检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
当现网某个特定资源或动作出现问题,可根据云审计服务收集的日志记录,通过查询对应时间、对应资源的操作记录,查看当时的请求动作和响应,支撑问题定位分析。 本章节介绍,通过云审计服务如何定位现网某个弹性云服务器在某日上午发生的故障,以及如何定位现网创建弹性云服务器操作失败的问题。 前提条件 已开通云审计服务且追踪器状态
权限隔离。 将CTS资源委托给更专业、高效的其他华为云帐号或者云服务,这些帐号或者云服务可以根据权限进行代运维。 如果华为云帐号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用CTS服务的其它功能。 前提条件 给用户组授权之前,请您了解用户组可以添加
资源跟踪 操作场景 根据云审计服务所记录的操作记录,可以查看任意云服务资源在其整个生命周期内的操作记录,并检视具体操作的细节。 本章节介绍,通过云审计服务如何查看某个弹性云服务器的所有的操作记录。 前提条件 已开通云审计服务且追踪器状态正常。开通云审计服务请参考章节入门指引。 在新版事件列表查看审计事件
使用云审计服务前需要开通云审计服务,开通云审计服务时系统会自动创建一个追踪器。该追踪器会自动识别并关联当前租户所使用的所有云服务,并将当前租户的所有操作记录在该追踪器中。 目前,一个租户仅支持创建1个管理追踪器和100个数据追踪器。 事件 事件即云审计服务追踪并保存的云服务资源的操
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书
权限和授权项 如果您需要对您所拥有的CTS进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),如果账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用CTS的其它功能。 默认情况
当用户在弹性云服务器、云硬盘服务、镜像服务等其它与云审计服务完成对接的服务中,进行了增加、删除、修改类型的操作时,被操作的服务会自动记录操作动作及操作结果,并按照指定的格式发送事件到云审计服务完成事件归档。 云审计服务管理控制台会保存最近7天的操作记录,如已配置OBS服务,云审计服务
服务韧性 CTS服务提供了3级可靠性架构,通过AZ内实例容灾、双AZ容灾、日志数据多副本技术方案,保障服务的持久性和可靠性。 表1 CTS服务可靠性架构 可靠性方案 简要说明 AZ内实例容灾 单AZ内,CTS实例通过多实例方式实现实例容灾,快速剔除故障节点,保障CTS实例持续提供服务。
如果您想查询IAM用户的登录IP地址和登录时间,以确认当前帐号是否存在安全风险,可以通过CTS记录的事件进行查看。 前提条件 已开启云审计服务。 操作方法 进入云审计服务控制台,在事件来源中筛选“IAM”,选择筛选时间段后,单击“查询”。 单击“查看事件”,可以查看到具体的时间内容。其中"so
is_lts_enabled 是 Boolean 是否启用日志服务检索功能。 log_group_name 是 String 云审计服务在日志服务中创建的日志组名称。 log_topic_name 是 String 云审计服务在日志服务中创建的日志主题名称。 表4 LogFileValidate
如果“转储到OBS”开关关闭时,则无需配置相应参数。 创建云服务委托 必选,勾选创建云服务委托后,用户在创建追踪器时,云审计服务将会自动创建一个云服务委托,委托授权您使用对象存储服务(OBS)。 OBS桶所属用户 云审计服务支持用户将事件转储至其他用户的OBS桶中,方便用户统一管理。
tracker_name=system 响应示例 无 状态码 状态码 描述 204 删除成功。 400 服务器未能处理请求。 401 请求鉴权校验失败,访问被拒绝。 403 请求权限校验失败,访问被禁止。 404 服务器无法找到被请求的资源或部分追踪器删除失败。 500 服务内部异常,请求未完成;或部分追踪器删除失败。
gion。 在管理控制台左上角单击图标,选择区域和项目。 单击左上角,选择“存储 > 对象存储服务OBS”,进入对象存储服务详情页面。 左侧导航栏选择“桶列表”。在桶列表单击云审计服务需要配置转储的桶名称,进入“对象”页面。 在左侧导航栏,单击“访问权限控制 > 桶策略”。 在界
规性需求。 可信服务是指可与Organizations服务集成,提供组织级相关能力的华为云服务。管理账号可以在组织中开启某个云服务为可信服务。成为可信服务后,云服务可以获取组织中的组织单元及成员账号信息,并基于此信息提供组织级的管理能力。 云审计服务支持组织云服务的多账号关系的管理能力:
的完善云服务安全保障体系。 安全性是华为云与您的共同责任,如图1所示。 华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅
is_lts_enabled 是 Boolean 是否启用日志服务检索功能。 log_group_name 是 String 云审计服务在日志服务中创建的日志组名称。 log_topic_name 是 String 云审计服务在日志服务中创建的日志主题名称。 表4 LogFileValidate
云审计服务应用示例 安全审计 问题定位 资源跟踪
云审计服务事件参考 事件结构 事件样例 IAM身份与操作用户对应关系
图解云审计服务
使用IAM用户无法开通CTS怎么办? 问题描述 使用IAM用户开通CTS失败。 操作步骤 查看IAM用户是否有权限。 是:继续执行2。 否:联系CTS管理员(主帐号、admin用户组中的用户或被授予了“Security Administrator权限”的用户)对IAM用户授予以下权限,授权方法请参见给IAM用户授权。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
