거버넌스를 깔았다면 다음 질문은 "그래서 우리가 규정을 지키고 있다는 것을 어떻게 증명하느냐"다. 감사는 본질적으로 증거 수집·매핑·보고의 반복 노동이다. AWS Audit Manager는 이 과정을 자동화한다 — 미리 정의된 규제 프레임워크의 통제 항목에 AWS 활동·구성 증거를 자동으로 매핑·수집해 감사 준비 보고서를 만든다. 보안 시험에서 Audit Manager는 "지속적 규정 준수 증거를 자동으로 모으는 도구"로 등장하며, Config·CloudTrail·Security Hub와의 연계가 핵심이다.
프레임워크(Framework) ── 규제/표준의 통제 모음 (CIS, PCI-DSS, SOC2, HIPAA, GDPR ...)
└ 통제(Control) ── 개별 요구사항 (예: "루트 계정 MFA 활성화")
└ 데이터 소스 ── 증거를 어디서 가져올지 (Config 규칙, CloudTrail, API 호출, 수동)
평가(Assessment) ── 특정 프레임워크를 특정 계정/리전 범위에 적용한 실행 단위
└ 증거(Evidence) ── 자동/수동으로 수집된 준수 근거 (스냅샷·로그·설정·체크 결과)
평가 보고서 ── 증거를 묶어 감사자에게 제출 가능한 형태로 출력
핵심 가치는 증거의 자동·지속 수집이다