检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
TTPS,同一个服务的Endpoint在同一个区域也相同,所以简洁起见将这两部分省略。 请求方法 HTTP请求方法(也称为操作或动词),它告诉服务你正在请求什么类型的操作。 GET:请求服务器返回指定资源。 PUT:请求服务器更新指定资源。 POST:请求服务器新增资源或执行特殊操作。
规性需求。 可信服务是指可与Organizations服务集成,提供组织级相关能力的华为云服务。管理账号可以在组织中开启某个云服务为可信服务。成为可信服务后,云服务可以获取组织中的组织单元及成员账号信息,并基于此信息提供组织级的管理能力。 云审计服务支持组织云服务的多账号关系的管理能力:
服务的访问控制 身份认证 无论用户通过CTS控制台还是API访问CTS,都会要求访问请求方出示身份凭证,并进行身份合法性校验,同时提供登录保护和登录验证策略加固身份认证安全。CTS服务基于统一身份认证服务(IAM),支持三种方式身份认证方式:用户名密码、访问密钥、临时访问密钥。同时还提供登录保护及登录验证策略。
审计日志转储:支持将审计日志周期性的转储至对象存储服务(Object Storage Service,简称OBS)下的OBS桶,或转储至云日志服务(Log Tank Service,简称LTS)下的LTS日志流,转储时会按照服务维度压缩审计日志为事件文件。 事件文件加密:支持在转储过程中使用数据加密服务(Data Encryption
云审计服务事件参考 事件结构 事件样例 IAM身份与操作用户对应关系
云审计服务应用示例 安全审计 问题定位 资源跟踪
规范性指导。 通过云日志服务LTS存储和查询审计事件 本章节以“创建云服务器”(操作名称:createServer)为例,为您介绍如何通过云日志服务(LTS)存储和查询审计事件。 使用云审计服务监控“创建IAM用户”操作 本章节为您介绍如何通过云审计服务的操作审计和关键操作通知功
状态码 描述 200 请求成功。 400 服务器未能处理请求。 401 请求鉴权校验失败,访问被拒绝。 403 请求权限校验失败,访问被禁止。 404 请求资源不存在,请求未完成。 500 服务内部异常,请求未完成。 503 被请求的服务无效。建议直接修改该请求,不要重试该请求。
图解云审计服务
查询云审计服务转储事件 操作场景 云审计服务会定时将跟踪到的事件以事件文件的形式按周期保存至OBS桶。事件文件是按照服务、转储周期两个维度生成的事件集,系统会根据当前负载情况调整每个事件文件包含的事件数。云审计服务还支持将审计日志保存到LTS日志流中。 本节介绍如何在OBS中通过
哪些用户应该开通云审计服务? 所有云用户均应该开通云审计服务。 从政策、行业规范角度,云审计服务是信息安全审计功能的核心必备组件,是企事业单位信息系统安全风险管控的重要组成部分,也是很多行业标准、审计规范的必备组成部分。 从应用角度,云审计服务是云资源出现问题时,降低问题定位时间
使用云审计服务前需要开通云审计服务,开通云审计服务时系统会自动创建一个追踪器。该追踪器会自动识别并关联当前租户所使用的所有云服务,并将当前租户的所有操作记录在该追踪器中。 发布区域:全部 创建追踪器 配置追踪器 停用/启用追踪器 删除追踪器 事件 事件即云审计服务追踪并保存的云服务资源的操作日志。您可以
"status": "CURRENT" } } 状态码 状态码 描述 200 请求正常。 404 服务器无法找到被请求的资源。 500 请求未完成,服务异常。 错误码 请参见错误码。 父主题: API版本号管理
除。 7天 组织追踪器 CTS支持组织追踪器能力,依赖组织服务某些接口,涉及企业项目权限管理的用户如需升级此能力,需要单独配置IAM权限,否则原有仅对CTS:*授权的用户将无法使用组织服务的多账号关系管理能力。 全局级服务需要在中心region(北京四)的云审计控制台配置追踪器和
"version": "" } ] } 状态码 状态码 描述 200 请求正常。 404 服务器无法找到被请求的资源。 500 请求未完成,服务异常。 错误码 请参见错误码。 父主题: API版本号管理
发送通知 当选择“发送”通知时,需要设置创建云服务委托和SMN主题。当选择“不发送”通知时,则无需配置。 发送 创建云服务委托 勾选创建云服务委托后,用户在创建关键操作通知时,云审计服务将会自动创建一个云服务委托,委托授权您使用消息通知服务(SMN)。 勾选 SMN主题 需要选择已创
准备 开通CTS云审计服务 在云审计服务中开通配置追踪器,配置追踪器完成后,系统立即以新的规则开始记录操作。 登录管理控制台。 在管理控制台左上角单击图标,选择区域和项目。 单击左上角,选择“管理与监管 > 云审计服务 CTS”,进入云审计服务详情页面。 单击左侧导航树的“追踪器”,进入追踪器信息页面。
如何通过云审计服务确认ECS的创建用户 问题描述 如果您需要确定一台ECS的创建用户,可以通过CTS记录的事件进行查看。 前提条件 已开启云审计服务 已开启获取创建的ECS主机的资源ID 操作方法 登录云审计控制台。 单击左侧导航树的“事件列表”,进入事件列表界面。 时间范围选择
添加事件源 选择准备中开通的CTS云审计服务,创建CTS触发器,CTS触发器配置如图1所示。 具体操作请参见使用CTS触发器。 图1 创建CTS触发器 CTS云审计服务监听IAM服务中user资源类型,监听login、logout操作。 父主题: 结合函数工作流对登录/登出进行审计分析
策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,CTS管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
