CTS安全配置建议

建议妥善管理身份认证信息，减少因凭证泄露导致的数据泄露风险

无论用户通过CTS控制台还是API、SDK访问CTS，都会要求访问请求方出示身份凭证，并进行身份合法性校验，同时提供登录保护和登录验证策略加固身份认证安全。CTS服务基于统一身份认证服务（Identity and Access Management，IAM），支持三种身份认证方式：用户名密码、访问密钥、临时访问密钥。同时还提供登录保护及登录验证策略。

1. 建议使用临时AK/SK进行业务处理，减少凭证泄露导致您数据泄露的风险

   操作CTS相关资源时，都需要进行身份凭证认证，用于确保请求的机密性、完整性和请求者身份的正确性。建议您为应用程序或服务配置IAM委托或临时AK/SK，通过IAM委托可以获取一组临时AK/SK，临时AK/SK到期自动过期失效，可以有效降低凭证泄露造成的数据泄露风险。详情请参见临时访问密钥和通过委托获取临时AK/SK。

2. 定期轮转永久AK/SK减少凭证泄露导致您数据泄露的风险

   如果您必须使用永久AK/SK，建议对永久AK/SK进行定期凭证轮转，同时加密存储，避免凭证长期使用过程中预置的明文凭证泄露导致数据泄露。详情请参见访问密钥。

3. 定期修改用户名密码，避免弱密码

   定期重置密码是提高系统和应用程序安全性的重要措施之一，不仅可以降低密码泄露的风险，还可以帮助用户满足合规要求，减少内部威胁，提高用户的安全意识。同时建议您配置密码的复杂度，避免使用弱密码。详情请参见密码策略。

建议对不同角色的IAM用户仅设置最小权限，避免权限过大导致数据泄露，提高访问控制

如果您需要对企业中的员工设置不同的CTS访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制CTS资源的访问。您可以通过设置CTS系统权限或者细粒度权限进行权限最小化的安全管控。详情请参见CTS权限管理。

开启云审计服务，配置关键操作通知

云审计提供了关键操作通知能力，便于用户实时接收重点审计事件通知，详情请参见创建关键操作通知。

当您对华为云的资源增加删除比较关注时，您可以配置云审计关键操作通知并配置相应资源的服务类型、资源类型、动作，云审计通过消息通知服务（SMN）对这些关键操作实时向相关订阅者发送通知（向用户手机、邮箱发送消息，也可直接发送http/https消息）。

使用最新版本的SDK获得更好的操作体验和更强的安全能力

建议客户升级SDK并使用最新版本，可以在您使用CTS的过程中对您的数据提供更好的操作体验和更强的保护。您可以在SDK列表中查看CTS支持的SDK，在GitHub仓库查看SDK更新历史、获取安装包以及查看指导文档。详情请参见CTS SDK。

使用云监控服务对重点审计事件进行实时监控告警

云审计会将华为云ECS、VPC、EVS等云服务重点审计事件如: deleteServer、deleteVpc、deleteVolume等发送CES事件监控中，您可以使用CES服务监控自己的云上资源操作频率，执行自动实时监控、告警和通知操作，帮助您实时掌握特定云服务云上资源操作频次、操作返回状态、发生时间等信息。云监控服务不需要开通，当启用CTS服务后，CTS服务自动将特定云服务审计事件上报CES。关于云监控服务的更多介绍，请参见云监控服务产品介绍。

开启云审计服务配置OBS桶，将审计事件归档OBS永久存储，并使用DEW对事件文件进行加密

由于CTS只支持查询7天的审计事件，为了您事后审计、查询、分析等要求，启用CTS追踪器请配置OBS转储（建议您配置独立OBS桶并配置DEW加密存储专门用于归档审计事件）。当云上资源发生变化时，CTS服务将审计事件归档至OBS的桶，详细操作请参见追踪器配置OBS转储。

使用数据加密服务（DEW）中的密钥对OBS桶中的对象进行全量加密或者部分加密，详细操作请参见OBS服务端加密。