检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
是 String 标识云服务类型。必须为已对接CTS的云服务的英文缩写,且服务类型一般为大写字母。 已对接的云服务列表参见《云审计服务用户指南》“支持审计的服务及详细操作列表”章节,单击对应云服务的文档链接,可以查看到该云服务的英文缩写。 resource_type 是 String
是 String 标识云服务类型。必须为已对接CTS的云服务的英文缩写,且服务类型一般为大写字母。 已对接的云服务列表参见《云审计服务用户指南》“支持审计的服务及详细操作列表”章节,单击对应云服务的文档链接,可以查看到该云服务的英文缩写。 resource_type 是 String
允许删除CTS的权限策略,控制他们对CTS资源的使用范围。 如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用CTS服务的其它功能。 IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费。请参见IAM产品介绍。
API概览 云审计服务所提供的接口为扩展接口。通过使用云审计服务所提供的接口,您可以完整的使用云审计服务的所有功能。例如查询API版本号、事件列表、创建追踪器等。 云审计服务提供的具体API如表1所示。 表1 接口说明 子类型 说明 API版本号 CTS API的版本查询接口,支持查询所有API或者指定API的版本号。
在云审计事件列表的“操作用户”一栏,可以查看对应事件的操作用户(user.name)信息。 本章节将介绍说明不同的操作用户身份在操作资源时,对应的事件列表中“操作用户”信息的示例,以方便用户更直观的理解操作用户信息。 IAM用户身份 操作用户为“IAM用户”时,审计日志中的user字段示例如下:
e用户? 当用户发起的某些请求涉及后台一些高权限要求的操作或涉及调用其他服务时,可能存在用户自身的权限不足的问题。因此在确保符合安全要求的前提下,会临时对该请求中的用户身份进行提权,请求完成后提权结束。但会将提权行为记录到该请求发送到CTS的日志当中,此时的操作用户将记录为user_name或者op_service。
登录统一身份认证服务,查看cts_admin_trust委托的授权记录,只显示了KMS和SMN的授权,没有显示OBS的授权。 解决方案 cts_admin_trust委托没有显示OBS授权,但实际包含了OBS授权,用户可以正常使用。 统一身份认证服务的cts_admin_trust委托实际包含的权限如下: OBS Adminstrator
根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。 将CTS资源委托给更专业、高效的其他华为云帐号或者云服务,这些帐号或者云服务可以根据权限进行代运维。 如果华为云帐号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用CTS服务的其它功能。
云服务商所负责的客户业务系统平台与资源的合规以及客户负责的自身业务系统的合规。 一方面,云审计服务是合规性的组成部分之一,其几乎覆盖所有服务、所有资源的操作记录能力,以及审计日志在传输、存储、加密、容灾、防篡改等方面的安全能力,是认证中针对业务系统平台与资源合规的核心保障。另一方
约束与限制 云审计服务中的追踪器数量和关键操作通知有限定的配额,均不支持修改,云审计服务的具体限制如下。 表1 CTS约束与限制 限制项 使用限制 一个华为云账号允许创建的追踪器数目 管理追踪器:1个 数据追踪器:100个 一个华为云账号允许配置的关键操作通知数目 100个 一个追踪器允许配置的OBS桶数目
华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身,也包括运维运营安全,以及更广义的安全合规遵从。
组织云服务(Organizations)为企业用户提供多账号关系的管理能力。Organizations支持用户将多个华为云账号整合到创建的组织中,并可以集中管理组织下的所有账号。用户可以在组织中设置访问策略,帮助用户更好地满足业务的安全性和合规性需求。 云审计服务支持组织云服务的多账号关系的管理能力: 使用组织管理员
给用户组授予策略或角色,才能使用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对CTS进行操作。 权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略以API接口为粒度进
为system的管理类事件追踪器。管理类事件追踪器会自动识别并关联当前租户所使用的所有云服务,并将当前租户的所有操作记录在该追踪器中。 使用限制 CTS仅记录最近7天内的操作事件,您需要配置追踪器转储至OBS或LTS服务来保存更长时间的事件,否则将无法追溯7天前的操作事件。配置转
关键操作通知服务支持哪些服务? 云审计服务支持对全部的关键操作发送通知,支持的服务类型包括ECS、EVS、VPC、DEW、IAM和原生OpenStack等,支持的操作类型上包括创建、删除、修改、登录和对原生OpenStack接口等操作。
本案例提供了实现告警日志功能的程序包,使用空白模板创建函数,用户可以下载(index.zip)学习使用。 创建功能函数 创建实现日志提取功能的函数,将示例代码包上传。创建过程请参考创建函数,运行时语言选择“Python2.7”,委托名称选择创建委托中的“serverless_trust”。
处理结果 若用户触发账号的登录/登出操作,订阅服务类型日志被触发,日志会直接调用用户函数,通过函数代码对当前登录/出的账号进行IP过滤,若不在白名单内,可收到SMN发送的通知消息邮件,如图1所示。 图1 告警消息邮件通知 邮件信息中包含非法请求ip地址和用户执行的动作(login/logout)。
账号关系的管理能力。Organizations支持用户将多个华为云账号整合到创建的组织中,并可以集中管理组织下的所有账号。用户可以在组织中设置访问策略,帮助用户更好地满足业务的安全性和合规性需求。 可信服务是指可与Organizations服务集成,提供组织级相关能力的华为云服务
志服务(LTS)中下载操作审计的事件。 通过云审计服务监控DEW密钥的使用 本章节为您介绍如何通过云审计服务的操作审计功能和筛选查询事件功能,对DEW密钥的使用情况进行监控。 将云审计记录的事件持续投递到指定服务 本章节将为您介绍如何将云审计记录的事件持续投递到对象存储服务(OBS)和云日志服务(LTS)。
从政策、行业规范角度,云审计服务是信息安全审计功能的核心必备组件,是企事业单位信息系统安全风险管控的重要组成部分,也是很多行业标准、审计规范的必备组成部分。 从应用角度,云审计服务是云资源出现问题时,降低问题定位时间和人力成本的有效手段,能够精确定位到问题发生时的所有操作,借以减小问题排查范围。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
