更新时间:2024-06-06 GMT+08:00

关键操作通知

操作场景

关键操作通知主要应用于以下场景:
  • 高危操作(重启虚拟机、变更安全配置等)、成本敏感操作(创建、删除高价资源等)、业务敏感操作(网络配置变更等)的实时感知和确认。
  • 越权操作感知:如高权限用户的登录、某用户进行了其权限范围之外的操作的实时感知和确认。
  • 对接用户自有审计日志分析系统:将所有审计日志实时对接到用户自有的审计日志分析系统,进行接口调用成功率分析、越权分析、安全分析、成本分析等。

使用说明

  • 由于云审计服务的关键操作通知需要使用消息通知服务向相关的订阅者发送通知,因此需要提前了解消息通知服务的创建主题、添加订阅等操作。
  • 云审计服务支持创建100个关键操作通知:
    • 自定义类型的关键操作通知支持单独设置触发操作范围、指定操作用户和通知主题。
    • 完整类型的关键操作通知,支持通知主题。
  • 如果云审计服务和云监控服务使用同一消息主题,则接受终端一样,但是发送的内容不同。
  • 单个关键操作通知支持最多对10个用户组的50个用户发起的操作进行通知配置。单个关键操作通知不支持一次选择多个用户组,但是可以分次添加不同用户组中的用户在同一个关键操作通知。

创建关键操作通知

  1. 登录管理控制台。
  2. 单击左上角,选择“管理与部署 > 云审计服务 CTS”,进入云审计服务页面。
  3. 在左侧导航栏中选择“关键操作通知”,页面跳转到关键操作通知页面。
  4. 单击页面右上角的“创建关键操作通知”,页面跳转到创建关键操作通知参数填写页面。
  5. 填写“基本信息”参数。

    通知名称:用于标识和区分关键操作通知,必选参数。命名可包含英文、中文、数字、下划线,长度不超过64位。

  6. 配置关键操作。
    选中的操作将作为触发器,在操作发生时,即时发送SMN通知。
    • 操作类型:根据具体使用场景,选择“完整”和“自定义操作”触发场景。
      • 完整:更适合对接用户自有审计系统,支持对所有已对接云审计服务的所有操作发送SMN通知。该模式下用户不可配置,默认发送对象为支持服务的所有事件。此场景下建议用户使用订阅协议为https的SMN主题。
      • 自定义:适合对高危操作、成本敏感操作、业务敏感操作、越权操作等有实时感知和确认的企业,亦可对接用户自有审计日志分析系统进行分析。

        触发通知的操作范围支持自定义选择,单个关键操作通知支持对100个服务的1000个关键操作进行选择,请参见支持审计的服务及操作列表

    • 高级筛选:可以通过配置筛选条件设置触发通知的操作范围。当开启高级筛选后,可以对api_version、code、trace_rating、trace_type、resource_id、resource_name 6个参数进行配置,最多可同时对6个参数配置6个筛选条件。当配置多个条件时可以选择多条件的关系,是“当所有条件满足时生效(AND)”还是“有一个条件满足时生效(OR)”。
  7. 配置用户。

    当指定的用户发起关键操作时,可以通过SMN通知相关的订阅者。

    • 当选择“不指定”用户时,所有用户发起的关键操作,将通过SMN通知相关的订阅者。
    • 当选择“指定”用户时,需要手动指定用户,当这些用户发起关键操作时,将通过SMN通知相关的订阅者。
  8. 配置SMN主题。
    • 当选择“发送”通知时:
      • SMN主题:需要选择已创建的SMN主题或者单击链接跳转到消息通知服务页面创建新的主题。
    • 当选择“不发送”通知时,则无需配置。
  9. 单击“确定”。

管理关键操作通知

创建完关键操作通知后,可在通知列表中查看关键操作通知的名称、状态、模板、SMN主题等信息,并可根据需要删除。

  1. 登录管理控制台。
  2. 单击左上角,选择“管理与部署 > 云审计服务 CTS”,进入云审计服务页面。
  3. 在左侧导航栏中选择“关键操作通知”,页面跳转到关键操作通知页面,根据需要执行以下操作,具体请参见表1

    表1 相关操作

    操作

    说明

    查看关键操作通知

    单击操作列“查看”,可以查看该通知的操作列表和用户列表详细信息。

    启/停关键操作通知

    单击操作列“启用/停用”,可以开启/关闭该关键操作通知。

    说明:

    只有配置了SMN的关键操作通知,云审计服务才能正常启用/停用关键操作通知,未配置SMN则无法启用关键操作通知。

    修改关键操作通知

    单击操作列“修改”,可修改该关键操作通知的配置信息。

    删除关键操作通知

    单击操作列“删除”,可删除该关键操作通知。

    刷新通知

    单击右上角的按钮,可刷新关键操作通知列表信息。