审计查找结果隐藏 - Amazon IoT Core
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

审计查找结果隐藏

当您运行审计时,它会报告所有不合规资源的查找结果。这意味着您的审计报告包含您正在努力缓解问题的资源的查找结果以及已知不合规资源(如测试设备或损坏设备)的查找结果。审计将继续报告在连续审计运行中仍然不合规的资源的查找结果,这可能会向您的报告中添加不需要的信息。使用审计查找结果,您可以在定义的时间段内隐藏或筛选出查找结果,直到资源的问题被解决,若是针对与测试或损坏设备关联的资源,则可无限期地隐藏结果。

注意

缓解操作不适用于被隐藏的审计结果。有关缓解操作的更多信息,请参阅 缓解操作

有关审计检查结果隐藏配额的信息,请参阅 Amazon IoT Device Defender 端点与配额

审计查找结果隐藏的工作原理

当您为不合规的资源创建审计查找结果隐藏时,您的审计报告和通知的行为会有所不同。

您的审计报告将包含一个新部分,其中列出与报告关联的所有隐藏的查找结果。当我们评估审计检查是否合规时,不会考虑隐藏查找结果。当您在命令行界面 (CLI) 中使用 describe-audit-task 命令时,每个审计检查也会返回隐藏的资源计数。

对于审计通知,当我们评估审计检查是否合规时,不会考虑隐藏的查找结果。Amazon IoT Device Defender 发布到 Amazon CloudWatch 和 Amazon Simple Notification Service (Amazon SNS) 的每个审计检查通知中也包含隐藏资源计数。

如何在控制台中使用审计查找结果隐藏

要隐藏审计报告中的查找结果

以下流程介绍了如何在 Amazon IoT 控制台中创建审计查找结果隐藏。

  1. Amazon IoT 控制台的导航窗格中,展开 Defend(防护),然后选择 Audit(审计)、Results(结果)。

  2. 选择您要查看的审计报告。

  3. Non-compliant checks(不合规检查)部分,在 Check name(检查名称)项下,选择您感兴趣的审计检查。

  4. 在审计检查详细信息屏幕上,如果存在您不想看到的查找结果,请选择查找结果旁边的选项按钮。然后,选择 Actions(操作),接着选择您希望审计查找结果隐藏持续的时长。

    注意

    在控制台中,您可以选择 1 周1 个月3 个月6 个月,或者无限期作为审计查找结果隐藏的到期日期。如果要设置特定的到期日期,则只能在 CLI 或 API 中执行此操作。无论到期日期为何,您都可以随时取消审计查找结果隐藏。

  5. 确认隐藏详细信息,然后选择 Enable suppresion(启用隐藏)。

  6. 创建审计查找结果隐藏后,将显示一个提示,确认审计查找结果隐藏已创建。

在审计报告中查看隐藏的结果

  1. Amazon IoT 控制台的导航窗格中,展开 Defend(防护),然后选择 Audit(审计)、Results(结果)。

  2. 选择您要查看的审计报告。

  3. Suppressed findings(隐藏查找结果)部分,查看已针对您选择的审计报告隐藏了哪些审计结果。

列出审计查找结果隐藏

  • Amazon IoT 控制台的导航窗格中,展开 Defend(防护),然后选择 Audit(审计)、Finding suppressions(查找结果隐藏)。

要编辑审计查找结果隐藏

  1. Amazon IoT 控制台的导航窗格中,展开 Defend(防护),然后选择 Audit(审计)、Finding suppressions(查找结果隐藏)。

  2. 选择要编辑的审计查找结果隐藏旁边的选项按钮。下一步,选择 Actions(操作)、Edit(编辑)。

  3. Edit audit finding suppression(编辑查找结果隐藏)窗口中,您可以更改 Suppression duration(隐藏时长)或者 Description (optional)(描述(可选))。

  4. 执行您的更改后,选择 Save(保存)。Finding suppressions(查找结果隐藏)窗口将打开。

要删除审计查找结果隐藏

  1. Amazon IoT 控制台的导航窗格中,展开 Defend(防护),然后选择 Audit(审计)、Finding suppressions(查找结果隐藏)。

  2. 选择要删除的审计查找结果隐藏旁边的选项按钮,然后选择 Actions(操作)、Delete(删除)。

  3. Delete audit finding suppression(删除审计查找结果隐藏)窗口中,在文本框中输入 delete 以确认删除,然后选择 Delete(删除)。Finding suppressions(查找结果隐藏)窗口将打开。

如何在 CLI 中使用审计查找结果隐藏

您可以使用以下 CLI 命令来创建和管理审计查找结果隐藏。

您输入的 resource-identifier 取决于您需要隐藏查找结果的 check-name。下表详细说明了哪些检查需要哪个 resource-identifier 来用于创建和编辑隐藏。

注意

隐藏命令不意味着关闭审计。审计仍会在您的 Amazon IoT 设备上运行。隐藏仅适用于审计结果。

check-name resource-identifier
AUTHENTICATE_COGNITO_ROLE_OVERLY_PERMISSIVE_CHECK cognitoIdentityPoolId
CA_CERT_APPROACHING_EXPIRATION_CHECK caCertificateId
CA_CERTIFICATE_KEY_QUALITY_CHECK caCertificateId
CONFLICTING_CLIENT_IDS_CHECK clientId
DEVICE_CERT_APPROACHING_EXPIRATION_CHECK deviceCertificateId
DEVICE_CERTIFICATE_KEY_QUALITY_CHECK deviceCertificateId
DEVICE_CERTIFICATE_SHARED_CHECK deviceCertificateId
IOT_POLICY_OVERLY_PERMISSIVE_CHECK policyVersionIdentifier
IOT_ROLE_ALIAS_ALLOWS_ACCESS_TO_UNUSED_SERVICES_CHECK roleAliasArn
IOT_ROLE_ALIAS_OVERLY_PERMISSIVE_CHECK roleAliasArn
LOGGING_DISABLED_CHECK account
REVOKED_CA_CERT_CHECK caCertificateId
REVOKED_DEVICE_CERT_CHECK deviceCertificateId
UNAUTHENTICATED_COGNITO_ROLE_OVERLY_PERMISSIVE_CHECK cognitoIdentityPoolId

要创建和应用审计查找结果隐藏

以下流程介绍如何在 Amazon CLI 中创建审计查找结果隐藏。

  • 使用 create-audit-suppression 命令创建审计查找结果隐藏。以下示例为根据 Logging disabled(禁用的日志记录)这项检查为 Amazon Web Services 账户 123456789012 创建了审计查找结果隐藏。

    aws iot create-audit-suppression \ --check-name LOGGING_DISABLED_CHECK \ --resource-identifier account=123456789012 \ --client-request-token 28ac32c3-384c-487a-a368-c7bbd481f554 \ --suppress-indefinitely \ --description "Suppresses logging disabled check because I don't want to enable logging for now."

    此命令无任何输出。

审计查找结果隐藏 API

以下 API 可用于创建和管理审计查找结果隐藏。

特定审计查找结果进行筛选,您可以使用 ListAuditFindings API。