更新时间:2025-01-06 GMT+08:00
通过云审计服务监控DEW密钥的使用
华为云数据加密服务(DEW)提供DEW密钥功能,可以帮助用户创建、加密和解密数据加密密钥,以保护云服务中的敏感数据安全。通过云审计服务监控DEW密钥的使用,您可以及时发现异常活动、未授权操作或潜在的安全风险。有效的监控和审计可以帮助您更好地管理和保护DEW密钥,确保数据的安全性和合规性。
本文为您介绍如何通过云审计服务的操作审计功能和筛选查询事件功能,对DEW密钥的使用情况进行监控。
准备工作
为用户添加云审计服务(CTS)操作权限。
- 如果您是以主账号登录华为云,请进行下一个操作:开通云审计服务并配置system追踪器。
- 如果您是以IAM用户登录华为云,需要联系CTS管理员(主账号或admin用户组中的用户)对IAM用户授予CTS FullAccess权限。授权方法请参见给IAM用户授权。
开通云审计服务并配置system追踪器
- 登录云审计控制台。
- 单击左侧导航栏的“追踪器”,进入追踪器界面。
- 单击右上方的“开通云审计服务”按钮,系统会自动为您创建一个名为system的管理类事件追踪器。
- 在管理类追踪器(system)的右侧,单击操作下的“配置”。
图1 追踪器配置
- 设置追踪器的基本信息,单击“下一步”。
参数
参数说明
本实践要求
追踪器名称
默认为system,不可修改。
system
企业项目
如果您的账号开通了企业项目管理功能,则需要在此处选择一个企业项目。
说明:企业项目是一种云资源管理方式,由企业项目管理服务提供将云资源统一按项目管理、项目内的资源管理或成员管理。
开启企业项目的具体操作请参考创建企业项目。
default
排除DEW事件
默认不勾选。勾选后,用户对数据加密服务(DEW)的createDataKey操作和decryptDatakey操作将不会被转储到OBS/LTS。
说明:数据加密服务(DEW)的相关审计操作请参考数据加密服务相关的操作事件。
不勾选
- 在配置转储页面,您可以设置转储功能。本实践无需使用转储功能,所以关闭“转储到OBS”开关、关闭“转储到LTS”开关。
- 单击“下一步 > 配置”,完成配置system追踪器。追踪器配置成功后,您可以在追踪器页面查看配置的追踪器的详细信息。
场景一:查询创建、删除、启用、禁用DEW密钥的记录
- 在云审计控制台,单击左侧导航栏的“事件列表”。
- 单击页面上方的“最近1小时”,设置查询的时间范围。
- 在搜索框中依次查询创建、删除、启用、禁用DEW密钥操作:
- 创建DEW密钥操作:“云服务:DEW” > “资源类型:cmk” > “事件名称:createKey”。
- 删除DEW密钥操作:“云服务:DEW” > “资源类型:cmk” > “事件名称:scheduleKeyDeletion”。
- 启用DEW密钥操作:“云服务:DEW” > “资源类型:cmk” > “事件名称:enableKey”。
- 禁用DEW密钥操作:“云服务:DEW” > “资源类型:cmk” > “事件名称:disableKey”。
- 创建DEW密钥操作:“云服务:DEW” > “资源类型:cmk” > “事件名称:createKey”。
- 在事件列表查看事件的查询结果。
场景二:查询指定DEW密钥的使用情况
- 在云审计控制台,单击左侧导航栏的“事件列表”。
- 单击页面上方的“最近1小时”,设置查询的时间范围。
- 在搜索框中输入需要查询的指定DEW密钥的密钥ID:“资源ID:{resource_id}”。
{resource_id}请替换为您需要查询的DEW密钥的密钥ID。在云审计服务中,资源ID(Resource ID)就是DEW密钥的密钥ID。
- 在事件列表查看事件的查询结果。
