IAM支持审计的关键操作

操作场景

云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。

为了方便查看IAM的关键操作事件，例如创建用户、删除用户等，建议管理员开启云审计服务。

操作步骤

登录管理控制台。
如果您是以主账号登录华为云，请直接进行3；如果您是以IAM用户登录华为云，需要联系管理员对IAM用户授予以下权限：
- Security Administrator
- CTS FullAccess
授权方法请参见给IAM用户授权。
选择“服务列表 > 管理与监管 > 云审计服务”，进入云审计服务授权页面。
单击“同意授权并开通”，进入云审计服务页面。
- 后续使用云审计服务，仅需拥有云审计服务相关权限即可，无需拥有Security Administrator权限。
- 同意授权并开通CTS服务后，系统会自动为您创建以下管理追踪器，用于记录管理事件，即针对所有云资源的操作日志，例如创建、登录、删除等：
  - 自动在当前region创建1个管理追踪器，用于记录项目级服务的管理事件。
  - 自动在中国-香港区域创建1个管理追踪器，用于记录全局服务（如IAM服务）的管理事件。

在IAM进行操作，例如创建用户、用户组等，CTS将会记录这些操作。CTS支持记录的IAM相关的操作事件，如下表所示。

表1 CTS支持的IAM操作列表
操作名称	资源类型	事件名称
用户登录	user	login
用户登录失败（华为账号登录失败不记录）	user	loginFailed
用户登出	user	logout
二维码登录	user	scanQRCodeLogin
二维码登录失败	user	scanQRCodeLoginFailed
OIDC登录成功	user	oidcLoginSuccess
OIDC登录失败	user	oidcLoginFailed
SSO登录成功	user	iamUserSsoLoginSuccess
SSO登录失败	user	iamUserSsoLoginFailed
通过忘记密码修改密码	user	fpwdResetSuccess
创建用户	user	createUser
修改邮件地址、手机号	user	updateUser
删除用户	user	deleteUser
用户在安全设置自行修改密码	user	updateUserPwd
管理员设置用户密码	user	updateUserPwd
修改IAM用户的登录保护状态信息	user	modifyLoginProtect
通过邮箱修改手机号	user	changeMobileByEmail
通过邮箱修改密码	user	updateUserPwdByEmail
企业联邦用户首次登录成功	user	tenantLoginBySamlSuccess
企业联邦用户通过自定义身份代理登录成功	user	federationLoginNoPwdSuccess
企业联邦用户通过自定义身份代理登录失败	user	federationLoginNoPwdFailed
创建用户组	userGroup	createGroup
更新用户组	userGroup	updateGroup
删除用户组	userGroup	deleteGroup
添加用户到用户组	userGroup	addUserToGroup
从用户组删除用户	userGroup	removeUserFromGroup
解绑虚拟MFA设备	MFA	UnBindMFA
绑定虚拟MFA设备	MFA	BindMFA
创建安全密钥	mfa	createWebauthnMfaDevice
启用安全密钥	mfa	enableWebauthnMfaDevice
创建项目	project	createProject
修改项目	project	updateProject
删除项目	project	deleteProject
创建委托	agency	createAgency
修改委托	agency	updateAgency
删除委托	agency	deleteAgency
切换委托	agency	switchRole
为委托授予所有项目服务权限	agency	updateAgencyInheritedGrants
移除委托下的所有项目服务权限	agency	deleteAgencyInheritedGrants
为委托授予全局服务权限	agency	updateAgencyAssignsByRole
为委托授予全局服务权限（API）	roleAgencyDomain	assignRoleToAgencyOnDomain
更新委托权限	agency	updateAgencyAssignsByRole
注册身份提供商	identityProvider	createIdentityProvider
更新身份提供商	identityProvider	updateIdentityProvider
删除身份提供商	identityProvider	deleteIdentityProvider
更新身份转换规则	identityProvider	updateMapping
更新IDP元数据	identityProvider	metadataConfiguration
手动编辑系统预置的IdP元数据	identityProvider	metadataConfiguration
注册映射	mapping	createMapping
更新映射	mapping	updateMapping
删除映射	mapping	deleteMapping
注册协议	identityProvider	createProtocol
更新协议	identityProvider	updateProtocol
删除协议	identityProvider	deleteProtocol
移除委托的全局服务权限	roleAgencyDomain	unassignRoleToAgencyOnDomain
委托授权项目	roleAgencyProject	assignRoleToAgencyOnProject
解除委托授权项目	roleAgencyProject	unassignRoleToAgencyOnProject
更新账号登录策略	SecurityPolicy	modifySecurityPolicy
更新密码策略	SecurityPolicy	modifySecurityPolicy
更新访问控制列表	SecurityPolicy	modifySecurityPolicy
更新账号登录策略	loginpolicy	securitypolicy
更新密码策略	passwordpolicy	securitypolicy
更新访问控制列表	acl	securitypolicy
创建租户	domain	createDomain
更新租户	domain	updateDomain
删除租户	domain	deleteDomain
OIDC方式登录失败	domain	oidcLoginFailed
注册自定义策略	Policy	createRole
修改自定义策略	Policy	updateRole
删除自定义策略	Policy	deleteRole
用户组添加全局权限（API）	assignment	createAssignment
用户组添加全局权限	group	updateGroupAssignsByRole
用户组移除全局权限	assignment	deleteAssignment
创建永久AK/SK	credential	createCredential
更新永久AK/SK	credential	updateCredential
删除永久AK/SK	credential	deleteCredential
停用、启用AK/SK	credential	updateCredential
联邦用户通过控制台创建临时访问密钥	credential	CreateTemporaryAccessKeyFromConsole
对用户、企业项目、策略授权	assignment	grantRoleToUserOnEnterpriseProject
移除用户、企业项目、策略授权	enterpriseProject	revokeRoleFromUserOnEnterpriseProject
更新企业项目用户组权限	enterpriseProject	updateRoleFromGroupOnEnterpriseProject
创建用户组	group	createGroup
删除用户组	group	deleteGroup