文档首页/ 云审计服务 CTS/ 用户指南/ 创建关键操作通知
更新时间:2024-10-11 GMT+08:00

创建关键操作通知

云审计服务在记录某些特定关键操作时,支持通过消息通知服务(SMN)对这些关键操作实时向相关订阅者发送通知(向用户手机、邮箱发送消息,也可直接发送http/https消息),该功能由云审计服务触发,消息通知服务完成通知发送。由于云审计服务的关键操作通知需要使用消息通知服务向相关的订阅者发送通知,因此需要提前了解消息通知服务的创建主题、添加订阅等操作。

操作场景

关键操作通知主要应用于以下场景:
  • 高危操作(重启虚拟机、变更安全配置等)、成本敏感操作(创建、删除高价资源等)、业务敏感操作(网络配置变更等)的实时感知和确认。
  • 越权操作感知:如高权限用户的登录、某用户进行了其权限范围之外的操作的实时感知和确认。
  • 对接用户自有审计日志分析系统:将所有审计日志实时对接到用户自有的审计日志分析系统,进行接口调用成功率分析、越权分析、安全分析、成本分析等。

使用说明

  • 全局级服务需要在中心region(中国-香港) 的云审计控制台配置关键操作通知,才能使用关键操作消息通知功能。全局级服务在其他region的云审计控制台配置时,上述功能不会生效。您可以在约束与限制中,查阅目前华为云的全局级服务信息。
  • 由于云审计服务的关键操作通知需要使用消息通知服务向相关的订阅者发送通知,因此需要提前了解消息通知服务的创建主题、添加订阅等操作。
  • 云审计服务支持创建100个关键操作通知:
    • 自定义类型的关键操作通知支持单独设置触发操作范围、指定操作用户和通知主题。
    • 完整类型的关键操作通知,支持通知主题。
  • 如果云审计服务和云监控服务使用同一消息主题,则接受终端一样,但是发送的内容不同。
  • 单个关键操作通知支持最多对10个用户组的50个用户发起的操作进行通知配置。单个关键操作通知不支持一次选择多个用户组,但是可以分次添加不同用户组中的用户在同一个关键操作通知。

创建关键操作通知

  1. 登录管理控制台。
  2. 单击左上角,选择“管理与监管 > 云审计服务 CTS”,进入云审计服务页面。
  3. 在左侧导航栏中选择“关键操作通知”,页面跳转到关键操作通知页面。
  4. 单击页面右上角的“创建关键操作通知”,页面跳转到创建关键操作通知参数填写页面。
  5. 填写“基本信息”参数。

    通知名称:用于标识和区分关键操作通知,必选参数。命名可包含英文、中文、数字、下划线,长度不超过64位。

  6. 配置关键操作。
    选中的操作将作为触发器,在操作发生时,即时发送SMN通知。
    • 操作类型:根据具体使用场景,选择“完整”和“自定义操作”触发场景。
      • 完整:更适合对接用户自有审计系统,支持对所有已对接云审计服务的所有操作发送SMN通知。该模式下用户不可配置,默认发送对象为支持服务的所有事件。此场景下建议用户使用订阅协议为https的SMN主题。
      • 自定义:适合对高危操作、成本敏感操作、业务敏感操作、越权操作等有实时感知和确认的企业,亦可对接用户自有审计日志分析系统进行分析。

        触发通知的操作范围支持自定义选择,单个关键操作通知支持对100个服务的1000个关键操作进行选择,请参见支持审计的服务及详细操作列表

    • 高级筛选:可以通过配置筛选条件设置触发通知的操作范围。当开启高级筛选后,可以对api_version、code、trace_rating、trace_type、resource_id、resource_name 6个参数进行配置,最多可同时对6个参数配置6个筛选条件。当配置多个条件时可以选择多条件的关系,是“当所有条件满足时生效(AND)”还是“有一个条件满足时生效(OR)”。
      表1 高级筛选参数说明

      筛选参数

      参数说明

      api_version

      事件对应的云服务接口版本。

      枚举值:

      • v1
      • v3

      code

      事件对应接口返回的HTTP状态码。

      trace_rating

      事件等级目前有三种:正常(normal),警告(warning),事故(incident)。

      枚举值:
      • normal
      • warning
      • incident

      trace_type

      事件的类型,包括管理类事件(system)和数据类事件(data)。

      枚举值:

      • system
      • data

      resource_id

      事件对应的云服务资源ID。 示例:5a0215bed7a14de38193a******facef。

      resource_name

      事件对应的的资源名称。

  7. 配置用户。

    当指定的用户发起关键操作时,可以通过SMN通知相关的订阅者。

    • 当选择“不指定”用户时,所有用户发起的关键操作,将通过SMN通知相关的订阅者。
    • 当选择“指定”用户时,需要手动指定用户,当这些用户发起关键操作时,将通过SMN通知相关的订阅者。目前支持对10个用户组的50个特定用户发起的操作进行配置,用户组不支持多选,但同一用户组下的多个用户支持多选。
  8. 配置SMN主题。
    • 当选择“发送”通知时:
      • 创建云服务委托:必选,勾选创建云服务委托后,用户在创建关键操作通知时,云审计服务将会自动创建一个云服务委托,委托授权您使用消息通知服务(SMN)。
      • SMN主题:需要选择已创建的SMN主题或者单击链接跳转到消息通知服务页面创建新的主题。
    • 当选择“不发送”通知时,则无需配置。
  9. 单击“确定”。

管理关键操作通知

创建完关键操作通知后,可在通知列表中查看关键操作通知的名称、状态、模板、SMN主题等信息,并可根据需要删除。

  1. 登录管理控制台。
  2. 单击左上角,选择“管理与监管 > 云审计服务 CTS”,进入云审计服务页面。
  3. 在左侧导航栏中选择“关键操作通知”,页面跳转到关键操作通知页面,根据需要执行以下操作,具体请参见表2

    表2 相关操作

    操作

    说明

    查看关键操作通知

    单击通知名称,可以查看该通知的操作列表和用户列表详细信息。

    启/停关键操作通知

    单击操作列“启用/停用”,可以开启/关闭该关键操作通知。

    说明:

    只有配置了SMN的关键操作通知,云审计服务才能正常启用/停用关键操作通知,未配置SMN则无法启用关键操作通知。

    修改关键操作通知

    单击操作列“修改”,可修改该关键操作通知的配置信息。

    删除关键操作通知

    单击操作列“删除”,可删除该关键操作通知。

    搜索通知

    在列表上方的搜索框,可以过滤通知名称、状态、模板名称和SMN主题来搜索通知。

    刷新通知

    单击右上角的按钮,可刷新关键操作通知列表信息。

    基础设置

    单击右上角的按钮,可以设置表格内容折行、固定操作列和自定义列表项的展示/隐藏。