Aplicaciones que se ejecutan en Amazon EC2: puede utilizar un rol de IAM que le permita administrar
credenciales temporales para las aplicaciones que se ejecutan en una instancia de EC2 y realizan
solicitudes a la AWS CLI o a la API de AWS. Es preferible hacerlo de este modo a almacenar claves
de acceso en la instancia de EC2. Para asignar un rol de AWS a una instancia de EC2 y ponerla a
disposición de todas las aplicaciones, cree un perfil de instancia adjuntado a la instancia. Un perfil de
instancia contiene el rol y permite a los programas que se ejecutan en la instancia de EC2 obtener
credenciales temporales. Para obtener más información, consulte Uso de un rol de IAM para conceder
permisos a aplicaciones que se ejecutan en instancias Amazon EC2 en la Guía del usuario de IAM.
Para obtener información sobre el uso de los roles de IAM, consulte Cuándo crear un rol de IAM (en lugar
de un usuario) en la Guía del usuario de IAM.

Para controlar el acceso en AWS, se crean políticas y se adjuntan a identidades de IAM o recursos de
AWS. Una política es un objeto de AWS que, cuando se asocia a una identidad o un recurso, define sus
permisos. Puede iniciar sesión como usuario raíz o usuario de IAM o puede asumir un rol de IAM. Cuando
realiza una solicitud, AWS evalúa las políticas relacionadas basadas en identidad o en recursos. Los
permisos en las políticas determinan si la solicitud se permite o se deniega. Las mayoría de las políticas
se almacenan en AWS como documentos JSON. Para obtener más información sobre la estructura y el
contenido de los documentos de política JSON, consulte Información general de políticas JSON en la Guía
del usuario de IAM.
Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué.
Es decir, qué entidad principal puede realizar acciones en qué recursos y bajo qué condiciones.
219
Cada entidad de IAM (usuario o rol) comienza sin permisos. En otras palabras, de forma predeterminada,
los usuarios no pueden hacer nada, ni siquiera cambiar sus propias contraseñas. Para conceder permiso
a un usuario para hacer algo, el administrador debe adjuntarle una política de permisos. O bien el
administrador puede agregar al usuario a un grupo que tenga los permisos necesarios. Cuando el
administrador concede permisos a un grupo, todos los usuarios de ese grupo obtienen los permisos.
Las políticas de IAM definen permisos para una acción independientemente del método que se utilice
para realizar la operación. Por ejemplo, suponga que dispone de una política que permite la acción
iam:GetRole. Un usuario con dicha política puede obtener información del usuario de la AWS
Management Console, la AWS CLI o la API de AWS.
Políticas basadas en identidad

Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede adjuntar
a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué
acciones pueden realizar los usuarios y los roles, en qué recursos y bajo qué condiciones. Para obtener
más información sobre cómo crear una política basada en identidad, consulte Creación de políticas de IAM
en la Guía del usuario de IAM.
Las políticas basadas en identidad pueden clasificarse además como políticas insertadas o políticas
administradas. Las políticas insertadas se integran directamente en un único usuario, grupo o rol. Las
políticas administradas son políticas independientes que puede adjuntar a varios usuarios, grupos y roles
de su Cuenta de AWS. Las políticas administradas incluyen las políticas administradas por AWS y las
políticas administradas por el cliente. Para obtener más información acerca de cómo elegir una política
administrada o una política insertada, consulte Elegir entre políticas administradas y políticas insertadas en
Políticas basadas en recursos

Las políticas basadas en recursos son documentos de política JSON que se adjuntan a un recurso.
Ejemplos de políticas basadas en recursos son las políticas de confianza de roles de IAM y las políticas
de bucket de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores
de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se
adjunta la política, la política define qué acciones puede realizar una entidad principal especificada en ese
recurso y en qué condiciones. Debe especificar una entidad principal en una política basada en recursos.
Las entidades principales pueden incluir cuentas, usuarios, roles, usuarios federados o Servicios de AWS.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No se puede
utilizar políticas de IAM administradas por AWS en una política basada en recursos.
Listas de control de acceso (ACL)

Las listas de control de acceso (ACL) controlan qué entidades principales (miembros de cuentas, usuarios
o roles) tienen permisos para acceder a un recurso. Las ACL son similares a las políticas basadas en
recursos, aunque no utilizan el formato de documento de política JSON.
Amazon S3, AWS WAF y Amazon VPC son ejemplos de servicios que admiten las ACL. Para obtener más
información sobre las ACL, consulte Información general de Lista de control de acceso (ACL) en la Guía
para desarrolladores de Amazon Simple Storage Service.
Otros tipos de políticas

AWS admite otros tipos de políticas adicionales menos frecuentes. Estos tipos de políticas pueden
establecer el máximo de permisos que los tipos de políticas más frecuentes le otorgan.
• Límites de permisos: un límite de permisos es una característica avanzada que le permite establecer los
permisos máximos que una política basada en identidad puede conceder a una entidad de IAM (usuario
220
Cómo AWS Audit Manager funciona con IAM
o rol de IAM). Puede establecer un límite de permisos para una identidad. Los permisos resultantes
son la intersección de las políticas basadas en identidad de la entidad y los límites de sus permisos.
Las políticas basadas en recursos que especifiquen el usuario o rol en el campo Principal no
estarán restringidas por el límite de permisos. Una denegación explícita en cualquiera de estas políticas
anulará el permiso. Para obtener más información sobre los límites de los permisos, consulte Límites de
permisos para las entidades de IAM en la Guía del usuario de IAM.
• Políticas de control de servicio (SCP): las SCP son políticas de JSON que especifican los permisos
máximos de una organización o una unidad organizativa en AWS Organizations. AWS Organizations
es un servicio que le permite agrupar y administrar de manera centralizada varias Cuentas de AWS que
posea su empresa. Si habilita todas las características en una organización, entonces podrá aplicar
políticas de control de servicio (SCP) a una o todas sus cuentas. Las SCP limitan los permisos de las
entidades de las cuentas miembro, incluido cada usuario raíz de la Cuenta de AWS. Para obtener más
información acerca de Organizations y las SCP, consulte Funcionamiento de las SCP en la Guía del
usuario de AWS Organizations.
• Políticas de sesión: las políticas de sesión son políticas avanzadas que se pasan como parámetro
cuando se crea una sesión temporal mediante programación para un rol o un usuario federado. Los
permisos de la sesión resultantes son la intersección de las políticas basadas en identidad del rol y las
políticas de la sesión. Los permisos también pueden proceder de una política basada en recursos. Una
denegación explícita en cualquiera de estas políticas anulará el permiso. Para obtener más información,
consulte Políticas de sesión en la Guía del usuario de IAM.
Varios tipos de políticas

Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados
de entender. Para obtener información acerca de cómo AWS decide si permitir o no una solicitud cuando
hay varios tipos de políticas implicados, consulte Lógica de evaluación de políticas en la Guía del usuario
de IAM.

Antes de utilizar IAM para administrar el acceso a Audit Manager, conozca qué características de IAM se
encuentran disponibles con Audit Manager.
Características de IAM que puede utilizar conAWS Audit Manager
Características de IAM Asistencia Audit Manager
Políticas con base en identidad (p. 222) Sí
Políticas basadas en recursos (p. 223) No
Acciones de política (p. 223) Sí
Recursos de políticas (p. 224) Sí
Claves de condiciones de políticas (p. 225) Parcial
ACL (p. 226) No
ABAC (etiquetas en políticas) (p. 226) Sí
Credenciales temporales (p. 227) Sí
Permisos de entidades principales (p. 227) Sí
Roles de servicio (p. 227) No
221
Características de IAM Asistencia Audit Manager
Roles vinculados a servicios (p. 228) Sí
Para obtener una perspectiva general de cómoAWS Audit Managery otrosAWSlos servicios funcionan con
la mayoría de las funciones de IAM, consulteAWSServicios que funcionan con IAMen laIAM User Guide.
Políticas de AWS Audit Manager basadas en identidades
Compatibilidad con las políticas basadas en Sí

identidad
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede adjuntar
a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué
acciones pueden realizar los usuarios y los roles, en qué recursos y bajo qué condiciones. Para obtener
más información sobre cómo crear una política basada en identidad, consulte Creación de políticas de IAM
en la Guía del usuario de IAM.
Con las políticas basadas en identidad de IAM, puede especificar las acciones y recursos permitidos o
denegados, así como las condiciones en las que se permiten o deniegan las acciones. No es posible
especificar la entidad principal en una política basada en identidad porque se aplica al usuario o rol al que
está asociado. Para obtener más información acerca de los elementos que puede utilizar en una política
de JSON, consulte Referencia de los elementos de las políticas de JSON de IAM en la Guía del usuario de
IAM.
AWS Audit Managercrea una política administrada

denominadaAWSAuditManagerAdministratorAccesspara administradores de Audit Manager. Esta
política otorga acceso completo a la administración en Audit Manager. Los administradores pueden asociar
esta política a cualquier rol o usuario existente o crear un nuevo rol con esta política.
Políticas recomendadas para personas de usuario enAWS Audit Manager

AWS Audit Managerpermite mantener la segregación de funciones entre los distintos usuarios y para
distintas auditorías mediante el uso de distintas políticas de IAM. Las dos personas de Audit Manager y sus
políticas recomendadas se definen de la siguiente manera.
Persona Descripción y política recomendada
Propietario • Esta persona debe tener los permisos necesarios para administrar evaluaciones
de auditoría enAWS Audit Manager.
• La política recomendada para usar para esta persona es la política administrada
denominadaAWSAuditManagerAdministratorAccess. Puede utilizar esta política como
punto de partida y reducir el alcance de estos permisos según sea necesario para
adaptarse a sus requisitos.
Delegado • Esta persona puede acceder a los conjuntos de control delegados de una evaluación.
Pueden actualizar el estado del control, añadir comentarios, enviar un conjunto de
controles para su revisión y agregar pruebas al informe de evaluación.
• La política recomendada para utilizar para esta persona es la siguiente política de
ejemplo: Ejemplo 3: Permitir acceso a la administración de usuarios de IAM aAWS
Audit Manager (p. 233). Puede utilizar esta política como punto de partida y realizar
cambios según sea necesario para adaptarse a sus requisitos.
222
Ejemplos de políticas basadas en identidades de AWS Audit Manager
Para ver ejemplos de políticas basadas en identidades de Audit Manager, consulteEjemplos de políticas
basadas en identidades de AWS Audit Manager (p. 228).
Políticas basadas en recursosAWS Audit Manager
Compatibilidad con las políticas basadas en No

recursos
Las políticas basadas en recursos son documentos de política JSON que se adjuntan a un recurso.
Ejemplos de políticas basadas en recursos son las políticas de confianza de roles de IAM y las políticas
de bucket de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores
de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se
adjunta la política, la política define qué acciones puede realizar una entidad principal especificada en ese
recurso y en qué condiciones. Debe especificar una entidad principal en una política basada en recursos.
Las entidades principales pueden incluir cuentas, usuarios, roles, usuarios federados o Servicios de AWS.
Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra
cuenta como la entidad principal de una política basada en recursos. Añadir a una política basada en
recursos una entidad principal entre cuentas es solo una parte del establecimiento de una relación de
confianza. Cuando la entidad principal y el recurso se encuentran en Cuentas de AWS diferentes, un
administrador de IAM de la cuenta de confianza también debe conceder a la entidad principal (usuario o
rol) permiso para acceder al recurso. Para conceder el permiso, asocie la entidad a una política basada en
identidad. Sin embargo, si la política basada en recursos concede el acceso a una entidad principal de la
misma cuenta, no es necesaria una política basada en identidad adicional. Para obtener más información,
consulte Cómo los roles de IAM difieren de las políticas basadas en recursos en la Guía del usuario de
IAM.
Acciones de política deAWS Audit Manager
Admite acciones de política Sí
Es decir, qué entidad principal puede llevar a cabo acciones en qué recursos y bajo qué condiciones.
El elemento Action de una política JSON describe las acciones que puede utilizar para permitir o denegar
el acceso en una política. Las acciones de la política generalmente tienen el mismo nombre que la
operación de API de AWS asociada. Hay algunas excepciones, como acciones de solo permiso que no
tienen una operación de API coincidente. También hay algunas operaciones que requieren varias acciones
en una política. Estas acciones adicionales se denominan acciones dependientes.
Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Para ver una lista deAWS Audit Manageracciones, consulteAcciones definidas por AWS Audit Manageren
laReferencia de autorizaciones de servicio.
Acciones de política de enAWS Audit Managerutilice el siguiente prefijo antes de la acción.
auditmanager
223
Para especificar varias acciones en una única instrucción, sepárelas con comas.
"Action": [
"auditmanager:GetEvidenceDetails",
"auditmanager:GetEvidenceEventDetails"
]
Puede utilizar caracteres comodín para especificar varias acciones (*). Por ejemplo, para especificar todas
las acciones que comiencen con la palabra Get, incluya la siguiente acción.
"Action": "auditmanager:Get*"
Para ver ejemplos de políticas basadas en identidades de Audit Manager, consulteEjemplos de políticas
basadas en identidades de AWS Audit Manager (p. 228).
Recursos de políticas paraAWS Audit Manager
Admite recursos de políticas Sí
El elemento Resource de la política JSON especifica el objeto u objetos a los que se aplica la acción.
Las instrucciones deben contener un elemento Resource o NotResource. Como práctica recomendada,
especifique un recurso utilizando el Nombre de recurso de Amazon (ARN). Puede hacerlo para acciones
que admitan un tipo de recurso específico, conocido como permisos de nivel de recurso.
Para las acciones que no admiten permisos de nivel de recurso, como las operaciones de descripción,
utilice un carácter comodín (*) para indicar que la instrucción se aplica a todos los recursos.
"Resource": "*"
Para ver una lista deAWS Audit Managertipos de recursos de y sus ARN, consulteRecursos definidos
por AWS Audit Manageren laReferencia de autorizaciones de servicio. Para obtener información acerca
de las acciones con las que puede especificar los ARN de cada recurso, consulteAcciones definidas por
AWS Audit Manager.
Una evaluación de Audit Manager tiene el siguiente formato de Nombre de recurso de Amazon (ARN):
arn:${Partition}:auditmanager:${Region}:${Account}:assessment/${assessmentId}
Un conjunto de controles de Audit Manager tiene el siguiente formato de ARN:
arn:${Partition}:auditmanager:${Region}:${Account}:assessment/${assessmentId}controlSet/
${controlSetId}
Un control de Audit Manager tiene el siguiente formato de ARN:
arn:${Partition}:auditmanager:${Region}:${Account}:control/${controlId}
224
Para obtener más información acerca del formato de los ARN, consulte Nombres de recursos de Amazon
(ARN).
Por ejemplo, para especificar eli-1234567890abcdef0evaluación en su extracto, utilice el siguiente

ARN.
"Resource": "arn:aws:auditmanager:us-east-1:123456789012:assessment/i-1234567890abcdef0"
Para especificar todas las instancias que pertenecen a una cuenta específica, utilice el carácter comodín
(*):
"Resource": "arn:aws:auditmanager:us-east-1:123456789012:assessment/*"
Algunas acciones de Audit Manager, como las empleadas para la creación de recursos, no se pueden
llevar a cabo en un recurso específico. En dichos casos, debe utilizar el carácter comodín (*).
"Resource": "*"
En muchas acciones de la API de Audit Manager se utilizan varios recursos. Por

ejemplo,ListAssessmentsdevuelve una lista de metadatos de evaluación a los que puede acceder el
usuario que ha iniciado sesión actualmenteCuenta de AWS. Por lo tanto, un usuario de IAM debe tener
permisos para ver las evaluaciones. Para especificar varios recursos en una única instrucción, separe los
ARN con comas.
"Resource": [
"resource1",
"resource2"
Para ver una lista de los tipos de recursos de Audit Manager y sus ARN, consulteRecursos definidos
porAWS Audit Manageren laIAM User Guide. Para obtener información acerca de las acciones con las que
puede especificar los ARN de cada recurso, consulteAcciones definidas porAWS Audit Manager.
Algunas acciones de la API de Audit Manager admiten varios recursos. Por

ejemplo,GetChangeLogsPermite obtener acceso aassessmentID,controlID, ycontrolSetId, por
lo que un director de debe tener permisos para obtener acceso a cada uno de estos recursos de. Para
especificar varios recursos en una única instrucción, separe los ARN con comas.
"Resource": [
"assessmentId",
"controlId",
"controlSetId"
Claves de condición de políticasAWS Audit Manager
Admite claves de condición de política específicas Parcial

del servicio
El elemento Condition (o bloque de Condition) permite especificar condiciones en las que entra
en vigor una instrucción. El elemento Condition es opcional. Puede crear expresiones condicionales
que utilicen operadores de condición, tales como igual o menor que, para que la condición de la política
coincida con los valores de la solicitud.
225
Si especifica varios elementos de Condition en una instrucción o varias claves en un único elemento de
Condition, AWS las evalúa mediante una operación AND lógica. Si especifica varios valores para una
única clave de condición, AWS evalúa la condición con una operación lógica OR. Se deben cumplir todas
las condiciones antes de que se concedan los permisos de la instrucción.
Cuando el principal de una declaración de política es unAWSPrincipal del servicio de, le recomendamos
encarecidamente utilizar laaws:SourceArnoaws:SourceAccountclaves de condición globales
de la política. Puede utilizar estas claves de contexto de condición global para ayudar a evitar
elescenario del suplente confuso. Las siguientes políticas documentadas muestran cómo se pueden
utilizaraws:SourceArnyaws:SourceAccountclaves de contexto de condición global en Audit Manager
para evitar el problema confundido de los adjuntos.
• Política de ejemplo para un tema SNS que se utiliza para las notificaciones de Audit Manager
• Política de ejemplo para una clave KMS que se utiliza con un tema SNS
También puede utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puede
conceder un permiso de usuario de IAM para acceder a un recurso solo si está etiquetado con su nombre
de usuario de IAM. Para obtener más información, consulte Elementos de la política de IAM: variables y
etiquetas en la Guía del usuario de IAM.
Audit Manager no proporciona ninguna clave de condición específica del servicio, pero sí admite el uso de
algunas claves de condición globales. Para ver todas las claves de condición globales de AWS, consulte
Claves de contexto de condición globales de AWS en la Guía del usuario de IAM.
Listas de control de acceso (ACL) deAWS Audit Manager
Admite las ACL No
Las listas de control de acceso (ACL) controlan qué entidades principales (miembros de cuentas, usuarios
o roles) tienen permisos para acceder a un recurso. Las ACL son similares a las políticas basadas en
recursos, aunque no utilizan el formato de documento de política JSON.
Control de acceso basado en atributos (ABAC) conAWS Audit

Manager
Admite ABAC (etiquetas en las políticas) Sí
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos
basados en atributos. En AWS, estos atributos se denominan etiquetas. Puede asociar etiquetas a
entidades de IAM (usuarios o roles) y a muchos recursos de AWS. El etiquetado de entidades y recursos
es el primer paso de ABAC. A continuación, designa las políticas de ABAC para permitir operaciones
cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso al que se intenta acceder.
ABAC es útil en entornos que crecen con rapidez y ayuda en situaciones en las que la administración de
las políticas resulta engorrosa.
Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el
elemento de condición de una política utilizando las claves de condición aws:ResourceTag/key-name,
aws:RequestTag/key-name o aws:TagKeys.
Para obtener más información sobre ABAC, consulte ¿Qué es ABAC? en la Guía del usuario de IAM. Para
ver un tutorial con los pasos para configurar ABAC, consulte Uso del control de acceso basado en atributos
(ABAC) en la Guía del usuario de IAM.
226
Para obtener más información acerca del etiquetado de recursos de AWS Audit Manager, consulte
Etiquetado de recursos de AWS Audit Manager (p. 259).
Uso de credenciales temporales con AWS Audit Manager
Compatible con el uso de credenciales temporales. Sí
Algunos servicios de Servicios de AWS no funcionan cuando inicia sesión con credenciales temporales.
Para obtener información adicional, incluida la información sobre qué servicios de Servicios de AWS
funcionan con credenciales temporales, consulte Servicios de Servicios de AWS que funcionan con IAM en
Utiliza credenciales temporales si inicia sesión en la AWS Management Console con cualquier método
excepto un nombre de usuario y una contraseña. Por ejemplo, cuando accede a AWS utilizando el
enlace de inicio de sesión único (SSO) de la empresa, ese proceso crea automáticamente credenciales
temporales. También crea automáticamente credenciales temporales cuando inicia sesión en la consola
como usuario y luego cambia de rol. Para obtener más información acerca del cambio de roles, consulte
Cambio a un rol (consola) en la Guía del usuario de IAM.
Puede crear credenciales temporales de forma manual mediante la AWS CLI o la API de AWS. A
continuación, puede usar esas credenciales temporales para acceder a AWS. AWS recomienda generar
credenciales temporales de forma dinámica en lugar de usar claves de acceso a largo plazo. Para obtener
más información, consulte Credenciales de seguridad temporales en IAM.
Permisos de entidades principales entre servicios paraAWS Audit

Manager
Admite permisos de entidades principales Sí
Cuando utiliza un usuario o un rol de IAM para llevar a cabo acciones en AWS, se lo considera una entidad
principal. Las políticas conceden permisos a una entidad principal. Cuando utiliza algunos servicios, es
posible que realice una acción que desencadene otra acción en un servicio diferente. En este caso, debe
tener permisos para realizar ambas acciones. Para ver si una acción requiere acciones dependientes
adicionales en una política, consulte Acciones, recursos y claves de condición de AWS Audit Manager en
la Referencia de autorizaciones de servicio.
Roles de servicio paraAWS Audit Manager
Compatible con funciones del servicio No
Una función del servicio es un rol de IAM que asume un servicio para realizar acciones en su nombre.
Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener
más información, consulte Creación de roles para delegar permisos a un Servicio de AWS en la Guía del
usuario de IAM.
Warning
Cambiar los permisos de un rol de servicio podría interrumpirseAWS Audit Managerfuncionalidad.

Edite los roles de servicio solo cuando Audit Manager proporcione orientación para hacerlo.
227
Ejemplos de políticas basadas en identidad
Roles vinculados a servicios deAWS Audit Manager
Compatible con roles vinculados a servicios Sí
Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un Servicio de AWS.
El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados a servicios
aparecen en la cuenta de IAM y son propiedad del servicio. Un administrador de IAM puede ver, pero no
editar, los permisos de los roles vinculados a servicios.
Para obtener información detallada sobre roles vinculados a servicios paraAWS Audit Manager,
consulteUso de roles vinculados a servicios de AWS Audit Manager (p. 250).
Ejemplos de políticas basadas en identidades de AWS

Audit Manager
De forma predeterminada, los usuarios y roles de IAM no tienen permiso para crear ni modificar los
recursos de Audit Manager. Tampoco pueden realizar tareas mediante la AWS Management Console,
la AWS CLI, o la API de AWS. Un administrador de IAM debe crear políticas de IAM que concedan a los
usuarios y a los roles permiso para realizar acciones en los recursos que necesitan. El administrador debe
adjuntar esas políticas a los usuarios o grupos de IAM que necesiten esos permisos.
Para obtener información acerca de cómo crear una política basada en identidades de IAM con estos
documentos de políticas JSON de ejemplo, consulte Creación de políticas de IAM en la Guía del usuario
de IAM.
Temas
• Prácticas recomendadas relativas a políticas (p. 228)
• Ejemplo 1: Permisos mínimos necesarios para habilitar Audit Manager (p. 229)
• Ejemplo 2: Permitir a los usuarios de IAM acceso pleno como administrador aAWS Audit
Manager (p. 230)
• Ejemplo 3: Permitir acceso a la administración de usuarios de IAM aAWS Audit Manager (p. 233)
• Ejemplo 4: Permitir a los usuarios de IAM acceso de solo lectura aAWS Audit Manager (p. 235)
• Ejemplo 5: Permitir a los usuarios consultar sus propios permisos (p. 235)
• Ejemplo 6: PermitirAWS Audit Managerpara enviar notificaciones a los temas de Amazon
SNS (p. 236)
Prácticas recomendadas relativas a políticas

Las políticas basadas en identidad son muy eficaces. Determinan si alguien puede crear, acceder o
eliminar los recursos de Audit Manager de su cuenta. Estas acciones pueden generar costes adicionales
para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en
identidad:
• Empiece a trabajar conAWSpolíticas administradas— Para empezar a utilizar Audit Manager

rápidamente, utiliceAWSpolíticas administradas por para proporcionar a los empleados los permisos
necesarios. Estas políticas ya están disponibles en su cuenta, y las mantiene y actualiza AWS. Para
obtener más información, consulte Introducción sobre el uso de permisos con políticas administradas por
AWS en la Guía del usuario de IAM.
• Conceder privilegios mínimos: al crear políticas personalizadas, conceda solo los permisos necesarios
para llevar a cabo una tarea. Comience con un conjunto mínimo de permisos y conceda permisos
adicionales según sea necesario. Por lo general, es más seguro que comenzar con permisos que son
228
demasiado tolerantes e intentar hacerlos más estrictos más adelante. Para obtener más información,
consulte Conceder privilegios mínimos en la Guía del usuario de IAM.
• Habilitar la MFA para operaciones confidenciales: para mayor seguridad, obligue a los usuarios de IAM a
utilizar la autenticación multifactor (MFA) para acceder a recursos u operaciones de API confidenciales.
Para obtener más información, consulte Uso de la autenticación multifactor (MFA) en AWS en la Guía
del usuario de IAM.
• Utilizar condiciones de política para mayor seguridad: en la medida en que sea práctico, defina las
condiciones en las que las políticas basadas en identidad permitan el acceso a un recurso. Por ejemplo,
puede escribir condiciones para especificar un rango de direcciones IP permitidas desde el que debe
proceder una solicitud. También puede escribir condiciones para permitir solicitudes solo en un intervalo
de hora o fecha especificado o para solicitar el uso de SSL o MFA. Para obtener más información,
consulteElemento de la política de JSON de IAM: Condiciónen laIAM User Guide.
Ejemplo 1: Permisos mínimos necesarios para habilitar Audit

Manager
En este ejemplo, se muestra cómo permitir que las cuentas que no tengan un rol de administrador para
habilitarAWS Audit Manager.
Note
Lo que proporcionamos aquí es una política básica que otorga los permisos mínimos necesarios
para habilitar Audit Manager. Se requieren todos los permisos de la siguiente política. Si omite
alguna parte de esta política, no podrá habilitar Audit Manager.
Te recomendamos que te dediques tiempo a personalizar tus permisos para que satisfagan tus
necesidades específicas. Si necesita más ayuda, póngase en contacto con su administrador
oAWS Support.
Para conceder los permisos mínimos necesarios para utilizar Audit Manager, adjunte la siguiente política a
una identidad de IAM. Para obtener más información acerca de cómo adjuntar una política a una identidad
de IAM, consulteAdición de permisos a un usuarioyAdición y eliminación de permisos de identidad de
IAMen laIAM User Guide.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "auditmanager:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
}
}
},
{
"Effect": "Allow",
"Action": [
"events:PutRule"
],
"Resource": "*",
"Condition": {
229
"ForAllValues:StringEquals": {
"events:source": [
"aws.securityhub"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"events:PutTargets"
],
},
{
"Effect": "Allow",
"Action": "kms:ListAliases",
"Resource": "*",
"Condition": {
"StringLike": {
}
}
}
]
}
No es necesario que conceda permisos mínimos para la consola a los usuarios que solo realizan llamadas
a la AWS CLI o a la API de AWS. En su lugar, permite acceso únicamente a las acciones que coincidan
con la operación de API que intenta realizar.
Ejemplo 2: Permitir a los usuarios de IAM acceso pleno como

administrador aAWS Audit Manager
Las políticas de este ejemplo otorgan acceso completo de administrador aAWS Audit Manager. Esto
incluye la capacidad de habilitar y deshabilitar Audit Manager, la capacidad de cambiar la configuración
de Audit Manager y la capacidad de administrar todos los recursos de Audit Manager, tales como
evaluaciones, marcos, controles e informes de evaluación.
La primera política de este ejemplo es la política

administrada,AWSAuditManagerAdministratorAccess. La segunda política de este ejemplo
proporciona permisos para el bucket de Amazon S3 que utiliza como destino del informe de evaluación
enAWS Audit Manager.
Política 1 (Política administrada,AWSAuditManagerAdministratorAccess)
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AuditManagerAccess",
"Effect": "Allow",
"Action": [
"auditmanager:*"
],
"Resource": "*"
},
{
"Sid": "OrganizationsAccess",
"Effect": "Allow",
230
"Action": [
"organizations:ListAccountsForParent",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListParents",
"organizations:ListChildren"
],
"Resource": "*"
},
{
"Sid": "AllowOnlyAuditManagerIntegration",
"Effect": "Allow",
"Action": [
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator",
"organizations:EnableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:ServicePrincipal": [
"auditmanager.amazonaws.com"
]
}
}
},
{
"Sid": "IAMAccess",
"Effect": "Allow",
"Action": [
"iam:GetUser",
"iam:ListUsers",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "IAMAccessCreateSLR",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/auditmanager.amazonaws.com/
AWSServiceRoleForAuditManager*",
"Condition": {
"StringLike": {
}
}
},
{
"Sid": "IAMAccessManageSLR",
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:UpdateRoleDescription",
"iam:GetServiceLinkedRoleDeletionStatus"
],
AWSServiceRoleForAuditManager*"
},
{
"Sid": "S3Access",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
231
],
"Resource": "*"
},
{
"Sid": "KmsAccess",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "KmsCreateGrantAccess",
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
},
"StringLike": {
"kms:ViaService": "auditmanager.*.amazonaws.com"
}
}
},
{
"Sid": "SNSAccess",
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"events:PutRule"
],
"Resource": "*",
"Condition": {
"events:source": [
"aws.securityhub"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"events:DeleteRule",
"events:DescribeRule",
"events:EnableRule",
"events:DisableRule",
"events:ListTargetsByRule",
"events:PutTargets",
"events:RemoveTargets"
],
},
232
{
"Sid": "TagAccess",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": "*"
}
]
}
Política 2 (permisos de destino del informe de evaluación)

Reemplace elmarcadores de posicióncon su propia información. Debe incluir el bucket de S3 que ha
especificado al crear un destino del informe de evaluación enAWS Audit Managery la clave utilizada para
cifrar los informes de evaluación.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:GetBucketLocation",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::assessment-reports-destination/*"
}
]
},
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-
west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
]
}
Ejemplo 3: Permitir acceso a la administración de usuarios de

IAM aAWS Audit Manager
En este ejemplo, se muestra cómo permitir el acceso a la administración no administrativa aAWS Audit
Manager.
Esta política permite administrar todos los recursos de Audit Manager (evaluaciones, marcos y controles),
pero no permite habilitar o deshabilitar Audit Manager ni modificar la configuración de Audit Manager.
{
"Version": "2012-10-17",
233
"Statement": [
{
"Effect": "Allow",
"Action": [
"auditmanager:GetAccountStatus",
"auditmanager:ListAssessmentFrameworks",
"auditmanager:CreateAssessmentFramework",
"auditmanager:GetAssessmentFramework",
"auditmanager:UpdateAssessmentFramework",
"auditmanager:DeleteAssessmentFramework",
"auditmanager:ListAssessmentReports",
"auditmanager:ListAssessments",
"auditmanager:CreateAssessment",
"auditmanager:ListControls",
"auditmanager:CreateControl",
"auditmanager:GetControl",
"auditmanager:UpdateControl",
"auditmanager:DeleteControl",
"auditmanager:ListKeywordsForDataSource",
"auditmanager:GetDelegations",
"auditmanager:ValidateAssessmentReportIntegrity",
"auditmanager:ListNotifications",
"auditmanager:GetServicesInScope",
"auditmanager:GetSettings",
"auditmanager:ListTagsForResource",
"auditmanager:TagResource",
"auditmanager:UntagResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
],
"Resource": "*"
},
{
"Sid": "IAMAccess",
"Effect": "Allow",
"Action": [
"iam:GetUser",
"iam:ListUsers",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "S3Access",
"Effect": "Allow",
"Action": [
],
"Resource": "*"
},
{
"Sid": "KmsAccess",
"Effect": "Allow",
234
"Action": [
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "SNSAccess",
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": "*"
},
{
"Sid": "TagAccess",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": "*"
}
]
}
Ejemplo 4: Permitir a los usuarios de IAM acceso de solo lectura

aAWS Audit Manager
Esta política concede acceso de solo lectura aAWS Audit Managerrecursos tales como evaluaciones,
marcos y controles.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"auditmanager:Get*",
"auditmanager:List*"
],
"Resource": "*"
}
]
}
Ejemplo 5: Permitir a los usuarios consultar sus propios permisos

En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las
políticas administradas e insertadas que se adjuntan a la identidad de sus usuarios. Esta política incluye
permisos para llevar a cabo esta acción en la consola o mediante programación con la AWS CLI o la API
de AWS.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
235
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
Ejemplo 6: PermitirAWS Audit Managerpara enviar notificaciones

a los temas de Amazon SNS
Las políticas de este ejemplo concedenAWS Audit Managerpermisos para enviar notificaciones a un tema
de Amazon SNS existente.
Si desea recibir notificaciones de Audit Manager, utilice el primer ejemplo para agregar permisos a la
política de acceso a temas de SNS. Si el tema de SNS usaAWS Key Management Service(AWS KMS)
para el cifrado del lado del servidor (SSE), utilice el segundo ejemplo para agregar permisos a la política de
acceso a claves de KMS.
En las siguientes políticas, el principal que obtiene los permisos es el principal del servicio de
Audit Manager, que esauditmanager.amazonaws.com. Cuando el principal de una declaración
de política es unAWSPrincipal del servicio de, le recomendamos encarecidamente utilizar
laaws:SourceArnoaws:SourceAccountclaves de condición globales de la política. Puede utilizar estas
claves de contexto de condición global para ayudar a evitar elescenario del suplente confuso.
Directiva 1 (Permisos para el tema SNS)

Esta instrucción de política permite que Audit Manager publique eventos en el tema de SNS especificado.
Cualquier solicitud de publicación en el tema SNS especificado debe cumplir las condiciones de la política.
Antes de utilizar esta política, sustituya eltexto del marcador de posicióncon su propia
información. Tome nota de lo siguiente:
• Si utiliza elaws:SourceArnclave de condición en esta política, el valor debe ser el ARN del recurso
de Audit Manager del que procede la notificación. En el ejemplo siguiente,aws:SourceArnutiliza un
comodín (*) para el ID del recurso. Esto permite que todas las solicitudes provengan de Audit Manager
en todos los recursos de Audit Manager. Con laaws:SourceArnclave de condición global, puede utilizar
laStringLikeo elArnLikeOperador de condición. Como práctica recomendada, le recomendamos que
utiliceArnLike.
• Si utiliza elaws:SourceAccountclave de condición, puede utilizar laStringEqualso
elStringLikeOperador de condición. Como práctica recomendada, le recomendamos que
utiliceStringEqualspara implementar los privilegios mínimos.
236
• Si utilizas ambosaws:SourceAccountyaws:SourceArn, los valores de la cuenta deben mostrar el

mismo ID de cuenta.
{
"Version": "2012-10-17",
"Statement": {
"Sid": "AllowAuditManagerToUseSNSTopic",
"Effect": "Allow",
"Principal": {
"Service": "auditmanager.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:region:accountID:topicName",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "accountID"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:auditmanager:region:accountID:*"
}
}
}
}
En el siguiente ejemplo alternativo se utiliza únicamente elaws:SourceArnclave de condición, con

laStringLikeOperador de condición:
"Condition": {
"StringLike": {
"aws:SourceArn": "arn:aws:auditmanager:region:accountID:*"
}
}
En el siguiente ejemplo alternativo se utiliza únicamente elaws:SourceAccountclave de condición, con

"Condition": {
"StringLike": {
}
}
Directiva 2 (permisos para la clave KMS asociada al tema SNS)

Esta declaración de política permite que Audit Manager utilice la clave KMS paragenerar la clave de
datosque utiliza para cifrar un tema SNS. Cualquier solicitud de uso de la clave KMS para la operación
especificada debe cumplir las condiciones de la política.
Antes de utilizar esta política, sustituya eltexto del marcador de posicióncon su propia
información. Tome nota de lo siguiente:
• Si utiliza elaws:SourceArnclave de condición en esta política, el valor debe ser el ARN del recurso que
se está cifrando. Por ejemplo, en este caso, es el tema de SNS de tu cuenta. Establezca el valor en el
ARN o un patrón ARN con caracteres comodín (*). Puede utilizar elStringLikeo elArnLikeoperador
de condición con elaws:SourceArnclave de condición. Como práctica recomendada, le recomendamos
que utiliceArnLike.
• Si utiliza elaws:SourceAccountclave de condición, puede utilizar laStringEqualso
elStringLikeOperador de condición. Como práctica recomendada, le recomendamos que
237
Prevención del suplente confuso entre servicios
utiliceStringEqualspara implementar los privilegios mínimos. Puede usaraws:SourceAccountsi no

conoce el ARN del tema de SNS.
• Si utilizas ambosaws:SourceAccountyaws:SourceArn, los valores de la cuenta deben mostrar el
mismo ID de cuenta.
{
"Version": "2012-10-17",
"Statement": {
"Sid": "AllowAuditManagerToUseKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "auditmanager.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:region:accountID:key/*",
"Condition": {
"StringEquals": {
}
"ArnLike": {
"aws:SourceArn": "arn:aws:sns:region:accountID:topicName"
}
}
}
]
}
En el siguiente ejemplo alternativo se utiliza únicamente elaws:SourceArnclave de condición, con

"Condition": {
"StringLike": {
"aws:SourceArn": "arn:aws:sns:region:accountID:topicName"
}
}
En el siguiente ejemplo alternativo se utiliza únicamente elaws:SourceAccountclave de condición, con

"Condition": {
"StringLike": {
}
}
Prevención del suplente confuso entre servicios

El problema del suplente confuso es un problema de seguridad en el que una entidad que no tiene permiso
para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción. En AWS,
la suplantación entre servicios puede dar lugar al problema del suplente confuso. La suplantación entre
servicios puede producirse cuando un servicio (el servicio que lleva a cabo las llamadas) llama a otro
servicio (el servicio al que se llama). El servicio que lleva a cabo las llamadas se puede manipular para
238
Políticas administradas de AWS
utilizar sus permisos a fin de actuar en función de los recursos de otro cliente cuando no tiene permiso
para hacerlo. Para evitarlo, Amazon Web Services proporciona herramientas que lo ayudan a proteger sus
datos para todos los servicios con entidades principales de servicio a las que se les ha dado acceso a los
recursos de su cuenta.
Le recomendamos que utiliceaws:SourceArnyaws:SourceAccountclaves de contexto de condición

globales en las políticas de recursos de para limitar los permisos queAWS Audit Managerda a otro servicio
para acceder a sus recursos.
• Utilice aws:SourceArn si desea que solo se asocie un recurso al acceso entre servicios. También
puede utilizaraws:SourceArncon un comodín (*) si desea especificar varios recursos.
Por ejemplo: puede utilizar un tema de Amazon SNS para recibir notificaciones de actividad desde Audit
Manager. En este caso, en la política de acceso al tema de SNS, el valor ARN deaws:SourceArnes el
recurso de Audit Manager del que procede la notificación. Debido a que es probable que tenga varios
recursos de Audit Manager, recomendamos que utiliceaws:SourceArncon un comodín. Esto le permite
especificar todos los recursos de Audit Manager en la política de acceso a temas de SNS.
• Utilice aws:SourceAccount si quiere permitir que cualquier recurso de esa cuenta se asocie al uso
entre servicios.
• Si el valor de aws:SourceArn no contiene el ID de cuenta, como un ARN de bucket de Amazon S3,
debe utilizar ambas claves de contexto de condición global para limitar los permisos.
• Si utiliza ambas condiciones y si elaws:SourceArnvalue contiene el ID de la cuenta,
laaws:SourceAccountvalor y la cuenta en elaws:SourceArnvalue debe mostrar el mismo ID de
cuenta cuando se utilice en la misma declaración de política.
• La forma más eficaz de protegerse contra el problema del suplente confuso es utilizar la clave de
contexto de condición global de aws:SourceArn con el ARN completo del recurso. Si no conoce el
nombre completo del recurso de Amazon (ARN) del recurso o si está especificando varios recursos,
utilice elaws:SourceArnclave de condición de contexto global con caracteres comodín (*) para las
partes desconocidas del ARN. Por ejemplo, arn:aws:servicename:*:123456789012:*.
Audit Manager confundió el soporte adjunto

Audit Manager proporciona soporte adjunto confuso en los siguientes escenarios. En estos ejemplos
de políticas se muestra cómo se puede utilizaraws:SourceArnyaws:SourceAccountLas claves de
condición para evitar el problema del suplente confuso.
• Política de ejemplo: El tema de SNS que utiliza para recibir notificaciones de Audit Manager
• Política de ejemplo: La clave KMS que utiliza para cifrar el tema SNS
Audit Manager no proporciona soporte adjunto confuso para la clave administrada por el cliente que
proporciona en el Audit ManagerCifrado de datos (p. 181)Configuración del . Si proporcionaste tu propia
clave administrada por el cliente, no puedes usaraws:SourceAccountoaws:SourceArncondiciones de
esa política clave de KMS.
Políticas administradas de AWS para AWS Audit

Manager
Para agregar permisos a usuarios, grupos y roles, es más fácil utilizar las políticas administradas de AWS
que escribirlas uno mismo. Se necesita tiempo y experiencia para crear políticas de IAM administradas
por el cliente que proporcionen a su equipo solo los permisos necesarios. Para comenzar a hacerlo con
rapidez, puede utilizar nuestras políticas administradas de AWS. Estas políticas cubren casos de uso
comunes y están disponibles en su Cuenta de AWS. Para obtener más información acerca de las políticas
administradas de AWS, consulte Políticas administradas de AWS en la Guía del usuario de IAM.
239
Los Servicios de AWS mantienen y actualizan las políticas administradas por AWS. No puede cambiar los
permisos en las políticas administradas de AWS. En ocasiones, los servicios agregan permisos adicionales
a una política administrada por AWS para admitir características nuevas. Este tipo de actualización afecta
a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los
servicios actualicen una política administrada por AWS cuando se lanza una nueva característica o cuando
se ponen a disposición nuevas operaciones. Los servicios no quitan permisos de una política administrada
por AWS, por lo que las actualizaciones de políticas no deteriorarán los permisos existentes.
Además, AWS admite políticas administradas para funciones de trabajo que abarcan varios servicios. Por
ejemplo, la política ViewOnlyAccess administrada por AWS proporciona acceso de solo lectura a muchos
recursos y Servicios de AWS. Cuando un servicio lanza una nueva característica, AWS agrega permisos
de solo lectura para las operaciones y los recursos nuevos. Para obtener una lista y descripciones de las
políticas de funciones de trabajo, consulte Políticas administradas de AWS para funciones de trabajo en la
Guía del usuario de IAM.
Temas
• AWSpolítica administrada: AWSAuditManagerAdministratorAccess (p. 240)
• AWSpolítica administrada: AWSAuditManagerServiceRolePolicy (p. 243)
• Actualizaciones de AWS Audit Manager en las políticas administradas de AWS (p. 248)
AWSpolítica administrada:
AWSAuditManagerAdministratorAccess
Puede adjuntar la política AWSAuditManagerAdministratorAccess a las identidades de IAM.
Esta política otorga permisos administrativos que brindan acceso completo a la administraciónAWS
Audit Manager. Este acceso incluye la capacidad de habilitar y deshabilitarAWS Audit Manager, cambiar
la configuración enAWS Audit Managery administrar todos los recursos de Audit Manager, tales como
evaluaciones, marcos, controles e informes de evaluación.
AWS Audit Managerrequiere amplios permisos en variosAWSServicios de . Esto se debe a queAWS Audit
Managerse integra con múltiplesAWSservicios para recopilar pruebas automáticamente delCuenta de
AWSy servicios en el ámbito de una evaluación.
Detalles sobre los permisos
Esta política incluye los siguientes permisos:
• Audit Manager— Permite permisos completos de los directores enAWS Audit Managerde AWS.
• Organizations— Permite a los directores enumerar cuentas y unidades organizativas, así como
registrar o anular el registro de un administrador delegado. Esto es necesario para poder habilitar el
soporte de varias cuentas y permitirAWS Audit Managerejecutar evaluaciones en varias cuentas y
consolidar pruebas en una cuenta de administrador delegado.
• iam: permite a los directores obtener y enumerar usuarios en IAM y crear un rol vinculado a servicios.
Esto es necesario para que pueda designar propietarios y delegados de auditoría para una evaluación.
Esta política también permite a los principales eliminar el rol vinculado al servicio y recuperar el estado
de eliminación. Esto es necesario para queAWS Audit Managerpuede limpiar recursos y eliminar el rol
vinculado al servicio por usted cuando elija deshabilitar el servicio en elAWS Management Console.
• s3— Permite a los directores publicar buckets disponibles de Amazon Simple Storage Service (Amazon
S3). Esta capacidad es necesaria para poder designar el depósito de S3 en el que desea almacenar
informes de pruebas o cargar pruebas manuales.
• kms— Permite a los directores enumerar y describir claves, enumerar alias y crear subvenciones. Esto
es necesario para que pueda elegir claves administradas por el cliente para el cifrado de datos.
• sns— Permite a los directores publicar temas de suscripción en Amazon SNS. Esto es necesario para
que pueda especificar qué tema de SNS desea.AWS Audit Managerpara enviar notificaciones a.
240
• events— Permite a los directores enumerar y administrar cheques desdeAWS Security Hub.
Esto es necesario para queAWS Audit Managerpuede recopilar automáticamenteAWS Security
HubConclusiones de paraAWSservicios supervisados porAWS Security Hub. A continuación, puede
convertir estos datos en pruebas para incluirlos en suAWS Audit Managerevaluaciones de.
• tag— Permite a los directores recuperar recursos etiquetados. Esto es necesario para poder utilizar
etiquetas como filtro de búsqueda al navegar por marcos, controles y evaluaciones enAWS Audit
Manager.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"auditmanager:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
],
"Resource": "*"
},
{
"Sid": "AllowOnlyAuditManagerIntegration",
"Effect": "Allow",
"Action": [
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator",
"organizations:EnableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:ServicePrincipal": [
"auditmanager.amazonaws.com"
]
}
}
},
{
"Sid": "IAMAccess",
"Effect": "Allow",
"Action": [
"iam:GetUser",
"iam:ListUsers",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "IAMAccessCreateSLR",
"Effect": "Allow",
241
"Condition": {
"StringLike": {
}
}
},
{
"Sid": "IAMAccessManageSLR",
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:UpdateRoleDescription",
"iam:GetServiceLinkedRoleDeletionStatus"
],
AWSServiceRoleForAuditManager*"
},
{
"Sid": "S3Access",
"Effect": "Allow",
"Action": [
],
"Resource": "*"
},
{
"Sid": "KmsAccess",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "KmsCreateGrantAccess",
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
},
"StringLike": {
"kms:ViaService": "auditmanager.*.amazonaws.com"
}
}
},
{
"Sid": "SNSAccess",
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
242
"events:PutRule"
],
"Resource": "*",
"Condition": {
"events:source": [
"aws.securityhub"
]
}
}
},
{
"Effect": "Allow",
"Action": [
],
},
{
"Sid": "TagAccess",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": "*"
}
]
}
AWSpolítica administrada: AWSAuditManagerServiceRolePolicy

No puede adjuntar AWSAuditManagerServiceRolePolicy a sus entidades IAM. Esta política se
adjunta a un rol vinculado a servicio,AWSServiceRoleForAuditManager, que permiteAWS Audit
Managerpara realizar acciones en su nombre. Para obtener más información, consulteUso de roles
vinculados a servicios deAWS Audit Manager.
La política de permisos del rol,AWSAuditManagerServiceRolePolicy, permiteAWS Audit

ManagerPara realizar lo siguiente en su nombre:
• Recopilar y evaluar datos de las siguientes fuentes de datos para generarAWS Audit Managerpruebas:
• Eventos de administración deAWS CloudTrail
• Verificaciones de conformidad deAWS Config Rules
• Verificaciones de conformidad deAWS Security Hub
• Describa las API específicas de los siguientes servicios:
• AWS CloudTrail
• Grupos de usuarios de Amazon Cognito
• AWS Config
• Amazon EC2
• Amazon EFS
• Amazon EventBridge
243
• Amazon GuardDuty
• AWS KMS
• AWS License Manager
• AWS Organizations
• Amazon Route 53
• Simple Storage Service (Amazon S3)
• AWS WAF
Detalles sobre los permisos
AWSAuditManagerServiceRolePolicypermiteAWS Audit Managerpara realizar las siguientes

acciones en los recursos especificados:
• license-manager:ListAssociationsForLicenseConfiguration
• license-manager:ListUsageForLicenseConfiguration
• iam:GenerateCredentialReport
• iam:GetAccountSummary
• iam:ListPolicies
• iam:GetAccountPasswordPolicy
• iam:ListUsers
• iam:ListUserPolicies
• iam:ListRoles
• iam:ListRolePolicies
• iam:ListGroups
• iam:ListGroupPolicies
• iam:ListEntitiesForPolicy
• ec2:DescribeInstances
• ec2:DescribeFlowLogs
• ec2:DescribeVpcs
• ec2:DescribeSecurityGroups
• ec2:DescribeNetworkAcls
• ec2:DescribeRouteTables
• ec2:DescribeSnapshots
• ec2:DescribeVpcEndpoints
• cloudtrail:DescribeTrails
• config:DescribeDeliveryChannels
• config:ListDiscoveredResources
• config:DescribeConfigRules
• kms:ListKeys
• kms:DescribeKey
• kms:ListGrants
• cloudwatch:DescribeAlarms
244
• s3:GetLifecycleConfiguration
• events:DescribeRule
• route53:GetQueryLoggingConfig
• organizations:DescribePolicy
• organizations:DescribeOrganization
• cognito-idp:DescribeUserPool
• elasticfilesystem:DescribeFileSystems
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"license-manager:ListLicenseConfigurations",
"license-manager:ListAssociationsForLicenseConfiguration",
"license-manager:ListUsageForLicenseConfiguration"
],
"Resource": "*",
"Sid": "LicenseManagerAccess"
},
{
"Effect": "Allow",
"Action": [
"iam:GenerateCredentialReport",
"iam:GetAccountSummary",
"iam:ListPolicies",
"iam:GetAccountPasswordPolicy",
"iam:ListUsers",
"iam:ListUserPolicies",
"iam:ListRoles",
"iam:ListRolePolicies",
"iam:ListGroups",
"iam:ListGroupPolicies",
"iam:ListEntitiesForPolicy"
],
"Resource": "*",
"Sid": "IAMAccess"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeFlowLogs",
"ec2:DescribeVpcs",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkAcls",
"ec2:DescribeRouteTables",
"ec2:DescribeSnapshots",
"ec2:DescribeVpcEndpoints"
],
"Resource": "*",
"Sid": "EC2Access"
},
{
"Effect": "Allow",
"Action": [
"cloudtrail:DescribeTrails"
],
"Resource": "*",
"Sid": "CloudtrailAccess"
245
},
{
"Effect": "Allow",
"Action": [
"config:DescribeDeliveryChannels",
"config:ListDiscoveredResources",
"config:DescribeConfigRules"
],
"Resource": "*",
"Sid": "ConfigAccess"
},
{
"Effect": "Allow",
"Action": [
"securityhub:DescribeStandards"
],
"Resource": "*",
"Sid": "SecurityHubAccess"
},
{
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:DescribeKey",
"kms:ListGrants"
],
"Resource": "*",
"Sid": "KMSAccess"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms"
],
"Resource": "*",
"Sid": "CloudwatchAccess"
},
{
"Effect": "Allow",
"Action": [
"s3:GetLifecycleConfiguration"
],
"Resource": "*",
"Sid": "S3Access"
},
{
"Effect": "Allow",
"Action": [
"events:DescribeRule"
],
"Resource": "*",
"Sid": "EventBridgeAccess"
},
{
"Effect": "Allow",
"Action": [
"waf:ListActivatedRulesInRuleGroup"
],
"Resource": "*",
"Sid": "WAFAccess"
},
{
"Effect": "Allow",
"Action": [
"guardduty:ListDetectors"
],
246
"Resource": "*",
"Sid": "GuardDutyAccess"
},
{
"Effect": "Allow",
"Action": [
"route53:GetQueryLoggingConfig"
],
"Resource": "*",
"Sid": "Route53Access"
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeOrganization"
],
"Resource": "*",
"Sid": "OrganizationsAccess"
},
{
"Effect": "Allow",
"Action": [
"cognito-idp:DescribeUserPool"
],
"Resource": "*",
"Sid": "CognitoAccess"
},
{
"Effect": "Allow",
"Action": [
"elasticfilesystem:DescribeFileSystems"
],
"Resource": "*",
"Sid": "EFSAccess"
},
{
"Effect": "Allow",
"Action": [
"events:PutRule"
],
"Resource": "arn:aws:events:*:*:rule/AuditManagerSecurityHubFindingsReceiver",
"Condition": {
"StringEquals": {
"events:detail-type": "Security Hub Findings - Imported"
},
"Null": {
"events:source": "false"
},
"events:source": [
"aws.securityhub"
]
}
}
},
{
"Effect": "Allow",
"Action": [
247
],
}
]
}
Actualizaciones de AWS Audit Manager en las políticas

administradas de AWS
Es posible consultar los detalles sobre las actualizaciones de las políticas administradas de AWS para
AWS Audit Manager debido a que este servicio comenzó a realizar el seguimiento de estos cambios. Para
obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en laAWS Audit
Manager Historial de revisión(Se ha creado el certificado).
Cambio Descripción Fecha
AWSAuditManagerServiceRolePolicy— El rol vinculado a servicios ahora 20/05/2022

Actualización de una política permiteAWS Audit Managerpara realizar
existente elorganizations:DescribeOrganizationaction.
También hemos anulado

elCreateEventsAccessrecurso de
un comodín (*) a un tipo específico de
recurso (arn:aws:events:*:*:rule/
AuditManagerSecurityHubFindingsReceiver).
Por último, hemos añadido unNulloperador

de condición para elevents:sourceclave de
condición para confirmar que existe un valor de
origen y que su valor no es nulo.
AWSAuditManagerAdministratorAccess—
Hemos actualizado la política de condiciones clave 29/04/2022
Actualización de una política paraevents:sourcepara reflejar que se trata de
existente una clave multivalor.
AWSAuditManagerServiceRolePolicy— Hemos actualizado la política de condiciones clave 16/03/2022

Actualización de una política paraevents:sourcepara reflejar que se trata de
existente una clave multivalor.
AWS Audit Manager comenzó el AWS Audit Manager comenzó el seguimiento de 05/06/2021
seguimiento de los cambios. los cambios de las políticas administradas de AWS.
Solución de problemas de identidades y accesos en

AWS Audit Manager
Utilice la siguiente información para diagnosticar y solucionar los problemas comunes que pueden surgir
cuando trabaje con Audit Manager e IAM.
Temas
• No tengo autorización para realizar una acción en AWS Audit Manager (p. 249)
• No tengo autorización para realizar la operación iam:PassRole (p. 249)
248
• Quiero ver mis claves de acceso (p. 249)

• Soy administrador y deseo permitir que otros obtengan acceso a AWS Audit Manager (p. 250)
• Deseo permitir que personas ajenas a mi cuenta de AWS puedan acceder a mis recursos de AWS
Audit Manager (p. 250)
No tengo autorización para realizar una acción en AWS Audit

Manager
LaAccessDeniedExceptionEl error aparece cuando un usuario no tiene permiso para utilizarAWS Audit
Managero las operaciones de la API de Audit Manager.
En este caso, el administrador debe actualizar la política para permitirle acceder.
No tengo autorización para realizar la operación iam:PassRole

Si recibe un error que indica que no está autorizado para llevar a cabo la acción iam:PassRole, debe
ponerse en contacto con su administrador para recibir ayuda. Su administrador es la persona que le facilitó
su nombre de usuario y contraseña. Pida a la persona que actualice sus políticas de forma que pueda
transferir un rol a Audit Manager.
Algunos servicios de Servicios de AWS le permiten transferir un rol existente a dicho servicio en lugar de
crear un nuevo rol de servicio o uno vinculado al servicio. Para ello, debe tener permisos para transferir el
rol al servicio.
En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominadomarymajorintenta

utilizar la consola para realizar una acción en Audit Manager. Sin embargo, la acción requiere que el
servicio cuente con permisos otorgados por un rol de servicio. Mary no tiene permisos para transferir el rol
al servicio.
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
En este caso, Mary pide a su administrador que actualice sus políticas para que pueda realizar la acción
iam:PassRole.
Quiero ver mis claves de acceso

Después de crear sus claves de acceso de usuario de IAM, puede ver su ID de clave de acceso en
cualquier momento. Sin embargo, no puede volver a ver su clave de acceso secreta. Si pierde la clave de
acceso secreta, debe crear un nuevo par de claves de acceso.
Las claves de acceso se componen de dos partes: un ID de clave de acceso (por ejemplo,
AKIAIOSFODNN7EXAMPLE) y una clave de acceso secreta (por ejemplo, wJalrXUtnFEMI/K7MDENG/
bPxRfiCYEXAMPLEKEY). El ID de clave de acceso y la clave de acceso secreta se utilizan juntos, como un
nombre de usuario y contraseña, para autenticar sus solicitudes. Administre sus claves de acceso con el
mismo nivel de seguridad que para el nombre de usuario y la contraseña.
Important
No proporcione las claves de acceso a terceros, ni siquiera para que le ayuden a buscar el ID de
usuario canónico. Si lo hace, podría conceder a otra persona acceso permanente a su cuenta.
Cuando cree un par de claves de acceso, se le pide que guarde el ID de clave de acceso y la clave de
acceso secreta en un lugar seguro. La clave de acceso secreta solo está disponible en el momento de
249
Uso de roles vinculados a servicios
su creación. Si pierde la clave de acceso secreta, debe agregar nuevas claves de acceso a su usuario
de IAM. Puede tener un máximo de dos claves de acceso. Si ya cuenta con dos, debe eliminar un par de
claves antes de crear uno nuevo. Para consultar las instrucciones, consulte Administración de claves de
acceso en la Guía del usuario de IAM.
Soy administrador y deseo permitir que otros obtengan acceso a

AWS Audit Manager
Para permitir que otros accedan a Audit Manager, debe crear una entidad de IAM (usuario o rol) para
la persona o aplicación que necesita acceso. Esta persona utilizará las credenciales de la entidad para
acceder a AWS. A continuación, debe asociar una política a la entidad que les conceda los permisos
correctos en Audit Manager.
Para comenzar de inmediato, consulte Creación del primer grupo y usuario delegado de IAM en la Guía del
usuario de IAM.
Deseo permitir que personas ajenas a mi cuenta de AWS puedan

acceder a mis recursos de AWS Audit Manager
Puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan
utilizar para acceder a sus recursos. Puede especificar una persona de confianza para que asuma el rol.
En el caso de los servicios que admitan las políticas basadas en recursos o las listas de control de acceso
(ACL), puede utilizar dichas políticas para conceder a las personas acceso a sus recursos.
Para obtener más información, consulte lo siguiente:
• Para obtener información acerca de si Audit Manager admite estas características, consulteCómo AWS
Audit Manager funciona con IAM (p. 221).
• Para obtener información acerca de cómo proporcionar acceso a los recursos de las Cuentas de AWS
de su propiedad, consulte Proporcionar acceso a un usuario de IAM a otra Cuenta de AWS de la que es
propietario en la Guía del usuario de IAM.
• Para obtener información acerca de cómo proporcionar acceso a los recursos a Cuentas de AWS de
terceros, consulte Proporcionar acceso a Cuentas de AWS que son propiedad de terceros en la Guía del
usuario de IAM.
• Para obtener información sobre cómo proporcionar acceso mediante una identidad federada, consulte
Proporcionar acceso a usuarios autenticados externamente (identidad federada) en la Guía del usuario
de IAM.
• Para obtener información sobre la diferencia entre los roles y las políticas basadas en recursos para el
acceso entre cuentas, consulte Cómo los roles de IAM difieren de las políticas basadas en recursos en la
Guía del usuario de IAM.
Uso de roles vinculados a servicios de AWS Audit

Manager
AWS Audit Manager utiliza roles vinculados a servicios de AWS Identity and Access Management (IAM).
Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Audit
Manager. Los roles vinculados a servicios están predefinidos por Audit Manager e incluyen todos los
permisos que el servicio requiere para llamar a otrosAWSservicios de en su nombre.
Un rol vinculado a un servicio simplifica la configuración de AWS Audit Manager porque ya no tendrá que
añadir manualmente los permisos necesarios. Audit Manager define los permisos de sus roles vinculados
a servicios y, a menos que esté definido de otra manera, solo Audit Manager puede asumir sus roles. Los
250
permisos definidos incluyen las políticas de confianza y de permisos y que la política de permisos no se
pueda adjuntar a ninguna otra entidad de IAM.
Para obtener información sobre otros servicios que admiten roles vinculados al servicio, consulte Servicios
de AWS que funcionan con IAM y busque los servicios que muestran Sí en la columna Rol vinculado al
servicio. Seleccione una opción Sí con un enlace para ver la documentación acerca del rol vinculado al
servicio en cuestión.
Permisos de roles vinculados a servicios de AWS Audit Manager

Audit Manager utiliza el rol vinculado al servicio denominadoFunción de servicio de AWS para Audit
Manager, que permite acceder a los servicios y recursos de AWS utilizados o administrados porAWS Audit
Manager.
La AWSServiceRoleForAuditManager El rol vinculado a un servicio confía

enauditmanager.amazonaws.compara asumir el rol.
La política de permisos del rol,AWSAuditManagerServiceRolePolicy, permite que Audit Manager

realice las siguientes acciones en los recursos especificados:
• license-manager:ListAssociationsForLicenseConfiguration
• license-manager:ListUsageForLicenseConfiguration
• iam:GenerateCredentialReport
• iam:GetAccountSummary
• iam:ListPolicies
• iam:GetAccountPasswordPolicy
• iam:ListUsers
• iam:ListUserPolicies
• iam:ListRoles
• iam:ListRolePolicies
• iam:ListGroups
• iam:ListGroupPolicies
• iam:ListEntitiesForPolicy
• ec2:DescribeInstances
• ec2:DescribeFlowLogs
• ec2:DescribeVpcs
• ec2:DescribeSecurityGroups
• ec2:DescribeNetworkAcls
• ec2:DescribeRouteTables
• ec2:DescribeSnapshots
• ec2:DescribeVpcEndpoints
• cloudtrail:DescribeTrails
• config:DescribeDeliveryChannels
• config:ListDiscoveredResources
• config:DescribeConfigRules
• kms:ListKeys
• kms:DescribeKey
251
• kms:ListGrants
• cloudwatch:DescribeAlarms
• s3:GetLifecycleConfiguration
• events:DescribeRule
• route53:GetQueryLoggingConfig
• organizations:DescribePolicy
• organizations:DescribeOrganization
• cognito-idp:DescribeUserPool
• elasticfilesystem:DescribeFileSystems
Para ver todos los detalles de permisos de la función vinculada a

serviciosAWSServiceRoleForAuditManager, vaya a la consola de Audit Manager, elijaConfiguracióny
luego seleccioneVer permisos de roles vinculados a servicios de IAM.
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o
eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados
a servicios en la Guía del usuario de IAM.
Creación de un rol vinculado a un servicio de AWS Audit

Manager
No necesita crear manualmente un rol vinculado a servicios. Cuando habilitasAWS Audit Manager, el
servicio crea automáticamente el rol vinculado a servicios por usted. Puede habilitar Audit Manager desde
la página de incorporación delAWS Management Consoleo a través de la API oAWS CLI. Para obtener
más información, consultePaso 4: Habilitar AWS Audit Manager (p. 24)en esta guía del usuario.
Si elimina este rol vinculado al servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso para
volver a crear el rol en su cuenta.
Modificación de un rol vinculado a un servicio de AWS Audit

Manager
AWS Audit Managerno permite editar el AWSServiceRoleForAuditManager Rol vinculado a un servicio.
Después de crear un rol vinculado a servicios, no puede cambiarle el nombre, ya que varias entidades
pueden hacer referencia al mismo. Sin embargo, puede editar la descripción del rol mediante IAM. Para
obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.
Para permitir a una entidad IAM editar la descripción del AWSServiceRoleForAuditManager Rol vinculado
al servicio de
Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que necesita editar la
descripción del rol vinculado al servicio.
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Condition": {"StringLike": {"iam:AWSServiceName": "auditmanager.amazonaws.com"}}
}
252
Validación de conformidad
Regiones admitidas para los roles vinculados a un servicio de

AWS Audit Manager
AWS Audit Manager admite el uso de roles vinculados a servicios en todas las regiones en las que el
servicio esté disponible. Para obtener más información, consulte puntos de enlace de servicio de AWS.
Validación de la conformidad en AWS Audit

Manager
Auditores externos evalúan la seguridad y la conformidad de los Servicios de AWS como parte de varios
programas de conformidad de AWS, como SOC, PCI, FedRAMP e HIPAA.
Para saber si Audit Manager u otroServicios de AWSse incluyen en un programa de conformidad

específico, consulteAWSServicios de en el ámbito del programa de conformidad. Para obtener información
general, consulte Programas de conformidad de AWS.
Puede descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener más
información, consulte Descarga de informes en AWS Artifact.
Su responsabilidad de conformidad al utilizar Servicios de AWS se determina en función de la

sensibilidad de los datos, los objetivos de cumplimiento de su empresa y la legislación y los reglamentos
correspondientes. AWS proporciona los siguientes recursos para ayudar con la conformidad:
• Guías de inicio rápido de seguridad y conformidad: en estas guías de implementación, se analizan

consideraciones de arquitectura y se proporcionan los pasos para implementar entornos de base de
referencia en AWS que se centren en la seguridad y la conformidad.
• Documento técnico sobre arquitectura para seguridad y conformidad de HIPAA: en este documento
técnico, se describe cómo las empresas pueden utilizar AWS para crear aplicaciones aptas para HIPAA.
Note
No todos los Servicios de AWS son aptos para HIPAA. Para obtener más información, consulte
la Referencia de servicios aptos para HIPAA.
• Recursos de conformidad de AWS: este conjunto de manuales y guías podría aplicarse a su sector y
ubicación.
• Evaluación de recursos con reglas en la Guía para desarrolladores de AWS Config: el servicio AWS
Config evalúa en qué medida las configuraciones de sus recursos cumplen las prácticas internas, las
directrices del sector y las normativas.
• AWS Security Hub: este Servicio de AWS proporciona una vista integral de su estado de seguridad en
AWS que lo ayuda a verificar la conformidad con los estándares y las prácticas recomendadas del sector
de seguridad.
• AWS Audit Manager: este servicio de Servicio de AWS lo ayuda a auditar continuamente el uso de AWS
con el fin de simplificar la forma en que administra el riesgo y la conformidad con las normativas y los
estándares del sector.
Resiliencia en AWS Audit Manager

La infraestructura global de AWS se compone de regiones de AWS y zonas de disponibilidad de AWS.
Las regiones proporcionan varias zonas de disponibilidad físicamente independientes y aisladas que se
253
Seguridad de infraestructuras
encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, además de baja
latencia.
Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una
conmutación por error automática entre las zonas sin interrupciones. Las zonas de disponibilidad tienen
una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de
centros de datos únicos o múltiples.
Para obtener más información sobre las regiones y zonas de disponibilidad de AWS, consulte
Infraestructura global de AWS.
Seguridad de la infraestructura en AWS Audit

Manager
Como servicio administrado,AWS Audit Managerestá protegido por elAWSprocedimientos de seguridad
de red globales descritos en laAmazon Web Services: Información general de los procesos de
seguridaddocumento técnico.
Puede utilizar llamadas a la API publicadas en AWS para obtener acceso a AWS Audit Manager a través
de la red. Los clientes deben ser compatibles con Transport Layer Security (TLS) 1.0 o una versión
posterior. Recomendamos TLS 1.2 o una versión posterior. Los clientes también deben ser compatibles
con conjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman
(DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La mayoría de los sistemas modernos como
Java 7 y posteriores son compatibles con estos modos.
Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de
acceso secreta que esté asociada a una entidad de seguridad de IAM. Puede usarAWS Security Token
Service(AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.
Puede llamar a estas operaciones de la API desde cualquier ubicación de red, pero AWS Audit Manager
admite políticas de acceso basadas en recursos, que pueden incluir restricciones en función de la dirección
IP de origen. También puede utilizar políticas de Audit Manager para controlar el acceso desde puntos de
enlace específicos de Amazon Virtual Private Cloud (Amazon VPC) o VPC específicas. Este proceso aísla
con eficacia el acceso de red a un recurso de Audit Manager de determinado únicamente desde la VPC
específica delAWSnetwork.
AWS Audit Manager y puntos de enlace de la VPC

de interfaz (AWS PrivateLink)
Puede establecer una conexión privada entre la VPC y AWS Audit Manager mediante la creación de un
punto de enlace de la VPC de interfaz. Los puntos de enlace de tipo interfaz cuentan conAWS PrivateLink,
una tecnología que le permite acceder de forma privada a las API de Audit Manager sin una gateway de
Internet, un dispositivo NAT, una conexión de VPN oAWSConexión de Direct Connect. Las instancias de la
VPC no necesitan direcciones IP públicas para comunicarse con las API de Audit Manager. El tráfico entre
la VPC y AWS Audit Manager no sale de la red de AWS.
Cada punto de enlace de la interfaz está representado por una o más interfaces de red elásticas en las
subredes.
Para obtener más información, consulte Puntos de enlace de la VPC de interfaz (AWS PrivateLink) en la
Guía del usuario de Amazon VPC.
254
Consideraciones para los puntos de
enlace de la VPC de AWS Audit Manager
Consideraciones para los puntos de enlace de la VPC

de AWS Audit Manager
Antes de configurar un punto de conexión de VPC de tipo interfaz para AWS Audit Manager, asegúrese
de revisar las Propiedades y limitaciones de los puntos de conexión de interfaz en la Guía del usuario de
Amazon VPC.
AWS Audit Manager admite realizar llamadas a todas sus acciones de la API desde su VPC.
Creación de un punto de enlace de la VPC de interfaz

para AWS Audit Manager
Puede crear un punto de enlace de la VPC para el servicio de AWS Audit Manager mediante la consola
de Amazon VPC o AWS Command Line Interface (AWS CLI). Para obtener más información, consulte
Creación de un punto de enlace de interfaz en la Guía del usuario de Amazon VPC.
Cree un punto de enlace de la VPC para AWS Audit Manager, mediante el siguiente nombre de servicio:
• com.amazonaws.region.auditmanager
Si habilita DNS privado para el punto de enlace, puede realizar solicitudes a la API para AWS Audit
Manager usando su nombre de DNS predeterminado para la región, por ejemplo auditmanager.us-
east-1.amazonaws.com.
Para obtener más información, consulte Acceso a un servicio a través de un punto de enlace de interfaz en
la Guía del usuario de Amazon VPC.
Creación de una política de puntos de enlace de la

VPC para AWS Audit Manager
Puede asociar una política de puntos de enlace con su punto de enlace de la VPC que controla el acceso a
AWS Audit Manager. La política especifica la siguiente información:
• La entidad principal que puede realizar acciones.

• Las acciones que se pueden realizar.
• Los recursos en los que se pueden llevar a cabo las acciones.
Para obtener más información, consulte Control del acceso a los servicios con puntos de enlace de la VPC
en la guía del usuario de Amazon VPC.
Ejemplo: Política de puntos de enlace de la VPC paraAWS Audit ManagerAcciones de
A continuación, se muestra un ejemplo de una política de puntos de enlace de AWS Audit Manager.
Cuando se asocia a un punto de enlace, esta política concede acceso a las acciones de Audit Manager
enumeradas para todos las entidades principales de todos los recursos.
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
255
Registro y monitoreo
"auditmanager:GetAssessments",
"auditmanager:GetServicesInScope",
"auditmanager:ListNotifications"
],
"Resource":"*"
}
]
}
Registro y monitoreo en AWS Audit Manager

La monitorización es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y el
desempeño deAWS Audit Managery tu otroAWSsoluciones.AWSproporciona las siguientes herramientas
de monitoreo para controlar a Audit Manager, informar cuando algo no funciona y realizar acciones
automáticas cuando proceda:
• AWS CloudTrail captura llamadas a la API y eventos relacionados efectuados por su cuenta de AWS
o en su nombre, y entrega los archivos de registro al bucket de Amazon S3 que se haya especificado.
También pueden identificar qué usuarios y cuentas llamaron a AWS, la dirección IP de origen de las
llamadas y el momento en que se hicieron. Para obtener más información, consulte la Guía del usuario
de AWS CloudTrail.
Registrar llamadas a la API de AWS Audit Manager

con AWS CloudTrail
AWS Audit Managerestá integrado conAWS CloudTrail, un servicio que proporciona un registro de las
acciones que realiza un usuario, un rol o unAWSservicio en Audit Manager. CloudTrail captura todas las
llamadas a la API de Audit Manager como eventos. Las llamadas capturadas incluyen las llamadas desde
la consola de Audit Manager y las llamadas desde el código a las operaciones de la API de Audit Manager.
Si crea un registro de seguimiento, puede habilitar la entrega continua de CloudTrail eventos en un bucket
de Amazon S3, incluidos los eventos paraAWS Audit Manager. Si no configura un registro de seguimiento,
puede ver los eventos más recientes en la CloudTrail Consola de enHistorial de eventos.
Mediante la información recopilada por CloudTrail, puede determinar la solicitud que se realizó a AWS
Audit Manager, la dirección IP desde la que se realizó, quién la realizó y cuándo, etc.
Para obtener más información acerca de CloudTrail, consulte la AWS CloudTrailGuía del usuario de .
Información de AWS Audit Manager en CloudTrail

CloudTrail se habilita en su cuenta de AWS cuando la crea. Cuando se produce actividad enAWS Audit
Manager, esa actividad se registra en un CloudTrail evento junto con otrosAWSeventos de servicio
enHistorial de eventos.
Puede ver, buscar y descargar los últimos eventos de la cuenta de AWS. Para obtener más información,
consulte Visualización de eventos con el historial de eventos de CloudTrail .
Para mantener un registro continuo de eventos en la cuenta de AWS, incluidos los eventos de AWS Audit
Manager, cree un registro de seguimiento. UNARegistro de seguimiento dehabilita CloudTrail para entregar
archivos de registro a un bucket de Amazon S3. De forma predeterminada, cuando se crea un registro de
seguimiento en la consola, el registro de seguimiento se aplica a todas las regiones de AWS. El registro
de seguimiento registra los eventos de todas las regiones de la partición de AWS y envía los archivos de
registro al bucket de Amazon S3 especificado.
256
Registros de CloudTrail
Además, puede configurar otrosAWSservicios para analizar y actuar en función de los datos de eventos
recopilados en CloudTrail registros. Para obtener más información, consulte los siguientes enlaces:
• Introducción a la creación de registros de seguimiento

• Servicios e integraciones compatibles con CloudTrail
• Configuración de notificaciones de Amazon SNS para CloudTrail
• Recepción CloudTrail Archivos de registro de de de varias regionesyRecepción de archivos de registro
de CloudTrail desde varias cuentas
TodosAWS Audit Managerlas acciones de las registra CloudTrail y están documentados

en elAWS Audit ManagerReferencia de la API. Por ejemplo, las llamadas
aCreateCustomControl,DeleteControlyUpdateAssessmentTemplateLas operaciones de API
generan entradas en el CloudTrail archivos de log.
Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de
identidad del usuario le ayuda a determinar lo siguiente:
• Si la solicitud se realizó con credenciales de usuario AWS Identity and Access Management (IAM) o
credenciales de usuario raíz.
• Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.
• Si la solicitud la realizó otro servicio de AWS.
Para obtener más información, consulte el Elemento userIdentity de CloudTrail.
Descripción de las entradas de archivos de registro de AWS

Audit Manager
Un registro de seguimiento es una configuración que permite entregar eventos como archivos de registro
al bucket de Amazon S3 que especifique. CloudTrail Los archivos de registro de contienen una o varias
entradas de registro. Un evento representa una solicitud específica realizada desde un origen y contiene
información sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud, etc.
CloudTrail Los archivos de log de no representan un seguimiento de la pila ordenado de las llamadas
públicas al API, por lo que no aparecen en ningún orden específico.
En el siguiente ejemplo, se muestra un CloudTrail entrada del log de donde se

muestraCreateAssessmentaction.
{
eventVersion:"1.05",
userIdentity:{
type:"IAMUser",
principalId:"principalId",
arn:"arn:aws:iam::accountId:user/userName",
accountId:"111122223333",
accessKeyId:"accessKeyId",
userName:"userName",
sessionContext:{
sessionIssuer:{
},
webIdFederationData:{
},
attributes:{
mfaAuthenticated:"false",
creationDate:"2020-11-19T07:32:06Z"
}
}
},
257
Configuración y vulnerabilidades
eventTime:"2020-11-19T07:32:36Z",
eventSource:"auditmanager.amazonaws.com",
eventName:"CreateAssessment",
awsRegion:"us-west-2",
sourceIPAddress:"sourceIPAddress",
userAgent:"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML,
like Gecko) Chrome/87.0.4280.66 Safari/537.36",
requestParameters:{
frameworkId:"frameworkId",
assessmentReportsDestination:{
destination:"***",
destinationType:"S3"
},
clientToken:"***",
scope:{
awsServices:[
{
serviceName:"license-manager"
}
],
awsAccounts:"***"
},
roles:"***",
name:"***",
description:"***",
tags:"***"
},
responseElements:{
assessment:"***"
},
requestID:"0d950f8c-5211-40db-8c37-2ed38ffcc894",
eventID:"a782029a-959e-4549-81df-9f6596775cb0",
readOnly:false,
eventType:"AwsApiCall",
recipientAccountId:"recipientAccountId"
}
Configuración y análisis de vulnerabilidades en

AWS Audit Manager
La configuración y los controles de TI son una responsabilidad compartida entre AWS y usted, nuestro
cliente. Para obtener más información, consulte el modelo de responsabilidad compartida de AWS.
258
Recursos admitidos
Etiquetado de recursos de AWS Audit

Manager
Una etiqueta es un elemento de metadatos que usted o AWS asigna a un recurso de AWS. Cada etiqueta
consta de una key (clave) y un value (valor). En el caso de etiquetas que usted asigna, debe definir la clave
y el valor. Por ejemplo, puede definir la clave como stage y el valor de un recurso como test.
Las etiquetas le ayudan a hacer lo siguiente:
• Localizar fácilmente suAWS Audit Managerde AWS. Puede utilizar las etiquetas como criterios de
búsqueda al navegar por la Biblioteca de marco y la Biblioteca de control de.
• Asocia tu recurso a un tipo de cumplimiento. Puede etiquetar varios recursos con una etiqueta específica
de conformidad para asociarlos a un marco específico.
• Identificar y organizar sus recursos de AWS. Muchos servicios de AWS admiten el etiquetado, por lo
que puede asignar la misma etiqueta a los recursos de diferentes servicios para indicar que los recursos
están relacionados.
• Realizar un seguimiento de los costos de AWS. Estas etiquetas se activan en el panel de AWS Billing
and Cost Management. AWS usa las etiquetas para clasificar los costos y enviar un informe mensual de
asignación de costos. Para obtener más información, consulte Uso de etiquetas de asignación de costes
en la Guía del usuario de AWS Billing and Cost Management.
En las siguientes secciones, se ofrece más información acerca de las etiquetas de AWS Audit Manager.
Recursos admitidos en AWS Audit Manager

Los siguientes recursos de AWS Audit Manager admiten el etiquetado:
• Evaluaciones
• Controles
• Marcos
Restricciones de las etiquetas

Las siguientes restricciones básicas se aplican a las etiquetas en los recursos del Administrador de Audit
Manager:
• Número máximo de etiquetas que puede asignar a un recurso: 50

• Longitud máxima de la clave: 128 caracteres Unicode
• Longitud máxima del valor: 256 caracteres Unicode
• Caracteres válidos para claves y valores: a-z, A-Z, 0-9, espacio y los siguientes caracteres: _.:/= + - y @
• Las claves y los valores distinguen entre mayúsculas y minúsculas
• No utilice aws: como prefijo para claves, ya que está reservado para AWS.
259
Administración de etiquetas enAWS Audit Manager
Administración de etiquetas
Puede establecer etiquetas como propiedades al crear una evaluación, un marco o un control. Puede
añadir, editar y eliminar etiquetas a través de la consola de Audit Manager y la API de Audit Manager. Para
obtener más información, consulte los enlaces siguientes.
• Para evaluaciones de:

• Creación de una evaluación (p. 46)yEdición de una evaluación (p. 50)en laEvaluacionessección de
esta guía
• Pestaña Etiquetas (p. 55)en laRevisar una evaluaciónsección de esta guía
• Crear evaluaciónyEvaluación de actualizacionesen laAWS Audit ManagerReferencia de la API
• TagResourceyUntagResourceen laAWS Audit ManagerReferencia de la API
• Para marcos de trabajo:
• Creación de un marco personalizado (p. 86)yEdición de un marco de trabajo personalizado (p. 90)en
laBiblioteca de marcosección de esta guía
• Pestaña Etiquetas (p. 86)en laVisualización de detalles del marcosección de esta guía
• Crear marco de evaluaciónyMarco de evaluación de actualizacionesen laAWS Audit
ManagerReferencia de la API
• Para controles:
• Crear un control personalizado (p. 157)yEdición de un control personalizado (p. 164)en laBiblioteca de
controlsección de esta guía
• Tabulador Etiquetas (p. 157)en laVer detalles del controlsección de esta guía
• Crear controlyControl de actualizaciónen laAWS Audit ManagerReferencia de la API
260
Audit Manager yAWS CloudFormationPlantillas de
Creación de AWS Audit Manager

recursos con AWS CloudFormation
AWS Audit Manager está integrado con AWS CloudFormation, un servicio que le ayuda a modelar y
configurar sus recursos de AWS para que pueda dedicar menos tiempo a crear y administrar sus recursos
e infraestructura. Crea una plantilla que describe todos losAWSrecursos que desee (como evaluaciones),
yAWS CloudFormationaprovisiona y configura dichos recursos.
Cuando utilizaAWS CloudFormation, puede volver a utilizar la plantilla para configurar sus recursos de
Audit Manager de forma coherente y repetida. Solo tiene que describir los recursos una vez y luego
aprovisionar los mismos recursos una y otra vez en varias cuentas y regiones de AWS.
Audit Manager yAWS CloudFormationPlantillas de

Para aprovisionar y configurar los recursos de Audit Manager y sus servicios relacionados, debe
entenderAWS CloudFormationPlantillas de. Las plantillas son archivos de texto con formato de
tipo JSON o YAML. Estas plantillas describen los recursos que desea aprovisionar en sus pilas de
AWS CloudFormation. Si no está familiarizado con JSON o YAML, puede utilizar Designer de AWS
CloudFormation para comenzar a utilizar las plantillas de AWS CloudFormation. Para obtener más
información, consulte ¿Qué es Designer de AWS CloudFormation? en la Guía del usuario de AWS
CloudFormation.
Audit Manager admite la creación de evaluaciones enAWS CloudFormation. Para obtener más
información, incluidos ejemplos de plantillas JSON y YAML para evaluaciones, consulte laAWS Audit
ManagerReferencia de tipos de recursosen laAWS CloudFormationGuía del usuario de.
Obtener más información sobre AWS

CloudFormation
Para obtener más información acerca de AWS CloudFormation, consulte los siguientes recursos:
• AWS CloudFormation
• Guía del usuario de AWS CloudFormation
• Referencia de la API de AWS CloudFormation
• Guía del usuario de la interfaz de la línea de comandos de AWS CloudFormation
261
Historial de revisión de la guía del

usuario de AWS Audit Manager
En la tabla siguiente se describen los cambios importantes de cada versión deAWS Audit ManagerGuía del
usuario a partir del 8 de diciembre de 2020.
update-history-change update-history-description update-history-date
ActualizadoAWSpolítica AWS Audit Managerha 20 de mayo de 2022

administrada (p. 262) actualizado
elAWSAuditManagerServiceRolePolicy.
Para obtener más información,
consulteAWSPolíticas
administradas de paraAWS Audit
Manager.
Nuevo marco compatible: Perfil Un nuevo marco prediseñado 6 de mayo de 2022

de control de nube medio del ya está disponible enAWS
Centro Canadiense para la Audit Manager. Para obtener
Ciberseguridad (p. 262) más información, consultePerfil
de control de nube medio del
Centro Canadiense para la
Ciberseguridad.
ActualizadoAWSpolítica AWS Audit Managerha 29 de abril de 2022

elAWSAuditManagerAdministratorAccesspolítica.
Manager.
Support adicionalesAWS A partir de ahora, puede 27 de abril de 2022

Configreglas utilizar 91 adicionales.AWS
administradas (p. 262) Configreglas administradas
como origen de datos para los
controles personalizados en
Audit Manager. Para obtener más
información, consulteUso deAWS
Configreglas administradas
conAWS Audit Manager.
Compatibilidad conAWS A partir de ahora, puede 27 de abril de 2022

Configreglas personalizadas utilizarAWS Configreglas
de (p. 262) personalizadas como origen
de datos para los controles
personalizados en Audit
Manager. Para obtener más
información, consulteUso deAWS
Configreglas personalizadas
conAWS Audit Manager.
262
Nuevo marco compatible: Un nuevo marco prediseñado 7 de abril de 2022

ISO/IEC 27001:2013 Anexo ya está disponible enAWS Audit
A (p. 262) Manager. Para obtener más
información, consulteISO/IEC
27001:2013 Anexo A.
ActualizadoAWSpolítica AWS Audit Managerha 16 de marzo de 2022

elAWSAuditManagerServiceRolePolicy.
Manager.
Nuevos marcos compatibles: Dos nuevos marcos de 2 de marzo de 2022

Benchmark de CIS para trabajo prediseñados ya están
CIS Amazon Web Services disponibles enAWS Audit
Foundations Benchmark Manager: CIS Benchmark para
v1.4 (p. 262) CIS Amazon Web Services
Foundations Benchmark v1.4,
nivel 1, yBenchmark de CIS
para CIS Amazon Web Services
Foundations Benchmark v1.4,
nivel 1 y 2. Para obtener más
información, consulteBenchmark
CIS para CISAWS Audit
ManagerFundamentos
Benchmark v1.4.0.
Nuevo marco compatible: Un nuevo marco prediseñado 2 de marzo de 2022

Controles CIS v8 IG1 (p. 262) ya está disponible enAWS Audit
información, consulteControles
CIS v8 IG1.
Panel de AWS Audit Ahora puede utilizar el panel de 18 de noviembre de 2021

Manager (p. 262) Audit Manager para supervisar
sus evaluaciones activas e
identificar rápidamente pruebas
no conformes. Para obtener más
información, consulteUso del
panel de Audit Manager.
Uso compartido de marcos Ahora puede compartir 22 de octubre de 2021

personalizados (p. 262) los marcos de Audit
Manager personalizados con
otroAWScuenta o réplica en
otraAWSRegión bajo su propia
cuenta. Para obtener más
información, consulteCompartir
un marco personalizado.
263
Nuevos ejemplos deAWS Audit Ahora puede revisar ejemplos 21 de septiembre de 2021
Managercontroles (p. 262) de controles y saber cómo
Audit Manager ayuda a llevar
suAWSentorno en consonancia
con sus requisitos. Para
obtener más información,
consulteEjemplos deAWS Audit
Managercontroles.
Nuevo marco compatible: Un nuevo marco prediseñado 2 de septiembre de 2021

Ley Gramm-Leach-Bliley ya está disponible enAWS Audit
(GLBA) (p. 262) Manager. Para obtener más
información, consulteLey Gramm-
Leach-Bliley (GLBA).
Nuevo capítulo de solución de Ya está disponible un nuevo 23 de agosto de 2021

problemas (p. 262) capítulo de solución de
problemas. Para obtener más
información, consulteSolución
de problemas enAWS Audit
Manager.
Nuevo capítulo y tutorial de Hemos ampliado la 25 de junio de 2021

delegación (p. 262) documentación de nuestra
delegación en un nuevo capítulo.
consulteDelegaciones enAWS
Audit Manager. También hemos
añadido un nuevo tutorial
dirigido a los delegados que
están revisando un conjunto de
controles por primera vez enAWS
Audit Manager. Para obtener
más información, consulteTutorial
para delegados: Revisión de un
conjunto de controles.
Nuevo marco compatible: NIST Un nuevo marco prediseñado 17 de junio de 2021

SP 800-171 Rev. 2 (p. 262) ya está disponible enAWS Audit
información, consulteNIST SP
800-171 Rev. 2.
Informes de evaluación Mejoramos el formato y el 8 de junio de 2021

mejorados (p. 262) contenido deAWS Audit
Managerinformes de evaluación.
Para obtener más información
acerca de cómo navegar y
comprender los nuevos informes
de evaluación, consulteInformes
de evaluación.
264
NuevoAWSPágina de políticas AWS Audit Managerha 6 de mayo de 2021

administradas (p. 262) comenzado a realizar
seguimientos de los cambios
de las políticas administradas.
consultePolíticas administradas
por AWS paraAWS Audit
Manager.
Nuevo marco compatible: NIST Un nuevo marco prediseñado 5 de mayo de 2021

Cybersecurity Framework versión ya está disponible enAWS
1.1 (p. 262) Audit Manager. Para obtener
más información, consulteNIST
Cybersecurity Framework versión
1.1.
Nuevo marco compatible:AWS Un nuevo marco prediseñado 5 de mayo de 2021

Well-Architected (p. 262) ya está disponible enAWS Audit
información, consulteAWSWell-
Architected.
Nuevo marco compatible:AWS Un nuevo marco prediseñado 5 de mayo de 2021

Prácticas recomendadas de ya está disponible enAWS
seguridad básica de (p. 262) Audit Manager. Para
obtener más información,
consulteAWSPrácticas
recomendadas de seguridad
básica de.
Nuevo marco compatible: GxP Un nuevo marco prediseñado 28 de abril de 2021

UE Anexo 11 (p. 262) ya está disponible enAWS Audit
información, consulteGxP UE
Anexo 11.
Nuevo marco compatible: NIST Un nuevo marco prediseñado 25 de marzo de 2021

800-53 (Rev. 5) Bajo-moderado- ya está disponible enAWS
alto (p. 262) Audit Manager. Para obtener
más información, consulteNIST
800-53 (Rev. 5) Bajo-moderado-
alto.
Nuevos marcos compatibles: Dos nuevos marcos de 22 de marzo de 2021

Benchmark CIS para CISAWS trabajo prediseñados ya
Audit ManagerFundamentos están disponibles enAWS
Benchmark v1.3 (p. 262) Audit Manager: Benchmark
ManagerFundations
Benchmark v1.3.0, Nivel 1,
yBenchmark CIS para CISAWS
Audit ManagerFundations
Benchmark v1.3.0, niveles
1 y 2. Para obtener más
información, consulteBenchmark
ManagerFundamentos
Benchmark v1.3.0.
265
Versión inicial (p. 262) Versión inicial de laAWS Audit 8 de diciembre de 2020
ManagerGuía del usuario y
referencia de la API.
266
Glosario de AWS
Para ver la terminología más reciente de AWS, consulte el Glosario de AWS en la Referencia general de
AWS.
267
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la
traducción y la version original de inglés, prevalecerá la version en inglés.
cclxviii

Audit Manager Amazon

Cargado por

Copyright:

Formatos disponibles

Audit Manager Amazon

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Audit Manager Amazon

Cargado por

Copyright:

Formatos disponibles

AWS Audit Manager

Guía del usuario

AWS Audit Manager: Guía del usuario

Solución de problemas .............................................................................................................. 44

Envío de un conjunto de controles al propietario de la auditoría ............................................... 74

GxP 21 CFR parte 11 ...................................................................................................... 141

Administración de las cuotas .................................................................................................... 213

¿Qué es AWS Audit Manager?

Características de AWS Audit Manager

• Comience a utilizar rápidamente—Crear la primera evaluaciónseleccionando de una galería de marcos

• Garantizar la integridad de los—Almacenar pruebasen un lugar seguro, donde permanece inalterado.

AWS Audit Managerayuda a recopilar pruebas relevantes para verificar el cumplimiento de

Precios de AWS Audit Manager

¿Es la primera vez que usa AWS Audit Manager?

MásAWS Audit Managerrecursos

• Recopilar pruebas y administrar datos de auditoría medianteAWS Audit Manager

Conceptos y terminología de AWS Audit Manager

Para obtener instrucciones sobre cómo crear y administrar evaluaciones, consulteEvaluaciones

Un informe de evaluación es un documento finalizado que se genera a partir de unAWS Audit

Para obtener más información sobre los informes de evaluación, consulte.Informes de

El términopropietario de auditoríatiene dos significados distintos según el contexto.

Un estándar de cumplimiento es un conjunto estructurado de directrices que detallan los procesos de

Existen dos tipos de control enAWS Audit Manager:

Origen de datos de control

Un único control puede tener varios orígenes de datos.

Un dominio de control es diferente a unconjunto de controles. Un conjunto de controles es

Audit Manager clasifica los controles en los siguientes dominios de control.

Controlar el nombre Descripción de lo que rigen estos controles

Planificación de Cómo establece procesos que protegen las operaciones empresariales

Administración de Cómo prueba, aprueba, implementa y documenta los cambios en la

Seguridad y Cómo protege la privacidad, la disponibilidad y la integridad de sus datos.

Administración de Cómo mantiene su infraestructura en la nube en un estado deseado y

Gobierno y Cómo alinea el uso de la computación en la nube con sus obligaciones

Controlar el nombre Descripción de lo que rigen estos controles

Administración de Cómo establece responsabilidades y procedimientos que garantizan una

Administración de Cómo administra y opera la red de datos mediante un sistema de

Seguridad física Cómo detecta y previene problemas de seguridad física en sus

Administración de Cómo reduce el riesgo de que el hardware de TI de sus empleados se

Los propietarios de auditorías asignan conjuntos de control específicos a los delegados, no a

La evidencia es un registro que contiene la información necesaria para demostrar el cumplimiento de

Existen dos tipos principales de pruebas enAWS Audit Manager:automatizadoymanual.

continuamente si se invocan mediante eventos de cambio). Algunos ejemplos de comprobaciones

La recopilación automatizada de pruebas comienza cuando crea una evaluación. Se trata de

Existen dos tipos de framework enAWS Audit Manager:

AWS Audit Managerayuda a recopilar pruebas relevantes para verificar el cumplimiento

Una evaluación de recursos es el proceso de evaluación de un recurso individual. Esta evaluación

CómoAWS Audit Managerrecoge pruebas

1. Evaluación de un recurso desde el origen de datos

2. Conversión de los resultados de la evaluación en pruebas

3. Adjuntar pruebas al control relacionado

Independientemente de la frecuencia de recopilación de pruebas para la fuente de datos, se recopilan

Ejemplos deAWS Audit Managercontroles

Recomendamos habilitarAWS ConfigyAWS Security Hubpara obtener una experiencia óptima en

• Después de tihabilitarAWS Security Hub, asegúrese de que tambiénhabilitar todos los

Controles automatizados que utilizanAWS Security

Detalles de control de ejemplo

• Nombre de control–IAM policies should not allow full "*" administrative

Qué hace este control

Cómo recopila Audit Manager las pruebas de este control

Cómo utilizar Audit Manager para demostrar el cumplimiento de este control