Habilitación de CTS
CTS registra las operaciones realizadas en recursos en la nube en su cuenta. Los registros de operaciones se pueden utilizar para realizar análisis de seguridad, realizar un seguimiento de los cambios de recursos, realizar auditorías de cumplimiento y localizar fallas.
Se recomienda habilitar el servicio CTS para registrar las operaciones clave de IAM, como crear y eliminar usuarios.
Procedimiento
- Inicie sesión en la consola de gestión.
- Si inicia sesión en Huawei Cloud con una cuenta, vaya a 3. Si inicia sesión como usuario de IAM, solicite al administrador que asigne los siguientes permisos:
- Administrador de seguridad
- FullAccess de CTS
Para obtener más información, véase Asignación de permisos a un usuario de IAM.
- Elija Service List >Management & Governance > Cloud Trace Service.
Figura 1 Habilitación y autorización de CTS
- En la página de autorización mostrada, haga clic en Enable and Authorize.
NOTA:
- Al utilizar CTS, debe tener los permisos necesarios para las operaciones pertinentes, pero no es necesario que se le conceda la función de Security Administrator de nuevo.
- Después de habilitar CTS, el sistema crea automáticamente dos rastreadores para registrar las trazas de gestión, es decir, las operaciones (como la creación, el inicio de sesión y la eliminación) realizadas en todos los recursos de la nube.
- En la current region, se crea un rastreador para registrar las trazas de gestión de todos los servicios a nivel de proyecto desplegados en esta región.
- En la región CN-Hong Kong, se crea un rastreador para registrar las trazas de gestión de todos los servicios globales, como IAM.
|
Operación |
Tipo de recurso |
Nombre del rastro |
|---|---|---|
|
Inicio de sesión |
user |
login |
|
Error en el inicio de sesión (no se incluyen los errores de inicio de sesión del ID de HUAWEI) |
user |
loginFailed |
|
Cierre de sesión |
user |
logout |
|
Iniciar sesión con un código QR |
user |
scanQRCodeLogin |
|
Error al inicio de sesión usando un código QR |
user |
scanQRCodeLoginFailed |
|
Inicio de sesión por OpenID Connect |
user |
oidcLoginSuccess |
|
Error de inicio de sesión por OpenID Connect |
user |
oidcLoginFailed |
|
Inicio de sesión por SSO |
user |
iamUserSsoLoginSuccess |
|
Error al iniciar sesión mediante SSO |
user |
iamUserSsoLoginFailed |
|
Restablecimiento de la contraseña |
user |
fpwdResetSuccess |
|
Creación de un usuario de IAM |
user |
createUser |
|
Cambio de la dirección de correo electrónico o el número de teléfono móvil |
user |
updateUser |
|
Eliminación de un usuario |
user |
deleteUser |
|
Cambio de contraseña |
user |
updateUserPwd |
|
Establecimiento de una contraseña para un usuario (por el administrador) |
user |
updateUserPwd |
|
Modificación de la protección de inicio de sesión de un usuario de IAM |
user |
modifyLoginProtect |
|
Cambio del número de teléfono móvil mediante un correo electrónico |
user |
changeMobileByEmail |
|
Cambio de la contraseña mediante un correo electrónico |
user |
updateUserPwdByEmail |
|
Inicio de sesión inicial exitoso como usuario federado |
user |
tenantLoginBySamlSuccess |
|
Inicio de sesión exitoso usando información en caché como usuario federado |
user |
federationLoginNoPwdSuccess |
|
Error al iniciar sesión usando información en caché como usuario federado |
user |
federationLoginNoPwdFailed |
|
Creación de un grupo de usuarios |
userGroup |
createGroup |
|
Modificación de un grupo de usuarios |
userGroup |
updateGroup |
|
Eliminación de un grupo de usuarios |
userGroup |
deleteGroup |
|
Adición de usuarios a un grupo de usuarios |
userGroup |
addUserToGroup |
|
Eliminación de usuarios de un grupo de usuarios |
userGroup |
removeUserFromGroup |
|
Desvinculación de un dispositivo MFA virtual |
MFA |
UnBindMFA |
|
Vinculación de un dispositivo MFA virtual |
MFA |
BindMFA |
|
Creación de un proyecto |
project |
createProject |
|
Modificación de un proyecto |
project |
updateProject |
|
Eliminación de un proyecto |
project |
deleteProject |
|
Creación de una delegación |
agency |
createAgency |
|
Modificación de una delegación |
agency |
updateAgency |
|
Eliminación de una delegación |
agency |
deleteAgency |
|
Cambio de una delegación |
agency |
switchRole |
|
Asignación de todos los permisos de proyecto a una delegación |
agency |
updateAgencyInheritedGrants |
|
Revocación de todos los permisos de proyecto de una delegación |
agency |
deleteAgencyInheritedGrants |
|
Asignación de permisos de servicio global a una delegación |
agency |
updateAgencyAssignsByRole |
|
Asignación de permisos de servicio global a una delegación (API) |
roleAgencyDomain |
assignRoleToAgencyOnDomain |
|
Actualización de permisos de delegación |
agency |
updateAgencyAssignsByRole |
|
Registro de un proveedor de identidad |
identityProvider |
createIdentityProvider |
|
Modificación de un proveedor de identidad |
identityProvider |
updateIdentityProvider |
|
Eliminación de un proveedor de identidad |
identityProvider |
deleteIdentityProvider |
|
Actualización de una regla de conversión de identidad |
identityProvider |
updateMapping |
|
Actualización de los metadatos del proveedor de identidad |
identityProvider |
metadataConfiguration |
|
Edición manual de metadatos de un IdP preestablecido |
identityProvider |
metadataConfiguration |
|
Registro de una asignación |
mapping |
createMapping |
|
Actualización de un mapeo |
mapping |
updateMapping |
|
Supresión de un mapeo |
mapping |
deleteMapping |
|
Registro de un protocolo |
identityProvider |
createProtocol |
|
Actualización de un protocolo |
identityProvider |
updateProtocol |
|
Eliminación de un protocolo |
identityProvider |
deleteProtocol |
|
Revocación de los permisos de servicio global de una delegación |
roleAgencyDomain |
unassignRoleToAgencyOnDomain |
|
Asignación de permisos de proyecto a una delegación |
roleAgencyProject |
assignRoleToAgencyOnProject |
|
Revocación de permisos de proyecto desde una delegación |
roleAgencyProject |
unassignRoleToAgencyOnProject |
|
Modificación de la política de autenticación de inicio de sesión |
SecurityPolicy |
modifySecurityPolicy |
|
Modificación de la política de contraseñas |
SecurityPolicy |
modifySecurityPolicy |
|
Modificación de la ACL |
SecurityPolicy |
modifySecurityPolicy |
|
Modificación de la política de autenticación de inicio de sesión |
loginpolicy |
securitypolicy |
|
Modificación de la política de contraseñas |
passwordpolicy |
securitypolicy |
|
Modificación de la ACL |
acl |
securitypolicy |
|
Creación de una cuenta |
domain |
createDomain |
|
Actualizar una cuenta |
domain |
updateDomain |
|
Eliminar una cuenta |
domain |
deleteDomain |
|
Error de inicio de sesión a través de OpenID Connect |
domain |
oidcLoginFailed |
|
Creación de una política personalizada |
Policy |
createRole |
|
Modificación de una política personalizada |
Policy |
updateRole |
|
Eliminación de una política personalizada |
Policy |
deleteRole |
|
Asignación de permisos de servicio global a un grupo de usuarios (API) |
assignment |
createAssignment |
|
Asignación de permisos de servicio global a un grupo de usuarios |
group |
updateGroupAssignsByRole |
|
Revocación de permisos de servicio global de un grupo de usuarios |
assignment |
deleteAssignment |
|
Creación de un AK/SK permanente |
credential |
createCredential |
|
Actualización de una clave de acceso permanente (AK/SK) |
credential |
updateCredential |
|
Eliminación de una clave de acceso permanente (AK/SK) |
credential |
deleteCredential |
|
Desactivación o activación de una clave de acceso (AK/SK) |
credential |
updateCredential |
|
Asignación de permisos a usuarios o proyectos de empresa |
assignment |
grantRoleToUserOnEnterpriseProject |
|
Revocación de permisos de usuarios o proyectos empresariales |
enterpriseProject |
revokeRoleFromUserOnEnterpriseProject |
|
Actualización de permisos de grupo de usuarios para proyectos de empresa |
enterpriseProject |
updateRoleFromGroupOnEnterpriseProject |
|
Creación de un grupo de usuarios |
group |
createGroup |
|
Eliminación de un grupo de usuarios |
group |
deleteGroup |
