身份策略权限管理 CTS 服务支持身份策略授权。如表1所示，包括了CTS身份策略中的所有系统身份策略。身份策略授权场景的系统身份策略和角色与策略授权场景的并不互通。 表4 CDN系统身份策略 系统身份策略名称 描述 策略类别 CTSFullAccessPolicy 云审计 服务所有权限策略。 系统身份策略 CTSReadOnlyPolicy 云审计服务只读权限。 系统身份策略 表5列出了云审计（CTS）常用操作与系统身份策略的授权关系，您可以参照该表选择合适的系统身份策略。 表5 常用操作与系统身份策略的关系 操作 CTSFullAccessPolicy CTSReadOnlyPolicy 查询事件列表 √ √ 查询配额 √ √ 创建追踪器 √ × 修改追踪器 √ × 停用追踪器 √ × 启用追踪器 √ × 查询追踪器 √ √ 删除追踪器 √ × 创建关键操作通知 √ × 修改关键操作通知 √ × 停用关键操作通知 √ × 启用关键操作通知 √ × 查询关键操作通知 √ √ 删除关键操作通知 √ × 批量添加标签 √ × 批量删除标签 √ ×

角色与策略权限管理 CTS服务支持角色与策略授权。默认情况下，管理员创建的 IAM 用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CTS部署时通过物理区域划分，为项目级服务。授权时，“授权范围”需要选择“指定区域项目资源”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果“授权范围”选择“所有资源”，则该权限在所有区域项目中都生效。访问CTS时，需要先切换至授权区域。 如表2所示，包括了CTS的所有系统权限。角色与策略授权场景的系统策略与身份策略授权场景的并不互通。 表2 CTS系统权限 系统角色/策略名称 描述 类别 CTS FullAccess 云审计服务的所有权限。 系统策略 CTS ReadOnlyAccess 云审计服务的只读权限。 系统策略 CTS Administrator 云审计服务的管理员权限，拥有CTS的所有权限。 拥有该权限的用户拥有除IAM外，其他所有服务的只读权限。 系统角色 表3列出了云审计服务（CTS）常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表3 常用操作与系统权限的关系 操作 CTS FullAccess CTS ReadOnlyAccess CTS Administrator 查询事件列表 √ √ √ 查询配额 √ √ √ 创建追踪器 √ × √ 修改追踪器 √ × √ 停用追踪器 √ × √ 启用追踪器 √ × √ 查询追踪器 √ √ √ 删除追踪器 √ × √ 创建关键操作通知 √ × √ 修改关键操作通知 √ × √ 停用关键操作通知 √ × √ 启用关键操作通知 √ × √ 查询关键操作通知 √ √ √ 删除关键操作通知 √ × √ 批量添加标签 √ × √ 批量删除标签 √ × √

支持审计的服务及操作列表 表1 支持审计的服务及操作列表 分类 云服务 service_type 审计操作参考文档 计算 弹性云服务器 E CS 弹性云服务器支持审计的操作列表 镜像服务 IMS 镜像服务支持审计的操作列表 裸金属服务器 BMS 裸金属服务器支持审计的操作列表 弹性伸缩 AS 弹性伸缩支持审计的操作列表 函数工作流 FunctionGraph 函数工作流支持审计的操作列表 云手机 CPH 云手机支持审计的操作列表 云化数据中心 iMetal 云化数据中心支持审计的操作列表 专属主机 DeH 专属主机支持审计的操作列表 存储 云服务器备份 CSBS 云服务器备份支持审计的操作列表 对象存储服务 OBS 对象存储服务支持审计的操作列表 云硬盘 EVS 云硬盘支持审计的操作列表 云硬盘备份 VBS 云硬盘备份支持审计的操作列表 高性能弹性文件服务 SFS_Turbo 高性能弹性文件服务支持审计的操作列表 云备份 CBR 云备份支持审计的操作列表 云存储 网关 CSG 云存储网关支持审计的操作列表 网络 虚拟私有云 VPC 虚拟私有云支持审计的操作列表 云专线 DC 云专线支持审计的操作列表 弹性负载均衡 ELB 弹性负载均衡支持审计的操作列表 NAT网关 NAT NAT网关支持审计的操作列表 虚拟专用网络 VPN 虚拟专用网络支持审计的操作列表 VPC终端节点 VPCEP VPC终端节点支持审计的操作列表 全球加速 GA 全球加速支持审计的操作列表 云连接 CC 云连接支持审计的操作列表 企业路由器 ER 企业路由器支持审计的操作列表 容器 云容器引擎 CCE 云容器引擎支持审计的操作列表 云容器实例 CCI 云容器实例支持审计的操作列表 容器镜像服务 SWR 容器镜像服务支持审计的操作列表 云原生服务中心 OSC 云原生服务中心支持审计的操作列表 迁移 对象存储迁移 服务 OMS 对象存储迁移服务支持审计的操作列表 主机迁移服务 SMS 主机迁移 服务支持审计的操作列表 云数据迁移 CDM 云数据迁移支持审计的操作列表 管理与监管 云监控服务 CES 云监控 服务支持审计的操作列表 云审计服务 CTS 云审计服务支持审计的操作列表 统一身份认证 IAM 统一身份认证支持审计的操作列表（IAM 3.0） 统一身份认证支持审计的操作列表（IAM 5.0） 标签管理服务 TMS 标签管理服务支持审计的操作列表 资源访问管理 RAM 资源访问管理支持审计的操作列表 云日志 服务 LTS 云日志服务支持审计的操作列表 配置审计 （Config） Config 配置审计服务支持审计的操作列表 应用运维管理 AOM 应用运维管理（1.0）支持审计的操作列表 ICMGR 应用运维管理（1.0）支持审计的操作列表 应用性能管理 APM 应用性能管理 （1.0）支持审计的操作列表 消息通知 服务 SMN 消息通知服务支持审计的操作列表 应用身份管理 服务 OneAccess 应用身份管理服务支持审计的操作列表 IAM身份中心 IdentityCenter IAM身份中心支持审计的操作列表 资源编排 服务 RFS 资源编排服务支持审计的操作列表 应用中间件 微服务引擎 CSE 微服务引擎支持审计的操作列表 分布式消息服务Kafka版 DMS 分布式消息服务Kafka支持审计的操作列表 分布式消息服务RabbitMQ版 DMS 分布式消息服务RabbitMQ支持审计的操作列表 分布式消息服务RocketMQ版 DMS 分布式消息服务RocketMQ版支持审计的操作列表 分布式缓存服务 DCS 分布式缓存服务支持审计的操作列表 多活高可用服务 MAS 多活高可用服务支持审计的操作列表 事件网格 EG 事件网格支持审计的操作列表 API网关 APIG API网关支持审计的操作列表 数据库 分布式数据库 中间件 DDM 分布式数据库中间件支持审计的操作列表 云数据库 RDS 云数据库RDS for MySQL支持审计的操作列表 RDS 云数据库RDS for PostgreSQL支持审计的操作列表 RDS 云数据库RDS for SQL Server支持审计的操作列表 数据复制服务 DRS 数据复制服务支持审计的操作列表 文档数据库服务 DDS 文档数据库服务支持审计的操作列表 云数据库 GaussDB GaussDB 云数据库GaussDB支持审计的操作列表 云数据库 GeminiDB NoSQL GeminiDB Redis支持审计的操作列表 NoSQL GeminiDB Influx支持审计的操作列表 NoSQL GeminiDB Cassandra支持审计的操作列表 NoSQL GeminiDB Mongo支持审计的操作列表 云数据库 TaurusDB TaurusDB 云数据库TaurusDB支持审计的操作列表 数据管理服务 DAS 数据管理服务支持审计的操作列表 数据库和应用迁移 UGO 数据库和应用迁移支持审计的操作列表 开发与运维 流水线 CloudPipeline 流水线支持审计的操作列表 编译构建 CodeArtsBuild 编译构建支持审计的操作列表 性能测试服务 CPTS 性能测试服务支持审计的操作列表 应用管理与运维平台 ServiceStage 应用管理与运维平台支持审计的操作列表 开源治理服务 CodeArtsGovernance 开源治理服务支持审计的操作列表 需求管理 CodeArtsReq 需求管理支持审计的操作列表 云应用引擎 CAE 云应用引擎支持审计的操作列表 IoT物联网 设备接入 IoTDA 设备接入支持审计的操作列表 IoT边缘 IoTEdge IoT边缘支持审计的操作列表 全球SIM联接 GlobalSIMLink 全球SIM联接支持审计的操作列表 IoT数据分析 IoTA IoT数据分析支持审计的操作列表 安全与合规 密码安全中心 DEW 密码安全中心支持审计的操作列表 云防火墙 CFW 云防火墙支持审计的操作列表 DDoS防护 AAD DDoS防护支持审计的操作列表 Web应用防火墙 WAF Web应用防火墙支持审计的操作列表 漏洞管理服务 VSS 漏洞管理服务支持审计的操作列表 数据库安全服务 DBSS 数据库安全服务支持审计的操作列表 主机安全服务 HSS 主机安全服务支持审计的操作列表 数据安全中心 DSC 数据安全中心支持审计的操作列表 云堡垒机 CBH 云 堡垒机 支持审计的操作列表 云证书与管理服务 PCA 云证书与管理服务支持审计的操作列表 安全云脑 SecMaster 安全云脑支持审计的操作列表 企业应用 应用与 数据集成平台 ROMAConnect 应用与数据集成平台支持审计的操作列表 域名注册服务 Domains 域名注册服务支持审计的操作列表 隐私保护通话 PrivateNumber 隐私保护通话支持审计的操作列表 云解析服务 DNS 云解析服务支持审计的操作列表 语音通话 VoiceCall 语音通话支持审计的操作列表 区块链 区块链服务 BCS 区块链服务支持审计的操作列表 人工智能 人脸识别服务 FRS 人脸识别 服务支持审计的操作列表 AI开发平台 ModelArts AI开发平台支持审计的操作列表 文字识别 OCR 文字识别支持审计的操作列表 大数据 MapReduce服务 MRS MapReduce服务支持审计的操作列表 数据湖探索 DLI 数据湖 探索支持审计的操作列表 数据仓库 服务GaussDB DWS 数据仓库服务GaussDB支持审计的操作列表 云搜索服务 CSS 云搜索 服务支持审计的操作列表 数据治理中心 DAYU 数据湖治理中心支持审计的操作列表 表格存储服务 CloudTable 表格存储服务 支持审计的操作列表 智能数据洞察服务 DataArtsInsight 智能数据洞察服务支持审计的操作列表 CDN与智能边缘 内容分发网络 CDN 内容分发网络支持审计的操作列表 智能边缘平台 IEF 智能边缘平台支持审计的操作列表 智能边缘云 IEC 智能边缘云支持审计的操作列表 智能边缘小站 IES 智能边缘小站支持审计的操作列表 用户服务 企业项目管理 EPS 企业项目管理支持审计的操作列表 成本中心 CostCenter 成本中心支持审计的操作列表 工业软件 工业数字模型驱动引擎 iDME 工业数字模型驱动引擎支持审计的操作列表 硬件开发工具链平台云服务 CraftArtsIPDCenter 硬件开发工具链平台云服务支持审计的操作列表 视频 视频直播 LIVE 视频直播支持审计的操作列表 媒体处理 MPC 媒体处理支持审计的操作列表 开天aPaaS 云地图服务 KooMap 云地图 服务支持审计的操作列表 集成工作台 MSSI 集成工作台支持审计的操作列表 云空间服务 KooDrive 云空间服务支持审计的操作列表 应用平台 AppStage 应用平台支持审计的操作列表 其他 消息中心 MESSAGECENTER 消息中心支持审计的操作列表

CTS自定义身份策略样例 如果系统预置的CTS系统策略，不满足您的授权要求，可以创建自定义身份策略。自定义身份策略中可以添加的授权项（Action）请参考身份策略授权参考。 目前华为云支持以下两种方式创建自定义身份策略： 可视化视图创建自定义身份策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义身份策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见：创建自定义身份策略并附加至主体。 下面为您介绍常用的CTS自定义身份策略样例。 示例1：授权创建和删除关键操作通知的权限。 { "Version": "5.0", "Statement": [ { "Effect": "Allow", "Action": [ "cts:notification:create", "cts:notification:delete" ] } ] } 示例2：多个授权项策略 一个自定义身份策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项。多个授权语句策略描述如下： { "Version": "5.0", "Statement": [ { "Effect": "Allow", "Action": [ "cts:notification:create", "cts:notification:delete" ] }, { "Effect": "Allow", "Action": [ "eps:enterpriseProjects:list", ] }, { "Effect": "Allow", "Action": [ "smn:topic:listTopic", ] } ] }

示例流程 图1 给用户授予CTS权限流程 创建用户或创建用户组 在IAM控制台创建用户或用户组。 将系统身份策略附加至用户或用户组 为用户或用户组授予云审计只读权限的系统策略“CTSReadOnlyPolicy”，或将策略附加至用户或用户组。 用户登录并验证权限 使用已授权的用户登录控制台，验证权限： 在“服务列表”中选择“云审计服务CTS”，进入CTS主界面，单击右上角“开通云审计服务”，尝试开通云审计服务，如果无法开通云审计服务（假设当前权限仅包含CTSReadOnlyPolicy），表示“CTSReadOnlyPolicy”已生效。 在“服务列表”中选择除CTS外（假设当前权限仅包含CTSReadOnlyPolicy）的任一服务，若提示权限不足，表示“CTSReadOnlyPolicy”已生效。

CTS自定义策略样例 如果系统预置的CTS权限，不满足您的授权要求，可以创建自定义策略。自定义策略中可以添加的授权项（Action）请参考策略授权参考。 目前华为云支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见：创建自定义策略。下面为您介绍常用的CTS自定义策略样例。 示例1：授权用户查询审计事件 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ " cts:trace:list cts:trace:listResource cts:trace:listTraceUser " ] } ] } 示例2：拒绝用户删除追踪器 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予CTS所有的系统策略，但不希望用户拥有删除关键操作通知权限，您可以创建一条拒绝删除关键操作通知的自定义策略，然后同时将CTS Administrator和拒绝策略授予用户，根据Deny优先原则，则用户可以对CTS执行除了删除关键操作通知外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Action": [ "cts:*:*" ], "Effect": "Allow" }, { "Action": [ "cts:notification:delete" ], "Effect": "Deny" } ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Action": [ "cts:quota:get", "cts:notification:create", "cts:notification:delete", "ecs:cloudServers:delete" "ims:images:list" "ims:serverImages:create" ], "Effect": "Allow" } ] }

示例流程 图1 给用户授予CTS权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予云审计服务只读权限“CTS ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择“云审计服务CTS”，进入CTS主界面，单击右上角“开通云审计服务”，尝试开通云审计服务，如果无法开通云审计服务（假设当前权限仅包含CTS ReadOnlyAccess），表示“CTS ReadOnlyAccess”已生效。 在“服务列表”中选择除CTS外（假设当前权限仅包含CTS ReadOnlyAccess）的任一服务，若提示权限不足，表示“CTS ReadOnlyAccess”已生效。

审计与日志 云审计服务（Cloud Trace Service，CTS），是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户使用云审计服务并创建和配置追踪器后，CTS可记录CTS的管理事件用于审计。 CTS的入门指导和基本操作，请参见云审计服务入门指引。 CTS支持追踪的CTS管理事件列表，请参见云审计服务《用户指南》的支持审计的关键操作章节。 图1 云审计服务 父主题： 安全

使用限制 全局级服务需要在中心region（华北-北京四）的云审计控制台配置关键操作通知，才能使用关键操作消息通知功能。全局级服务在其他region的云审计控制台配置时，上述功能不会生效。您可以在约束与限制中，查阅目前华为云的全局级服务信息。 由于云审计服务的关键操作通知需要使用消息通知服务向相关的订阅者发送通知，因此需要提前了解消息通知服务的创建主题、添加订阅等操作。 云审计服务支持创建100个关键操作通知： 自定义类型的关键操作通知支持单独设置触发操作范围、指定操作用户和通知主题。 完整类型的关键操作通知，支持指定通知主题。 如果云审计服务和云监控服务使用同一消息主题，则接收终端一样，但是发送的内容不同。 单个关键操作通知支持最多对10个用户组的50个用户发起的操作进行通知配置。单个关键操作通知不支持一次选择多个用户组，但是可以分次添加不同用户组中的用户在同一个关键操作通知。 当您创建关键操作通知后，如果停用或删除该关键操作通知，CTS将无法发送关键操作通知给消息订阅者。

操作步骤 键入F12查看报错信息。如果是请求没有发送，查看是否浏览器安装了拦截插件，关闭插件后可以正常创建。 如果用户有权限仍无法创建追踪器，在中心region（华北-北京四）查看是否开通CTS，如未开通则需要使用主账号在中心region开通CTS后创建追踪器。 确认当前账号是否有异常，例如欠费冻结、公安冻结、黑产冻结。欠费冻结可通过续费或充值来解冻，公安冻结和黑产冻结需提交工单联系客服处理。 以上步骤确认正确后，依然无法创建追踪器，可以提交工单，联系华为技术工程师为您解决。

检测逻辑 如果CTS追踪器配置文件校验、加密事件文件、转储到LTS，视其满足CTS的安全最佳实践。 若规则参数列表为空，账号中存在至少一个符合安全最佳实践的“启用”状态的CTS追踪器，视为“合规”。 若规则参数列表为空，账号中不存在符合安全最佳实践的“启用”状态的CTS追踪器，视为“不合规”。 若规则参数列表非空，相关区域存在至少一个符合安全最佳实践的“启用”状态的CTS追踪器，视为“合规”。 若规则参数列表非空，相关区域均不存在符合安全最佳实践的“启用”状态的CTS追踪器，视为“不合规”。

应用场景 云审计服务，是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。需要满足安全最佳实践以避免日志文件丢失、被篡改或泄露。 文件校验: 可以检验转储至OBS桶的数据是否被篡改，保障事件文件的完整性。 加密事件文件: 云审计支持对事件文件加密存储。 转储到LTS: 当“转储到LTS”开关打开时，表示操作事件将转储到日志流中。

使用限制 全局级服务需要在中心region（华北-北京四）的云审计控制台配置追踪器，才能使用审计事件转储至OBS/LTS功能。全局级服务在其他region的云审计控制台配置时，上述功能不会生效。 您可以在约束与限制中，查阅目前华为云的全局级服务信息。 OBS桶有标准存储、低频访问存储和归档存储三种类型。由于云审计服务需要高频次地访问转储的OBS桶，您在云审计控制台新建的OBS桶默认是一个单AZ标准存储的私有桶。如果您需要其他额外配置，建议提前在OBS服务创建OBS桶。详情请参考创建桶。 当您配置追踪器转储至OBS时，您需要选择一个OBS桶，配置完成后，如果您在OBS服务删除了配置转储时选择的OBS桶，CTS的审计日志将无法转储至OBS，您将无法查询7天以上的历史审计记录。 在CTS配置追踪器转储至OBS/LTS后，转储事件的保存周期以您在OBS/LTS控制台的配置为准： 配置OBS桶存储时间需要您提前在OBS服务创建OBS桶，根据您的业务诉求选择“存储类别”，不同存储类别的OBS桶具有不同的存储时间。详情请参考创建桶。创建并配置好OBS桶后，在CTS配置追踪器转储至OBS时，选择已有OBS桶，转储事件的保存周期默认沿用您在OBS的配置。 在CTS配置事件转储至LTS后，事件日志存储的周期以LTS日志组配置的日志存储时间为准。详情请参考管理日志组。

操作前提 在进行事件文件完整性校验前，您需先了解云审计摘要文件的签名方式： 云审计摘要文件使用RSA数字签名，对于每个摘要文件，云审计执行以下操作： 创建数字签名字符串（由指定摘要文件字段构成），获取RSA私钥。 将数字签名字符串的哈希值和私钥传递给RSA算法，生成数字签名，将数字签名编码成十六进制格式。 将该数字签名放入摘要文件对象的meta-signature元数据属性中。 数字签名字符串包含以下摘要文件字段： UTC扩展格式的摘要文件结束时间戳（2017-03-28T02-09-17Z）。 当前摘要文件的OBS存储路径。 当前摘要文件（压缩后的）的哈希值（十六进制编码）。 前一摘要文件的十六进制数字签名。

操作场景 由于云审计采用了行业标准、可公开使用的签名算法和哈希函数，因此，您可以自行创建用于校验云审计事件文件完整性的工具。原则上进行完整性校验时必须包含字段time、service_type、resource_type、trace_name、trace_rating、trace_type，其他字段由各服务自己定义。 启用事件文件完整性校验后，云审计将摘要文件提交到您的OBS桶中，您可以使用这些文件实现自己的校验解决方案。有关摘要文件的更多信息，请参阅摘要文件。