方案概述

应用场景

该解决方案基于华为云函数工作流 FunctionGraph无服务器架构，将云服务（如：弹性云服务器 ECS、对象存储服务 OBS、统一身份认证服务 IAM等）产生的事件发送到事件网格 EG中，事件网格对事件进行校验、过滤、路由和转化，然后推送给已经订阅事件的函数。在函数中执行业务处理逻辑，并将关键的事件信息通过消息通知服务 SMN推送给运维人员。从而对云服务的访问和操作行为进行审计，防止恶意行为，保障云服务和数据的安全。

方案架构

该解决方案基于华为云事件网格 EG、函数工作流 FunctionGraph及消息通知服务 SMN，帮助用户快速构建运维审计环境。解决方案架构图如下：

图1 方案架构图

该解决方案会部署如下资源：

• 在事件网格 EG中创建两个事件订阅，用于将事件源（弹性云服务器 ECS、统一身份认证服务 IAM）、事件通道和事件目标绑定在一起，通过事件规则将事件源发出的事件路由到事件目标。
• 创建一个或多个对象存储服务 OBS触发器，用于由指定的桶内对象触发函数。
• 在函数工作流 FunctionGraph中创建两个函数，一个用于接收来自事件网格路由的特定事件，另一个用于接收来自对象存储服务产生的事件。并将消息格式化后调用消息通知服务推送给订阅终端。
• 使用消息通知服务 SMN，用于将指定的事件发送给消息订阅终端。
• 在统一身份认证服务 IAM创建两个委托，一个用于将SMN的操作权限委托给函数工作流，另一个用于授权EG投递事件给函数工作流。

方案优势

• 实时监控

  实时监控华为云上云服务状态，将高危操作及时路由给运维人员，从而发现并解决问题。

• 开源定制化

  该解决方案是开源的，用户可以根据该解决方案模板，定制专属的运维审计环境。

• 一键部署

  采用现成的事件网格技术，可以快速构建一个运维审计环境，节省大量的开发时间和成本。

约束与限制

• 部署该解决方案之前，您需注册华为账号并开通华为云，完成实名认证，且账号不能处于欠费或冻结状态。
• 当前登录账号拥有使用事件网格的权限。账号权限授权与绑定，请参考创建用户并授权使用EG。如果您的账号为IAM用户，请先联系华为云账号拥有者为IAM用户授权，然后才能使用事件网格服务。
• 部署该解决方案之前，请确保您有一个可用的消息服务 SMN主题。