检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
结合函数工作流对登录/登出进行审计分析 案例概述 准备 构建程序 添加事件源 处理结果
7”,委托名称选择创建委托中的“serverless_trust”。 函数实现的功能是:将收到的日志事件数据进行分析,过滤白名单功能,对非法IP登录/登出,进行SMN消息主题邮件告警。形成良好的账户安全监听服务。 设置环境变量 在函数配置页签需配置环境变量,设置SMN主题名称,说明如表1所示。
Explorer的代码示例页签,可生成自动对应的SDK代码示例。 状态码 状态码 描述 200 查询成功。 400 服务器未能处理请求。 401 请求鉴权校验失败,访问被拒绝。 403 请求权限校验失败,访问被禁止。 404 服务器无法找到被请求的资源或部分关键操作通知删除失败。 500 服务内部异常,请求未完成;或部分追踪器删除失败。
处理结果 若用户触发账号的登录/登出操作,订阅服务类型日志被触发,日志会直接调用用户函数,通过函数代码对当前登录/出的账号进行IP过滤,若不在白名单内,可收到SMN发送的通知消息邮件,如图1所示。 图1 告警消息邮件通知 邮件信息中包含非法请求ip地址和用户执行的动作(login/logout)。
操作记录。 前提条件 已开通云审计服务且追踪器状态正常。开通云审计服务请参考章节入门指引。 在新版事件列表查看审计事件 以CTS管理员权限登录管理控制台。 在管理控制台左上角单击图标,选择区域和项目。 单击左上角,选择“管理与监管 > 云审计服务 CTS”,进入云审计服务详情页面。
云审计功能申请打开之后是否可以自助关闭? 云审计服务本身免费,包括开通追踪器、事件跟踪以及7天内事件的存储和检索,只有配置转储等增值服务才会收费,本身没有必要关闭。 如果用户检查需要关闭云审计功能,有以下两种方法: 可以在追踪器中将已有追踪器删除或停用,删除或停用后,事件仍可以正常上报。
性校验功能旨在帮助您确保事件文件的真实性。云审计服务支持对配置了OBS转储的追踪器设置事件文件的完整性校验。 开启事件文件完整性校验功能 登录管理控制台。 在管理控制台左上角单击图标,选择区域和项目。 单击左上角,选择“管理与监管 > 云审计服务 CTS”,进入云审计服务页面。
CTS如何长期保存事件文件——转储至OBS桶 云审计服务仅保存近7天的事件,可以对追踪器增加OBS转储的相关配置,将事件同步、长期保存至OBS桶。具体操作请参考配置追踪器。
关键操作通知 操作场景 关键操作通知主要应用于以下场景: 高危操作(重启虚拟机、变更安全配置等)、成本敏感操作(创建、删除高价资源等)、业务敏感操作(网络配置变更等)的实时感知和确认。 越权操作感知:如高权限用户的登录、某用户进行了其权限范围之外的操作的实时感知和确认。 对接用户自有审
、资源类型、动作,云审计服务将实时根据您配置邮件或短信的规则通过消息通知服务(SMN)发送通知。以ECS服务为例,在云审计界面选择事件通知,选择ECS服务,选择ECS的资源类型ecs,选择对应的action,然后订阅SMN通知即可。具体操作和邮件通知范例如下图: 图1 关键操作通知
详细格式定义请参考桶策略参数说明。 根据租户A登录方式的不同,桶策略有不同的授权对象,包含以下场景:以普通用户登录租户A账号、以联邦租户登录租户A账号、以委托身份切换到租户A账号、以IAM身份中心用户登录租户A账号。 以普通用户登录租户A配置CTS追踪器: { "Statement":
约束与限制 云审计服务中的追踪器数量和关键操作通知有限定的配额,均不支持修改,云审计服务的具体限制如下。 表1 CTS约束与限制 限制项 使用限制 一个华为云账号允许创建的追踪器数目 管理追踪器:1个 数据追踪器:100个 一个华为云账号允许配置的关键操作通知数目 100个 一个追踪器允许配置的OBS桶数目
求访问请求方出示身份凭证,并进行身份合法性校验,同时提供登录保护和登录验证策略加固身份认证安全。CTS服务基于统一身份认证服务(IAM),支持三种方式身份认证方式:用户名密码、访问密钥、临时访问密钥。同时还提供登录保护及登录验证策略。 访问控制 对企业中的员工设置不同的CTS访问
S桶后,会配置失败。 操作步骤 登录用户B的管理控制台。 单击左上角服务列表,选择“管理与监管 > 统一身份认证服务 IAM”。 在左侧导航栏选择“委托”,在右上方搜索框输入CTS服务委托“cts_admin_trust”,获取到委托ID。 登录租户A的管理控制台。 单击左上角服务列表,选择“安全与合规
更多编程语言的SDK代码示例,请参见API Explorer的代码示例页签,可生成自动对应的SDK代码示例。 状态码 状态码 描述 200 请求成功。 400 服务器未能处理请求。 401 请求鉴权校验失败,访问被拒绝。 403 请求权限校验失败,访问被禁止。 404 请求资源不存在,请求未完成。 500
法查看。 如果您因为审计要求需要获取7天以上的操作事件,或者需要将事件下载到本地进行分析,则必须配置system追踪器转储事件至OBS或LTS,再通过OBS或LTS的数据下载能力将事件以文件形式下载到本地。 本章为您介绍如何在云审计服务(CTS)、对象存储服务(OBS)和云日志服务(LTS)中下载操作审计的事件。
如果账号被冻结、解除冻结、受限或解除受限,导致访问CTS前台提示系统繁忙,如何处理? 请退出当前账号并重新登录CTS页面。
30天,可以在LTS修改日志流存储时间为180天,即可实现CTS审计日志存储180天。 登录管理控制台。 如果您是以主账号登录华为云,请直接进入云审计服务详情页面。 如果您是以IAM用户登录华为云,请先联系管理员(主账号、admin用户组中的用户)对IAM用户授予以下权限,授权方法请参见给IAM用户授权。
钥的使用情况进行监控。 准备工作 为用户添加云审计服务(CTS)操作权限。 如果您是以主账号登录华为云,请进行下一个操作:开通云审计服务并配置system追踪器。 如果您是以IAM用户登录华为云,需要联系CTS管理员(主账号或admin用户组中的用户)对IAM用户授予CTS Fu
的云审计控制台配置关键操作通知,才能使用云审计服务的关键操作通知功能。 准备工作 为用户添加云审计服务(CTS)操作权限。 如果您是以主账号登录华为云,请跳到下一个任务。 如果您是以IAM用户登录华为云,需要联系CTS管理员(主账号或admin用户组中的用户)对IAM用户授予CTS FullAccess权限。授权方法请参见给IAM用户授权。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
