使用前必读
欢迎使用云审计服务(Cloud Trace Service,以下简称CTS),CTS是云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。
您可以使用本文档提供API对云审计服务进行相关操作,如创建、删除追踪器等。支持的全部操作请参见API概览。
在调用云审计服务的API之前,请确保已经充分了解云审计服务的相关概念与功能,详细信息请参见产品介绍。
终端节点
终端节点(Endpoint)即调用API的请求地址,不同服务不同区域的终端节点不同,您可以从地区和终端节点中查询云审计服务的终端节点。
区域名称 |
区域 |
终端节点(Endpoint) |
---|---|---|
非洲-约翰内斯堡 |
af-south-1 |
cts.af-south-1.myhuaweicloud.com |
中国-香港 |
ap-southeast-1 |
cts.ap-southeast-1.myhuaweicloud.com |
亚太-曼谷 |
ap-southeast-2 |
cts.ap-southeast-2.myhuaweicloud.com |
亚太-新加坡 |
ap-southeast-3 |
cts.ap-southeast-3.myhuaweicloud.com |
亚太-雅加达 |
ap-southeast-4 |
cts.ap-southeast-4.myhuaweicloud.com |
华东-上海二 |
cn-east-2 |
cts.cn-east-2.myhuaweicloud.com |
华东-上海一 |
cn-east-3 |
cts.cn-east-3.myhuaweicloud.com |
华北-北京一 |
cn-north-1 |
cts.cn-north-1.myhuaweicloud.com |
华北-北京二 |
cn-north-2 |
cts.cn-north-2.myhuaweicloud.com |
华北-北京四 |
cn-north-4 |
cts.cn-north-4.myhuaweicloud.com |
华北-乌兰察布一 |
cn-north-9 |
cts.cn-north-9.myhuaweicloud.com |
华南-广州 |
cn-south-1 |
cts.cn-south-1.myhuaweicloud.com |
华南-深圳 |
cn-south-2 |
cts.cn-south-2.myhuaweicloud.com |
华南-广州-友好用户环境 |
cn-south-4 |
cts.cn-south-4.myhuaweicloud.com |
西南-贵阳一 |
cn-southwest-2 |
cts.cn-southwest-2.myhuaweicloud.com |
欧洲-巴黎 |
eu-west-0 |
cts.eu-west-0.myhuaweicloud.com |
拉美-墨西哥城二 |
la-north-2 |
cts.la-north-2.myhuaweicloud.com |
拉美-圣地亚哥 |
la-south-2 |
cts.la-south-2.myhuaweicloud.com |
中东-利雅得 |
me-east-1 |
cts.me-east-1.myhuaweicloud.com |
亚太-吉隆坡-OP6 |
my-kualalumpur-1 |
cts.my-kualalumpur-1.myhuaweicloud.com |
拉美-墨西哥城一 |
na-mexico-1 |
cts.na-mexico-1.myhuaweicloud.com |
俄罗斯-莫斯科二 |
ru-northwest-2 |
cts.ru-northwest-2.myhuaweicloud.com |
拉美-圣保罗一 |
sa-brazil-1 |
cts.sa-brazil-1.myhuaweicloud.com |
土耳其-伊斯坦布尔 |
tr-west-1 |
cts.tr-west-1.myhuaweicloud.com |
约束与限制
- 每个账号可以创建100个数据追踪器和1个管理追踪器,不支持修改配额。
- 更详细的限制请参见具体API的说明。
基本概念
- 追踪器
使用云审计服务前需要开通云审计服务,开通云审计服务时系统会自动创建一个追踪器。该追踪器会自动识别并关联当前租户所使用的所有云服务,并将当前租户的所有操作记录在该追踪器中。
目前,一个租户仅支持创建1个管理追踪器和100个数据追踪器。
- 事件
事件即云审计服务追踪并保存的云服务资源的操作日志。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。
事件分为以下两类:管理类事件和数据类事件,管理类事件指云服务上报的事件,数据类事件指OBS服务上报的读写操作事件。
- 账号
用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用该用户进行日常管理工作。
- 用户
由账号在IAM中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。
通常在调用API的鉴权过程中,您需要用到账号、用户和密码等信息。
- 区域(Region)
从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region,通用Region指面向公共租户提供通用云服务的Region;专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。
详情请参见区域和可用区。
- 可用区(AZ,Availability Zone)
一个可用区是一个或多个物理数据中心的集合,有独立的风火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。
- 项目
区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),以默认项目为单位进行授权,用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制,可以在区域默认的项目中创建子项目,并在子项目中创建资源,然后以子项目为单位进行授权,使得用户仅能访问特定子项目中资源,使得资源的权限控制更加精确。
图1 项目隔离模型
- 企业项目
企业项目是项目的升级版,针对企业不同项目间资源的分组和管理,是逻辑隔离。企业项目中可以包含多个区域的资源,且项目中的资源可以迁入迁出。
关于企业项目ID的获取及企业项目特性的详细信息,请参见《企业管理用户指南》。
API版本选择建议
随着云审计服务版本升级,建议您使用功能更强大、操作更便捷的V3版本API。
V1版本API不推荐使用,即将下线。