Marketplace Vendor Insights - AWS Audit Manager automated assessments not well designed / AWSVendorInsightsConformancePackv1

Hi, As a SaaS ISV selling a product on the AWS Marketplace, I decided to use the AWS Audit Manager continuous automated assessment documented in Step 4 here: https://docs.aws.amazon.com/marketplace/latest/userguide/vendor-insights-setting-up.html.

However, the stacks and stacksets that it references (Github repo) (associated with conformance pack "AWSVendorInsightsConformancePackv1") , create AWS resources that themselves violate the checks/postures embodied in the said automated assessment, creating a downward spiral of work that never reaches a finish line:

Example of non-compliant S3 buckets created by AWSVendorInsightsConformancePackv1 that are flagged as non-compliant

Another head-scratcher rule is "no inline policies" in IAM User, Roles, or Groups; when AWS's first-party configuration wizards routinely use this. Inline Policies are impossible to avoid: shown here created by AWS Systems Manager easy configuration wizard, and the VendorInsights CF stackset

Please recall the AWSVendorInsightsConformancePackv1 scripts if they are so clearly unhelpful to a Marketplace ISV to reach any reasonable finish line.

Thanks, Sid

Temas

Seguridad, identidad y cumplimiento AWS Marketplace

Etiquetas

AWS Audit Manager AWS Marketplace

Idioma

English

Sid M

preguntada hace un mes115 visualizaciones

No hay respuestas

Más nuevo
Más votos
Más comentarios

Contenido relevante

¿Cómo puedo ver mis suscripciones de software en AWS Marketplace?
OFICIAL DE AWSActualizada hace 2 años
¿Qué soporte hay disponible para los grupos de reglas de AWS Marketplace para AWS WAF?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo cancelo las instancias de mi suscripción a AWS Marketplace y cancelo la suscripción?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo soluciono los errores de conexión de AWS Marketplace en mis trabajos de ETL de AWS Glue?
OFICIAL DE AWSActualizada hace 3 meses