开通云审计服务
云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。
为了方便查看IAM的关键操作事件,例如创建用户、删除用户等,建议管理员开启云审计服务。
操作步骤
- 登录管理控制台。
- 如果您是以主账号登录华为云,请直接进行3;如果您是以IAM用户登录华为云,需要联系管理员对IAM用户授予以下权限:
- Security Administrator
- CTS FullAccess
授权方法请参见给IAM用户授权。
- 选择“服务列表 > 管理与监管管理与部署 > 云审计服务”,进入云审计服务授权页面,如下图所示。
图1 云审计服务授权
- 单击“同意授权并开通”,进入云审计服务页面。
- 后续使用云审计服务,仅需拥有云审计服务相关权限即可,无需拥有Security Administrator权限。
- 同意授权并开通CTS服务后,系统会自动为您创建以下管理追踪器,用于记录管理事件,即针对所有云资源的操作日志,例如创建、登录、删除等:
- 自动在当前region创建1个管理追踪器,用于记录项目级服务的管理事件。
- 自动在中国-香港区域创建1个管理追踪器,用于记录全局服务(如IAM服务)的管理事件。
操作名称 |
资源类型 |
事件名称 |
|---|---|---|
用户登录 |
user |
login |
用户登录失败(华为账号登录失败不记录) |
user |
loginFailed |
用户登出 |
user |
logout |
二维码登录 |
user |
scanQRCodeLogin |
二维码登录失败 |
user |
scanQRCodeLoginFailed |
OIDC登录成功 |
user |
oidcLoginSuccess |
OIDC登录失败 |
user |
oidcLoginFailed |
SSO登录成功 |
user |
iamUserSsoLoginSuccess |
SSO登录失败 |
user |
iamUserSsoLoginFailed |
通过忘记密码修改密码 |
user |
fpwdResetSuccess |
创建用户 |
user |
createUser |
修改邮件地址、手机号 |
user |
updateUser |
删除用户 |
user |
deleteUser |
用户在安全设置自行修改密码 |
user |
updateUserPwd |
管理员设置用户密码 |
user |
updateUserPwd |
修改IAM用户的登录保护状态信息 |
user |
modifyLoginProtect |
通过邮箱修改手机号 |
user |
changeMobileByEmail |
通过邮箱修改密码 |
user |
updateUserPwdByEmail |
企业联邦用户首次登录成功 |
user |
tenantLoginBySamlSuccess |
企业联邦用户通过缓存信息登录跳转成功 |
user |
federationLoginNoPwdSuccess |
企业联邦用户通过缓存信息登录跳转失败 |
user |
federationLoginNoPwdFailed |
创建用户组 |
userGroup |
createGroup |
更新用户组 |
userGroup |
updateGroup |
删除用户组 |
userGroup |
deleteGroup |
添加用户到用户组 |
userGroup |
addUserToGroup |
从用户组删除用户 |
userGroup |
removeUserFromGroup |
解绑虚拟MFA设备 |
MFA |
UnBindMFA |
绑定虚拟MFA设备 |
MFA |
BindMFA |
创建项目 |
project |
createProject |
修改项目 |
project |
updateProject |
删除项目 |
project |
deleteProject |
创建委托 |
agency |
createAgency |
修改委托 |
agency |
updateAgency |
删除委托 |
agency |
deleteAgency |
切换委托 |
agency |
switchRole |
为委托授予所有项目服务权限 |
agency |
updateAgencyInheritedGrants |
移除委托下的所有项目服务权限 |
agency |
deleteAgencyInheritedGrants |
为委托授予全局服务权限 |
agency |
updateAgencyAssignsByRole |
为委托授予全局服务权限(API) |
roleAgencyDomain |
assignRoleToAgencyOnDomain |
更新委托权限 |
agency |
updateAgencyAssignsByRole |
注册身份提供商 |
identityProvider |
createIdentityProvider |
更新身份提供商 |
identityProvider |
updateIdentityProvider |
删除身份提供商 |
identityProvider |
deleteIdentityProvider |
更新身份转换规则 |
identityProvider |
updateMapping |
更新IDP元数据 |
identityProvider |
metadataConfiguration |
手动编辑系统预置的IdP元数据 |
identityProvider |
metadataConfiguration |
注册映射 |
mapping |
createMapping |
更新映射 |
mapping |
updateMapping |
删除映射 |
mapping |
deleteMapping |
注册协议 |
identityProvider |
createProtocol |
更新协议 |
identityProvider |
updateProtocol |
删除协议 |
identityProvider |
deleteProtocol |
移除委托的全局服务权限 |
roleAgencyDomain |
unassignRoleToAgencyOnDomain |
委托授权项目 |
roleAgencyProject |
assignRoleToAgencyOnProject |
解除委托授权项目 |
roleAgencyProject |
unassignRoleToAgencyOnProject |
更新账号登录策略 |
SecurityPolicy |
modifySecurityPolicy |
更新密码策略 |
SecurityPolicy |
modifySecurityPolicy |
更新访问控制列表 |
SecurityPolicy |
modifySecurityPolicy |
更新账号登录策略 |
loginpolicy |
securitypolicy |
更新密码策略 |
passwordpolicy |
securitypolicy |
更新访问控制列表 |
acl |
securitypolicy |
创建租户 |
domain |
createDomain |
更新租户 |
domain |
updateDomain |
删除租户 |
domain |
deleteDomain |
OIDC方式登录失败 |
domain |
oidcLoginFailed |
注册自定义策略 |
Policy |
createRole |
修改自定义策略 |
Policy |
updateRole |
删除自定义策略 |
Policy |
deleteRole |
用户组添加全局权限(API) |
assignment |
createAssignment |
用户组添加全局权限 |
group |
updateGroupAssignsByRole |
用户组移除全局权限 |
assignment |
deleteAssignment |
创建永久AK/SK |
credential |
createCredential |
更新永久AK/SK |
credential |
updateCredential |
删除永久AK/SK |
credential |
deleteCredential |
停用、启用AK/SK |
credential |
updateCredential |
对用户、企业项目、策略授权 |
assignment |
grantRoleToUserOnEnterpriseProject |
移除用户、企业项目、策略授权 |
enterpriseProject |
revokeRoleFromUserOnEnterpriseProject |
更新企业项目用户组权限 |
enterpriseProject |
updateRoleFromGroupOnEnterpriseProject |
创建用户组 |
group |
createGroup |
删除用户组 |
group |
deleteGroup |
- 登录管理控制台。
- 单击“服务列表”,选择“管理与部署 > 云审计服务 CTS”,进入云审计服务信息页面。
- 单击左侧导航树的“追踪器”,进入追踪器信息页面。
- 单击“开通云审计服务”。
- 在开启云审计服务详情页面,单击“开启”,完成开启云审计服务,系统会自动分配一个追踪器。
开启云审计服务成功后,您可以在追踪器信息页面查看系统自动创建的追踪器的详细信息。
操作名称 |
资源类型 |
事件名称 |
|---|---|---|
用户登录 |
user |
login |
云联盟用户登录 |
user |
cloudLoginBySaml |
登录失败 |
user |
loginFailed |
用户登出 |
user |
logout |
联邦用户登录 |
user |
tenantLoginBySamlSuccess/ oidcLoginSuccess |
IAM用户首次登录、密码过期、密码即将过期提醒等场景修改密码 |
user |
changePassword |
创建用户 |
user |
createUser |
修改用户信息 |
user |
updateUser |
删除用户 |
user |
deleteUser |
创建AK/SK |
user |
createCredential、addCredential |
删除AK/SK |
user |
deleteCredential |
停用、启用AK/SK |
user |
changeCredentialStatus |
修改AK/SK |
user |
updateCredential |
修改邮件地址 |
user |
modifyUserEmail |
修改手机 |
user |
modifyUserMobile |
用户在安全设置自行修改密码 |
user |
modifyUserPassword |
管理员设置用户密码 |
user |
setPasswordByAdmin |
创建用户组 |
userGroup |
createUserGroup |
更新用户组 |
userGroup |
updateGroup、updateUserGroup |
删除用户组 |
userGroup |
deleteUserGroup |
添加用户到用户组 |
userGroup |
addUserToGroup、updateUser/updateUserGroup |
从用户组删除用户 |
userGroup |
removeUserFromGroup、updateUser/updateUserGroup |
创建项目 |
project |
createProject |
修改项目 |
project |
updateProject |
删除项目 |
project |
deleteProject |
创建委托 |
agency |
createAgency |
修改委托 |
agency |
updateAgency |
删除委托 |
agency |
deleteAgency |
切换角色 |
agency |
switchRole |
Token |
createToken |
|
创建身份提供商 |
identityProvider |
createIdentityProvider |
更新身份提供商 |
identityProvider |
updateIdentityProvider |
删除身份提供商 |
identityProvider |
deleteIdentityProvider |
上传IdP元数据 |
identityProvider |
updateMetaConfigure、uploadMetadataFile |
手动编辑IdP元数据 |
identityProvider |
updateMetaConfigure |
创建自定义策略 |
role |
createRole |
修改自定义策略 |
role |
updateRole |
删除自定义策略 |
role |
deleteRole |
更新账号登录策略 |
domain |
updateSecurityPolicies |
更新密码策略 |
domain |
updatePasswordPolicies |
更新访问控制列表 |
domain |
updateACLPolicies |
