支持 云审计 的关键操作列表 表1 云审计服务支持的账号中心操作列表 操作名称 资源类型 事件名称 变更个人认证 accountCenter changeIndividualAuthInfo 升级为企业认证 accountCenter reauthWithEnterpriseInfo 变更企业名称 accountCenter changeEnterpriseName 变更企业主体 accountCenter changeEnterpriseEntity 变更手机号 accountCenter changePhone 变更手邮箱 accountCenter changeEmail 新增收件地址 accountCenter addRecipient 修改收件地址 accountCenter editRecipient 删除收件地址 accountCenter deleteRecipient 关闭华为云业务 accountCenter closeHuaweiCloudservices 恢复华为云业务 accountCenter restoreHuaweiCloudservices 注销华为云业务 accountCenter disableHuaweiCloudservices

支持审计的关键操作列表 云审计服务（Cloud Trace Service， CTS ），是 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 云审计支持的专属主机操作如表1所示。 表1 云审计支持的专属主机操作列表 操作名称 资源类型 事件名称 创建专属主机 dedicatedHosts createDedicatedHosts 更新专属主机 dedicatedHosts updateDedicatedHosts 删除专属主机 dedicatedHosts releaseDedicatedHosts 父主题： 关键操作审计

支持审计的关键操作列表 表1 云审计服务支持的公共服务关键操作列表 操作名称 资源类型 事件名称 新增纳管集群 octopus addCluster 更新纳管集群信息 octopus updateCluster 解除纳管集群 octopus deleteCluster 新建资源规格 octopus createResourceSpec 删除资源规格 octopus deleteResourceSpec 更新集群节点标签 octopus updateClusterNodeLabel 创建镜像仓库 octopus createImageRepo 创建镜像仓库版本 octopus createImageVersion 创建镜像推送账号 octopus createDockerAccount 更新镜像仓库 octopus updateImageRepo 删除镜像仓库 octopus deleteImageRepo 删除镜像仓库版本 octopus deleteImageVersion 更新镜像仓库版本 octopus updateImageVersion 创建标签 octopus createDataTag 批量导入标签 octopus importDataTags 删除标签 octopus deleteDataTag 编辑标签 octopus updateDataTag 批量创建标签 octopus createDataTags 表2 云审计服务支持的数据资产关键操作列表 操作名称 资源类型 事件名称 下载地图 octopus downloadDataMap 创建地图信息 octopus createDataMap 更新地图信息 octopus updateDataMap 删除地图包 octopus deleteDataMap 创建车辆 octopus createVehicle 更新车辆 octopus updateVehicle 删除车辆 octopus deleteVehicle 创建车队 octopus createVehicleFleet 更新车队 octopus updateVehicleFleet 删除车队 octopus deleteVehicleFleet 创建标定 octopus createCalibration 删除标定 octopus deleteCalibration 创建标定项 octopus createCalibrationItem 删除标定项 octopus deleteCalibrationItem 创建仿真场景 octopus createDataEpisodeScenario 创建场景片段 octopus createDataScenarioSegment 删除场景片段 octopus deleteDataScenarioSegment 下载日志 octopus downloadDataLog 下载回放数据 octopus downloadReplayDataBlocks 下载resim回放数据 octopus downloadReplayResimBlocks 下载mp4回放数据 octopus downloadReplayVideoSlice 下载回放数据 octopus downloadReplayData 创建递送订单 octopus createExpressOrder 触发订单传输数据 octopus startTransferExpressOrderData 更新订单任务配置 octopus updateExpressOrderTaskConfig 创建数据集 octopus createDataset 修改数据集 octopus updateDataset 删除数据集 octopus deleteDataset 创建数据集导出任务 octopus createDatasetExportTask 下载数据集版本的日志文件 octopus downloadDatasetVersionLog 下载数据集版本文件数据 octopus downloadDatasetVersionData 创建数据集版本 octopus createDatasetVersion 删除数据集版本 octopus deleteDatasetVersion 创建版本导出任务 octopus createDatasetVersionExportTask 删除数据集导出任务 octopus deleteDatasetExportTask 创建数据集格式 octopus createDatasetFormatType 删除数据集格式 octopus deleteDatasetFormatType 创建通用存储 octopus createDataWarehouse 修改通用存储 octopus updateDataWarehouse 批量删除通用存储 octopus deleteDataWarehouses 批量删除某个通用存储中的多个数据处理任务 octopus deleteDataWarehouseTasks 创建通用存储数据 octopus createDataWarehouseData 更新通用存储的指定数据 octopus updateDataWarehouseData 创建通用存储中视频文件分片 octopus createDataWarehouseVideoSlice 删除通用存储中指定数据 octopus deleteDataWarehouseData 创建通用存储导出任务 octopus createDataWarehouseExportTask 删除通用存储关联的导出任务 octopus deleteDataWarehouseExportTask 批量删除通用存储自定义属性 octopus deleteDataWarehouseCustomAttributes 新增通用存储自定义属性 octopus createDataWarehouseCustomAttribute 下载通用存储文件数据 octopus downloadDataWarehouseData 删除缓存数据记录 octopus deleteDataCache 数据集缓存加速 octopus publishDataset 创建模型仓库 octopus createModelRepository 创建模型版本 octopus createModelVersion 删除模型版本 octopus deleteModelVersion 删除模型仓库 octopus deleteModelRepository 更新模型仓库 octopus updateModelRepository 打包模型版本 octopus packageModelVersion 更新模型版本打包状态 octopus updateModelVersionPackagingResult 删除模型版本中的文件 octopus deleteModelVersionFile 保存模型版本文件 octopus saveModelVersionFile 更新模型版本上传状态 octopus updateModelVersionUploadResult 下载模型版本文件 octopus downloadModelVersionFile 更新模型版本状态 octopus updateModelVersionStatus 表3 云审计服务支持的数据处理关键操作列表 操作名称 资源类型 事件名称 导入数据包 octopus importPackage 更新数据包状态 octopus updatePackageStatus 删除数据包 octopus deletePackage 更新数据包标签 octopus updatePackageTags 删除导入任务 octopus deleteImportPackageTask 创建数据包上传任务 octopus createPackageUploadTask 创建分片上传链接 octopus createPartSignedUrl 完成分片上传 octopus completePackageUpload 上传数据包元数据 octopus uploadPackageMetaInfo 创建算子 octopus createDataProcessor 更新算子 octopus updateDataProcessor 删除算子 octopus deleteDataProcessor 创建算子作业 octopus createDataJob 更新算子作业 octopus updateDataJob 批量更新算子作业 octopus updateDataJobs 删除算子作业 octopus deleteDataJob 批量删除作业 octopus deleteDataJobs 创建内置作业 octopus createDataSystemJob 操作队列 octopus updateDataJobPriority 批量操作队列 octopus updateDataJobsPriority 表4 云审计服务支持的标注服务关键操作列表 操作名称 资源类型 事件名称 新建标注团队 octopus createAnnotationGroup 编辑标注团队 octopus updateAnnotationGroup 删除标注团队 octopus deleteAnnotationGroup 从数据集创建标注任务 octopus createAnnotationBatchTaskFromDataset 导出批次任务列表报告 octopus downloadAnnotationBatchTasksReport 批量删除标注批次任务 octopus deleteAnnotationBatchTasks 创建拆分的批次任务 octopus createAnnotationSubTasksFromBatchTask 下载子任务统计报告 octopus downloadAnnotationSubTaskStatisticReport 更新批次任务的标注规范 octopus updateAnnotationBatchTaskSpecification 增加需求方字典值 octopus createAnnotationRequester 删除需求方字典值 octopus deleteAnnotationRequester 保存标注信息 octopus updateAnnotationData 将3D坐标点转换成2D坐标点 octopus updateAnnotationCube3dToCube2d 将2D坐标点转换成3D坐标点 octopus updateAnnotationCube2dToCube3d 创建标注物 octopus createAnnotationMeta 批量删除标注物 octopus deleteAnnotationMetas 编辑标注物 octopus updateAnnotationMeta 保存标注时间 octopus updateAnnotationSubTaskTime 创建标注项目 octopus createAnnotationProject 批量删除标注项目 octopus deleteAnnotationProjects 修改标注项目 octopus updateAnnotationProject 下载标注项目人员统计报告 octopus downloadAnnotationProjectUserStatisticReport 创建标注脚本 octopus createAnnotationScript 编辑标注脚本 octopus updateAnnotationScript 批量删除标注脚本 octopus deleteAnnotationScripts 批量删除标注任务 octopus deleteAnnotationSubTasks 设置标注任务的审核比例 octopus updateAnnotationSubTaskQualityInspectionRatio 更新标注子任务流程 octopus updateAnnotationSubTaskProcedure 导出标注数据成数据集 octopus downloadAnnotationDataToDataset 创建标注项目规范 octopus createAnnotationProjectSpecification 批量删除标注项目规范 octopus deleteAnnotationProjectSpecifications 更新任务队列顺序 octopus updateAnnotationTaskQueue 批量修改任务优先级 octopus updateAnnotationTaskPriority 创建标注模板 octopus createAnnotationTemplate 批量删除标注模板 octopus deleteAnnotationTemplates 编辑标注模板 octopus updateAnnotationTemplate 创建标注用户 octopus createAnnotationUser 编辑标注用户 octopus updateAnnotationUser 批量删除标注用户 octopus deleteAnnotationUsers 获取标注文件 octopus downloadAnnotationFile 新增团队中用户 octopus createAnnotationGroupUser 删除团队中用户 octopus deleteAnnotationGroupUser 下载标注批次任务日志 octopus downloadAnnotationBatchTaskLog 批量创建标注预审核任务 octopus createAnnotationAutoInspectTasks 批量删除标注预审核任务 octopus deleteAnnotationAutoInspectTasks 下载标注预审核报告、日志 octopus downloadAnnotationInspectLogReport 表5 云审计服务支持的训练服务关键操作列表 操作名称 资源类型 事件名称 创建训练算法 octopus createTrainAlgorithm 更新训练算法信息 octopus updateTrainAlgorithm 删除训练算法 octopus deleteTrainAlgorithm 删除训练算法文件 octopus deleteTrainAlgorithmFile 保存训练算法文件 octopus saveTrainAlgorithmFile 打包训练算法 octopus packageTrainAlgorithm 更新训练算法打包结果 octopus updateTrainAlgorithmPackagingResult 下载算法压缩包 octopus downloadTrainAlgorithmPackage 更新训练算法上传结果 octopus updateTrainAlgorithmUploadResult 删除编译模型 octopus deleteCompiledModel 打包编译模型 octopus packageCompiledModel 更新打包编译模型打包结果 octopus updateCompiledModelPackagingResult 下载编译模型 octopus getDownloadPackagePath 创建模型编译机 octopus createModelCompiler 删除模型编译镜像 octopus deleteModelCompiler 更新模型编译镜像 octopus updateModelCompiler 创建模型编译任务 octopus createModelCompileTask 重启模型编译任务 octopus restartModelCompileTask 停止模型编译任务 octopus stopModelCompileTask 删除模型编译任务 octopus deleteModelCompileTasks 修改模型编译任务优先级 octopus updateModelCompileTaskPriority 下载模型编译任务日志 octopus downloadModelCompileTaskLog 创建模型评测对比任务 octopus createEvaluationComparisonTask 停止模型评测对比任务 octopus stopEvaluationComparisonTask 重启模型评测对比任务 octopus restartEvaluationComparisonTask 删除模型评测对比任务 octopus deleteEvaluationComparisonTask 下载模型评测对比文件 octopus downloadEvaluationComparisonTaskFiles 创建模型评测脚本 octopus createModelEvaluationScript 更新模型评测脚本 octopus updateModelEvaluationScript 删除模型评测脚本 octopus deleteModelEvaluationScript 删除模型评测脚本文件 octopus deleteModelEvaluationScriptFile 保存模型评测脚本文件 octopus saveModelEvaluationScriptFile 打包模型评测脚本文件 octopus packageModelEvaluationScript 更新模型评估脚本打包结果 octopus updateModelEvaluationScriptPackagingResult 上报打包模型评估脚本状态 octopus updateModelUploadEvaluationScriptResult 下载已打包模型评估脚本 octopus downloadModelEvaluationScriptPackagePath 创建模型评估任务 octopus createModelEvaluationTask 重启模型评估任务 octopus restartModelEvaluationTask 停止模型评估任务 octopus stopModelEvaluationTask 继续模型评估任务 octopus resumeModelEvaluationTask 删除模型评估任务 octopus deleteModelEvaluationTasks 修改模型评测任务优先级 octopus updateModelEvaluationTaskPriority 下载模型评测任务日志 octopus downloadEvaluationTaskLog 保存坏例判别结果为数据集 octopus saveBadcaseResultAsDatasets 创建训练任务 octopus createTrainingTask 重启训练任务 octopus restartTrainingTask 停止训练任务 octopus stopTrainingTask 删除训练任务 octopus deleteTrainingTasks 修改训练任务优先级 octopus updateTrainingTaskPriority 表6 云审计服务支持的仿真服务关键操作列表 操作名称 资源类型 事件名称 创建在线仿真加载任务 octopus createSimLoadTasks 创建在线仿真保存任务 octopus createSimSaveTasks 创建在线仿真回放任务 octopus createSimReplayTasks 下载仿真任务报告 octopus downloadSimulationReports 创建算法镜像 octopus createSimAlgorithmImages 更新算法镜像 octopus updateSimAlgorithmImages 删除算法镜像 octopus deleteSimAlgorithmImages 创建算法 octopus createSimAlgorithms 更新算法 octopus updateSimAlgorithms 删除算法 octopus deleteSimAlgorithms 创建仿真配置 octopus createSimBatchConfigs 更新仿真配置 octopus updateSimBatchConfigs 删除仿真配置 octopus deleteSimBatchConfigs 创建仿真任务 octopus createSimBatches 更新仿真任务 octopus updateSimBatches 删除仿真任务 octopus deleteSimBatches 调整仿真任务队列优先级 octopus updateSimBatchPriority 仿真pb下载 octopus downloadSimOsi 算法日志下载 octopus downloadAlgorithmLog 评测日志下载 octopus downloadEvaluationLog 评测pb下载 octopus downloadEvaluation 算法pb下载 octopus downloadAlgorithmPb 仿真meta下载 octopus downloadOsiMeta 算法meta下载 octopus downloadAlgorithmMeta 创建评测镜像 octopus createSimEvaluationImages 更新评测镜像 octopus updateSimEvaluationImages 删除评测镜像 octopus deleteSimEvaluationImages 创建评测 octopus createSimEvaluations 更新评测 octopus updateSimEvaluations 删除评测 octopus deleteSimEvaluations 创建场景库分类 octopus createSimCategories 更新场景库分类 octopus updateSimCategories 删除场景库分类 octopus deleteSimCategories 创建逻辑场景库分类 octopus createLogicalCategories 更新逻辑场景库分类 octopus updateLogicalCategories 删除逻辑场景库分类 octopus deleteLogicalCategories 创建场景库 octopus createSimGroups 更新场景库 octopus updateSimGroups 删除场景库 octopus deleteSimGroups 场景库中添加场景 octopus updateSimGroupsScenarios 场景库删除场景 octopus deleteSimGroupsScenarios 创建逻辑场景库 octopus createLogicalGroups 更新逻辑场景库 octopus updateLogicalGroups 逻辑场景库中添加场景 octopus updateLogicalGroupsScenarios 删除逻辑场景库 octopus deleteLogicalGroups 删除逻辑场景库中的场景 octopus deleteLogicalGroupsScenarios 创建场景地图 octopus createSimMaps 更新场景地图文件 octopus updateSimMaps 下载地图文件 octopus downloadSimMaps 创建逻辑场景地图 octopus createLogicalMaps 更新逻辑场景地图文件 octopus updateLogicalMaps 创建场景3D模型 octopus createSimModels 更新场景3D模型 octopus updateSimModels 下载场景3D模型文件 octopus downloadSimModels 创建测试套件 octopus createSimSuits 更新测试套件 octopus updateSimSuits 删除测试套件 octopus deleteSimSuits 套件添加用例 octopus addCasesToSuits 从套件删除用例 octopus deleteCasesFromSuit 创建测试用例 octopus createSimTestcases 更新测试用例 octopus updateSimTestcases 删除测试用例 octopus deleteSimTestcases 测试用例添加单个标签 octopus updateSimTestcasesLabels 测试用例删除单个标签 octopus deleteSimTestcasesLabels 创建场景 octopus createSimScenarios 更新场景 octopus updateSimScenarios 删除场景 octopus deleteSimScenarios 下载场景文件 octopus downloadSimScenarios 创建场景文件 octopus createSimScenariosFiles 修改场景文件 octopus updateSimScenariosFiles 场景绑定单个标签 octopus updateSimScenariosLabels 场景解绑标签 octopus deleteSimScenariosLabels 创建逻辑场景 octopus createLogicalScenarios 更新逻辑场景 octopus updateLogicalScenarios 删除逻辑场景 octopus deleteLogicalScenarios 下载逻辑场景文件 octopus downloadLogicalScenarios 创建逻辑场景文件 octopus createLogicalScenariosFiles 更新逻辑场景文件 octopus updateLogicalScenariosFiles 创建标签 octopus createSimLabels 更新标签 octopus updateSimLabels 删除标签 octopus deleteSimLabels 更新逻辑场景标签 octopus updateLogicalScenariosLabels 删除逻辑场景标签 octopus deleteLogicalScenariosLabels 创建参数泛化资源 octopus createLogicalParameters 下载逻辑参数文件 octopus downloadLogicalParameters 更新参数泛化资源文件 octopus updateLogicalParametersFiles 导入标签 octopus createSimTurtles 创建泛化任务 octopus createLogicalGeneralizations 删除泛化任务 octopus deleteLogicalGeneralizations 表7 云审计服务支持的智驾模型服务关键操作列表 操作名称 资源类型 事件名称 设置委托名称 octopus setAgency 删除委托名称 octopus deleteAgency 进行2D图片预标注 octopus createImageAnnotation 创建2D图片生成任务 octopus createImageGenJob 终止2D生成任务 octopus terminateImageGenJob 删除2D生成图片任务 octopus deleteImageGenJob 删除生成的2D图片 octopus deleteGenImage 批量删除生成的图片 octopus deleteGenImages 清理已删掉的图片 octopus cleanGenImage

操作步骤 登录云审计服务管理控制台。 在管理控制台左上角单击图标，选择区域。 在左侧导航栏中，单击“事件列表”，进入“事件列表”页面。 事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 事件来源、资源类型和筛选类型。 在下拉框中选择查询条件。 其中筛选类型选择事件名称时，还需选择某个具体的事件名称。 选择资源ID时，还需输入某个具体的资源ID。 选择资源名称时，还需选择或手动输入某个具体的资源名称。 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 事件级别：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 时间范围：可选择查询最近七天内任意时间段的操作事件。 单击需要查看的事件名称，展开该事件的事件概览，可查看事件的基本信息，单击“了解事件结构”，可以查看该事件结构的详细信息。

概念介绍 Resource：Resource是模板中最重要的元素，通过关键字 "resource" 进行声明。当前"resource"中只支持"huaweicloud_rms_policy_assignment"一种资源，在其中指定具体的合规规则（支持预定义合规规则与自定义合规规则）的名称等配置信息。 变量：输入变量可以理解为模板的参数，通过关键字 "variable" 进行声明。通过定义输入变量，我们可以无需变更模板的源代码就能灵活修改配置。当没有变量时，不需要声明关键字 "variable" 。 Provider: Provider代表服务提供商，通过关键字 "terraform" 进行声明，详细定义请参见Provider。自定义合规规则包的格式为： "terraform": { "required_providers": { "huaweicloud": { "source": "huawei.com/provider/huaweicloud", "version": "1.46.0" } } } 其中version必须选择1.46.0或者更高的版本，支持的版本见支持Provider版本列表。

合规规则包示例文件： example-conformance-pack.tf.json { "resource": { "huaweicloud_rms_policy_assignment": { "AccessKeysRotated": { "name": "access-keys-rotated", "description": "An IAM users is noncompliant if the access keys have not been rotated for more than maxAccessKeyAge number of days.", "policy_definition_id": "2a2938894ae786dc306a647a", "period": "TwentyFour_Hours", "parameters": { "maxAccessKeyAge": "${jsonencode(var.maxAccessKeyAge)}" } }, "IamGroupHasUsersCheck": { "name": "iam-group-has-users-check", "description": "An IAM groups is noncompliant if it does not add any IAM user.", "policy_definition_id": "f7dd9c02266297f6e8c8445e", "policy_filter": { "resource_provider": "iam", "resource_type": "groups" }, "parameters": {} }, "IamPasswordPolicy": { "name": "iam-password-policy", "description": "An IAM users is noncompliant if password policy for IAM users matches the specified password strength.", "policy_definition_id": "2d8d3502539a623ba1907644", "policy_filter": { "resource_provider": "iam", "resource_type": "users" }, "parameters": { "pwdStrength": "${jsonencode(var.pwdStrength)}" } }, "IamRootAccessKeyCheck": { "name": "iam-root-access-key-check", "description": "An account is noncompliant if the the root iam user have active access key.", "policy_definition_id": "66cac2ddc17b6a25ad077253", "period": "TwentyFour_Hours", "parameters": {} }, "IamUserConsoleAndApiAccessAtCreation": { "name": "iam-user-console-and-api-access-at-creation", "description": "An IAM user with console access is noncompliant if access keys are setup during the initial user setup.", "policy_definition_id": "a5f29eb45cddce8e6baa033d", "policy_filter": { "resource_provider": "iam", "resource_type": "users" }, "parameters": {} }, "IamUserGroupMembershipCheck": { "name": "iam-user-group-membership-check", "description": "An IAM user is noncompliant if it does not belong to any IAM user group.", "policy_definition_id": "846f5708463c1490c4eebd60", "policy_filter": { "resource_provider": "iam", "resource_type": "users" }, "parameters": { "groupIds": "${jsonencode(var.groupIds)}" } }, "IamUserLastLoginCheck": { "name": "iam-user-last-login-check", "description": "An IAM user is noncompliant if it has never signed in within the allowed number of days.", "policy_definition_id": "6e4bf7ee7053b683f28d7f57", "period": "TwentyFour_Hours", "parameters": { "allowedInactivePeriod": "${jsonencode(var.allowedInactivePeriod)}" } }, "IamUserMfaEnabled": { "name": "iam-user-mfa-enabled", "description": "An IAM user is noncompliant if it does not have multi-factor authentication (MFA) enabled.", "policy_definition_id": "b92372b5eb51330306cec9c2", "policy_filter": { "resource_provider": "iam", "resource_type": "users" }, "parameters": {} }, "IamUserSingleAccessKey": { "name": "iam-user-single-access-key", "description": "An IAM user with console access is noncompliant if iam user have multiple active access keys.", "policy_definition_id": "6deae3856c41b240b3c0bf8d", "policy_filter": { "resource_provider": "iam", "resource_type": "users" }, "parameters": {} }, "MfaEnabledForIamConsoleAccess": { "name": "mfa-enabled-for-iam-console-access", "description": "An IAM user is noncompliant if it uses a console password and does not have multi-factor authentication (MFA) enabled.", "policy_definition_id": "63f8301e47b122062a68b868", "policy_filter": { "resource_provider": "iam", "resource_type": "users" }, "parameters": {} }, "RootAccountMfaEnabled": { "name": "root-account-mfa-enabled", "description": "An account is noncompliant if the the root iam user does not have multi-factor authentication (MFA) enabled.", "policy_definition_id": "61d787a75cf7f5965da5d647", "period": "TwentyFour_Hours", "parameters": {} } } }, "variable": { "maxAccessKeyAge": { "description": "The maximum number of days without rotation. ", "type": "string", "default": "90" }, "pwdStrength": { "description": "The requirements of password strength. The parameter value can only be 'Strong', 'Medium', or 'Low'.", "type": "string", "default": "Strong" }, "groupIds": { "description": "The list of allowed IAM　group IDs. If the list is empty, all values are allowed.", "type": "list(string)", "default": [] }, "allowedInactivePeriod": { "description": "Maximum number of days without login.", "type": "number", "default": 90 } }, "terraform": { "required_providers": { "huaweicloud": { "source": "huawei.com/provider/huaweicloud", "version": "1.46.0" } } } }

合规规则包示例文件： example-conformance-pack-with-custom-policy.tf.json { "resource": { "huaweicloud_rms_policy_assignment": { "CustomPolicyAssignment": { "name": "customPolicy${var.name_suffix}", "description": "合规包自定义合规规则，所有资源都是不合规的", "policy_filter": { "resource_provider": "obs", "resource_type": "buckets" }, "parameters": {}, "custom_policy": { "function_urn": "${var.function_urn}", "auth_type": "agency", "auth_value": { "agency_name": "\"config_custom_policy_agency\"" } } } } }, "variable": { "name_suffix": { "description": "", "type": "string" }, "function_urn": { "description": "", "type": "string" } }, "terraform": { "required_providers": { "huaweicloud": { "source": "huawei.com/provider/huaweicloud", "version": "1.46.0" } } } }

基本概念 示例模板： 配置审计 服务提供给用户的合规规则包模板，合规规则包示例模板旨在帮助用户快速创建合规规则包，其中包含适合用户场景的合规规则和输入参数。 预定义合规规则包： 通过“示例模板”创建的合规规则包，用户只需要填入所需的规则参数即可完成合规规则包的部署流程。 自定义合规规则包： 用户根据自身需求编写合规规则包的模板文件，在模板文件中填入适合自身使用场景的预设规则或自定义规则，然后通过“上传模板”或“OBS存储桶”方式完成合规规则包的部署流程。自定义模板文件格式和文件内容格式均为JSON，不支持tf格式和zip格式的文件内容。 合规性数据： 一个合规规则包包含一个或多个合规规则，而每一条合规规则会评估一个或多个资源的合规结果，配置审计服务提供了如下的合规性数据，供您了解合规规则包的评估结果概览： 合规规则包的合规性评估：代表合规规则包中的所有合规规则是否评估到不合规的资源。若存在不合规资源，则合规评估结果为“不合规”；若不存在不合规资源，则合规评估结果为“合规”。 合规规则的合规性评估：代表合规规则包中的单个合规规则是否评估到不合规的资源。若存在不合规资源，则合规评估结果为“不合规”；若不存在不合规资源，则合规评估结果为“合规”。 合规规则包的合规分数：代表合规规则包中所有规则的合规资源数之和与所有规则的评估资源数之和的百分比。若该值为100，则代表合规规则包中所有的合规评估结果均为合规；若该值为0，则代表合规规则包中所有的合规评估结果均为不合规；若该值为“--”，则代表合规规则包未评估到任何资源。 图1 合规分数计算公式 资源栈： 合规规则包下发的合规规则的创建、更新和删除行为最终是通过 RFS 服务的资源栈来实现的。资源栈是 资源编排 服务的概念，详见资源栈。 状态： 表1 合规规则包的部署状态 取值 状态 状态说明 CREATE_SUC CES SFUL 已部署 合规规则包已部署成功，合规规则均创建成功。 CREATE_IN_PROGRESS 部署中 合规规则包正在部署中，合规规则正在创建中。 CREATE_FAILED 部署异常 合规规则包部署失败。 DELETE_IN_PROGRESS 删除中 合规规则包正在删除中，合规规则正在删除中。 DELETE_FAILED 删除异常 合规规则包删除失败。 ROLLBACK_SUCCESSFUL 回滚成功 合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，已创建的合规规则删除成功。 ROLLBACK_IN_PROGRESS 回滚中 合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，已创建的合规规则正在删除中。 ROLLBACK_FAILED 回滚失败 合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，回滚行为失败，需在RFS服务查看失败原因。 UPDATE_SUCCESSFUL 更新成功 合规规则包修改并更新成功。 UPDATE_IN_PROGRESS 更新中 合规规则包修改更新中。 UPDATE_FAILED 更新失败 合规规则包修改更新失败。 合规规则包的授权： 通过资源编排服务（RFS）的资源栈创建和删除合规规则时，需要拥有合规规则的创建和删除的权限。因此，部署合规规则包时，需要提供一个具有相应权限的委托，供配置审计服务的合规规则包下发时使用。 当您不选择进行自定义授权时，Config将通过服务关联委托的方式自动获取RFS的相关权限。如您需要自行控制委托权限的范围，可选择进行自定义授权，提前在 统一身份认证 服务（IAM）中创建委托，并进行自定义授权，但必须包含可以让合规规则包正常工作的权限（授权资源编排服务创建、更新和删除合规规则的权限），创建委托详见创建委托（委托方操作）。

使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到 对象存储服务 (OBS)或 云日志 服务(LTS)，才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 CTS新版事件列表不显示数据类审计事件，您需要在旧版事件列表查看数据类审计事件。 云审计控制台对用户的操作事件日志保留7天，过期自动删除，不支持人工删除。

使用须知 文档数据库服务的审计日志功能默认是关闭的，您可以根据业务需要开启审计日志，开启后系统记录读写操作的审计信息，可能会有5%-15%的性能影响。 开启审计日志会收取一定费用，收费详情请参见产品价格详情。 文档数据库服务会去检测已生成的审计日志，若审计日志超过用户自定义的保留天数，则将其删除。建议审计日志保存180天以上，用于审计回溯和问题分析等场景。 审计策略修改后，文档数据库服务将按照新的策略执行审计，原审计日志的保留天数以修改后审计策略的保留天数为准。 审计日志不建议删除，如需删除，请先确保审计日志删除后仍然符合您所在地或者企业的安全合规要求，建议删除前下载日志文件在本地备份。审计日志删除后不可恢复，请谨慎操作。 您可以通过文档数据库服务查看、下载和删除DDS实例审计日志，详情请参见通过文档数据库服务查看审计日志；也可以按照日志配置管理配置后，在LTS服务查看DDS实例审计日志的详细信息，包括搜索日志、日志可视化、下载日志和查看实时日志等功能，详情请参见通过云日志服务查看审计日志。 审计日志默认每小时生成一次，如果日志大小超过最大限制10MB，则会额外生成新的审计日志。 客户数据需要使用UTF-8编码格式，对于非UTF-8格式数据，对应语句的审计结果可能会有缺失、遗漏或乱码等非预期现象。 文档数据库服务使用的对象存储服务上的审计日志文件，对用户不可见，它们只对后台管理系统可见。

事件样例 如下提供了查询副本集状态信息的样例，详细的字段解释可参考事件结构。 { "atype": "replSetGetStatus", "ts": { "$date": "2022-06-29T07:23:29.077+0000" }, "local": { "ip": "127.0.0.1", "port": 8636 }, "remote": { "ip": "127.0.0.1", "port": 50860 }, "users": [ { "user": "rwuser", "db": "admin" } ], "roles": [ { "role": "root", "db": "admin" } ], "param": { "command": "replSetGetStatus", "ns": "admin", "args": { "replSetGetStatus": 1, "forShell": 1, "$clusterTime": { "clusterTime": { "$timestamp": { "t": 1656487409, "i": 117 } }, "signature": { "hash": { "$binary": "PTJhGQ6cr8RyzuqbevXfG0xWj/c=", "$type": "00" }, "keyId": { "$numberLong": "7102437926763495425" } } }, "$db": "admin" } }, "result": 0 }

支持审计的关键操作列表 通过云审计服务，您可以记录与文档数据库服务相关的操作事件，便于日后的查询、审计和回溯。 表1 文档数据库服务的关键操作列表 操作名称 资源类型 事件名称 恢复到新实例 instance ddsRestoreToNewInstance 恢复到已有实例 instance ddsRestoreToOldInstance 创建实例 instance ddsCreateInstance 删除实例 instance ddsDeleteInstance 重启实例 instance ddsRestartInstance 扩节点 instance ddsGrowInstance 扩磁盘 instance ddsExtendInstanceVolume 重置数据库密码 instance ddsResetPassword 实例重命名 instance ddsRenameInstance 切换SSL instance ddsSwitchSsl 修改实例端口 instance ddsModifyInstancePort 创建备份 backup ddsCreateBackup 删除备份 backup ddsDeleteBackup 设置备份策略 backup ddsSetBackupPolicy 应用参数模板 parameterGroup ddsApplyConfigurations 复制参数模板 parameterGroup ddsCopyConfigurations 重置参数模板 parameterGroup ddsResetConfigurations 创建参数模板 parameterGroup ddsCreateConfigurations 删除参数模板 parameterGroup ddsDeleteConfigurations 更新参数模板 parameterGroup ddsUpdateConfigurations 绑定公网IP instance ddsBindEIP 解绑公网IP instance ddsUnBindEIP 修改标签 tag ddsModifyTag 删除实例标签 tag ddsDeleteInstanceTag 添加实例标签 tag ddsAddInstanceTag 扩容失败回退 instance ddsDeleteExtendedDdsNode 规格变更 instance ddsResizeInstance 实例解冻 instance ddsUnfreezeInstance 实例冻结 instance ddsFreezeInstance 修改内网地址 instance ddsModifyIP 修改内网 域名 instance ddsModifyDNSName 设置集群均衡开关 instance ddsSetBalancer 内部通信方式切换 instance ddsSwitchInnerSsl 添加只读节点 instance AddReadonlyNode 集群开启shard/config IP instance ddsCreateIp 修改实例安全组 instance ddsModifySecurityGroup 迁移可用区 instance ddsMigrateAvailabilityZone 实例备注 instance ddsModifyInstanceRemark 可维护时间段 instance ddsModifyInstanceMaintenanceWindow 补丁升级 instance ddsUpgradeDatastorePatch 主备切换 instance ddsReplicaSetSwitchover 跨网段访问配置 instance ddsModifyInstanceSourceSubnet 实例参数修改 parameterGroup ddsUpdateInstanceConfigurations 实例导出参数模板 parameterGroup ddsSaveConfigurations 设置跨区域备份策略 backup ddsModifyOffsiteBackupPolicy 慢日志开启明文显示 instance ddsOpenSlowLogPlaintextSwitch 慢日志关闭明文显示 instance ddsCloseSlowLogPlaintextSwitch 下载错误/慢日志 instance ddsDownloadLog 实例开启审计策略 instance ddsOpenAuditLog 实例关闭审计策略 instance ddsCloseAuditLog 实例下载审计日志 instance ddsDownloadAuditLog 实例删除审计日志 instance ddsDeleteAuditLogFile 回收站策略 instance ddsModifyRecyclePolicy 父主题： 审计

使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务(OBS)或云日志服务(LTS)，才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 CTS新版事件列表不显示数据类审计事件，您需要在旧版事件列表查看数据类审计事件。

使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务(OBS)或云日志服务(LTS)，才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 CTS新版事件列表不显示数据类审计事件，您需要在旧版事件列表查看数据类审计事件。

ER支持审计的关键操作 企业路由器（Enterprise Router, ER）可以连接虚拟私有云或本地网络来构建中心辐射型组网，是云上大规格，高带宽，高性能的集中路由器。 通过云审计服务，您可以记录与企业路由器相关的操作事件，便于日后的查询、审计和回溯。 表1 云审计支持的ER操作列表 操作名称 资源类型 事件名称 创建企业路由器 erInstance createInstance 修改企业路由器配置 erInstance updateInstance 删除企业路由器 erInstance deleteInstance 在企业路由器中添加连接 erAttachment createAttachment 修改连接信息 erAttachment updateAttachment 删除连接 erAttachment deleteAttachment 接受连接创建申请 erAttachment acceptAttachment 拒绝连接创建申请 erAttachment rejectAttachment 创建路由表 erRouteTable createRouteTable 修改路由表信息 erRouteTable updateRouteTable 删除路由表 erRouteTable deleteRouteTable 创建静态路由 erStaticRoute createStaticRoute 批量创建静态路由 erStaticRoute batchCreateStaticRoute 删除静态路由 erStaticRoute deleteStaticRoute 批量删除静态路由 erStaticRoute batchDeleteStaticRoute 修改静态路由 erStaticRoute updateStaticRoute 创建关联 erAssociation createAssociation 删除关联 erAssociation deleteAssociation 创建传播 erPropagation createPropagation 删除传播 erPropagation deletePropagation 创建流日志 erFlowLog createFlowLog 关闭流日志 erFlowLog updateFlowLog 开启流日志 erFlowLog updateFlowLog 删除流日志 erFlowLog deleteFlowLog 父主题： 使用CTS服务审计ER关键操作