统一身份认证服务 IAM统一身份认证服务 IAM

更新时间:2021/09/23 GMT+08:00
分享

开通云审计服务

云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。

为了方便查看IAM的关键操作事件,例如创建用户、删除用户等,建议管理员开启云审计服务。

操作步骤

  1. 登录管理控制台。
  2. 如果您是以主账号登录华为云,请直接进行3;如果您是以IAM用户登录华为云,需要联系管理员对IAM用户授予以下权限:

    • Security Administrator
    • CTS FullAccess

    授权方法请参见给IAM用户授权

  3. 选择“服务列表 > 管理与监管 > 云审计服务”,进入云审计服务授权页面,如下图所示。

    图1 云审计服务授权

  4. 单击“同意授权并开通”,进入云审计服务页面。

    • 后续使用云审计服务,仅需拥有云审计服务相关权限即可,无需拥有Security Administrator权限。
    • 同意授权并开通CTS服务后,系统会自动为您创建以下管理追踪器,用于记录管理事件,即针对所有云资源的操作日志,例如创建、登录、删除等:
      • 自动在当前region创建1个管理追踪器,用于记录项目级服务的管理事件。
      • 自动在华北-北京四区域创建1个管理追踪器,用于记录全局服务(如IAM服务)的管理事件。

在IAM进行操作,例如创建用户、用户组等,CTS将会记录这些操作。CTS支持记录的IAM相关的操作事件,如下表所示。
表1 CTS支持的IAM操作列表

操作名称

资源类型

事件名称

用户登录

user

login

用户登出

user

logout

IAM用户首次登录修改密码

user

changePassword

通过忘记密码修改密码

user

updateUserPwd

创建用户

user

createUser

修改用户信息

user

updateUser

删除用户

user

deleteUser

添加用户到用户组

userGroup

addUserToGroup、updateUser

从用户组删除用户

userGroup

removeUserFromGroup、updateUser

修改邮件地址

user

modifyUserEmail

修改手机

user

modifyUserMobile

创建AK/SK

user

addCredential

删除AK/SK

user

deleteCredential

停用、启用AK/SK

user

changeCredentialStatus

修改AK/SK

user

updateCredential

用户在安全设置自行修改密码

user

modifyUserPassword

管理员设置用户密码

user

setPasswordByAdmin

创建用户组

userGroup

createUserGroup

更新用户组

userGroup

updateUserGroup

删除用户组

userGroup

deleteUserGroup

解绑虚拟MFA设备

MFA

BindMFA

绑定虚拟MFA设备

MFA

UnBindMFA

创建项目

project

createProject

修改项目

project

updateProject

创建委托

agency

createAgency

修改委托

agency

updateAgency

删除委托

agency

deleteAgency

注册身份提供商

identityProvider

createIdentityProvider

更新身份提供商

identityProvider

updateIdentityProvider

删除身份提供商

identityProvider

deleteIdentityProvider

更新身份转换规则

identityProvider

updateMetaConfigure

更新IDP元数据

identityProvider

updateMetaConfigure、uploadMetadataFile

更新帐号登录策略

domain

updateSecurityPolicies

更新密码策略

domain

updatePasswordPolicies

更新访问控制列表

domain

updateACLPolicies

ECP模式获取unscope token

unscopedOS-FederationToken

createUnscopedOS-FederationToken

在IAM进行操作,例如创建用户、用户组等,CTS将会记录这些操作。CTS支持记录的IAM相关的操作事件,如下表所示。
表2 CTS支持的IAM操作列表

操作名称

资源类型

事件名称

用户登录

user

login

云联盟用户登录

user

cloudLoginBySaml

登录失败

user

loginFailed

用户登出

user

logout

联邦用户登录

user

tenantLoginBySamlSuccess/

oidcLoginSuccess

IAM用户首次登录、密码过期、密码即将过期提醒等场景修改密码

user

changePassword

创建用户

user

createUser

修改用户信息

user

updateUser

删除用户

user

deleteUser

创建AK/SK

user

createCredential、addCredential

删除AK/SK

user

deleteCredential

停用、启用AK/SK

user

changeCredentialStatus

修改AK/SK

user

updateCredential

修改

user

modifyUserEmail

修改手机

user

modifyUserMobile

用户在安全设置自行修改密码

user

modifyUserPassword

管理员设置用户密码

user

setPasswordByAdmin

创建用户组

userGroup

createUserGroup

更新用户组

userGroup

updateGroup、updateUserGroup

删除用户组

userGroup

deleteUserGroup

添加用户到用户组

userGroup

addUserToGroup、updateUser/updateUserGroup

从用户组删除用户

userGroup

removeUserFromGroup、updateUser/updateUserGroup

创建项目

project

createProject

修改项目

project

updateProject

删除项目

project

deleteProject

创建委托

agency

createAgency

修改委托

agency

updateAgency

删除委托

agency

deleteAgency

切换角色

agency

switchRole

Token

createToken

创建身份提供商

identityProvider

createIdentityProvider

更新身份提供商

identityProvider

updateIdentityProvider

删除身份提供商

identityProvider

deleteIdentityProvider

上传IdP元数据

identityProvider

updateMetaConfigure、uploadMetadataFile

手动编辑IdP元数据

identityProvider

updateMetaConfigure

创建自定义策略

role

createRole

修改自定义策略

role

updateRole

删除自定义策略

role

deleteRole

更新账号登录策略

domain

updateSecurityPolicies

更新密码策略

domain

updatePasswordPolicies

更新访问控制列表

domain

updateACLPolicies

分享:

    相关文档

    相关产品