云服务器内容精选

  • 响应参数 状态码: 200 表8 响应Body参数 参数 参数类型 描述 description String 描述 code String 返回码 order_id String 订单ID 状态码: 400 表9 响应Body参数 参数 参数类型 描述 error Object 错误信息返回体。 表10 ErrorDetail 参数 参数类型 描述 error_code String 错误请求返回的错误码。 error_msg String 错误请求返回的错误信息。 状态码: 403 表11 响应Body参数 参数 参数类型 描述 error Object 错误信息返回体。 表12 ErrorDetail 参数 参数类型 描述 error_code String 错误请求返回的错误码。 error_msg String 错误请求返回的错误信息。 状态码: 500 表13 响应Body参数 参数 参数类型 描述 error Object 错误信息返回体。 表14 ErrorDetail 参数 参数类型 描述 error_code String 错误请求返回的错误码。 error_msg String 错误请求返回的错误信息。
  • 请求示例 /v2/{project_id}/dbss/audit/charge/period/order { "flavor_ref" : "st6.xlarge.4", "name" : "DBSS-acc3", "vpc_id" : "4c035747-f77b-4c6d-b23b-cb3a2b96c7e6", "availability_zone" : "xx-xx", "comment" : "", "region" : "xx-xx", "nics" : [ { "subnet_id" : "6201dcf2-1374-43ec-ae8b-78b4081572d3" } ], "security_groups" : [ { "id" : "04088976-9c63-4e6b-9070-84e6a30c782b" } ], "cloud_service_type" : "hws.service.type.dbss", "charging_mode" : 0, "period_type" : 2, "period_num" : 1, "subscription_num" : 1, "is_auto_renew" : 0, "product_infos" : [ { "product_id" : "00301-xxxxxxx-0--0", "cloud_service_type" : "hws.service.type.dbss", "resource_type" : "hws.resource.type.dbss", "resource_spec_code" : "dbss.bypassaudit.low", "product_spec_desc" : "{\"specDesc\":{\"zh-cn\":{},\"en-us\":{\"instance Name\":\"DBSS-test\",\"VPC\":\"default_vpc\",\"Subnet\":\"subnet-af32\"}}}" } ], "promotion_info" : "", "enterprise_project_id" : "0", "tags" : [ { "key" : "key_test", "value" : "1" } ] }
  • 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用 IAM 服务查询用户Token接口获取(响应消息头中X-Subject-Token的值)。 表3 请求Body参数 参数 是否必选 参数类型 描述 name 是 String 实例名称。取值范围: 只能由中文字符、英文字母、数字、下划线、中划线组成,且长度小于等于64个字符。 flavor_ref 是 String 云服务器使用的规格ID vpc_id 是 String 虚拟私有云的ID availability_zone 是 String 云服务器对应可用分区信息。(两个主备分区,中间用“,”分割,例如az1.dc1,az2.dc2)。 enterprise_project_id 否 String 企业项目ID。对接EPS必输。 nics 是 Array of nics objects 云服务器对应的网卡信息 security_groups 是 Array of security_groups objects 云服务器对应安全组信息 comment 否 String 备注信息 region 是 String 云服务器所在区域ID cloud_service_type 是 String 服务类型: hws.service.type.dbss charging_mode 是 Integer 计费模式: 0: 包周期计费 1: 按需计费 period_type 是 Integer -订购周期类型 0: 天 1:周 2:月 3:年 4: 小时 5: 绝对时间 period_num 是 Integer 订购周期数 subscription_num 是 Integer 订购数量: DBSS只支持订购1套,不支持多套 product_infos 是 Array of product_infos objects 产品信息列表 tags 否 Array of KeyValueBean objects 资源标签 promotion_info 否 String 折扣信息 is_auto_renew 否 Integer 自动续费 1: 自动续费 0: 不自动续费 表4 nics 参数 是否必选 参数类型 描述 subnet_id 是 String 网卡对应的子网ID ip_address 否 String IP地址,不填或空字符串为自动分配 表5 security_groups 参数 是否必选 参数类型 描述 id 是 String 云服务器对应的安全组ID,会对创建云服务器中配置的网卡生效 表6 product_infos 参数 是否必选 参数类型 描述 product_id 是 String 产品ID cloud_service_type 是 String 服务类型: hws.service.type.dbss resource_type 是 String 资源类型: hws.resource.type.dbss resource_spec_code 是 String 资源规格:- dbss.bypassaudit.low- dbss.bypassaudit.medium- dbss.bypassaudit.high product_spec_desc 否 String 产品规格的中英文描述,规格包含:主机名称、规格、虚拟私有云、子网。json字符串格式 :{"specDesc":{"zh-cn":{"主机名称":"value1","规格":"value2","虚拟私有云":"value3","子网":"value4"},"en-us":{"Instance Name":"value1","Edition":"value2","VPC":"value3","Subnet":"value4"}}} 表7 KeyValueBean 参数 是否必选 参数类型 描述 key 是 String 键 value 否 String 值
  • 操作场景 云审计 服务(Cloud Trace Service,简称 CTS )是华为 云安全 解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 开通云审计服务后,您可以通过云审计服务记录与工业数字模型驱动引擎(Industrial Digital Model Engine,简称iDME)相关的操作事件,便于日后的查询、审计和回溯。
  • 支持云审计的iDME关键操作 表1 云审计服务支持的iDME操作列表 操作名称 资源类型 事件名称 云服务变更询价 cbcResource changeInquiry 订单变更 cbcResource orderChange 云服务倒计时信息查询 cbcResource countdownQuery 订购设计服务 cbcResource subscribeStudio 批量添加资源标签(设计服务) cbcResource resourceTagBatchCreate 批量删除资源标签(设计服务) cbcResource resourceTagBatchDelete 创建应用 dmeApp createDmeApp 编辑应用 dmeApp updateAppDescription 删除应用 dmeApp deleteApp 购买运行服务 dmeEnvironment subscribeRuntime 变更服务回调 dmeEnvironment cbcCallbackChange 从运行环境卸载应用 dmeEnvironment deleteEnvsApp 部署应用至运行环境 dmeEnvironment deployXdmApp 批量添加资源标签(运行服务) dmeEnvironment resourceTagBatchCreate 批量删除资源标签(运行服务) dmeEnvironment resourceTagBatchDelete 刷新环境中部署应用状态 dmeEnvironment refreshEnvAppStatus 更新环境状态 dmeEnvironment updateInstancesStatus 运营鉴权 dmeOperation orderAuthentication 获取订单号 dmeOperation createOrder 开通云服务回调校验 dmeOperation subscribeCallbackVerify 更新云服务metadata信息 dmeOperation updateMetadata 云服务加锁 dmeOperation lock 云服务解锁 dmeOperation unlock 退订iDME dmeOperation unsubscribeDme 开通服务回调 dmeOperation cbcCallbackSubscribe 创建委托并赋权 dmeOperation buildAgency 开通租户 dmeOperation createTenant 修改租户配额信息 dmeQuota modifyTenantQuotas 更新MBM公司名称 mbmOperation updateMbmCompanyName 更新MBM站点名称 mbmOperation updateMbmSiteName 激活MBM站点 mbmOperation activeMbmSite 退订组织 dmeOrg unsubscribeSaasorg
  • 使用须知 文档数据库服务的审计日志功能默认是关闭的,您可以根据业务需要开启审计日志,开启后系统记录读写操作的审计信息,可能会有5%-15%的性能影响。 开启审计日志会收取一定费用,收费详情请参见产品价格详情。 文档数据库服务会去检测已生成的审计日志,若审计日志超过用户自定义的保留天数,则将其删除。建议审计日志保存180天以上,用于审计回溯和问题分析等场景。 审计策略修改后,文档数据库服务将按照新的策略执行审计,原审计日志的保留天数以修改后审计策略的保留天数为准。 审计日志不建议删除,如需删除,请先确保审计日志删除后仍然符合您所在地或者企业的安全合规要求,建议删除前下载日志文件在本地备份。审计日志删除后不可恢复,请谨慎操作。 您可以通过文档数据库服务查看、下载和删除DDS实例审计日志,详情请参见通过文档数据库服务查看审计日志;也可以按照日志配置管理配置后,在LTS服务查看DDS实例审计日志的详细信息,包括搜索日志、日志可视化、下载日志和查看实时日志等功能,详情请参见通过 云日志 服务查看审计日志。 审计日志默认每小时生成一次,如果日志大小超过最大限制10MB,则会额外生成新的审计日志。 客户数据需要使用UTF-8编码格式,对于非UTF-8格式数据,对应语句的审计结果可能会有缺失、遗漏或乱码等非预期现象。
  • 事件样例 如下提供了查询副本集状态信息的样例,详细的字段解释可参考事件结构。 { "atype": "replSetGetStatus", "ts": { "$date": "2022-06-29T07:23:29.077+0000" }, "local": { "ip": "127.0.0.1", "port": 8636 }, "remote": { "ip": "127.0.0.1", "port": 50860 }, "users": [ { "user": "rwuser", "db": "admin" } ], "roles": [ { "role": "root", "db": "admin" } ], "param": { "command": "replSetGetStatus", "ns": "admin", "args": { "replSetGetStatus": 1, "forShell": 1, "$clusterTime": { "clusterTime": { "$timestamp": { "t": 1656487409, "i": 117 } }, "signature": { "hash": { "$binary": "PTJhGQ6cr8RyzuqbevXfG0xWj/c=", "$type": "00" }, "keyId": { "$numberLong": "7102437926763495425" } } }, "$db": "admin" } }, "result": 0 }
  • 报表类型 数据库安全审计为用户提供了8种报表模板,各报表名称如表1所示。用户可根据实际业务情况生成报表、设置报表的执行任务。 表1 报表说明 报表模板名称 报表类型 说明 数据库安全综合报表 综合报表 提供数据库整体审计状况,主要从风险分布、会话分布和登录状况等几个维度进行审计分析,为数据库管理提供整体审计状况依据。 数据库安全合规报表 合规报表 根据《中国国家信息安全保护检验标准》和国家等级保护的检测要求对数据库进行数据统计。帮助数据库管理人员、审计人员及时发现各种异常行为和违规操作,并为快速定位分析、整体信息管理提供决策依据。 SOX-萨班斯报表 合规报表 参考《萨班斯法案》针对用户全面把控数据库内部活动的要求,对数据库进行数据统计。帮助数据库管理人员、 审计人员及时发现各种异常行为和违规操作,并为快速定位分析、整体信息管理提供决策依据。 数据库服务器分析报表 数据库专项报表 分别为数据库活动用户统计、访问数据库来源IP数量统计、数据库登录及请求统计分析和使用数据库操作时间判断数据库服务器性能。 客户端IP分析报表 客户端专项报表 统计源IP中客户端应用程序、数据库用户数量和SQL语句数量。 DML命令报表 数据库操作专项报表 通过DML命令分析用户与特权操作。 DDL命令报表 数据库操作专项报表 通过DDL命令分析用户与特权操作。 DCL命令报表 数据库操作专项报表 通过DCL命令分析用户与特权操作。
  • 常见场景 请您根据数据库类型以及数据库部署场景,为待审计的数据库添加Agent。数据库常见的部署场景说明如下: E CS /BMS自建数据库的常见部署场景如图1和图2所示。 图1 一个应用端连接多个ECS/BMS自建数据库 图2 多个应用端连接同一个ECS/BMS自建数据库 RDS关系型数据库的常见部署场景如图3和图4所示。 图3 一个应用端连接多个RDS 图4 多个应用端连接同一个RDS 添加Agent方式的详细说明如表1所示。 当您的应用和数据库(ECS/BMS自建数据库)都部署在同一个节点上时,Agent需在数据库端添加。 数据库安全审计还支持批量部署流量采集Agent,针对大规模业务场景(容器化部署应用、数据库(RDS关系型数据库)数量大),能够显著提升产品配置的效率,降低配置的复杂度,减少运维人员的日常维护压力。详细操作步骤,请参见容器化部署数据库安全审计Agent。 表1 添加Agent方式说明 使用场景 Agent安装节点 审计功能说明 注意事项 ECS/BMS自建数据库 数据库端 可以审计所有访问该数据库的应用端的所有访问记录。 在数据库端添加Agent。 当某个应用端连接多个ECS/BMS自建数据库时,所有连接该应用端的数据库都需要添加Agent。 RDS关系型数据库 应用端 (应用端部署在云上) 可以审计该应用端与其连接的所有数据库的访问记录。 在应用端添加Agent。 当某个应用端连接多个RDS时,所有连接该应用端的RDS关系型数据库都需要添加Agent。当其中一个RDS选择“安装节点类型”后,其余RDS添加Agent时,选择“选择已有Agent”添加方式。详细操作请参见•“添加方式”选择“选择已有Agent” 当多个应用端连接同一个RDS时,所有连接该RDS的应用端都需要添加Agent。 代理端(应用端部署在云下) 只能审计代理端与后端数据库之间的访问记录,无法审计应用端与后端数据库的访问记录。 在应用端添加Agent。 “安装节点IP”需要配置为代理端的IP地址。
  • 前提条件 确认实例账号具有相关权限。 请确认购买实例的账号具有“DBSS System Administrator”、“VPC Administrator”、“ECS Administrator”和“BSS Administrator”角色。 VPC Administrator:对虚拟私有云的所有执行权限。项目级角色,在同项目中勾选。 BSS Administrator:对账号中心、费用中心、资源中心中的所有菜单项执行任意操作。项目级角色,在同项目中勾选。 ECS Administrator:对弹性云服务器的所有执行权限。项目级角色,在同项目中勾选。
  • 效果验证 以脱敏“护照号”信息,且审计的数据库为MySQL为例说明,请参考以下操作步骤验证隐私数据脱敏功能是否生效: 开启“隐私数据脱敏”,并确保“护照号”规则已启用,如图2所示。 图2 规则已启用 使用MySQL数据库自带的客户端,以root用户登录数据库。 在数据库客户端,输入一条SQL请求语句。 select * from db where HOST="护照号"; 在左侧导航栏选择“数据报表”,进入“数据报表”页面。 根据筛选条件,查询输入的SQL语句。 单击该SQL语句,在“语句详情”页面查看SQL请求语句信息,隐私数据脱敏功能正常,“SQL请求语句”显示脱敏后的信息。 图3 隐私数据脱敏
  • audit_file_remain_threshold 参数说明:审计目录下审计文件个数的最大值。 该参数属于SIGHUP类型参数,请参考表1中对应设置方法进行设置。 取值范围:整型,100~1048576 默认值:1048576 请尽量保证此参数为1048576,并不要随意调整此参数,否则可能会导致audit_resource_policy无法生效,如果需要控制审计日志的存储空间和时间,请使用audit_resource_policy、audit_space_limit和audit_file_remain_time参数进行控制。 多审计线程场景下不建议调整此参数,请保证此参数不小于审计线程个数audit_thread_num,否则会导致审计功能无法正常使用与数据库异常。
  • audit_thread_num 参数说明:审计线程的个数。 该参数属于POSTMASTER类型参数,请参考表1中对应设置方法进行设置。 取值范围:整型,1~48 默认值:1 当audit_dml_state开关打开且在高性能场景下,建议增大此参数保证审计消息可以被及时处理和记录。 请保证此参数不大于审计目录下审计文件个数的最大值audit_file_remain_threshold,否则会导致审计功能无法正常使用与数据库异常。
  • audit_space_limit 参数说明:审计文件占用的磁盘空间总量。 该参数属于SIGHUP类型参数,请参考表1中对应设置方法进行设置。 取值范围:整型,1024KB~1024GB,单位为KB。 默认值:1GB 多审计线程场景下,审计文件占用的磁盘空间最小值是audit_thread_num与audit_rotation_size的乘积,请保证audit_space_limit的值大于audit_thread_num与audit_rotation_size的乘积。
  • audit_directory 参数说明:审计文件的存储目录。一个相对于数据目录data的路径,可自行指定,仅sysadmin用户可以访问。 该参数属于POSTMASTER类型参数,请参考表1中对应设置方法进行设置。 取值范围:字符串 默认值:pg_audit。如果使用om工具部署数据库,则审计日志路径为“$GAUSS LOG /pg_audit/实例名称”。 不同的DN实例需要设置不同的审计文件存储目录,否则会导致审计日志异常。 当配置文件中audit_directory的值为非法路径时,会导致审计功能无法使用。