-
前提条件 注册华为云并实名认证。 如果您已有一个华为账户,请跳到下一个任务。如果您还没有华为账户,请参考以下步骤创建。 打开华为云官网,单击“注册”。 根据提示信息完成注册,详细操作请参见
注册华为账号 并开通华为云。 注册成功后,系统会自动跳转至您的个人信息界面。 参考实名认证完成个人或企业账号实名认证。 为用户添加操作权限。 如果您是以主账号登录华为云,请跳到下一个任务。 如果您是以
IAM 用户登录华为云,需要联系
CTS 管理员(主账号或admin用户组中的用户)对IAM用户授予CTS FullAccess权限。授权方法请参见给IAM用户授权。
-
相关文档 关于事件结构的关键字段详解,请参见事件结构和事件样例。 您可以通过以下示例,来学习如何查询具体的事件: 使用
云审计 服务,审计最近两周内云硬盘服务的创建和删除操作。具体操作,请参见安全审计。 使用云审计服务,定位现网某个弹性云服务器在某日上午发生的故障,以及定位现网创建弹性云服务器操作失败的问题。具体操作,请参见问题定位。 使用云审计服务,查看某个弹性云服务器的所有的操作记录。具体操作,请参见资源跟踪。
-
约束与限制 管理类追踪器未开启组织功能之前,单账号跟踪的事件可以通过云审计控制台查询。管理类追踪器开启组织功能之后,多账号的事件只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的CTS/system日志流下面去查看。组织追踪器的详细介绍请参见组织追踪器概述。 用户通过云审计控制台只能查询最近7天的操作记录,过期自动删除,不支持人工删除。如果需要查询超过7天的操作记录,您必须配置转储到
对象存储服务 (OBS)或
云日志 服务(LTS),才可在OBS桶或LTS日志流里面查看历史事件信息。否则,您将无法追溯7天以前的操作记录。 用户对云服务资源做出创建、修改、删除等操作后,1分钟内可以通过云审计控制台查询管理类事件操作记录,5分钟后才可通过云审计控制台查询数据类事件操作记录。 CTS新版事件列表不显示数据类审计事件,您需要在旧版事件列表查看数据类审计事件。
-
在CTS旧版事件列表查看审计事件 登录CTS控制台。 单击左侧导航栏的“事件列表”,进入事件列表信息页面。 用户每次登录云审计控制台时,控制台默认显示新版事件列表,单击页面右上方的“返回旧版”按钮,切换至旧版事件列表页面。 在页面右上方,可以通过筛选时间范围,查询最近1小时、最近1天、最近1周的操作事件,也可以自定义最近7天内任意时间段的操作事件。 事件列表支持通过筛选来查询对应的操作事件。 表2 事件筛选参数说明 参数名称 说明 事件类型 事件类型分为“管理事件”和“数据事件”。 管理类事件,即用户对云服务资源新建、修改、删除等操作事件。 数据类事件,即OBS服务上报的OBS桶中的数据的操作事件,例如上传数据、下载数据等。 云服务 在下拉选项中,选择触发操作事件的云服务名称。 资源类型 在下拉选项中,选择操作事件涉及的资源类型。 各个云服务的资源类型请参见支持审计的服务及详细操作列表。 操作用户 触发事件的操作用户。 下拉选项中选择一个或多个操作用户。 查看事件中的trace_type的值为“SystemAction”时,表示本次操作由服务内部触发,该条事件对应的操作用户可能为空。 IAM身份与操作用户对应关系,以及操作用户名称的格式说明,请参见IAM身份与操作用户对应关系。 事件级别 可选项包含“所有事件级别”、“Normal”、“Warning”、“Incident”,只可选择其中一项。 Normal代表操作成功。 Warning代表操作失败。 Incident代表比操作失败更严重的情况,如引起其他故障等。 选择完查询条件后,单击“查询”。 在事件列表页面,您还可以导出操作记录文件和刷新列表。 单击“导出”按钮,云审计服务会将查询结果以
CS V格式的表格文件导出,该CSV文件包含了本次查询结果的所有事件,且最多导出5000条信息。 单击按钮,可以获取到事件操作记录的最新信息。 在事件的“是否篡改”列中,您可以查看该事件是否被篡改: 上报的审计日志没有被篡改,显示“否”; 上报的审计日志被篡改,显示“是”。 在需要查看的事件左侧,单击展开该记录的详细信息。 在需要查看的记录右侧,单击“查看事件”,会弹出一个窗口显示该操作事件结构的详细信息。 (可选)在旧版事件列表页面,单击右上方的“体验新版”按钮,可切换至新版事件列表页面。
-
支持审计的关键操作列表 表1 云审计服务支持的TMS操作列表 操作名称 资源类型 事件名称 创建预定义标签 predefineTag addPredefineTag 删除预定义标签 predefineTag deletePredefineTag 修改预定义标签 predefineTag modifyPredefineTag 创建资源标签 application createResourceTag 删除资源标签 application deleteResourceTag 批量关联标签 说明: 在“标签关联资源”页签中为已有标签批量绑定多个云资源后,将触发此操作并在CTS记录相关事件。具体请参见标签关联资源。 resourceTag batchCreateResourceTags 批量移除标签 说明: 此操作当前仅支持通过API接口触发,TMS控制台暂无相关功能会触发此操作。 resourceTag batchDeleteResourceTags
-
创建标签键 登录管理控制台。 选择“资源配置标签”页签。 设置资源搜索条件。 搜索云资源具体操作步骤可参见搜索云资源。 单击“搜索”。 单击搜索结果列表上方的“创建标签键”,进入添加标签键页面。 设置标签的“键”。 键的长度最大36字符,由英文字母、数字、下划线、中划线、中文字符、“@”组成。 单击“确定”。 标签键创建完成,此标签键将显示在标签展示列中。 标签键创建完成后如果没有与任何云资源关联,在刷新页面后,所创建的标签键将失效,不在资源搜索列表显示。
-
约束与限制 预定义标签导入功能支持将第三方导出的“.csv”文件直接导入标签管理服务使用,且“.csv”文件的编码格式须为“UTF-8”。 IE9浏览器导出的标签文件或下载的模板文件,不支持在其他浏览器导入。反之,其他浏览器导出下载的文件,不支持在IE9导入。 若当前环境与导入文件存在重复内容时,将在执行导入操作后被覆盖。 当您对导入标签进行编辑操作时,需要关注以下标签约束与限制: 每个账号最多支持创建500个预定义标签。 键的长度最大36字符,由英文字母、数字、下划线、中划线、中文字符组成。 值的长度最大43字符,由英文字母、数字、下划线、点、中划线、中文字符组成。 待导入的“.csv”文件不支持Excel操作,否则将产生标签乱码致使导入失效。推荐使用记事本打开修改。
-
多个资源的标签修改 对多个资源的标签进行修改时,只能对已含有标签的云资源批量修改,具体请参考以下操作步骤。 在批量修改标签时,请谨慎操作。标签的“值”修改后,您所选择的全部云资源对应的标签“值”均会被修改,且不可恢复。 登录管理控制台。 选择“资源配置标签”页签。 设置资源搜索条件。 搜索云资源具体操作步骤可参见搜索云资源。 单击“搜索”。 勾选待修改标签的一个或多个云资源,单击列表上方的“管理标签”,进入管理标签页面。 在“编辑标签”区域,设置标签的新值。 “编辑标签”区域列出了所选云资源包含的全部标签,您可以仅批量修改所选云资源的某一个标签,也可以批量修改所选云资源的多个标签。 如您需要给多个云资源的某一标签设置不同的值,您可以参考单个资源的标签修改依次对多个云资源的标签进行修改。 单击“确定”。 资源标签批量修改完成,后续可按照新的标签管理云资源。
-
单个资源的标签修改 对单个资源进行标签修改时,只能对已含有标签的云资源进行修改,具体请参考以下操作步骤。 登录管理控制台。 选择“资源配置标签”页签。 设置资源搜索条件。 搜索云资源具体操作步骤可参见搜索云资源。 单击“搜索”。 单击搜索结果区域的“编辑”,切换云资源标签列表为可编辑状态。 (可选)设置标签键展示列。 若需要修改的标签的“键”没有展示在列表中,则需要进行设置。 单击搜索结果区域右侧的。 在下拉列表中勾选需要修改的标签的“键”。 勾选需要展示的标签键建议不超过10个。 单击待修改标签的云资源所在行的。 设置需要修改标签的“值”。 单击。 资源标签修改完成,后续可按照新的标签管理该云资源。 如需修改单个云资源包含的多个标签,可按上述步骤依次对多个标签进行修改。也可以在搜索结果列表中仅勾选单个云资源,单击列表上方的“管理标签”,对单个云资源的一个或多个标签进行修改,具体步骤可以参考多个资源的标签修改。
-
搜索云资源 登录管理控制台。 选择“资源配置标签”页签。 设置资源搜索条件。 单击“搜索”。 搜索结果列表将展示在页面下方。 (可选)在搜索结果列表上方的搜索框中输入具体的资源名称来搜索相应的云资源,支持模糊搜索,并且忽略大小写。 当搜索结果列表的资源过多或您需要定位某些资源时,您可以使用此搜索功能快速查找相应资源。 (可选)单击“重置”。 将搜索条件重置,便于您重新设置搜索条件来搜索云资源。 (可选)单击搜索结果区域右侧。 云资源标签列表刷新为最新状态,并更新列表刷新时间。
-
约束与限制 设置搜索指定标签时最多可同时查找10个标签。 如果需要设置搜索指定标签时,“键”为必填项,“值”为可选填写项。 每个资源最多支持10个键-值对。 对于每个资源,每个标签“键”都必须是唯一的,每个标签“键”只能有一个“值”。 键的长度最大36字符,由英文字母、数字、下划线、中划线、中文字符组成。 值的长度最大43字符,由英文字母、数字、下划线、点、中划线、中文字符组成。 每次最多支持为标签批量绑定500个云资源。
-
TMS自定义策略样例 示例1:授权用户查看预定义标签列表 {
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"tms:predefineTags:list"
]
}
]
} 示例2:拒绝用户删除预定义标签 拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予TMS FullAccess的系统策略,但不希望用户拥有TMS FullAccess中定义的删除预定义标签权限,您可以创建一条拒绝删除预定义标签的自定义策略,然后同时将TMS FullAccess和拒绝策略授予用户,根据Deny优先原则,则用户可以对TMS执行除了删除预定义标签外的所有操作。拒绝策略示例如下: {
"Version": "1.1",
"Statement": [
{
"Effect": "Deny",
"Action": [
"tms:predefineTags:delete"
]
}
]
} 示例3:多个授权项策略 一个自定义策略中可以包含多个授权项,且除了可以包含本服务的授权项外,还可以包含其他服务的授权项,可以包含的其他服务必须跟本服务同属性,即都是项目级服务或都是全局级服务。多个授权语句策略描述如下: {
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"tms:predefineTags:create",
"tms:predefineTags:delete"
]
},
{
"Effect": "Allow",
"Action": [
"obs:bucket:ListAllMyBuckets",
"obs:bucket:ListBucket"
]
}
]
}
-
示例流程 图1 给用户授权TMS权限流程 创建用户组并授权 在IAM控制台创建用户组,授予标签管理服务只读权限“TMS ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户,将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,验证权限: 在“服务列表”中选择标签管理服务 TMS,进入标签管理服务界面,单击左侧的“预定义标签”,进入“预定义标签”页面,可以在预定义标签列表查看已存在的预定义标签,然后单击右上角的“创建标签”,尝试创建预定义标签,如果无法创建预定义标签(假设当前权限仅包含TMS ReadOnlyAccess),表示“TMS ReadOnlyAccess”已生效。 在“服务列表”中选择除标签管理服务外(假设当前权限仅包含TMS ReadOnlyAccess)的任一服务,若提示权限不足,表示“TMS ReadOnlyAccess”已生效。
-
多个资源添加标签 如需为多个云资源的批量添加一个或多个标签,请参考以下操作步骤。 登录管理控制台。 选择“资源配置标签”页签。 设置资源搜索条件。 搜索云资源具体操作步骤可参见搜索云资源。 单击“搜索”。 勾选待添加标签的一个或多个云资源,单击列表上方的“管理标签”,进入管理标签页面。 在“添加标签”区域,添加一个或多个标签的“键”和“值”。 在标签输入框的下拉列表中可直接选择已创建的标签,无需输入标签的“键”与“值”。 如您需要为多个云资源添加不同的标签,您可以参考单个资源添加标签依次为多个云资源添加不同的标签。 单击“确定”。 资源标签批量添加完成,后续可按照新的标签管理云资源。
-
单个资源添加标签 登录管理控制台。 选择“资源配置标签”页签。 设置资源搜索条件。 搜索云资源具体操作步骤可参见搜索云资源。 单击“搜索”。 单击搜索结果区域的“编辑”,切换云资源标签列表为可编辑状态。 (可选)设置标签键展示列。 若需要修改的标签的“键”没有展示在列表中,则需要进行设置。 单击搜索结果区域右侧的。 在下拉列表中勾选需要修改的标签的“键”。 勾选需要展示的标签键建议不超过10个。 如需创建新的标签键,请参考创建标签键。 在待添加标签的云资源所在行,单击待添加的标签右侧的。 未与云资源关联的标签在列表中显示为“无标签”,标签右侧显示。 根据需要输入标签的“值”或将其留空。 单击。 资源标签添加完成,后续可按照新添加的标签管理该云资源。 如需为单个云资源添加多个标签,可按上述步骤依次添加多个标签。也可以在搜索结果列表中仅勾选单个云资源,单击列表上方的“管理标签”,在“添加标签”区域添加一个或多个标签,具体步骤可以参考多个资源添加标签。
