CES安全配置建议

通过CES提供的访问控制能力合理分配用户权限

建议对不同角色的IAM用户设置不同的权限，避免权限过大导致数据泄露或被误操作

为了更好地进行权限隔离和管理，建议您配置独立的IAM管理员，授予IAM管理员IAM策略的管理权限。IAM管理员可以根据您业务的实际诉求创建不同的用户组，用户组对应不同的数据访问场景，通过将用户添加到用户组并将IAM策略绑定到对应用户组，IAM管理员可以为不同职能部门的员工按照最小权限原则授予不同的数据访问权限。详情请参见登录保护及登录验证策略。

通过数据脱敏进行隐私及敏感信息数据保护

当业务调用请求中包含用户敏感信息时，建议您通过数据脱敏功能对敏感信息进行脱敏处理。 您可以前往数据脱敏界面创建针对业务组件的自定义脱敏配置，平台将通过标志化、掩码的能力将调用链中的敏感信息进行标志化、或者掩码转化。完成配置并生效后，您可前往调用链界面查看上报数据详情。

开启云审计服务记录CES的所有访问操作便于事后审查

云审计服务（Cloud Trace Service，CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。

您开通云审计服务并创建和配置追踪器后，CTS可记录CES的事件用于审计。CES支持审计的操作事件请参见云审计服务支持的Cloud Eye操作列表。