IAM支持审计的关键操作
操作场景
云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。
为了方便查看IAM的关键操作事件,例如创建用户、删除用户等,建议管理员开启云审计服务。具体请参见配置特定云服务的查询类事件上报到云审计。
操作步骤
- 登录管理控制台。
- 如果您是以主账号登录华为云,请直接进行3;如果您是以IAM用户登录华为云,需要联系管理员对IAM用户授予以下权限:
- Security Administrator
- CTS FullAccess
授权方法请参见给IAM用户授权。
- 选择“服务列表 > 管理与监管 > 云审计服务”,进入云审计服务授权页面。
- 单击“同意授权并开通”,进入云审计服务页面。
- 后续使用云审计服务,仅需拥有云审计服务相关权限即可,无需拥有Security Administrator权限。
- 同意授权并开通CTS服务后,系统会自动为您创建以下管理追踪器,用于记录管理事件,即针对所有云资源的操作日志,例如创建、登录、删除等:
- 自动在当前region创建1个管理追踪器,用于记录项目级服务的管理事件。
- 自动在华北-北京四区域创建1个管理追踪器,用于记录全局服务(如IAM服务)的管理事件。
操作名称 |
资源类型 |
事件名称 |
---|---|---|
用户登录 |
user |
login |
用户登录失败(华为账号登录失败不记录) |
user |
loginFailed |
用户登出 |
user |
logout |
二维码登录 |
user |
scanQRCodeLogin |
二维码登录失败 |
user |
scanQRCodeLoginFailed |
OIDC登录成功 |
user |
oidcLoginSuccess |
OIDC登录失败 |
user |
oidcLoginFailed |
SSO登录成功 |
user |
iamUserSsoLoginSuccess |
SSO登录失败 |
user |
iamUserSsoLoginFailed |
通过忘记密码修改密码 |
user |
fpwdResetSuccess |
创建用户 |
user |
createUser |
修改邮件地址、手机号 |
user |
updateUser |
删除用户 |
user |
deleteUser |
用户在安全设置自行修改密码 |
user |
updateUserPwd |
管理员设置用户密码 |
user |
updateUserPwd |
修改IAM用户的登录保护状态信息 |
user |
modifyLoginProtect |
通过邮箱修改手机号 |
user |
changeMobileByEmail |
通过邮箱修改密码 |
user |
updateUserPwdByEmail |
企业联邦用户首次登录成功 |
user |
tenantLoginBySamlSuccess |
企业联邦用户通过自定义身份代理登录成功 |
user |
federationLoginNoPwdSuccess |
企业联邦用户通过自定义身份代理登录失败 |
user |
federationLoginNoPwdFailed |
下载用户密码 |
user |
downloadPassword |
获取用户组中的用户 |
user |
getGroupUserList |
获取登录用户信息 |
user |
getUserSelf |
查询IAM用户详情 |
user |
showUser |
查询IAM用户详情 |
user |
showUser |
管理员查询用户组所包含的IAM用户 |
user |
listUsersForGroup |
查询IAM用户的登录保护状态信息列表 |
user |
listLoginProtects |
查询指定IAM用户的登录保护状态信息 |
user |
showLoginProtect |
管理员查询IAM用户列表 |
users |
listUsers |
查询IAM用户是否在用户组中 |
users |
checkUserInGroup |
查询企业项目直接关联用户 |
users |
listUsersOnEnterpriseProject |
创建用户组 |
userGroup |
createGroup |
更新用户组 |
userGroup |
updateGroup |
删除用户组 |
userGroup |
deleteGroup |
添加用户到用户组 |
userGroup |
addUserToGroup |
从用户组删除用户 |
userGroup |
removeUserFromGroup |
解绑虚拟MFA设备 |
MFA |
UnBindMFA |
绑定虚拟MFA设备 |
MFA |
BindMFA |
删除虚拟MFA |
MFA |
deleteMFA |
创建虚拟MFA |
MFA |
createMFA |
绑定虚拟MFA |
MFA |
bindMFA |
查询IAM用户的MFA绑定信息列表 |
MFA |
listMFA |
查询指定IAM用户的MFA绑定信息 |
MFA |
showMFA |
创建安全密钥 |
mfa |
createWebauthnMfaDevice |
启用安全密钥 |
mfa |
enableWebauthnMfaDevice |
停用MFA |
mfa |
disableMfaDevice |
创建项目 |
project |
createProject |
修改项目 |
project |
updateProject |
删除项目 |
project |
deleteProject |
获取项目配额 |
project |
getProjectQuota |
获取项目列表 |
project |
getProjectList |
获取子项目基本信息 |
project |
getSubProjectDetail |
获取项目详情 |
project |
getProjectDetail |
创建委托 |
agency |
createAgency |
修改委托 |
agency |
updateAgency |
删除委托 |
agency |
deleteAgency |
切换委托 |
agency |
switchRole |
为委托授予所有项目服务权限 |
agency |
updateAgencyInheritedGrants |
移除委托下的所有项目服务权限 |
agency |
deleteAgencyInheritedGrants |
为委托授予全局服务权限 |
agency |
updateAgencyAssignsByRole |
获取委托详情 |
agency |
getAgencyDetailAll |
获取委托列表 |
agency |
getAgencyList |
获取指定租户委托本租户的委托列表 |
agency |
getAgencyList4SwitchRole |
获取云服务委托列表 |
agency |
getServiceAgencyList |
访问委托链接 |
agency |
switchAgency |
获取委托切换信息 |
agency |
assumeRole |
为委托授予全局服务权限(API) |
roleAgencyDomain |
assignRoleToAgencyOnDomain |
更新委托权限 |
agency |
updateAgencyAssignsByRole |
查询委托详情 |
agency |
showAgency |
查询指定条件下的委托列表 |
agencies |
listAgencies |
注册身份提供商 |
identityProvider |
createIdentityProvider |
更新身份提供商 |
identityProvider |
updateIdentityProvider |
删除身份提供商 |
identityProvider |
deleteIdentityProvider |
更新身份转换规则 |
identityProvider |
updateMapping |
更新IDP元数据 |
identityProvider |
metadataConfiguration |
手动编辑系统预置的IdP元数据 |
identityProvider |
metadataConfiguration |
注册映射 |
mapping |
createMapping |
更新映射 |
mapping |
updateMapping |
删除映射 |
mapping |
deleteMapping |
注册协议 |
identityProvider |
createProtocol |
更新协议 |
identityProvider |
updateProtocol |
删除协议 |
identityProvider |
deleteProtocol |
移除委托的全局服务权限 |
roleAgencyDomain |
unassignRoleToAgencyOnDomain |
委托授权项目 |
roleAgencyProject |
assignRoleToAgencyOnProject |
解除委托授权项目 |
roleAgencyProject |
unassignRoleToAgencyOnProject |
更新账号登录策略 |
SecurityPolicy |
modifySecurityPolicy |
更新密码策略 |
SecurityPolicy |
modifySecurityPolicy |
更新访问控制列表 |
SecurityPolicy |
modifySecurityPolicy |
更新账号登录策略 |
loginpolicy |
securitypolicy |
更新密码策略 |
passwordpolicy |
securitypolicy |
更新访问控制列表 |
acl |
securitypolicy |
创建租户 |
domain |
createDomain |
更新租户 |
domain |
updateDomain |
删除租户 |
domain |
deleteDomain |
OIDC方式登录失败 |
domain |
oidcLoginFailed |
注册自定义策略 |
Policy |
createRole |
修改自定义策略 |
Policy |
updateRole |
删除自定义策略 |
Policy |
deleteRole |
用户组添加全局权限(API) |
assignment |
createAssignment |
用户组添加全局权限 |
group |
updateGroupAssignsByRole |
用户组移除全局权限 |
assignment |
deleteAssignment |
获取授权列表 |
assignment |
getRoleAssignments |
查询租户授权信息 |
assignment |
showAssignment |
创建永久AK/SK |
credential |
createCredential |
更新永久AK/SK |
credential |
updateCredential |
删除永久AK/SK |
credential |
deleteCredential |
停用、启用AK/SK |
credential |
updateCredential |
查询指定永久访问密钥 |
credential |
showCredential |
查询所有永久访问密钥 |
credentials |
listCredentials |
联邦用户通过控制台创建临时访问密钥 |
credential |
CreateTemporaryAccessKeyFromConsole |
对用户、企业项目、策略授权 |
assignment |
grantRoleToUserOnEnterpriseProject |
移除用户、企业项目、策略授权 |
enterpriseProject |
revokeRoleFromUserOnEnterpriseProject |
更新企业项目用户组权限 |
enterpriseProject |
updateRoleFromGroupOnEnterpriseProject |
创建用户组 |
group |
createGroup |
删除用户组 |
group |
deleteGroup |
获取用户所属的用户组 |
group |
getGroupsOfUser |
获取用户组详情 |
group |
getGroupDetailAll |
获取用户组列表 |
group |
getGroupList |
获取指定企业项目关联用户组 |
group |
showGroupAssignedOnEp |
查询用户组详情 |
group |
showGroup |
查询IAM用户所属用户组 |
groups |
listGroupsForUser |
查询用户组列表 |
groups |
listGroups |
查询企业项目关联的用户组 |
groups |
listGroupsOnEnterpriseProject |
获取action |
action |
getActions |
获取身份提供商列表 |
idp |
getIdpList |
获取身份提供商详情 |
idp |
getIdpDetail |
获取元数据配置 |
idp |
getMetadata |
获取权限详情 |
policy |
getRoleDetail |
获取权限列表 |
policy |
getRoleList |
获取系统策略列表 |
policy |
getSystemRoleList |
获取用户在项目上的权限列表 |
policy |
getUserRolesOnProject |
获取指定企业项目指定用户组关联权限 |
policy |
showRolesAssignedOnEpGroup |
获取权限列表 |
policy |
showCustomPolicies |
获取权限详情 |
policy |
showCustomPolicy |
创建自定义策略 |
policy |
CheckCustomPolicy |
查询权限详情 |
policy |
showRole |
查询权限列表 |
policies |
listRoles |
查询全局服务中的用户组权限 |
policies |
listDomainPermissionsForGroup |
查询项目服务中的用户组权限 |
policies |
listProjectPermissionsForGroup |
查询用户组是否拥有全局服务权限 |
policies |
checkDomainPermissionForGroup |
查询用户组是否拥有项目服务权限 |
policies |
checkProjectPermissionForGroup |
查询用户组的所有项目权限列表 |
policies |
listAllProjectPermissionsForGroup |
查询用户组是否拥有所有项目指定权限 |
policies |
checkroleForGroup |
查询全局服务中的委托权限 |
policies |
listDomainPermissionsForAgency |
查询项目服务中的委托权限 |
policies |
listProjectPermissionsForAgency |
查询企业项目关联用户组的权限 |
policies |
listRolesForGroupOnEnterpriseProject |
查询企业项目直接关联用户的权限 |
policies |
listRolesForUserOnEnterpriseProject |
查询项目详情 |
project |
showProject |
设置项目状态 |
project |
showProjectDetailsAndStatus |
查询指定条件下的项目列表 |
projects |
listProjects |
查询指定IAM用户的项目列表 |
projects |
listProjectsForUser |
查询项目配额 |
quota |
showProjectQuota |
查询账号配额 |
quota |
showDomainQuota |
查询区域详情 |
region |
showRegion |
查询区域列表 |
regions |
listRegions |
查询账号密码强度策略 |
securityPolicy |
showSecurityCompliance |
按条件查询账号密码强度策略 |
securityPolicy |
showSecurityComplianceByOption |
修改账号操作保护策略 |
securityPolicy |
showSecurityPolicy |
查询账号密码策略 |
securityPolicy |
showSecurityPolicy |
查询账号登录策略 |
securityPolicy |
showSecurityPolicy |
查询账号控制台访问策略 |
securityPolicy |
showSecurityPolicy |
查询账号接口访问策略 |
securityPolicy |
showSecurityPolicy |
查询服务详情 |
service |
showService |
查询服务列表 |
services |
listServices |
获取云服务列表 |
service |
getCloudServices |
获取区域列表 |
region |
getRegionList |
获取IAM用户Token(使用密码) |
token |
createTokenByPwd |
获取IAM用户Token(使用密码+虚拟MFA) |
token |
createTokenByMfa |
获取委托Token |
token |
createTokenByAssumeRole |
校验Token的有效性 |
token |
verifyToken |
获取联邦认证token(OpenID Connect ID token方式) |
token |
createTokenWithIdToken |
获取联邦认证unscoped token(OpenID Connect ID token方式) |
token |
showUnscopeTokenBySPinitiated |
获取联邦认证unscoped token(IdP initiated) |
token |
createUnscopeTokenByIdpInitiated |
获取联邦认证unscoped token(Sp initiated) |
token |
showUnscopeTokenBySPinitiated |
获取自定义身份代理登录票据 |
loginToken |
createLoginToken |
获取委托的临时访问密钥和securitytoken |
securityToken |
createV3SecurityTokenByAssumeRole |
获取用户的临时访问密钥和securitytoken |
securityToken |
createV3SecurityTokenByToken |
查询终端节点列表 |
endpoint |
showEndpoint |
查询服务目录 |
endpoints |
listEndpoints |
查询用户组关联的企业项目 |
enterpriseProjects |
listEnterpriseProjectsForGroup |
查询用户直接关联的企业项目 |
enterpriseProjects |
listEnterpriseProjectsForUser |
查询身份提供商列表 |
identityProvider |
listIdentityProviders |
查询身份提供商详情 |
identityProvider |
showIdentityProvider |
查询OpenID Connect身份提供商配置 |
identityProvider |
showOIDCConfiguration |
查询协议列表 |
identityProvider |
listProtocols |
查询协议详情 |
identityProvider |
showProtocol |
查询Metadata文件 |
identityProvider |
showMetadataConfiguration |
查询映射列表 |
mapping |
listMappings |
查询映射详情 |
mapping |
showMapping |