检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
能,可以帮助您安全的控制华为云资源的访问。 通过IAM,您可以在华为云账号中给员工创建IAM用户,并使用策略来控制他们对华为云资源的访问范围。例如您的员工中有负责软件开发的人员,您希望他们拥有CTS的使用权限,但是不希望他们拥有删除CTS等高危操作的权限,那么您可以使用IAM为开
云服务商所负责的客户业务系统平台与资源的合规以及客户负责的自身业务系统的合规。 一方面,云审计服务是合规性的组成部分之一,其几乎覆盖所有服务、所有资源的操作记录能力,以及审计日志在传输、存储、加密、容灾、防篡改等方面的安全能力,是认证中针对业务系统平台与资源合规的核心保障。另一方
在云日志服务LTS查询审计事件 在追踪器页面,单击system追踪器右侧的LTS日志流名称,进入到system-trace日志流详情页面。 图3 单击日志流名称 图4 system-trace日志流页面 单击右上角的“15分钟(相对)”,设置查询的时间范围。 在搜索框中输入trace_name
使用云审计服务监控“创建IAM用户”操作 统一身份认证(IAM)是华为云提供权限管理的基础服务,可以帮助您安全地控制华为云服务和资源的访问权限。使用IAM的用户管理功能,给员工或应用程序创建IAM用户,可以将资源分配给不同的员工或者应用程序使用。 云审计服务支持对IAM的关键操作
单击左侧导航树的“追踪器”,进入追踪器信息页面。 单击“存储服务”下的指定的LTS日志流名称,页面跳转到LTS管理控制台上对应LTS日志流界面。 图4 选择LTS 在CTS日志流界面,选择“{Tracker Name}”日志流,查看事件日志。 关于云审计服务事件结构的关键字段详解,请参见事件结构和事件样例。
单击“创建委托”,进入“创建委托”界面。 填写委托信息。 委托名称:输入“serverless_trust”。 委托类型:选择“云服务”。 云服务:选择“函数工作流 FunctionGraph”。 持续时间:选择“永久”。 权限选择:单击“配置权限”,在“配置权限”界面勾选“Tenant Administrator”,单击“确定”。
RegionName Region域。 IP 白名单。 环境变量的设置过程请参考使用环境变量,如图2所示。 图2 设置环境变量 父主题: 结合函数工作流对登录/登出进行审计分析
您可以: 根据企业的业务组织,在您的华为云帐号中,给企业中不同职能部门的员工创建IAM用户,让员工拥有唯一安全凭证,并使用CTS。 根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。 将CTS资源委托给更专业、高效的其他华为云帐号或者云服务,这些帐号或者云服务可以根据权限进行代运维。
具体操作请参见使用CTS触发器。 图1 创建CTS触发器 CTS云审计服务监听IAM服务中user资源类型,监听login、logout操作。 父主题: 结合函数工作流对登录/登出进行审计分析
邮件信息中包含非法请求ip地址和用户执行的动作(login/logout)。 可以通过函数指标查看函数的调用情况,如图2所示。 图2 函数指标 父主题: 结合函数工作流对登录/登出进行审计分析
全部 云审计服务 追踪器 事件 事件文件 事件文件完整性校验 云审计服务 云审计服务(Cloud Trace Service,简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。
限定的配额,均不支持修改,云审计服务的具体限制如下。 表1 CTS约束与限制 限制项 使用限制 一个华为云账号允许创建的追踪器数目 管理追踪器:1个 数据追踪器:100个 一个华为云账号允许配置的关键操作通知数目 100个 一个追踪器允许配置的OBS桶数目 1个 用户操作后多久才能通过控制台查询数据
您可以在约束与限制中,查阅目前华为云的全局级服务信息。 准备工作 注册华为云并实名认证。 如果您已有一个华为账户,请跳到下一个任务。如果您还没有华为账户,请参考以下步骤创建。 打开华为云官网,单击“注册”。 根据提示信息完成注册,详细操作请参见如何注册华为云管理控制台的用户?。 注册
域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足不同地区的法律或其他要求。 项目 华为云的区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),在区域默认项目中还可以创建子项目,实现更加精细的资源隔离。
启用云审计服务,便于云上用户对操作的事后审查 云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 您开通云审计服务
审计与日志 云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户使用云审计服务并创建和配置追踪器后,CTS可记录CTS的管理事件用于审计。
使用云监控服务对重点审计事件进行实时监控告警 云审计会将华为云ECS、VPC、EVS等云服务重点审计事件如: deleteServer、deleteVpc、deleteVolume等发送CES事件监控中,您可使用该服务监控自己的云上资源操作频率,执行自动实时监控、告警和通知操作,
开启云审计服务,请配置审计事件通知 云审计提供了事件通知能力,便于用户实时接收重点审计事件通知,操作详情:启用审计事件通知。当您在比较关注对华为云的资源增加删除比较关注时,您可启用云审计事件通知规则并配置相应资源的服务类型、资源类型、动作,云审计服务将实时根据您配置邮件或短信的规则
开通CTS,如未开通则需要使用主账号在中心region开通CTS后创建追踪器。 以上步骤确认正确后,依然无法创建追踪器,可以提交工单,联系华为技术工程师为您解决。
IAM身份与操作用户对应关系 华为云统一身份认证服务(Identity and Access Management,简称IAM)提供不同类型的身份,IAM提供的身份包括:IAM用户、IAM委托、云服务委托、IAM身份中心、联邦用户。 不同的操作用户身份在进行操作时,上报到CTS审
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
