使用云审计服务监控“创建IAM用户”操作
统一身份认证(IAM)是华为云提供权限管理的基础服务,可以帮助您安全地控制华为云服务和资源的访问权限。使用IAM的用户管理功能,给员工或应用程序创建IAM用户,可以将资源分配给不同的员工或者应用程序使用。
云审计服务支持对IAM的关键操作进行收集、存储和查询,用于用户后续进行安全分析、合规审计、资源跟踪和问题定位等。
本文为您介绍如何通过云审计服务的操作审计和关键操作通知功能,对“创建IAM用户”操作进行监控并通过邮件通知方式进行告警。
使用限制
统一身份认证(IAM)属于全局级服务,需要在中心region(北京四) 的云审计控制台配置关键操作通知,才能使用云审计服务的关键操作通知功能。
准备工作
步骤一:开通云审计服务
- 登录云审计控制台。
- 单击左侧导航树的“追踪器”,进入追踪器界面。
- 单击右上方的“开通云审计服务”按钮,系统会自动为您创建一个名为system的管理类事件追踪器。
- 在管理类追踪器(system)的右侧,单击操作下的“配置”。
图1 追踪器配置
- 设置追踪器的基本信息,单击“下一步”。
参数
参数说明
本实践要求
追踪器名称
默认为system,不可修改。
system
企业项目
如果您的账号开通了企业项目管理功能,则需要在此处选择一个企业项目。
说明:企业项目是一种云资源管理方式,由企业项目管理服务提供将云资源统一按项目管理、项目内的资源管理或成员管理。
开启企业项目的具体操作请参考创建企业项目。
default
排除KMS事件
默认不勾选。勾选后,追踪器将不会转储用户对数据加密服务(DEW)的相关操作。
说明:数据加密服务(DEW)的相关审计操作请参考数据加密服务相关的操作事件。
不勾选
- 在配置转储页面,您可以设置转储功能。本实践无需使用转储功能,所以关闭“转储到OBS”开关、关闭“转储到LTS”开关。
- 单击“下一步 > 配置”,完成配置system追踪器。追踪器配置成功后,您可以在追踪器页面查看配置的追踪器的详细信息。
步骤二:创建关键操作通知
- 在云审计控制台,单击左侧导航树的“关键操作通知”。
- 在关键操作通知界面,单击“创建关键操作通知”。
- 参照下表中的本实践要求参数,设置关键操作通知的参数信息,单击“确定”。
图2 创建关键操作通知
表1 设置参数信息 参数
参数说明
本实践要求
通知名称
填写通知的名称,用于标识和区分关键操作通知。
对创建IAM用户操作告警
操作类型
根据具体使用场景,选择“完整”和“自定义操作”触发场景。
自定义
操作列表
当操作类型选择“自定义”时,可以自定义选择触发通知的操作范围。
服务类型选择:IAM
资源类型选择:user
操作名称选择:createUser
高级筛选
可以通过配置筛选条件设置触发通知的操作范围。
不设置
指定用户
当指定的用户发起关键操作时,可以通过SMN通知相关的订阅者。
不指定
发送通知
当选择“发送”通知时,需要设置创建云服务委托和SMN主题。当选择“不发送”通知时,则无需配置。
发送
创建云服务委托
勾选创建云服务委托后,用户在创建关键操作通知时,云审计服务将会自动创建一个云服务委托,委托授权您使用消息通知服务(SMN)。
勾选
SMN主题
需要选择已创建的SMN主题或者单击链接跳转到消息通知服务页面创建新的主题。
cts-test