检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
跨租户密钥授权OBS桶转储失败怎么办? 问题描述 租户A通过DEW密钥授权机制,通过用户ID方式将DEW密钥共享给另外一个租户的子用户B。用户B创建了使用租户A DEW密钥加密的OBS桶,用户B在配置CTS系统追踪器时,选择转储到该加密OBS桶后,会配置失败。 操作步骤 登录用户B的管理控制台。
建议对不同角色的IAM用户仅设置最小权限,避免权限过大导致数据泄露 为了更好的进行权限隔离和管理,建议您配置独立的IAM管理员,授予IAM管理员IAM策略的管理权限。 IAM管理员可以根据您业务的实际诉求创建不同的用户组,用户组对应不同的数据访问场景。 通过将用户添加到用户组并将
使用IAM用户无法开通CTS怎么办? 问题描述 使用IAM用户开通CTS失败。 操作步骤 查看IAM用户是否有权限。 是:继续执行2。 否:联系CTS管理员(主账号或admin用户组中的用户)对IAM用户授予CTS FullAccess权限,授权方法请参见给IAM用户授权。 IA
cts_admin_trust委托被误删除怎么办? 问题描述 在IAM控制台误删除名称为“cts_admin_trust”的委托,可能会影响审计数据转储至对象存储服务(OBS)。 解决办法 进入CTS控制台重新创建委托,转储至对象存储服务(OBS)功能将会在24小时内恢复。操作方法如下:
单击右上方的“开通云审计服务”按钮,系统会自动为您创建一个名为system的管理类事件追踪器。 在管理类追踪器(system)的右侧,单击操作下的“配置”。 图1 追踪器配置 设置追踪器的基本信息,单击“下一步”。 参数 参数说明 本实践要求 追踪器名称 默认为system,不可修改。 system 企业项目 如果您
服务(IAM),支持三种方式身份认证方式:用户名密码、访问密钥、临时访问密钥。同时还提供登录保护及登录验证策略。 访问控制 对企业中的员工设置不同的CTS访问权限,以达到不同员工之间的权限隔离,使用统一身份认证服务(Identity and Access Management,简
跨租户转储授权 操作场景 如果用户想要对管理类事件进行统一管理,可以设置管理类追踪器将多个账号记录的事件统一转储到一个OBS桶。本节介绍如何配置跨租户转储。 授权跨租户转储 租户B登录管理控制台。 租户A为需要配置跨租户转储的账号,租户B为OBS桶所在的账号。 OBS不支持跨re
查询不到事件怎么办? 问题描述 在CTS控制台查询不到事件。 操作方法 查看是否已选择正确的时间范围。 查看筛选条件是否选择正确。您可以在筛选器组合一个或多个筛选条件: 事件名称:输入事件的名称。 事件ID:输入事件ID。 资源名称:输入资源的名称,当该事件所涉及的云资源无资源名
关于云监控服务的更多介绍,请参见云监控服务产品介绍。 下面以IAM服务用户登录、登出事件为例,选择CES的事件监控,选择用户登录时间。 图1 事件监控 设置告警策略,可以设置一个事件周期,阀值超过设置可视为此用户登录异常产生。 图2 告警策略 父主题: CTS安全最佳实践
操作名称选择:createUser 高级筛选 可以通过配置筛选条件设置触发通知的操作范围。 不设置 指定用户 当指定的用户发起关键操作时,可以通过SMN通知相关的订阅者。 不指定 发送通知 当选择“发送”通知时,需要设置创建云服务委托和SMN主题。当选择“不发送”通知时,则无需配置。
左侧菜单栏选择“可信服务”,找到云审计服务,单击“启用”,即可开启云审计可信服务。 图1 启动云审计可信服务 单击云审计服务右侧的“设置委托管理员”按钮,为云审计服务设置委托管理员。 图2 设置委托管理员 取消委托管理员权限 进入Organizations控制台。 左侧菜单栏选择“可信服务”,找到云审计服务。
组织中,并可以集中管理组织下的所有账号。用户可以在组织中设置访问策略,帮助用户更好地满足业务的安全性和合规性需求。 云审计服务支持组织云服务的多账号关系的管理能力: 使用组织管理员账号,在组织云服务中启用云审计可信服务并设置委托管理员账号。 使用委托管理员账号,在云审计服务中配置
在左侧导航栏,单击“追踪器”,进入追踪器页面。 在system追踪器右侧的操作栏,单击“配置”。 图1 配置system追踪器 在基本信息页面,设置基本信息,设置完成后,单击“下一步 ”。 表1 设置基本信息 参数 参数说明 本案例示例 追踪器名称 管理类事件追踪器的名称默认为“system”,不可修改。 system
在system追踪器右侧的操作栏,单击“配置”。 图1 配置system追踪器 在基本信息页面,按照如下参数进行设置,设置完成后,单击“下一步 ”。 图2 设置基本信息 表1 设置基本信息 参数 参数说明 本案例示例 追踪器名称 管理类事件追踪器的名称默认为“system”,不可修改。
在system追踪器右侧的操作栏,单击“配置”。 图1 配置system追踪器 在基本信息页面,按照如下参数进行设置,设置完成后,单击“下一步 ”。 图2 设置基本信息 表1 设置基本信息 参数 参数说明 本案例示例 追踪器名称 管理类事件追踪器的名称默认为“system”,不可修改。
根据企业的业务组织,在您的华为云帐号中,给企业中不同职能部门的员工创建IAM用户,让员工拥有唯一安全凭证,并使用CTS。 根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。 将CTS资源委托给更专业、高效的其他华为云帐号或者云服务,这些帐号或者云服务可以根据权限进行代运维。
时,“作用范围”需要选择“区域级项目”,然后在指定区域(如华北-北京4)对应的项目(cn-north-4)中设置相关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问CTS时,需要先切换至授权区域。 权限根据授权精细程度分为角色和策略,策略是角色的升级版。
system-trace日志流页面 单击右上角的“15分钟(相对)”,设置查询的时间范围。 在搜索框中输入user.name:{username},单击“查询”。 执行搜索与分析前,需要将上报的日志进行结构化配置和索引配置,详细请参考设置云端结构化解析日志和设置LTS日志索引配置。 {username}请
成良好的账户安全监听服务。 设置环境变量 在函数配置页签需配置环境变量,设置SMN主题名称,说明如表1所示。 表1 环境变量说明表 环境变量 说明 SMN_Topic SMN主题名称。 RegionName Region域 IP 白名单 环境变量的设置过程请参考使用环境变量。 父主题:
账号关系的管理能力。Organizations支持用户将多个华为云账号整合到创建的组织中,并可以集中管理组织下的所有账号。用户可以在组织中设置访问策略,帮助用户更好地满足业务的安全性和合规性需求。 可信服务是指可与Organizations服务集成,提供组织级相关能力的华为云服务
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
