Ativação de CTS
O CTS registra as operações realizadas em recursos de nuvem em sua conta. Os logs de operações podem ser usados para realizar análises de segurança, rastrear alterações de recursos, realizar auditorias de conformidade e localizar falhas.
É recomendável que você ative o serviço CTS para registrar as principais operações do IAM, como criar e excluir usuários.
Procedimento
- Faça logon no console de gerenciamento.
- Se você fizer logon na Huawei Cloud usando uma conta, acesse 3. Se você fizer logon como um usuário do IAM, solicite ao administrador que lhe conceda as seguintes permissões:
- Security Administrator
- CTS FullAccess
Para mais detalhes, consulte Atribuição de permissões a um usuário do IAM.
- Escolha Service List > Management & Governance > Cloud Trace Service.
Figura 1 Ativação e autorização do CTS
- Na página de autorização exibida, clique em Enable and Authorize.
- Ao usar o CTS, você deve ter as permissões necessárias para operações relevantes, mas não precisa receber novamente a função Security Administrator.
- Depois de ativar o CTS, o sistema cria automaticamente dois rastreadores para registrar os traços de gerenciamento, ou seja, as operações (como criação, logon e exclusão) realizadas em todos os recursos da nuvem.
- Na current region, um rastreador é criado para registrar os traços de gerenciamento de todos os serviços de nível de projeto implementados nessa região.
- Na região CN-Hong Kong, um rastreador é criado para registrar os traços de gerenciamento de todos os serviços globais, como o IAM.
|
Operação |
Tipo de recurso |
Nome de traços |
|---|---|---|
|
Fazer logon |
user |
login |
|
Falha no registro (falhas de logon da HUAWEI ID não incluídas) |
user |
loginFailed |
|
Fazer logoff |
user |
logout |
|
Fazer logon usando um código QR |
user |
scanQRCodeLogin |
|
Falha no registro usando um código QR |
user |
scanQRCodeLoginFailed |
|
Fazer logon via OpenID Connect |
user |
oidcLoginSuccess |
|
Falha no registro via OpenID Connect |
user |
oidcLoginFailed |
|
Fazer logon via SSO |
user |
iamUserSsoLoginSuccess |
|
Falha no registro via SSO |
user |
iamUserSsoLoginFailed |
|
Redefinir a senha |
user |
fpwdResetSuccess |
|
Criar um usuário do IAM |
user |
createUser |
|
Alterar o endereço de e-mail ou o número de celular |
user |
updateUser |
|
Excluir um usuário |
user |
deleteUser |
|
Alterar a senha |
user |
updateUserPwd |
|
Definir uma senha para um usuário (pelo administrador) |
user |
updateUserPwd |
|
Modificar a proteção de logon de um usuário do IAM |
user |
modifyLoginProtect |
|
Alterar o número do celular usando um e-mail |
user |
changeMobileByEmail |
|
Alterar a senha usando um e-mail |
user |
updateUserPwdByEmail |
|
Logon inicial bem-sucedido como um usuário federado |
user |
tenantLoginBySamlSuccess |
|
Logon bem-sucedido usando informações armazenadas em cache como um usuário federado |
user |
federationLoginNoPwdSuccess |
|
Falha no logon usando informações armazenadas em cache como um usuário federado |
user |
federationLoginNoPwdFailed |
|
Criar um grupo de usuários |
userGroup |
createGroup |
|
Modificar um grupo de usuários |
userGroup |
updateGroup |
|
Excluir um grupo de usuários |
userGroup |
deleteGroup |
|
Adicionar usuários a um grupo de usuários |
userGroup |
addUserToGroup |
|
Remover usuários de um grupo de usuários |
userGroup |
removeUserFromGroup |
|
Desvincular um dispositivo de MFA virtual |
MFA |
UnBindMFA |
|
Vincular um dispositivo de MFA virtual |
MFA |
BindMFA |
|
Criar um projeto |
project |
createProject |
|
Modificar um projeto |
project |
updateProject |
|
Excluir um projeto |
project |
deleteProject |
|
Criar uma agência |
agency |
createAgency |
|
Modificar uma agência |
agency |
updateAgency |
|
Excluir uma agência |
agency |
deleteAgency |
|
Mudar de agência |
agency |
switchRole |
|
Atribuir todas as permissões de projeto a uma agência |
agency |
updateAgencyInheritedGrants |
|
Revogar todas as permissões de projeto de uma agência |
agency |
deleteAgencyInheritedGrants |
|
Atribuir permissões de serviço global a uma agência |
agency |
updateAgencyAssignsByRole |
|
Atribuir permissões de serviço global a uma agência (API) |
roleAgencyDomain |
assignRoleToAgencyOnDomain |
|
Atualizar permissões de agência |
agency |
updateAgencyAssignsByRole |
|
Registrar um provedor de identidade |
identityProvider |
createIdentityProvider |
|
Modificar um provedor de identidade |
identityProvider |
updateIdentityProvider |
|
Excluir um provedor de identidade |
identityProvider |
deleteIdentityProvider |
|
Atualizar uma regra de conversão de identidade |
identityProvider |
updateMapping |
|
Atualizar os metadados do provedor de identidade |
identityProvider |
metadataConfiguration |
|
Editar manualmente os metadados de um IdP predefinido |
identityProvider |
metadataConfiguration |
|
Registrar um mapeamento |
mapping |
createMapping |
|
Atualizar um mapeamento |
mapping |
updateMapping |
|
Excluir um mapeamento |
mapping |
deleteMapping |
|
Registrar um protocolo |
identityProvider |
createProtocol |
|
Atualizar um protocolo |
identityProvider |
updateProtocol |
|
Excluir um protocolo |
identityProvider |
deleteProtocol |
|
Revogar permissões de serviço global de uma agência |
roleAgencyDomain |
unassignRoleToAgencyOnDomain |
|
Atribuir permissões de projeto a uma agência |
roleAgencyProject |
assignRoleToAgencyOnProject |
|
Revogar permissões de projeto de uma agência |
roleAgencyProject |
unassignRoleToAgencyOnProject |
|
Modificar política de autenticação de logon |
SecurityPolicy |
modifySecurityPolicy |
|
Modificar a política de senha |
SecurityPolicy |
modifySecurityPolicy |
|
Modificar a ACL |
SecurityPolicy |
modifySecurityPolicy |
|
Modificar política de autenticação de logon |
loginpolicy |
securitypolicy |
|
Modificar a política de senha |
passwordpolicy |
securitypolicy |
|
Modificar a ACL |
acl |
securitypolicy |
|
Criar uma conta |
domain |
createDomain |
|
Atualizar uma conta |
domain |
updateDomain |
|
Excluir uma conta |
domain |
deleteDomain |
|
Falha no registro via OpenID Connect |
domain |
oidcLoginFailed |
|
Criar uma política personalizada |
Policy |
createRole |
|
Modificar uma política personalizada |
Policy |
updateRole |
|
Excluir uma política personalizada |
Policy |
deleteRole |
|
Atribuir permissões de serviço globais a um grupo de usuários (API) |
assignment |
createAssignment |
|
Atribuir permissões de serviço globais a um grupo de usuários |
group |
updateGroupAssignsByRole |
|
Revogar permissões de serviço globais de um grupo de usuários |
assignment |
deleteAssignment |
|
Criar uma AK/SK permanente |
credential |
createCredential |
|
Atualizar uma chave de acesso permanente (AK/SK) |
credential |
updateCredential |
|
Excluir uma chave de acesso permanente (AK/SK) |
credential |
deleteCredential |
|
Desativar ou ativar uma chave de acesso (AK/SK) |
credential |
updateCredential |
|
Atribuir permissões a usuários ou projetos empresariais |
assignment |
grantRoleToUserOnEnterpriseProject |
|
Revogar permissões de usuários ou projetos empresariais |
enterpriseProject |
revokeRoleFromUserOnEnterpriseProject |
|
Atualizar permissões de grupo de usuários para projetos empresariais |
enterpriseProject |
updateRoleFromGroupOnEnterpriseProject |
|
Criar um grupo de usuários |
group |
createGroup |
|
Excluir um grupo de usuários |
group |
deleteGroup |
