IAM支持审计的关键操作
操作场景
云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。
为了方便查看IAM的关键操作事件,例如创建用户、删除用户等,建议管理员开启云审计服务。具体请参见配置特定云服务的查询类事件上报到云审计。
操作步骤
- 登录管理控制台。
- 如果您是以主账号登录华为云,请直接执行步骤3;如果您是以IAM用户登录华为云,需要联系管理员为该IAM用户授予以下权限:
- Security Administrator
- CTS FullAccess
授权方法请参见给IAM用户授权。
- 选择“服务列表 > 管理与监管 > 云审计服务”,进入云审计服务授权页面。
- 单击“同意授权并开通”,进入云审计服务页面。
- 后续使用云审计服务,仅需拥有云审计服务相关权限即可,无需拥有Security Administrator权限。
- 同意授权并开通CTS服务后,系统会自动为您创建以下管理追踪器,用于记录管理事件,即针对所有云资源的操作日志,例如创建、登录、删除等:
- 自动在当前region创建1个管理追踪器,用于记录项目级服务的管理事件。
- 自动在华北-北京四区域创建1个管理追踪器,用于记录全局服务(如IAM服务)的管理事件。
| 操作名称 | 资源类型 | 事件名称 |
|---|---|---|
| 用户登录 | user | login |
| 用户登录失败(华为账号登录失败不记录) | user | loginFailed |
| 用户登出 | user | logout |
| 二维码登录 | user | scanQRCodeLogin |
| 二维码登录失败 | user | scanQRCodeLoginFailed |
| OIDC登录成功 | user | oidcLoginSuccess |
| OIDC登录失败 | user | oidcLoginFailed |
| SSO登录成功 | user | iamUserSsoLoginSuccess |
| SSO登录失败 | user | iamUserSsoLoginFailed |
| 通过忘记密码修改密码 | user | fpwdResetSuccess |
| 创建用户 | user | createUser |
| 修改邮件地址、手机号 | user | updateUser |
| 删除用户 | user | deleteUser |
| 用户在安全设置自行修改密码 | user | updateUserPwd |
| 管理员设置用户密码 | user | updateUserPwd |
| 修改IAM用户的登录保护状态信息 | user | modifyLoginProtect |
| 通过邮箱修改手机号 | user | changeMobileByEmail |
| 通过邮箱修改密码 | user | updateUserPwdByEmail |
| 企业联邦用户首次登录成功 | user | tenantLoginBySamlSuccess |
| 企业联邦用户通过自定义身份代理登录成功 | user | federationLoginNoPwdSuccess |
| 企业联邦用户通过自定义身份代理登录失败 | user | federationLoginNoPwdFailed |
| IDP侧发起虚拟用户SSO登录 | user | idpInitTENANT_UnsolicitedLogin |
| IDP侧发起虚拟用户SSO登录失败 | user | idpInitTENANT_UnsolicitedLoginFailed |
| SP侧发起虚拟用户SSO登录 | user | tenantLoginBySamlSuccess |
| SP侧发起虚拟用户SSO登录失败 | user | tenantLoginBySamlFailed |
| 虚拟用户SSO多租登录 | user | idpInitMultiTenantvirtualUserSsoLogin |
| 虚拟用户SSO多租登录失败 | user | idpInitMultiTenantvirtualUserSsoLoginFailed |
| IDP侧发起用户SSO登录 | user | idpInitiamUserSsoLoginSuccess |
| IDP侧发起用户SSO登录失败 | user | idpInitiamUserSsoLoginFailed |
| SP侧发起用户SSO登录 | user | spInitiamUserSsoLoginSuccess |
| SP侧发起用户SSO登录失败 | user | spInitiamUserSsoLoginFailed |
| IAM用户SSO多租登录 | user | idpInitMultiTenantiamUserSsoLoginSuccess |
| IAM用户SSO多租登录失败 | user | idpInitMultiTenantiamUserSsoLoginFailed |
| SignToken登录成功 | user | signTokenLoginSuccess |
| SignToken登录成功失败 | user | signTokenLoginFailed |
| 下载用户密码 | user | generateRandomPassword |
| 查询用户组中的用户 | user | listUsers |
| 查询登录用户信息 | user | showUser |
| 查询IAM用户详情 | user | showUser |
| 管理员查询用户组所包含的IAM用户 | user | listUsersForGroup |
| 查询IAM用户的登录保护状态信息列表 | user | listLoginProtects |
| 查询指定IAM用户的登录保护状态信息 | user | showLoginProtect |
| 管理员查询IAM用户列表 | users | listUsers |
| 查询IAM用户是否在用户组中 | users | checkUserInGroup |
| 查询企业项目直接关联用户 | users | listUsersOnEnterpriseProject |
| 创建用户组 | userGroup | createGroup |
| 更新用户组 | userGroup | updateGroup |
| 删除用户组 | userGroup | deleteGroup |
| 添加用户到用户组 | userGroup | addUserToGroup |
| 从用户组删除用户 | userGroup | removeUserFromGroup |
| 解绑虚拟MFA设备 | MFA | UnBindMFA |
| 绑定虚拟MFA设备 | MFA | BindMFA |
| 删除虚拟MFA | MFA | deleteMFA |
| 创建虚拟MFA | MFA | createMFA |
| 绑定虚拟MFA | MFA | bindMFA |
| 查询IAM用户的MFA绑定信息列表 | MFA | listMFA |
| 查询指定IAM用户的MFA绑定信息 | MFA | showMFA |
| 创建安全密钥 | mfa | createWebauthnMfaDevice |
| 启用安全密钥 | mfa | enableWebauthnMfaDevice |
| 停用MFA | mfa | disableMfaDevice |
| 创建项目 | project | createProject |
| 修改项目 | project | updateProject |
| 删除项目 | project | deleteProject |
| 查询子项目基本信息 | project | showProject |
| 创建委托 | agency | createAgency |
| 修改委托 | agency | updateAgency |
| 删除委托 | agency | deleteAgency |
| 切换委托 | agency | switchRole |
| 为委托授予所有项目服务权限 | agency | updateAgencyInheritedGrants |
| 移除委托下的所有项目服务权限 | agency | deleteAgencyInheritedGrants |
| 为委托授予全局服务权限 | agency | updateAgencyAssignsByRole |
| 查询指定租户委托本租户的委托列表 | agency | listAgencies |
| 查询云服务委托列表 | agency | listServiceAgency |
| 访问委托链接 | agency | switchAgency |
| 查询委托切换信息 | agency | assumeAgency |
| 为委托授予全局服务权限(API) | roleAgencyDomain | assignRoleToAgencyOnDomain |
| 更新委托权限 | agency | updateAgencyAssignsByRole |
| 查询委托详情 | agency | showAgency |
| 查询委托列表 | agency | listAgencies |
| 查询指定条件下的委托列表 | agencies | listAgencies |
| 注册身份提供商 | identityProvider | createIdentityProvider |
| 更新身份提供商 | identityProvider | updateIdentityProvider |
| 删除身份提供商 | identityProvider | deleteIdentityProvider |
| 更新身份转换规则 | identityProvider | updateMapping |
| 更新IDP元数据 | identityProvider | metadataConfiguration |
| 手动编辑系统预置的IdP元数据 | identityProvider | metadataConfiguration |
| 注册映射 | mapping | createMapping |
| 更新映射 | mapping | updateMapping |
| 删除映射 | mapping | deleteMapping |
| 注册协议 | identityProvider | createProtocol |
| 更新协议 | identityProvider | updateProtocol |
| 删除协议 | identityProvider | deleteProtocol |
| 移除委托的全局服务权限 | roleAgencyDomain | unassignRoleToAgencyOnDomain |
| 委托授权项目 | roleAgencyProject | assignRoleToAgencyOnProject |
| 解除委托授权项目 | roleAgencyProject | unassignRoleToAgencyOnProject |
| 更新账号登录策略 | SecurityPolicy | modifySecurityPolicy |
| 更新密码策略 | SecurityPolicy | modifySecurityPolicy |
| 更新访问控制列表 | SecurityPolicy | modifySecurityPolicy |
| 创建租户 | domain | createDomain |
| 更新租户 | domain | updateDomain |
| 删除租户 | domain | deleteDomain |
| OIDC方式登录失败 | domain | oidcLoginFailed |
| 注册自定义策略 | Policy | createRole |
| 修改自定义策略 | Policy | updateRole |
| 删除自定义策略 | Policy | deleteRole |
| 用户组添加全局权限(API) | assignment | createAssignment |
| 用户组添加全局权限 | group | updateGroupAssignsByRole |
| 用户组移除全局权限 | assignment | deleteAssignment |
| 查询租户授权信息 | assignment | showAssignment |
| 查询授权列表 | assignment | showAssignment |
| 创建永久AK/SK | credential | createCredential |
| 更新永久AK/SK | credential | updateCredential |
| 删除永久AK/SK | credential | deleteCredential |
| 停用、启用AK/SK | credential | updateCredential |
| 查询指定永久访问密钥 | credential | showCredential |
| 查询所有永久访问密钥 | credentials | listCredentials |
| 联邦用户通过控制台创建临时访问密钥 | credential | CreateTemporaryAccessKeyFromConsole |
| 对用户、企业项目、策略授权 | assignment | grantRoleToUserOnEnterpriseProject |
| 移除用户、企业项目、策略授权 | enterpriseProject | revokeRoleFromUserOnEnterpriseProject |
| 更新企业项目用户组权限 | enterpriseProject | updateRoleFromGroupOnEnterpriseProject |
| 获取指定企业项目关联用户组 | group | showGroupAssignedOnEp |
| 查询用户组详情 | group | showGroup |
| 查询用户所属的用户组 | group | listGroupsForUser |
| 查询IAM用户所属用户组 | groups | listGroupsForUser |
| 查询用户组列表 | group | listGroups |
| 查询企业项目关联的用户组 | groups | listGroupsOnEnterpriseProject |
| 查询action | action | listActions |
| 查询系统策略列表 | policy | listRoles |
| 查询用户在项目上的权限列表 | policy | showAssignment |
| 获取指定企业项目指定用户组关联权限 | policy | showRolesAssignedOnEpGroup |
| 创建自定义策略 | policy | CheckCustomPolicy |
| 查询权限详情 | policy | showRole |
| 查询权限列表 | policy | listRoles |
| 查询全局服务中的用户组权限 | policies | listDomainPermissionsForGroup |
| 查询项目服务中的用户组权限 | policies | listProjectPermissionsForGroup |
| 查询用户组是否拥有全局服务权限 | policies | checkDomainPermissionForGroup |
| 查询用户组是否拥有项目服务权限 | policies | checkProjectPermissionForGroup |
| 查询用户组的所有项目权限列表 | policies | listAllProjectPermissionsForGroup |
| 查询用户组是否拥有所有项目指定权限 | policies | checkroleForGroup |
| 查询全局服务中的委托权限 | policies | listDomainPermissionsForAgency |
| 查询项目服务中的委托权限 | policies | listProjectPermissionsForAgency |
| 查询企业项目关联用户组的权限 | policies | listRolesForGroupOnEnterpriseProject |
| 查询企业项目直接关联用户的权限 | policies | listRolesForUserOnEnterpriseProject |
| 查询项目详情 | project | showProject |
| 查询项目列表 | project | listProjects |
| 设置项目状态 | project | showProjectDetailsAndStatus |
| 查询指定条件下的项目列表 | projects | listProjects |
| 查询指定IAM用户的项目列表 | projects | listProjectsForUser |
| 查询项目配额 | project | showProjectQuota |
| 查询账号配额 | quota | showDomainQuota |
| 查询区域详情 | region | showRegion |
| 查询区域列表 | regions | listRegions |
| 查询账号密码强度策略 | securityPolicy | showSecurityCompliance |
| 按条件查询账号密码强度策略 | securityPolicy | showSecurityComplianceByOption |
| 查询账号操作保护策略 | securityPolicy | showSecurityPolicy |
| 查询账号密码策略 | securityPolicy | showSecurityPolicy |
| 查询账号登录策略 | securityPolicy | showSecurityPolicy |
| 查询账号控制台访问策略 | securityPolicy | showSecurityPolicy |
| 查询账号接口访问策略 | securityPolicy | showSecurityPolicy |
| 查询服务详情 | service | showService |
| 查询服务列表 | services | listServices |
| 查询云服务列表 | service | listCloudServices |
| 获取IAM用户Token(使用密码) | token | createTokenByPwd |
| 获取IAM用户Token(使用密码+虚拟MFA) | token | createTokenByMfa |
| 获取委托Token | token | createTokenByAssumeRole |
| 校验Token的有效性 | token | verifyToken |
| 获取联邦认证token(OpenID Connect ID token方式) | token | createTokenWithIdToken |
| 获取联邦认证unscoped token (OpenID Connect ID token方式) | token | showUnscopeTokenBySPinitiated |
| 获取联邦认证unscoped token(IdP initiated) | token | createUnscopeTokenByIdpInitiated |
| 获取联邦认证unscoped token(Sp initiated) | token | showUnscopeTokenBySPinitiated |
| 获取自定义身份代理登录票据 | loginToken | createLoginToken |
| 获取委托的临时访问密钥和securitytoken | securityToken | createV3SecurityTokenByAssumeRole |
| 获取用户的临时访问密钥和securitytoken | securityToken | createV3SecurityTokenByToken |
| 查询终端节点列表 | endpoint | showEndpoint |
| 查询服务目录 | endpoints | listEndpoints |
| 查询用户组关联的企业项目 | enterpriseProjects | listEnterpriseProjectsForGroup |
| 查询用户直接关联的企业项目 | enterpriseProjects | listEnterpriseProjectsForUser |
| 查询身份提供商列表 | identityProvider | listIdentityProviders |
| 查询身份提供商详情 | identityProvider | showIdentityProvider |
| 查询元数据配置 | identityProvider | showMetadataConfiguration |
| 查询OpenID Connect身份提供商配置 | identityProvider | showOIDCConfiguration |
| 查询协议列表 | identityProvider | listProtocols |
| 查询协议详情 | identityProvider | showProtocol |
| 查询Metadata文件 | identityProvider | showMetadataConfiguration |
| 查询映射列表 | mapping | listMappings |
| 查询映射详情 | mapping | showMapping |
