更新时间:2024-12-03 GMT+08:00

使用前必读

欢迎使用云审计服务(Cloud Trace Service,以下简称CTS),CTS是云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。

您可以使用本文档提供API对云审计服务进行相关操作,如创建、删除追踪器等。支持的全部操作请参见API概览

在调用云审计服务的API之前,请确保已经充分了解云审计服务的相关概念与功能,详细信息请参见产品介绍

终端节点

终端节点(Endpoint)即调用API的请求地址,不同服务不同区域的终端节点不同,您可以从地区和终端节点中查询云审计服务的终端节点。

云审计服务的终端节点如下表所示,请您根据业务需要选择对应区域的终端节点。
表1 云审计服务的终端节点

区域名称

区域

终端节点(Endpoint)

非洲-约翰内斯堡

af-south-1

cts.af-south-1.myhuaweicloud.com

中国-香港

ap-southeast-1

cts.ap-southeast-1.myhuaweicloud.com

亚太-曼谷

ap-southeast-2

cts.ap-southeast-2.myhuaweicloud.com

亚太-新加坡

ap-southeast-3

cts.ap-southeast-3.myhuaweicloud.com

亚太-雅加达

ap-southeast-4

cts.ap-southeast-4.myhuaweicloud.com

华东-上海二

cn-east-2

cts.cn-east-2.myhuaweicloud.com

华东-上海一

cn-east-3

cts.cn-east-3.myhuaweicloud.com

华北-北京一

cn-north-1

cts.cn-north-1.myhuaweicloud.com

华北-北京二

cn-north-2

cts.cn-north-2.myhuaweicloud.com

华北-北京四

cn-north-4

cts.cn-north-4.myhuaweicloud.com

华北-乌兰察布一

cn-north-9

cts.cn-north-9.myhuaweicloud.com

华南-广州

cn-south-1

cts.cn-south-1.myhuaweicloud.com

华南-深圳

cn-south-2

cts.cn-south-2.myhuaweicloud.com

华南-广州-友好用户环境

cn-south-4

cts.cn-south-4.myhuaweicloud.com

西南-贵阳一

cn-southwest-2

cts.cn-southwest-2.myhuaweicloud.com

欧洲-巴黎

eu-west-0

cts.eu-west-0.myhuaweicloud.com

拉美-墨西哥城二

la-north-2

cts.la-north-2.myhuaweicloud.com

拉美-圣地亚哥

la-south-2

cts.la-south-2.myhuaweicloud.com

中东-利雅得

me-east-1

cts.me-east-1.myhuaweicloud.com

亚太-吉隆坡-OP6

my-kualalumpur-1

cts.my-kualalumpur-1.myhuaweicloud.com

拉美-墨西哥城一

na-mexico-1

cts.na-mexico-1.myhuaweicloud.com

俄罗斯-莫斯科二

ru-northwest-2

cts.ru-northwest-2.myhuaweicloud.com

拉美-圣保罗一

sa-brazil-1

cts.sa-brazil-1.myhuaweicloud.com

土耳其-伊斯坦布尔

tr-west-1

cts.tr-west-1.myhuaweicloud.com

约束与限制

  • 每个账号可以创建100个数据追踪器和1个管理追踪器,不支持修改配额。
  • 更详细的限制请参见具体API的说明。

基本概念

  • 追踪器

    使用云审计服务前需要开通云审计服务,开通云审计服务时系统会自动创建一个追踪器。该追踪器会自动识别并关联当前租户所使用的所有云服务,并将当前租户的所有操作记录在该追踪器中。

    目前,一个租户仅支持创建1个管理追踪器和100个数据追踪器。

  • 事件

    事件即云审计服务追踪并保存的云服务资源的操作日志。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。

    事件分为以下两类:管理类事件和数据类事件,管理类事件指云服务上报的事件,数据类事件指OBS服务上报的读写操作事件。

  • 账号

    用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用该用户进行日常管理工作。

  • 用户

    由账号在IAM中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。

    通常在调用API的鉴权过程中,您需要用到账号、用户和密码等信息。

  • 区域(Region)

    从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region,通用Region指面向公共租户提供通用云服务的Region;专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。

    详情请参见区域和可用区

  • 可用区(AZ,Availability Zone)

    一个可用区是一个或多个物理数据中心的集合,有独立的风火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。

  • 项目

    区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),以默认项目为单位进行授权,用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制,可以在区域默认的项目中创建子项目,并在子项目中创建资源,然后以子项目为单位进行授权,使得用户仅能访问特定子项目中资源,使得资源的权限控制更加精确。

    图1 项目隔离模型
  • 企业项目

    企业项目是项目的升级版,针对企业不同项目间资源的分组和管理,是逻辑隔离。企业项目中可以包含多个区域的资源,且项目中的资源可以迁入迁出。

    关于企业项目ID的获取及企业项目特性的详细信息,请参见《企业管理用户指南》。

API版本选择建议

随着云审计服务版本升级,建议您使用功能更强大、操作更便捷的V3版本API。

V1版本API不推荐使用,即将下线。