检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如何查询IAM用户登录的IP地址 问题描述 如果您想查询IAM用户的登录IP地址和登录时间,以确认当前账号是否存在安全风险,可以通过CTS记录的事件进行查看。 前提条件 已开启云审计服务。 操作方法 进入云审计服务控制台。 选择时间范围,然后在搜索框中依次查询: “云服务:IAM”
为什么有些trace_type为systemAction的事件,存在user和source_ip为空的情况? trace_type字段的业务意义为标示请求来源,该字段可以是控制台(ConsoleAction)、API网关(ApiCall)及系统内调用(SystemAction)。
在“我的凭证”页面查看账号ID和项目ID。 多项目时,展开“所属区域”,从“项目ID”列获取子项目ID。 调用API获取项目ID 获取项目ID的接口为“GET https://{Endpoint}/v3/projects”,其中{Endpoint}为IAM的终端节点。 响应示例如下,其中projects下的“id”即为项目ID。
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书 另
可以为空的字段有source_ip、code、request、response和message,这些字段并非云审计服务规定的必备字段: source_ip:当trace type为SystemAction时,表示本次操作由服务内部触发,此时缺失IP字段为正常情况。 request
通过在函数工作流服务中创建CTS触发器获取订阅的资源操作信息,经由自定义函数对资源操作的信息进行分析和处理,产生告警日志。 SMN消息通知服务通过短信和邮件推送告警信息,通知业务人员进行处理。处理流程如图1所示。 图1 处理流程 案例价值点 通过CTS云审计服务,快速完成日志分析,对指定IP进行过滤。 基
若用户触发账号的登录/登出操作,订阅服务类型日志被触发,日志会直接调用用户函数,通过函数代码对当前登录/出的账号进行IP过滤,若不在白名单内,可收到SMN发送的通知消息邮件,如图1所示。 图1 告警消息邮件通知 邮件信息中包含非法请求ip地址和用户执行的动作(login/logout)。 可以通过函数指标查看函数的调用情况,如图2所示。
本案例提供了实现告警日志功能的程序包,用户可以下载(index.zip)、学习使用。 创建功能函数 创建实现日志提取功能的函数,将示例代码包上传,如图1所示。创建过程请参考创建函数。 图1 创建函数 函数实现的功能是:将收到的日志事件数据进行分析,过滤白名单功能,对非法IP登录/登出,进行SMN消息主题邮件告警。形成良好的账户安全监听服务。
供支撑,并支持开放审计数据给客户,供客户自行挖掘数据价值。 审计日志中包含时间、操作人、操作设备ip、被操作资源、操作详情等各类信息,具有挖掘价值。 客户可通过配置http/https通知的模式,将审计日志即时同步到自有系统进行分析。CTS也正在对接云监控、云日志,提供高危操作展
/v3/{project_id}/traces 请求示例 GET https://{cts_endpoint}/v3/{project_id} /traces?trace_type=system {cts_endpoint}信息请从地区和终端节点获取。 响应示例 { "meta_data" :
URI-scheme:表示用于传输请求的协议,当前所有API均采用HTTPS协议。 Endpoint:指定承载REST服务端点的服务器域名或IP,不同服务不同区域的Endpoint不同,您可以从地区和终端节点获取。 例如IAM服务在“华北-北京四”区域的Endpoint为“iam
通过IAM服务获取到的Token有效期为24小时,需要使用同一个Token鉴权时,可以先将Token缓存,避免频繁调用。 涉及API 当您使用Token认证方式完成认证鉴权时,需要获取用户Token并在调用接口时增加“X-Auth-Token”到业务接口请求消息头中。 IAM获取token的API
String 账号ID,获取方式请参见获取账号ID。 name String 账号名称。 domain BaseUser object 标识触发事件的用户domain信息。 表6 BaseUser 参数 参数类型 描述 id String 账号ID,获取方式请参见获取账号ID。 name
String 账号ID,获取方式请参见获取账号ID。 name String 账号名称。 domain BaseUser object 标识触发事件的用户domain信息。 表6 BaseUser 参数 参数类型 描述 id String 账号ID,获取方式请参见获取账号ID。 name
写,且服务类型一般为大写字母。 resource_type String 查询事件列表对应的资源类型。 source_ip String 标识触发事件的租户IP。 resource_name String 标识事件对应的资源名称。 request_id String 记录本次请求的request
本文介绍了CTS服务提供的SDK语言版本,列举了最新版本SDK的获取地址。 在线生成SDK代码 API Explorer能根据需要动态生成SDK代码功能,降低您使用SDK的难度,推荐使用。 SDK列表 表1提供了CTS服务支持的SDK列表,您可以在GitHub仓库查看SDK更新历史、获取安装包以及查看指导文档。 表1
操作用户”的操作用户名称(user.name字段)、身份ID(principal_id字段)格式规范: 操作用户身份 身份类型(type) 操作用户名称格式(user.name) 身份ID格式(principal_id) IAM用户 User <user-name> <user-id>
涉及其它云服务接口 创建管理类追踪器时,需要查询用户的桶列表: 获取桶列表:确定将要配置转储的桶名称。 创建管理类追踪器 接口相关信息 URI格式:POST /v3/{project_id}/tracker 请求示例 POST https://{cts_endpoint}/v3/{project_id}/tracker
指定本条statement的权限是允许还是拒绝,Effect的值必须为Allow或者Deny。 Principal 桶策略被授权租户A,domainId可以通过控制台在“我的凭证”页面获取。Principal格式: “domain/账号ID:agency/cts_admin_trust”(表示授
其引用的事件文件。 获取摘要文件。 从OBS桶中获取需要验证的时间范围的最新摘要文件。 检查该摘要文件在OBS桶中的存储位置是否与摘要文件中记录的OBS桶存储位置匹配。 从摘要文件对象的 meta-signature元数据属性中获取摘要文件的数字签名。 获取用于校验数字签名的RSA公钥。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
