文档首页/ 云审计服务 CTS/ 最佳实践/ 使用云审计服务监控“创建IAM用户”操作
更新时间:2024-11-06 GMT+08:00
分享

使用云审计服务监控“创建IAM用户”操作

统一身份认证(IAM)是华为云提供权限管理的基础服务,可以帮助您安全地控制华为云服务和资源的访问权限。使用IAM的用户管理功能,给员工或应用程序创建IAM用户,可以将资源分配给不同的员工或者应用程序使用。

云审计服务支持对IAM的关键操作进行收集、存储和查询,用于用户后续进行安全分析、合规审计、资源跟踪和问题定位等。

本文为您介绍如何通过云审计服务的操作审计和关键操作通知功能,对“创建IAM用户”操作进行监控并通过邮件通知方式进行告警。

使用限制

统一身份认证(IAM)属于全局级服务,需要在中心region(北京四) 的云审计控制台配置关键操作通知,才能使用云审计服务的关键操作通知功能。

准备工作

  1. 为用户添加操作权限。
    • 如果您是以主账号登录华为云,请跳到下一个任务。
    • 如果您是以IAM用户登录华为云,需要联系CTS管理员(主账号或admin用户组中的用户)对IAM用户授予CTS FullAccess权限。授权方法请参见给IAM用户授权
  2. 开通消息通知服务(SMN),并创建主题(本实践要求主题的名称为“cts-test”),添加订阅(本实践要求订阅的协议选择“邮件”),才能在CTS控制台使用关键操作消息通知功能。具体操作,请参见创建主题添加订阅

    使用消息通知服务(SMN)创建主题、添加邮件订阅,这会产生额外费用,SMN的计费详情请参考产品价格详情

步骤一:开通云审计服务

  1. 登录云审计控制台
  2. 单击左侧导航树的“追踪器”,进入追踪器界面。
  3. 单击右上方的“开通云审计服务”按钮,系统会自动为您创建一个名为system的管理类事件追踪器。
  4. 在管理类追踪器(system)的右侧,单击操作下的“配置”。

    图1 追踪器配置

  5. 设置追踪器的基本信息,单击“下一步”。

    参数

    参数说明

    本实践要求

    追踪器名称

    默认为system,不可修改。

    system

    企业项目

    如果您的账号开通了企业项目管理功能,则需要在此处选择一个企业项目。

    说明:

    企业项目是一种云资源管理方式,由企业项目管理服务提供将云资源统一按项目管理、项目内的资源管理或成员管理。

    开启企业项目的具体操作请参考创建企业项目

    default

    排除KMS事件

    默认不勾选。勾选后,追踪器将不会转储用户对数据加密服务(DEW)的相关操作。

    说明:

    数据加密服务(DEW)的相关审计操作请参考数据加密服务相关的操作事件

    不勾选

  6. 在配置转储页面,您可以设置转储功能。本实践无需使用转储功能,所以关闭“转储到OBS”开关、关闭“转储到LTS”开关。
  7. 单击“下一步 > 配置”,完成配置system追踪器。追踪器配置成功后,您可以在追踪器页面查看配置的追踪器的详细信息。

步骤二:创建关键操作通知

  1. 在云审计控制台,单击左侧导航树的“关键操作通知”。
  2. 在关键操作通知界面,单击“创建关键操作通知”。
  3. 参照下表中的本实践要求参数,设置关键操作通知的参数信息,单击“确定”。

    图2 创建关键操作通知

    表1 设置参数信息

    参数

    参数说明

    本实践要求

    通知名称

    填写通知的名称,用于标识和区分关键操作通知。

    对创建IAM用户操作告警

    操作类型

    根据具体使用场景,选择“完整”和“自定义操作”触发场景。

    自定义

    操作列表

    当操作类型选择“自定义”时,可以自定义选择触发通知的操作范围。

    服务类型选择:IAM

    资源类型选择:user

    操作名称选择:createUser

    高级筛选

    可以通过配置筛选条件设置触发通知的操作范围。

    不设置

    指定用户

    当指定的用户发起关键操作时,可以通过SMN通知相关的订阅者。

    不指定

    发送通知

    当选择“发送”通知时,需要设置创建云服务委托和SMN主题。当选择“不发送”通知时,则无需配置。

    发送

    创建云服务委托

    勾选创建云服务委托后,用户在创建关键操作通知时,云审计服务将会自动创建一个云服务委托,委托授权您使用消息通知服务(SMN)。

    勾选

    SMN主题

    需要选择已创建的SMN主题或者单击链接跳转到消息通知服务页面创建新的主题。

    cts-test

步骤三:执行“创建IAM用户”操作后,验证触发告警

  1. 登录IAM控制台,创建一个IAM用户。具体操作,请参见创建IAM用户
  2. 等待邮件终端接收“对创建IAM用户操作告警”邮件通知。
  3. 成功接受到“对创建IAM用户操作告警”邮件,实现通过云审计服务监控“创建IAM用户”操作。

相关文档