使用云审计服务监控“创建IAM用户”操作

使用限制

统一身份认证(IAM)属于全局级服务，需要在中心region（北京四） 的云审计控制台配置关键操作通知，才能使用云审计服务的关键操作通知功能。

准备工作

1. 为用户添加操作权限。
   • 如果您是以主账号登录华为云，请跳到下一个任务。
   • 如果您是以IAM用户登录华为云，需要联系CTS管理员（主账号或admin用户组中的用户）对IAM用户授予CTS FullAccess权限。授权方法请参见给IAM用户授权。
2. 开通消息通知服务(SMN)，并创建主题（本实践要求主题的名称为“cts-test”），添加订阅（本实践要求订阅的协议选择“邮件”），才能在CTS控制台使用关键操作消息通知功能。具体操作，请参见创建主题和添加订阅。
   

   使用消息通知服务（SMN）创建主题、添加邮件订阅，这会产生额外费用，SMN的计费详情请参考产品价格详情。

步骤一：开通云审计服务

1. 登录云审计控制台。
2. 单击左侧导航树的“追踪器”，进入追踪器界面。
3. 单击右上方的“开通云审计服务”按钮，系统会自动为您创建一个名为system的管理类事件追踪器。
4. 在管理类追踪器(system)的右侧，单击操作下的“配置”。
   图1 追踪器配置
   

5. 设置追踪器的基本信息，单击“下一步”。

   参数	参数说明	本实践要求
   追踪器名称	默认为system，不可修改。	system
   企业项目	如果您的账号开通了企业项目管理功能，则需要在此处选择一个企业项目。 说明： 企业项目是一种云资源管理方式，由企业项目管理服务提供将云资源统一按项目管理、项目内的资源管理或成员管理。 开启企业项目的具体操作请参考创建企业项目。	default
   排除KMS事件	默认不勾选。勾选后，追踪器将不会转储用户对数据加密服务（DEW）的相关操作。 说明： 数据加密服务（DEW）的相关审计操作请参考数据加密服务相关的操作事件。	不勾选

6. 在配置转储页面，您可以设置转储功能。本实践无需使用转储功能，所以关闭“转储到OBS”开关、关闭“转储到LTS”开关。
7. 单击“下一步 > 配置”，完成配置system追踪器。追踪器配置成功后，您可以在追踪器页面查看配置的追踪器的详细信息。

步骤二：创建关键操作通知

1. 在云审计控制台，单击左侧导航树的“关键操作通知”。
2. 在关键操作通知界面，单击“创建关键操作通知”。
3. 参照下表中的本实践要求参数，设置关键操作通知的参数信息，单击“确定”。
   图2 创建关键操作通知
   

   表1 设置参数信息

   参数	参数说明	本实践要求
   通知名称	填写通知的名称，用于标识和区分关键操作通知。	对创建IAM用户操作告警
   操作类型	根据具体使用场景，选择“完整”和“自定义操作”触发场景。	自定义
   操作列表	当操作类型选择“自定义”时，可以自定义选择触发通知的操作范围。	服务类型选择：IAM 资源类型选择：user 操作名称选择：createUser
   高级筛选	可以通过配置筛选条件设置触发通知的操作范围。	不设置
   指定用户	当指定的用户发起关键操作时，可以通过SMN通知相关的订阅者。	不指定
   发送通知	当选择“发送”通知时，需要设置创建云服务委托和SMN主题。当选择“不发送”通知时，则无需配置。	发送
   创建云服务委托	勾选创建云服务委托后，用户在创建关键操作通知时，云审计服务将会自动创建一个云服务委托，委托授权您使用消息通知服务（SMN）。	勾选
   SMN主题	需要选择已创建的SMN主题或者单击链接跳转到消息通知服务页面创建新的主题。	cts-test

步骤三：执行“创建IAM用户”操作后，验证触发告警

1. 登录IAM控制台，创建一个IAM用户。具体操作，请参见创建IAM用户。
2. 等待邮件终端接收“对创建IAM用户操作告警”邮件通知。
3. 成功接受到“对创建IAM用户操作告警”邮件，实现通过云审计服务监控“创建IAM用户”操作。

   

常见问题相关链接

使用IAM用户无法开通CTS怎么办？

向主题推送消息后，订阅者为什么没有收到消息？