IAM支持审计的关键操作
操作场景
云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。
为了方便查看IAM的关键操作事件,例如创建用户、删除用户等,建议管理员开启云审计服务。具体请参见配置特定云服务的查询类事件上报到云审计。
操作步骤
- 登录管理控制台。
- 如果您是以主账号登录华为云,请直接进行3;如果您是以IAM用户登录华为云,需要联系管理员对IAM用户授予以下权限:
- Security Administrator
- CTS FullAccess
授权方法请参见给IAM用户授权。
- 选择“服务列表 > 管理与监管 > 云审计服务”,进入云审计服务授权页面。
- 单击“同意授权并开通”,进入云审计服务页面。
- 后续使用云审计服务,仅需拥有云审计服务相关权限即可,无需拥有Security Administrator权限。
- 同意授权并开通CTS服务后,系统会自动为您创建以下管理追踪器,用于记录管理事件,即针对所有云资源的操作日志,例如创建、登录、删除等:
- 自动在当前region创建1个管理追踪器,用于记录项目级服务的管理事件。
- 自动在华北-北京四区域创建1个管理追踪器,用于记录全局服务(如IAM服务)的管理事件。
|
操作名称 |
资源类型 |
事件名称 |
|---|---|---|
|
用户登录 |
user |
login |
|
用户登录失败(华为账号登录失败不记录) |
user |
loginFailed |
|
用户登出 |
user |
logout |
|
二维码登录 |
user |
scanQRCodeLogin |
|
二维码登录失败 |
user |
scanQRCodeLoginFailed |
|
OIDC登录成功 |
user |
oidcLoginSuccess |
|
OIDC登录失败 |
user |
oidcLoginFailed |
|
SSO登录成功 |
user |
iamUserSsoLoginSuccess |
|
SSO登录失败 |
user |
iamUserSsoLoginFailed |
|
通过忘记密码修改密码 |
user |
fpwdResetSuccess |
|
创建用户 |
user |
createUser |
|
修改邮件地址、手机号 |
user |
updateUser |
|
删除用户 |
user |
deleteUser |
|
用户在安全设置自行修改密码 |
user |
updateUserPwd |
|
管理员设置用户密码 |
user |
updateUserPwd |
|
修改IAM用户的登录保护状态信息 |
user |
modifyLoginProtect |
|
通过邮箱修改手机号 |
user |
changeMobileByEmail |
|
通过邮箱修改密码 |
user |
updateUserPwdByEmail |
|
企业联邦用户首次登录成功 |
user |
tenantLoginBySamlSuccess |
|
企业联邦用户通过自定义身份代理登录成功 |
user |
federationLoginNoPwdSuccess |
|
企业联邦用户通过自定义身份代理登录失败 |
user |
federationLoginNoPwdFailed |
|
下载用户密码 |
user |
downloadPassword |
|
获取用户组中的用户 |
user |
getGroupUserList |
|
获取登录用户信息 |
user |
getUserSelf |
|
查询IAM用户详情 |
user |
showUser |
|
查询IAM用户详情 |
user |
showUser |
|
管理员查询用户组所包含的IAM用户 |
user |
listUsersForGroup |
|
查询IAM用户的登录保护状态信息列表 |
user |
listLoginProtects |
|
查询指定IAM用户的登录保护状态信息 |
user |
showLoginProtect |
|
管理员查询IAM用户列表 |
users |
listUsers |
|
查询IAM用户是否在用户组中 |
users |
checkUserInGroup |
|
查询企业项目直接关联用户 |
users |
listUsersOnEnterpriseProject |
|
创建用户组 |
userGroup |
createGroup |
|
更新用户组 |
userGroup |
updateGroup |
|
删除用户组 |
userGroup |
deleteGroup |
|
添加用户到用户组 |
userGroup |
addUserToGroup |
|
从用户组删除用户 |
userGroup |
removeUserFromGroup |
|
解绑虚拟MFA设备 |
MFA |
UnBindMFA |
|
绑定虚拟MFA设备 |
MFA |
BindMFA |
|
删除虚拟MFA |
MFA |
deleteMFA |
|
创建虚拟MFA |
MFA |
createMFA |
|
绑定虚拟MFA |
MFA |
bindMFA |
|
查询IAM用户的MFA绑定信息列表 |
MFA |
listMFA |
|
查询指定IAM用户的MFA绑定信息 |
MFA |
showMFA |
|
创建安全密钥 |
mfa |
createWebauthnMfaDevice |
|
启用安全密钥 |
mfa |
enableWebauthnMfaDevice |
|
停用MFA |
mfa |
disableMfaDevice |
|
创建项目 |
project |
createProject |
|
修改项目 |
project |
updateProject |
|
删除项目 |
project |
deleteProject |
|
获取项目配额 |
project |
getProjectQuota |
|
获取项目列表 |
project |
getProjectList |
|
获取子项目基本信息 |
project |
getSubProjectDetail |
|
获取项目详情 |
project |
getProjectDetail |
|
创建委托 |
agency |
createAgency |
|
修改委托 |
agency |
updateAgency |
|
删除委托 |
agency |
deleteAgency |
|
切换委托 |
agency |
switchRole |
|
为委托授予所有项目服务权限 |
agency |
updateAgencyInheritedGrants |
|
移除委托下的所有项目服务权限 |
agency |
deleteAgencyInheritedGrants |
|
为委托授予全局服务权限 |
agency |
updateAgencyAssignsByRole |
|
获取委托详情 |
agency |
getAgencyDetailAll |
|
获取委托列表 |
agency |
getAgencyList |
|
获取指定租户委托本租户的委托列表 |
agency |
getAgencyList4SwitchRole |
|
获取云服务委托列表 |
agency |
getServiceAgencyList |
|
访问委托链接 |
agency |
switchAgency |
|
获取委托切换信息 |
agency |
assumeRole |
|
为委托授予全局服务权限(API) |
roleAgencyDomain |
assignRoleToAgencyOnDomain |
|
更新委托权限 |
agency |
updateAgencyAssignsByRole |
|
查询委托详情 |
agency |
showAgency |
|
查询指定条件下的委托列表 |
agencies |
listAgencies |
|
注册身份提供商 |
identityProvider |
createIdentityProvider |
|
更新身份提供商 |
identityProvider |
updateIdentityProvider |
|
删除身份提供商 |
identityProvider |
deleteIdentityProvider |
|
更新身份转换规则 |
identityProvider |
updateMapping |
|
更新IDP元数据 |
identityProvider |
metadataConfiguration |
|
手动编辑系统预置的IdP元数据 |
identityProvider |
metadataConfiguration |
|
注册映射 |
mapping |
createMapping |
|
更新映射 |
mapping |
updateMapping |
|
删除映射 |
mapping |
deleteMapping |
|
注册协议 |
identityProvider |
createProtocol |
|
更新协议 |
identityProvider |
updateProtocol |
|
删除协议 |
identityProvider |
deleteProtocol |
|
移除委托的全局服务权限 |
roleAgencyDomain |
unassignRoleToAgencyOnDomain |
|
委托授权项目 |
roleAgencyProject |
assignRoleToAgencyOnProject |
|
解除委托授权项目 |
roleAgencyProject |
unassignRoleToAgencyOnProject |
|
更新账号登录策略 |
SecurityPolicy |
modifySecurityPolicy |
|
更新密码策略 |
SecurityPolicy |
modifySecurityPolicy |
|
更新访问控制列表 |
SecurityPolicy |
modifySecurityPolicy |
|
更新账号登录策略 |
loginpolicy |
securitypolicy |
|
更新密码策略 |
passwordpolicy |
securitypolicy |
|
更新访问控制列表 |
acl |
securitypolicy |
|
创建租户 |
domain |
createDomain |
|
更新租户 |
domain |
updateDomain |
|
删除租户 |
domain |
deleteDomain |
|
OIDC方式登录失败 |
domain |
oidcLoginFailed |
|
注册自定义策略 |
Policy |
createRole |
|
修改自定义策略 |
Policy |
updateRole |
|
删除自定义策略 |
Policy |
deleteRole |
|
用户组添加全局权限(API) |
assignment |
createAssignment |
|
用户组添加全局权限 |
group |
updateGroupAssignsByRole |
|
用户组移除全局权限 |
assignment |
deleteAssignment |
|
获取授权列表 |
assignment |
getRoleAssignments |
|
查询租户授权信息 |
assignment |
showAssignment |
|
创建永久AK/SK |
credential |
createCredential |
|
更新永久AK/SK |
credential |
updateCredential |
|
删除永久AK/SK |
credential |
deleteCredential |
|
停用、启用AK/SK |
credential |
updateCredential |
|
查询指定永久访问密钥 |
credential |
showCredential |
|
查询所有永久访问密钥 |
credentials |
listCredentials |
|
联邦用户通过控制台创建临时访问密钥 |
credential |
CreateTemporaryAccessKeyFromConsole |
|
对用户、企业项目、策略授权 |
assignment |
grantRoleToUserOnEnterpriseProject |
|
移除用户、企业项目、策略授权 |
enterpriseProject |
revokeRoleFromUserOnEnterpriseProject |
|
更新企业项目用户组权限 |
enterpriseProject |
updateRoleFromGroupOnEnterpriseProject |
|
创建用户组 |
group |
createGroup |
|
删除用户组 |
group |
deleteGroup |
|
获取用户所属的用户组 |
group |
getGroupsOfUser |
|
获取用户组详情 |
group |
getGroupDetailAll |
|
获取用户组列表 |
group |
getGroupList |
|
获取指定企业项目关联用户组 |
group |
showGroupAssignedOnEp |
|
查询用户组详情 |
group |
showGroup |
|
查询IAM用户所属用户组 |
groups |
listGroupsForUser |
|
查询用户组列表 |
groups |
listGroups |
|
查询企业项目关联的用户组 |
groups |
listGroupsOnEnterpriseProject |
|
获取action |
action |
getActions |
|
获取身份提供商列表 |
idp |
getIdpList |
|
获取身份提供商详情 |
idp |
getIdpDetail |
|
获取元数据配置 |
idp |
getMetadata |
|
获取权限详情 |
policy |
getRoleDetail |
|
获取权限列表 |
policy |
getRoleList |
|
获取系统策略列表 |
policy |
getSystemRoleList |
|
获取用户在项目上的权限列表 |
policy |
getUserRolesOnProject |
|
获取指定企业项目指定用户组关联权限 |
policy |
showRolesAssignedOnEpGroup |
|
获取权限列表 |
policy |
showCustomPolicies |
|
获取权限详情 |
policy |
showCustomPolicy |
|
创建自定义策略 |
policy |
CheckCustomPolicy |
|
查询权限详情 |
policy |
showRole |
|
查询权限列表 |
policies |
listRoles |
|
查询全局服务中的用户组权限 |
policies |
listDomainPermissionsForGroup |
|
查询项目服务中的用户组权限 |
policies |
listProjectPermissionsForGroup |
|
查询用户组是否拥有全局服务权限 |
policies |
checkDomainPermissionForGroup |
|
查询用户组是否拥有项目服务权限 |
policies |
checkProjectPermissionForGroup |
|
查询用户组的所有项目权限列表 |
policies |
listAllProjectPermissionsForGroup |
|
查询用户组是否拥有所有项目指定权限 |
policies |
checkroleForGroup |
|
查询全局服务中的委托权限 |
policies |
listDomainPermissionsForAgency |
|
查询项目服务中的委托权限 |
policies |
listProjectPermissionsForAgency |
|
查询企业项目关联用户组的权限 |
policies |
listRolesForGroupOnEnterpriseProject |
|
查询企业项目直接关联用户的权限 |
policies |
listRolesForUserOnEnterpriseProject |
|
查询项目详情 |
project |
showProject |
|
设置项目状态 |
project |
showProjectDetailsAndStatus |
|
查询指定条件下的项目列表 |
projects |
listProjects |
|
查询指定IAM用户的项目列表 |
projects |
listProjectsForUser |
|
查询项目配额 |
quota |
showProjectQuota |
|
查询账号配额 |
quota |
showDomainQuota |
|
查询区域详情 |
region |
showRegion |
|
查询区域列表 |
regions |
listRegions |
|
查询账号密码强度策略 |
securityPolicy |
showSecurityCompliance |
|
按条件查询账号密码强度策略 |
securityPolicy |
showSecurityComplianceByOption |
|
修改账号操作保护策略 |
securityPolicy |
showSecurityPolicy |
|
查询账号密码策略 |
securityPolicy |
showSecurityPolicy |
|
查询账号登录策略 |
securityPolicy |
showSecurityPolicy |
|
查询账号控制台访问策略 |
securityPolicy |
showSecurityPolicy |
|
查询账号接口访问策略 |
securityPolicy |
showSecurityPolicy |
|
查询服务详情 |
service |
showService |
|
查询服务列表 |
services |
listServices |
|
获取云服务列表 |
service |
getCloudServices |
|
获取区域列表 |
region |
getRegionList |
|
获取IAM用户Token(使用密码) |
token |
createTokenByPwd |
|
获取IAM用户Token(使用密码+虚拟MFA) |
token |
createTokenByMfa |
|
获取委托Token |
token |
createTokenByAssumeRole |
|
校验Token的有效性 |
token |
verifyToken |
|
获取联邦认证token(OpenID Connect ID token方式) |
token |
createTokenWithIdToken |
|
获取联邦认证unscoped token(OpenID Connect ID token方式) |
token |
showUnscopeTokenBySPinitiated |
|
获取联邦认证unscoped token(IdP initiated) |
token |
createUnscopeTokenByIdpInitiated |
|
获取联邦认证unscoped token(Sp initiated) |
token |
showUnscopeTokenBySPinitiated |
|
获取自定义身份代理登录票据 |
loginToken |
createLoginToken |
|
获取委托的临时访问密钥和securitytoken |
securityToken |
createV3SecurityTokenByAssumeRole |
|
获取用户的临时访问密钥和securitytoken |
securityToken |
createV3SecurityTokenByToken |
|
查询终端节点列表 |
endpoint |
showEndpoint |
|
查询服务目录 |
endpoints |
listEndpoints |
|
查询用户组关联的企业项目 |
enterpriseProjects |
listEnterpriseProjectsForGroup |
|
查询用户直接关联的企业项目 |
enterpriseProjects |
listEnterpriseProjectsForUser |
|
查询身份提供商列表 |
identityProvider |
listIdentityProviders |
|
查询身份提供商详情 |
identityProvider |
showIdentityProvider |
|
查询OpenID Connect身份提供商配置 |
identityProvider |
showOIDCConfiguration |
|
查询协议列表 |
identityProvider |
listProtocols |
|
查询协议详情 |
identityProvider |
showProtocol |
|
查询Metadata文件 |
identityProvider |
showMetadataConfiguration |
|
查询映射列表 |
mapping |
listMappings |
|
查询映射详情 |
mapping |
showMapping |
