治理基线是为专项成员设置的安全、合规、管理基线。本文介绍如何创建和使用治理基线。
操作审计统一日志投递
创建基线时,可以新建也可以从已有的基线克隆创建。
如果基线已对专项成员生效,则基线不可编辑。如需变更成员的治理基线,可以通过克隆当前基线并编辑保存新基线版本后,再为成员设置切换的基线。
如果基线已对专项成员生效,则基线不可删除。
为成员设置基线后,成员将按照基线设置内容接受专项负责人的统一管理。如果更新成员基线,则在新基线生效过程中,成员会短暂处于无基线管控状态。
设置操作审计统一日志投递规则时,组织服务将在日志投递账号下设置 OssBucketVerifyForOrgGovernance 角色,用于获取对象存储桶信息,并在专项成员启用治理基线时设置存储桶的访问权限。同时,在启用治理基线的成员账号下,每一条治理规则将生成一条 “组织跟踪” 类型的操作审计跟踪集并强制启用。
对专项成员启用治理基线后,成员账户的操作审计日志将自动根据投递规则,保存至指定的存储桶。
当成员变更或移除治理基线时,存储桶的访问授权及操作审计跟踪集将被同步变更 / 移除。
每个治理基线仅可指定一个日志采集账号,该账号可为专项内的任意成员。
每个治理基线下,可以设置不同产品事件的多条投递规则。
治理基线生效后,专项成员将被强制按照规则投递审计日志,专项成员不可变更或删除该规则。
日志投递的目标存储桶如果不存在,请联系日志账户的存储管理员先进行创建。
日志投递账号下的 OssBucketVerifyForOrgGovernance 角色被人为删除时,如果之前获取的角色临时凭证仍在有效期,则由于IAM无法解析到临时凭证的角色信息,治理基线设置可能会失败。请等待 1-2 个小时,待临时凭证过期后再进行重试。
“组织跟踪” 跟踪集数据投递可能出现延迟,这段时间的审计日志数据不会丢失,请您耐心等待。如果超过24小时仍未生效,请联系京东云客服协助处理。
常见的审计产品和事件信息如下:
service code | 产品类型 | 事件说明 |
---|---|---|
UC | 用户中心 | 主、子用户登录事件 |
user | 用户 | 账号联系人、联系组管理事件 |
iam | IAM | 子用户、用户组、角色、MFA设备、授权策略、身份提供商管理事件 |
sts | 安全令牌 | 角色代入事件 |
resourcegroup | 资源组 | 资源组相关事件 |
resourcetag | 标签 | 资源标签相关事件 |
organization | 组织管理API | 组织管理、专项管理相关事件 |
asset | APIasasset | 充值、提现事件 |
order | 订单管理 | 创建正式订单、查询订单时间 |
refund | 售后系统 | 控制台保存退货记录 |
vm | 云主机 | 云主机实例、镜像、ssh密钥对相关事件 |
disk | 云硬盘 | 云硬盘、快照相关事件 |
vpc | 弹性网卡 | 私有网络、子网、公网IP、路由表、安全组相关事件 |
lb | 负载均衡 | 负载均衡相关事件 |
nativecontainer | 原生容器 | 原生容器相关事件 |
oss | 对象存储 | S3相关事件 |
rds | 云数据库RDS | RDS数据库相关事件 |
redis | 缓存Redis | Redis相关事件 |
mongodb | 数据库MongoDB | MongoDB相关事件 |
es | es | Elasticsearch相关事件 |
jcq | 消息队列 | 消息队列JCQ相关事件 |
kafka | kafka | 消息队列Kafka相关事件 |
cdn | cdn | CDN相关事件 |
logs | JCLOUDLOGSAPI | 日志服务相关事件 |
monitor | 云监控 | 报警(告警 / 规则)管理相关事件 |
我们的产品专家为您找到最合适的产品/解决⽅案
1v1线上咨询获取售前专业咨询
专业产品顾问,随时随地沟通