检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
访问控制 对企业中的员工设置不同的CTS访问权限,以达到不同员工之间的权限隔离,使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。详细参见权限管理。
objects 通知用户列表,目前最多支持对10个用户组和50个用户发起的操作进行配置。 topic_id 否 String 消息通知服务的topic_urn或者函数工作流的func_urn。- 消息通知服务的topic_urn可以通过消息通知服务的查询主题列表API获取,示例:urn:sm
为什么在事件列表中按照操作用户进行筛选时,存在user_name和op_service用户? 当用户发起的某些请求涉及后台一些高权限要求的操作或涉及调用其他服务时,可能存在用户自身的权限不足的问题。因此在确保符合安全要求的前提下,会临时对该请求中的用户身份进行提权,请求完成后提权
需要将其加入用户组,并给用户组授予策略或角色,才能使用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对CTS进行操作。 权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策
创建追踪器 功能介绍 云审计服务开通后系统会自动创建一个追踪器,用来关联系统记录的所有操作。目前,一个云账户在一个Region下支持创建一个管理类追踪器和多个数据类追踪器。云审计服务支持在管理控制台查询近7天内的操作记录。如需保存更长时间的操作记录,您可以在创建追踪器之后通过对象存储服务(Object
创建追踪器 功能介绍 云审计服务开通后系统会自动创建一个追踪器,用来关联系统记录的所有操作。目前,一个云账户在一个Region下仅支持创建一个管理类追踪器。 云审计服务支持在管理控制台查询近7天内的操作记录。如需保存更长时间的操作记录,您可以在创建追踪器之后通过对象存储服务(Object
创建、登录、删除等。云审计服务当前支持的云服务的详细信息,请参见支持审计的服务及操作列表。 后续您创建的追踪器均为数据类事件追踪器。数据追踪器会记录租户对OBS桶中的数据操作的详细信息。 在左侧导航栏选择“事件列表”,可以查看最近7天的事件操作记录。 相关信息 云审计服务的功能主要包括:
为防止资源滥用,平台限定了各服务资源的配额,对用户的资源数量和容量做了限制。如您最多可以创建多少关键操作通知。 如果当前资源配额限制无法满足使用需要,您可以申请扩大配额。 怎样查看我的配额? 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面右上角,选择“资源 > 我的配额”。 系统进入“服务配额”页面。
示例1:创建管理类追踪器 场景描述 本章以创建一个配置OBS转储桶的管理类追踪器为例。 涉及其它云服务接口 创建管理类追踪器时,需要查询用户的桶列表: 获取桶列表:确定将要配置转储的桶名称。 创建管理类追踪器 接口相关信息 URI格式:POST /v3/{project_id}/tracker
账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用该用户进行日常管理工作。 用户 由账号在IAM中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。
在CTS控制台无法创建追踪器 问题描述 在CTS控制台创建追踪器,系统报错。 操作步骤 键入F12查看报错信息。如果是请求没有发送,查看是否浏览器安装了拦截插件,关闭插件后可以正常创建。 如果用户有权限仍无法创建追踪器,在中心region(北京四)查看是否开通CTS,如未开通则需
登录管理控制台。 如果您是以主账号登录华为云,请直接进入云审计服务详情页面。 如果您是以IAM用户登录华为云,请先联系管理员(主账号、admin用户组中的用户)对IAM用户授予以下权限,授权方法请参见给IAM用户授权。 CTS FullAccess 在管理控制台左上角单击图标,选择区域和项目。
在IAM控制台创建用户组,并授予权限“CTS Administrator”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限。
查询云审计事件 操作场景 用户进入云审计服务创建管理类追踪器后,系统开始记录云服务资源的操作。在创建数据类追踪器后,系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。 本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。 在新版事件列表查看审计事件
组织云服务(Organizations)为企业用户提供多账号关系的管理能力。Organizations支持用户将多个华为云账号整合到创建的组织中,并可以集中管理组织下的所有账号。用户可以在组织中设置访问策略,帮助用户更好地满足业务的安全性和合规性需求。 云审计服务支持组织云服务的多账号关系的管理能力: 使用组
如果租户B下的OBS桶配置了桶加密功能,且加密密钥类型选择了“自定义密钥”,则需要在数据加密服务(DEW)对租户A进行授权,详细操作请参考创建授权。 跨租户桶配置加密时,建议使用自定义密钥。默认密钥有可能使用租户A的OBS默认密钥进行加密,会存在租户B无法下载转储文件的风险。 租户A登录管理控制台。
“事件名称:deleteVolume”,查看过滤结果。 默认查询过去1小时以内所有创建或删除EVS的操作。通过设置时间范围,最多可以查询7天以内所有创建或删除EVS的操作。 在支持审计的服务及操作列表中可以查看目前云平台的支持审计的全部云服务及操作。 若要获取最近7天以前的操作记录,则需要到OBS桶或LT
以在追踪器页面查看配置的追踪器的详细信息。 场景一:查询创建、删除、启用、禁用DEW密钥的记录 在云审计控制台,单击左侧导航栏的“事件列表”。 单击页面上方的“最近1小时”,设置查询的时间范围。 在搜索框中依次查询创建、删除、启用、禁用DEW密钥操作: 创建DEW密钥操作:“云服务:DEW”
下载云审计服务记录的操作事件 云审计服务默认为每个华为云账号记录最近7天的操作事件,最近7天的操作事件仅支持通过云审计控制台查询,您可以在云审计控制台导出本次查询结果的所有事件。在您没有配置转储前,云审计控制台对用户的操作事件日志保留7天,过期自动删除,在配置转储后也无法查看。
本案例提供了实现告警日志功能的程序包,使用空白模板创建函数,用户可以下载(index.zip)学习使用。 创建功能函数 创建实现日志提取功能的函数,将示例代码包上传。创建过程请参考创建函数,运行时语言选择“Python2.7”,委托名称选择创建委托中的“serverless_trust”。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
